Datenschutz-Folgenabschätzungen: Checkliste für Gründer und Compliance Leads

Eine Datenschutz-Folgenabschätzung, kurz DPIA oder DSFA, ist der Ablauf, den ein SaaS-Team vor einer Verarbeitung mit voraussichtlich hohem Risiko einsetzt. Nach Artikel 35 DSGVO geht es darum, die geplante Verarbeitung zu beschreiben, Notwendigkeit und Verhältnismäßigkeit zu prüfen, Risiken für Personen zu bewerten und Schutzmaßnahmen festzulegen.

Für Gründer und Compliance Leads lautet die wichtigste Frage nicht, ob eine Vorlage existiert. Entscheidend ist, ob das Team früh erkannt hat, dass ein höheres Risiko vorliegt, eine begründete Entscheidung dokumentiert, Maßnahmen zugewiesen und Nachweise gesichert hat.

1. Prüfen, ob eine DSFA nötig ist

Beginnen Sie mit einem kurzen Screening. Eine vollständige DSFA ist besonders naheliegend, wenn neue oder sensible personenbezogene Daten verarbeitet werden, Profiling oder automatisierte Bewertung eingesetzt wird, Personen systematisch überwacht werden, Datensätze kombiniert werden oder ein neuer Anbieter Zugriff auf personenbezogene Daten erhält. Auch Änderungen an Löschung, Zugriff, Sichtbarkeit oder Standardeinstellungen können relevant sein.

Wenn das Screening kein hohes Risiko zeigt, dokumentieren Sie die Entscheidung. Wenn die Antworten auf ein voraussichtlich hohes Risiko hindeuten, starten Sie die DSFA vor Beginn der Verarbeitung.

2. Verantwortliche festlegen

Eine DSFA braucht einen Owner. Halten Sie fest, wer den Prozess führt, wer aus Produkt, Engineering, Security, Datenschutz, Recht und Vendor Management beteiligt ist und wer die finale Launch-Entscheidung trifft. Der Owner muss nicht alles allein entscheiden, aber er sorgt dafür, dass Fakten, Maßnahmen, offene Risiken und Nachweise nicht liegen bleiben.

3. Verarbeitung konkret beschreiben

Beschreiben Sie Feature, Zweck, Datenkategorien, betroffene Personen, Systeme, Anbieter, Integrationen, interne Zugriffe, Aufbewahrung, Löschung, Transfers, Hinweise an Nutzer und geplantes Review-Datum. Vage Begriffe wie "Analytics" oder "KI-Funktion" reichen nicht. Die Beschreibung muss zeigen, was erhoben wird, wie es genutzt wird, wer es sieht und wie lange es identifizierbar bleibt.

4. Notwendigkeit und Verhältnismäßigkeit testen

Bevor Kontrollen ergänzt werden, prüfen Sie, ob die Verarbeitung enger gefasst werden kann. Kann der Zweck mit weniger Daten, kürzerer Aufbewahrung, Aggregation, Pseudonymisierung, weniger Rollen, sichereren Defaults oder engeren Anbieteranweisungen erreicht werden? Hier verbindet sich die DSFA direkt mit Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Das beste Ergebnis ist oft ein kleineres und klareres Produktdesign.

5. Risiko aus Sicht der betroffenen Person bewerten

Bewerten Sie nicht nur Unternehmensrisiken. Fragen Sie, ob die Verarbeitung sensible Informationen offenlegen, unfair behandeln, ungenaue Scores erzeugen, unerwartete Überwachung schaffen, Daten zu breit verfügbar machen oder Betroffenenrechte erschweren kann. Niedrige Eintrittswahrscheinlichkeit bedeutet nicht automatisch niedriges Risiko, wenn die Auswirkungen schwerwiegend sind.

6. Maßnahmen nachweisbar machen

Maßnahmen müssen konkret, zugewiesen und überprüfbar sein. Gute Beispiele sind Datenminimierung, rollenbasierter Zugriff, Verschlüsselung, Protokollierung, Anbieterbeschränkungen, Löschregeln, menschliche Überprüfung automatisierter Ergebnisse, aktualisierte Datenschutzhinweise und Launch-Gates für offene Risiken. Dokumentieren Sie Owner, Fälligkeit, Umsetzungsnachweis und Restrisiko.

7. Launch-Entscheidung festhalten

Die DSFA endet mit einer Entscheidung: Darf die Verarbeitung starten, welche Maßnahmen müssen vorher erledigt sein, welche Risiken werden akzeptiert, wer akzeptiert sie und wann wird die DSFA überprüft? Wenn hohes Restrisiko bleibt, muss klar sein, ob eine Konsultation der Aufsichtsbehörde erforderlich sein kann.

8. Nachweise sichern

Sichern Sie Screening, Datenflussdiagramm, Anbieterprüfung, Zugriffskonfiguration, Löschregel, Datenschutzhinweis, Security Review, Produktentscheidung, Risikoregister und Freigabe. Das hilft bei Audits, Kundenfragen und späteren Änderungen.

FAQ

Wozu dient eine DSFA praktisch?

Sie erkennt risikoreiche Verarbeitung vor dem Start, reduziert Risiken für Personen und schafft nachvollziehbare Entscheidungsnachweise.

Wann gilt sie für SaaS-Teams?

Vor allem bei sensiblen Daten, Profiling, automatisierter Bewertung, systematischer Überwachung, KI-gestützten Entscheidungen, großen Datenmengen oder unerwarteten Datenkombinationen.

Was jetzt zu tun ist

• Ergänzen Sie DSFA-Auslöser in Produktplanung, Vendor Intake, Security Review und Launch Readiness.
• Definieren Sie ein Owner-Feld, ein Entscheidungsfeld und eine Nachweisliste.
• Prüfen Sie die nächste risikoreiche Datenänderung, bevor der Launch festgezurrt ist.