DSGVO - ARTIKEL 35 - DATENSCHUTZ-FOLGENABSCHÄTZUNG (DSFA)

Ihre DSFA konform
zur CNIL-Methode

Die DSGVO verlangt eine Datenschutz-Folgenabschätzung für jede Verarbeitung, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt. SYAGA DPIA-Express strukturiert und dokumentiert Ihre DSFA nach der Methodik von Artikel 35 und den Leitlinien des EDSA, ohne Improvisation und ohne Fachjargon.

35
DSGVO-Artikel (DSFA)
9
EDSA-Kriterien (WP248 rev.01)
3
Pflichtfälle (Art. 35.3)
4
Methodenteile (Art. 35.7 a-d)

Die Pflicht

Feststellen, ob Ihre Verarbeitung einer DSFA bedarf, und diese dann regelkonform durchführen

Artikel 35 der DSGVO verlangt eine DSFA

Jede Verarbeitung, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss vor ihrer Durchführung Gegenstand einer Datenschutz-Folgenabschätzung sein (DSGVO, Art. 35).

📋

Die CNIL-Regel «2 von 9 Kriterien»

Der EDSA (vormals Artikel-29-Datenschutzgruppe, Leitlinien WP248 rev.01) hat 9 Kriterien für ein hohes Risiko definiert. Sobald eine Verarbeitung mindestens zwei dieser Kriterien erfüllt, muss grundsätzlich eine DSFA durchgeführt werden: ein einziges falsch eingeschätztes Kriterium, und die Akte ist unvollständig.

🔍

CNIL-Listen, die artikelweise abzugleichen sind

Die CNIL (die französische Datenschutzbehörde) veröffentlicht Listen von Verarbeitungen, für die eine DSFA erforderlich ist oder nicht. Um genau zu bestimmen, wo Ihre Verarbeitung steht, ist eine sorgfältige Lektüre erforderlich, kein allgemeiner Eindruck.

Ohne Methode ist das Risiko doppelt

Eine DSFA zu überstürzt durchzuführen, setzt Sie vor einer Aufsichtsbehörde der Unvollständigkeit aus; sie nicht durchzuführen, wenn sie erforderlich ist, setzt die Organisation einem Verstoß gegen Artikel 35 aus. Die CNIL-Methode strukturiert diese Entscheidung und dokumentiert sie.

Die Methode: DPIA-Express

Die von Artikel 35.7 der DSGVO vorgegebene Struktur, angewendet auf Ihre Verarbeitung, mit einer begründeten Schlussfolgerung bei jedem Schritt

1
Feststellung der Pflicht

Unterliegt Ihre Verarbeitung wirklich der DSFA-Pflicht?

Analyse anhand der 3 Fälle von Artikel 35.3, des 9-Kriterien-Rasters des EDSA (WP248 rev.01) und der CNIL-Listen der erforderlichen bzw. nicht erforderlichen Verarbeitungen. Begründete Schlussfolgerung, unabhängig davon, ob die DSFA letztlich verpflichtend ist oder nicht.

2
Art. 35.7.a

Systematische Beschreibung der Verarbeitung

Zwecke, Kategorien betroffener Daten und Personen, Empfänger, Aufbewahrungsfristen: die vollständige Kartierung gemäß Artikel 35.7.a, konsistent mit Ihrem Verzeichnis von Verarbeitungstätigkeiten (Art. 30).

3
Art. 35.7.b

Notwendigkeit und Verhältnismäßigkeit

Prüfung, dass jede erhobene Angabe für den verfolgten Zweck erforderlich ist, dass die Rechtsgrundlage (Art. 6) für jede Verarbeitung identifiziert ist und dass der Grundsatz der Datenminimierung (Art. 5.1.c) eingehalten wird.

4
Art. 35.7.c

Bewertung der Risiken für die betroffenen Personen

Für jedes identifizierte Risiko: Schwere, Eintrittswahrscheinlichkeit, bereits bestehende Maßnahmen, Restrisiko, dargestellt in Tabellenform, nutzbar für Ihre Geschäftsleitung oder Ihren Datenschutzbeauftragten.

5
Art. 35.7.d und 5.2

Maßnahmen und dokumentierte Schlussfolgerung

Vorgesehene technische und organisatorische Maßnahmen (Art. 32), begründete Schlussfolgerung und dokumentierte Rechtfertigung im Sinne der Rechenschaftspflicht (Art. 5.2), einsatzbereit im Falle einer Kontrolle durch die CNIL.

