≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 21.09.2022

Datenschutz-Folgenabschätzung (DSFA)

Mit der Datenschutzreform 2018 wurde die Datenschutz-Folgenabschätzung (DSFA) als Instrument der datenschutzrechtlichen Risikobetrachtung und -bewertung neu eingeführt. Die DSFA ist in Art. 35 Datenschutz-Grundverordnung (DSGVO) geregelt. Bayerische öffentliche Stellen sind grundsätzlich zur Durchführung von Datenschutz-Folgenabschätzungen verpflichtet, wenn sie Verarbeitungen personenbezogener Daten durchführen, die von der Bayerischen Blacklist erfasst sind.

  • Datenschutz-Folgenabschätzung - Bayerische Blacklist - Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DSGVO für den bayerischen öffentlichen Bereich (PDF)

Bei anderen Verarbeitungen müssen bayerische öffentliche Stellen individuell prüfen, ob eine DSFA erforderlich ist. Über diese Prüfung sowie zum Instrument der DSFA im Allgemeinen informiert eine Orientierungshilfe.

  • Datenschutz-Folgenabschätzung (Orientierungshilfe) (PDF)

Außerdem stehen vom Europäischen Datenschutzausschuss übernommene Leitlinien der Artikel 29-Datenschutzgruppe zur Verfügung.

  • Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 "wahrscheinlich ein hohes Risiko mit sich bringt" (WP 248 Rev. 01) (PDF)

Die Methodik der DSFA als ein Anwendungsfall der datenschutzrechtlichen Risikoanalyse ist in einer gesonderten Orientierungshilfe ausführlich erläutert. Hier erfahren bayerische öffentliche Stellen Näheres über die Arbeitsschritte und über Hilfsmittel, die bei einer DSFA und zudem teilweise auch bei einer allgemeinen datenschutzrechtlichen Risikoanalyse eingesetzt werden können.

  • Risikoanalyse und Datenschutz-Folgenabschätzung - Systematik, Anforderungen, Beispiele (Orientierungshilfe) (PDF)

Ergänzend zu dieser Orientierungshilfe werden nach und nach weitere Werkzeuge in Modulform bereitgestellt, die einzelne Arbeitsschritte der DSFA und der allgemeinen datenschutzrechtlichen Risikoanalyse erleichtern sollen. Der Hintergrund und Einsatz dieser Werkzeuge ist in den Modulhinweisen näher beschrieben.

  • Modulhinweise (PDF)

Modul 1: Beschreibung einer Verarbeitungstätigkeit

  • Leerformular: (RTF) (PDF)
  • Ausfüllbeispiel: (RTF) (PDF)

Modul 2: DSFA-Erforderlichkeitsprüfung

  • Leerformular: (RTF) (PDF)
  • Ausfüllbeispiel: (RTF) (PDF)

Modul 3: DSFA-Bericht für eine Verarbeitungstätigkeit

  • DSFA-Bericht - Leerformular: (RTF) (PDF)
  • DSFA-Bericht - Ausfüllbeispiel: (RTF) (PDF)
  • DSFA-Bericht-Anlage-Risikoanalyse - Leerformular: (XLSX) (PDF)
  • DSFA-Bericht-Anlage-Risikoanalyse - Ausfüllbeispiel: (XLSX) (PDF)

Modul 4: Betriebsmittel "IT-Personalverwaltungssystem"

  • Betriebsmittel-Beschreibung - Leerformular: (RTF) (PDF)
  • Betriebsmittel-Beschreibung - Ausfüllbeispiel: (RTF) (PDF)
  • Betriebsmittel-Risikoanalyse - Leerformular: (XLSX) (PDF)
  • Betriebsmittel-Risikoanalyse - Ausfüllbeispiel: (XLSX) (PDF)

Modul 5: Betriebsmittel "Videokonferenzsystem"

  • Betriebsmittel-Beschreibung - Ausfüllbeispiel: (RTF) (PDF)
  • Betriebsmittel-Risikoanalyse - Leerformular: (RTF) (PDF)
  • Betriebsmittel-Risikoanalyse - Ausfüllbeispiel: (RTF) (PDF)

Modul 6: Betriebsmittel "Bildschirmarbeitsplatz"

  • Betriebsmittel-Beschreibung - Ausfüllbeispiel: (RTF) (PDF)
  • Betriebsmittel-Risikoanalyse - Ausfüllbeispiel: (XLSX) (PDF)
  • Unterbetriebsmittel-Telefon - Ausfüllbeispiel: (RTF) (PDF)

Frühere Versionen der aktuellen DSFA-Arbeitshilfen können unter der E-Mail-Adresse orientierungshilfen@datenschutz-bayern.de bei Bedarf angefordert werden.

Zum direkten Abruf steht bereit:

  • Datenschutz-Folgenabschätzung - Methodik und Fallstudie (Fassung vom 1. Oktober 2019, ersetzt durch die Orientierungshilfe "Risikoanalyse und Datenschutz-Folgenabschätzung - Systematik, Anforderungen, Beispiele", siehe oben) (PDF)