≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 02.12.2019

Datenschutz-Folgenabschätzung (DSFA)

Mit der Datenschutzreform 2018 wurde die Datenschutz-Folgenabschätzung als Instrument des datenschutzrechtlichen Risikomanagements neu eingeführt. Die Datenschutz-Folgenabschätzung ist in Art. 35 Datenschutz-Grundverordnung geregelt. Bayerische öffentliche Stellen sind grundsätzlich zur Durchführung von Datenschutz-Folgenabschätzungen verpflichtet, wenn sie Verarbeitungen personenbezogener Daten durchführen, die von der Bayerischen Blacklist erfasst sind.

  • Datenschutz-Folgenabschätzung - Bayerische Blacklist - Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DSGVO für den bayerischen öffentlichen Bereich (PDF)

Bei anderen Verarbeitungen müssen bayerische öffentliche Stellen individuell prüfen, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Über diese Prüfung sowie zum Instrument der Datenschutz-Folgenabschätzung im Allgemeinen informiert eine Orientierungshilfe.

  • Datenschutz-Folgenabschätzung (Orientierungshilfe) (PDF)

Die Methodik der Datenschutz-Folgenabschätzung ist in einem gesonderten Arbeitspapier näher erläutert. Hier erfahren bayerische öffentliche Stellen Näheres über die Arbeitsschritte und über Hilfsmittel, die bei einer Datenschutz-Folgenabschätzung eingesetzt werden können. Das Arbeitspapier veranschaulicht die methodische Einführung an einer Fallstudie zu der Verarbeitungstätigkeit "Personal verwalten" aus der Stadt Fiktivia.

  • Datenschutz-Folgenabschätzung - Methodik und Fallstudie (PDF)

Eine Datenschutz-Folgenabschätzung (englisch: Privacy Impact Assessment - PIA) lässt sich methodisch gut mit dem sog. PIA-Tool durchführen, einer von der französischen Datenschutz-Aufsichtsbehörde Commission Nationale de l'Informatique et des Libertés (CNIL, Homepage: https://www.cnil.fr (externer Link)) bereitgestellten Software, die kontinuierlich weiterentwickelt wird. Die deutsche Übersetzung wurde in Abstimmung mit mir erarbeitet. Das PIA-Tool kann unter der Open-Source Lizenz GPL v3.0 (Erläuterungen unter https://www.gnu.org/licenses/gpl-3.0.de.html (externer Link)) in Windows (32/64 Bit) von jedem Verantwortlichen frei (kostenlos) verwendet werden. Der Quelltext des PIA-Tools ist im GitHub-Repository unter https://github.com/kosmas58/pia-app/releases (externer Link) hinterlegt.

  • Download der Setup-Datei des PIA-Tools (EXE)

Ergänzend zum PIA-Tool werden nach und nach weitere Werkzeuge bereitgestellt, die einzelne Arbeitsschritte der Datenschutz-Folgenabschätzung erleichtern sollen. Der Einsatz dieser Werkzeuge ist in dem Arbeitspapier "Datenschutz-Folgenabschätzung - Methodik und Fallstudie" näher beschrieben. Es stehen jeweils Leerformulare zur Verfügung sowie Ausfüllbeispiele, die sich auf die Fallstudie aus dem Arbeitspapier beziehen.

Modul 1: Beschreibung einer Verarbeitungstätigkeit

  • Leerformular: (RTF) (PDF)
  • Ausfüllbeispiel: (RTF) (PDF)

Modul 2: DSFA-Bericht in Formularform für eine Verarbeitungstätigkeit

  • Leerformular: (RTF) (PDF)
  • Ausfüllbeispiel: (RTF) (PDF)

Modul 3: Tabellen für das Risikomanagement zu einer Verarbeitungstätigkeit

  • Leerformular: (XLSX) (PDF)
  • Ausfüllbeispiel: (XLSX) (PDF)

Modul 4: Tabellen für das Zielerfüllungsmanagement zu einer Verarbeitungstätigkeit

  • Leerformular: (XLSX) (PDF)
  • Ausfüllbeispiel: (XLSX) (PDF)