Was Sie erhalten

Ein strukturiertes, belegtes Dokument, ehrlich darüber, was noch von Ihrem Juristen oder Datenschutzbeauftragten zu validieren ist

📝

Strukturierter DSFA-Bericht

Das vollständige Dokument gemäß Artikel 35.7 (a bis d), mit begründeter Schlussfolgerung.

  • Systematische Beschreibung der Verarbeitung
  • Analyse der Notwendigkeit und Verhältnismäßigkeit
  • Risikotabelle (Schwere/Wahrscheinlichkeit/Maßnahmen)
  • Schlussfolgerung und dokumentierte Rechtfertigung (Art. 5.2)

Feststellungsraster

Die vorgelagerte Analyse, die entscheidet, ob Ihre Verarbeitung in den Anwendungsbereich der Pflicht fällt.

  • Die 3 Fälle von Artikel 35.3
  • Die 9 EDSA-Kriterien (WP248 rev.01)
  • Abgleich mit den CNIL-Listen
  • Begründete und belegte Schlussfolgerung
📁

Konsistenz mit dem Verzeichnis (Art. 30)

Die DSFA stützt sich auf dieselbe Grundlage wie Ihr Verzeichnis von Verarbeitungstätigkeiten.

  • Zwecke und Rechtsgrundlagen
  • Kategorien von Daten und Personen
  • Empfänger und Auftragsverarbeiter
  • Aufbewahrungsfristen je Kategorie
🚩

Von Ihrem Juristen/DSB zu validierende Punkte

Jeder Unsicherheitspunkt wird ausdrücklich gekennzeichnet, niemals an Ihrer Stelle entschieden.

  • Einstufung Verantwortlicher / Auftragsverarbeiter
  • Rechtsgrundlagen je Zweck
  • Identifizierte Übermittlungen außerhalb der EU
  • Benennung eines Datenschutzbeauftragten (Art. 37), falls zutreffend
🔗

Quellen und Nachvollziehbarkeit

Jede rechtliche Aussage ist belegt, nicht aus dem Gedächtnis behauptet.

  • Konsolidierter Text der DSGVO (CELEX 32016R0679)
  • CNIL-Seiten und -Listen (DSFA, Verzeichnis)
  • Leitlinien des EDSA (WP248 rev.01)
  • Im Dokument zitierte, überprüfbare URLs
📄

Bearbeitbares Dokument

Geliefert in einem bearbeitbaren, von Ihrem DSB oder Juristen wiederverwendbaren Format.

  • Struktur gemäß Artikel 35.7
  • Wiederverwendbar für zukünftige Verarbeitungen
  • Bereit zur Ergänzung vor der endgültigen Validierung
  • Keine feste Formatierung vorgegeben

Verwendete Referenzen

Eine Methode, die sich auf Texte und Behörden stützt, nicht auf hausgemachte Interpretationen

35

DSGVO - Artikel 35

Datenschutz-Folgenabschätzung. Konsolidierter Text der Verordnung (EU) 2016/679 (EUR-Lex, CELEX 32016R0679).

EDSA

Leitlinien WP248 rev.01

Die 9 Kriterien für ein hohes Risiko des EDSA (vormals Artikel-29-Gruppe), von der CNIL als Referenzmethode zur Bestimmung der DSFA-Pflicht übernommen.

CNIL

CNIL-Listen und -Methode

Listen der Verarbeitungen, für die eine DSFA erforderlich ist oder nicht, sowie die CNIL-Methode zur Durchführung einer Folgenabschätzung.

30

DSGVO - Artikel 30

Verzeichnis von Verarbeitungstätigkeiten: die Konsistenzgrundlage (Zwecke, Daten, Fristen), auf der jede DSFA aufbaut.

Eine maßgeschneiderte DSFA, ohne versteckte Preise

Der Umfang hängt von der Anzahl der Verarbeitungen, ihrer Komplexität und dem bereits bei Ihnen vorhandenen Dokumentationsstand ab. Angebot nach einem ersten Austausch.

