DSFA (Datenschutz-Folgenabschätzung) ist ein formales Verfahren nach DSGVO Art. 35, mit dem Du die Risiken einer geplanten Datenverarbeitung für die Rechte und Freiheiten betroffener Personen bewertest. Eine DSFA ist verpflichtend, wenn die Verarbeitung voraussichtlich ein hohes Risiko birgt.
Typische Auslöser sind: Profiling, automatisierte Entscheidungen, umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder systematische Videoüberwachung. Die DSFA dokumentiert Verarbeitungszweck, Notwendigkeit, Risiken und die vorgesehenen Abhilfemaßnahmen. Bleibt nach allen Maßnahmen ein hohes Restrisiko, muss die Aufsichtsbehörde konsultiert werden (Art. 36). Im ISMS lässt sich die DSFA gut mit der Risikobewertung nach ISO 27005 verzahnen.