Datenschutz-Folgenabschätzung (DSFA/DPIA)

Checkliste zur Prüfung der Notwendigkeit, Durchführung, Dokumentation und Nachverfolgung von DSFAs gemäß Art. 35 DSGVO.

Fortschritt

0 von 0 Fragen beantwortet

Bewertung

0 von 400 Punkte

1
Screening und Notwendigkeit

Gibt es ein DSFA-Screening mit Kriterien/Liste hoher Risiken?

• Black-/Whitelist • Leitlinien der Aufsicht • Branchenbesonderheiten • Dokumentierte Entscheidung

Organisatorisch Pflichtfrage

Wurden die Zwecke, Datenkategorien und Betroffenengruppen klar beschrieben?

• Detaillierter Scope • Datenquellen • Empfänger/Transfers • Zusammenhänge/Profiling

Rechtlich Pflichtfrage

Ist der Datenschutzbeauftragte/Datenschutz-Team eingebunden?

• Frühzeitige Beratung • Stellungnahme • Dokumentiert im Report • Konflikte adressiert

Organisatorisch Pflichtfrage

Wurden Betroffene/Stakeholder angemessen konsultiert?

• Methoden (Workshops/Umfragen) • Repräsentative Gruppen • Auswertung und Antwort • Grenzen dokumentiert

Verfahren

2
Risikobewertung und Maßnahmen

Wurde das Risiko für Rechte/Freiheiten systematisch bewertet?

• Eintrittswahrscheinlichkeit/Auswirkung • Szenarien • Residualrisiko • Bewertungsmatrix

Organisatorisch Pflichtfrage

Sind Privacy-by-Design/Default-Maßnahmen definiert?

• Datenminimierung • Pseudonymisierung/Anonymisierung • Zugriffskontrolle • Logging/Transparenz

Technisch Pflichtfrage

Gibt es einen Umsetzungsplan mit Verantwortlichen und Terminen?

• Maßnahmenplan • Meilensteine • Freigaben • Erfolgskriterien

Organisatorisch Pflichtfrage

Wurde geprüft, ob eine Konsultation der Aufsicht (Art. 36) nötig ist?

• Hohe Restrisiken • Konsultationsprozess • Unterlagen/Bewertungen • Ergebnisse dokumentiert

Rechtlich

3
Dokumentation und Freigabe

Ist der DSFA-Bericht vollständig und nachvollziehbar?

• Struktur/Gliederung • Quellen/Annahmen • Entscheidungen/Begründungen • Anhänge/Artefakte

Verfahren Pflichtfrage

Liegt eine formale Management-Freigabe vor?

• Entscheidungsgremium • Zuständigkeiten • Bedingungen/Auflagen • Protokoll/Sign-off

Organisatorisch Pflichtfrage

Sind Links/Referenzen zu VVT/AVV/Technikdokumentation vorhanden?

• Verknüpfungen • Single Source of Truth • Konsistenzprüfungen • Änderungsworkflow

Organisatorisch

Sind Kommunikationspläne (intern/extern) vorbereitet?

• Stakeholderliste • Templates • Rollen/Vertretung • Reviewzyklen

Verfahren

4
Nachverfolgung und Aktualisierung

Werden Maßnahmenumsetzung und Wirksamkeit überwacht?

• KPIs • Audits/Reviews • Lessons Learned • Nachsteuerung

Organisatorisch Pflichtfrage

Gibt es Trigger für DSFA-Updates (Änderungen/Zwischenfälle)?

• Tool-/Zweckwechsel • Vorfälle • Neue Datenquellen • Regulatorische Änderungen

Organisatorisch Pflichtfrage

Sind Schulungen/Guides für Projektteams vorhanden?

• Onboarding • Checklisten • Beispiele • Expertenunterstützung

Organisatorisch

Wird die DSFA mit Datenschutzerklärung und VVT synchron gehalten?

• Abgleich-Prozess • Verantwortliche • Änderungsprotokoll • Veröffentlichung

Rechtlich

Ergebnis

Sie haben 0 von 0 Fragen beantwortet.

Datenschutz-Folgenabschätzung (DSFA/DPIA)

Fortschritt

Bewertung

1
Screening und Notwendigkeit

Gibt es ein DSFA-Screening mit Kriterien/Liste hoher Risiken?

Wurden die Zwecke, Datenkategorien und Betroffenengruppen klar beschrieben?

Ist der Datenschutzbeauftragte/Datenschutz-Team eingebunden?

Wurden Betroffene/Stakeholder angemessen konsultiert?

2
Risikobewertung und Maßnahmen

Wurde das Risiko für Rechte/Freiheiten systematisch bewertet?

Sind Privacy-by-Design/Default-Maßnahmen definiert?

Gibt es einen Umsetzungsplan mit Verantwortlichen und Terminen?

Wurde geprüft, ob eine Konsultation der Aufsicht (Art. 36) nötig ist?

3
Dokumentation und Freigabe

Ist der DSFA-Bericht vollständig und nachvollziehbar?

Liegt eine formale Management-Freigabe vor?

Sind Links/Referenzen zu VVT/AVV/Technikdokumentation vorhanden?

Sind Kommunikationspläne (intern/extern) vorbereitet?

4
Nachverfolgung und Aktualisierung

Werden Maßnahmenumsetzung und Wirksamkeit überwacht?

Gibt es Trigger für DSFA-Updates (Änderungen/Zwischenfälle)?

Sind Schulungen/Guides für Projektteams vorhanden?

Wird die DSFA mit Datenschutzerklärung und VVT synchron gehalten?

Ergebnis

Gesamtpunktzahl

Compliance-Level

Bewertungsskala

Datenschutz-Folgenabschätzung (DSFA/DPIA)

Fortschritt

Bewertung

1 Screening und Notwendigkeit

Gibt es ein DSFA-Screening mit Kriterien/Liste hoher Risiken?

Wurden die Zwecke, Datenkategorien und Betroffenengruppen klar beschrieben?

Ist der Datenschutzbeauftragte/Datenschutz-Team eingebunden?

Wurden Betroffene/Stakeholder angemessen konsultiert?

2 Risikobewertung und Maßnahmen

Wurde das Risiko für Rechte/Freiheiten systematisch bewertet?

Sind Privacy-by-Design/Default-Maßnahmen definiert?

Gibt es einen Umsetzungsplan mit Verantwortlichen und Terminen?

Wurde geprüft, ob eine Konsultation der Aufsicht (Art. 36) nötig ist?

3 Dokumentation und Freigabe

Ist der DSFA-Bericht vollständig und nachvollziehbar?

Liegt eine formale Management-Freigabe vor?

Sind Links/Referenzen zu VVT/AVV/Technikdokumentation vorhanden?

Sind Kommunikationspläne (intern/extern) vorbereitet?

4 Nachverfolgung und Aktualisierung

Werden Maßnahmenumsetzung und Wirksamkeit überwacht?

Gibt es Trigger für DSFA-Updates (Änderungen/Zwischenfälle)?

Sind Schulungen/Guides für Projektteams vorhanden?

Wird die DSFA mit Datenschutzerklärung und VVT synchron gehalten?

Ergebnis

Gesamtpunktzahl

Compliance-Level

Bewertungsskala

1
Screening und Notwendigkeit

2
Risikobewertung und Maßnahmen

3
Dokumentation und Freigabe

4
Nachverfolgung und Aktualisierung