Feststellung der Pflicht

Sie wissen nicht, ob Ihre Verarbeitung betroffen ist

Auf Anfrage
je nach Anzahl der zu analysierenden Verarbeitungen
  • EDSA-9-Kriterien-Raster
  • Abgleich mit Artikel 35.3
  • Prüfung der CNIL-Listen
  • Begründete und belegte Schlussfolgerung
Angebot anfordern

Mehrjahresprogramm

Mehrere risikobehaftete Verarbeitungen abzudecken

Auf Anfrage
je nach Anzahl der Verarbeitungen und Überprüfungsrhythmus
  • Alles aus Vollständige DSFA +
  • Gemeinsamer methodischer Rahmen
  • Regelmäßige Überprüfung (Art. 35.11)
  • Konsistenz mit dem Verzeichnis (Art. 30) erhalten
Angebot anfordern

Eine DSFA ist nie endgültig

Artikel 35.11 der DSGVO verlangt eine Überprüfung der Analyse bei wesentlicher Änderung der Verarbeitung (neuer Auftragsverarbeiter, Hosting-Wechsel, Erweiterung des Erhebungsumfangs). Ein Angebot für die Überprüfung wird von Fall zu Fall erstellt.

Häufige Fragen

Unterliegt meine Verarbeitung wirklich der DSFA-Pflicht?
Das hängt von drei methodisch geprüften Elementen ab: den 3 Fällen von Artikel 35.3 der DSGVO, dem 9-Kriterien-Raster des EDSA (Leitlinien WP248 rev.01, von der CNIL übernommen: sobald 2 von 9 Kriterien erfüllt sind, muss grundsätzlich eine DSFA durchgeführt werden) und den CNIL-Listen der erforderlichen bzw. nicht erforderlichen Verarbeitungen. Das gelieferte Dokument klärt diese Frage und begründet sie Punkt für Punkt.
Was genau enthält das gelieferte Dokument?
Ein nach Artikel 35.7 der DSGVO strukturiertes Dokument: systematische Beschreibung der Verarbeitung (a), Analyse der Notwendigkeit und Verhältnismäßigkeit (b), Bewertung der Risiken für die betroffenen Personen (c), vorgesehene technische und organisatorische Maßnahmen (d), sowie eine begründete Schlussfolgerung. Jede rechtliche Referenz ist belegt (konsolidierter DSGVO-Text, CNIL, EDSA).
Und wenn meine Verarbeitung letztlich nicht der DSFA-Pflicht unterliegt?
Das Dokument wird freiwillig und dokumentarisch beibehalten: Es dient als Rechtfertigung Ihrer Entscheidung, keine formelle DSFA durchzuführen, im Sinne des Rechenschaftsprinzips (Art. 5.2 der DSGVO), einsatzbereit im Falle einer Kontrolle durch die CNIL.
Ersetzt dieses Dokument die Stellungnahme meines Anwalts oder DSB?
Nein. DPIA-Express ist ein methodisches Begleitwerkzeug, das die Analyse strukturiert und dokumentiert; es stellt keine Rechtsberatung dar. Jedes gelieferte Dokument listet ausdrücklich die Punkte auf, die noch von Ihrem Juristen oder Ihrem Datenschutzbeauftragten vor jeder verbindlichen Verwendung zu validieren sind.
Wer muss die DSFA in meiner Organisation durchführen?
Der Verantwortliche bleibt rechtlich für die DSFA verantwortlich; der Datenschutzbeauftragte, sofern vorhanden, muss konsultiert werden (Art. 35.2 der DSGVO). DPIA-Express bereitet den Stoff (Beschreibung, Risiken, Maßnahmen) so vor, dass diese Konsultation auf Basis einer bereits strukturierten Akte erfolgt, nicht auf einem weißen Blatt.
Warum SYAGA beauftragen, statt es vollständig intern zu machen?
SYAGA Consulting besteht seit 2009 und wendet dieselbe Methode auf seine eigenen Verarbeitungen an, einschließlich seines eigenen Microsoft-365-Audit-Produkts, dessen Prüfung der DSFA-Pflicht genau dieser Struktur folgt. Wir liefern keine generische Vorlage: Jedes Dokument wird Verarbeitung für Verarbeitung, Artikel für Artikel erstellt.

Bereit, Ihre DSFA zu dokumentieren?

Beschreiben Sie uns Ihre Verarbeitung, wir melden uns mit einem individuellen Angebot.