DSFA
Eine DSFA (Datenschutz-Folgenabschätzung) ist ein Werkzeug, um Datenschutzrisiken systematisch zu identifizieren und zu minimieren, bevor ein neues System in Betrieb genommen wird.
Nach der Datenschutz-Grundverordnung (DSGVO, Artikel 35) muss eine DSFA durchgeführt werden, wenn eine neue Art der Verarbeitung personenbezogener Daten – insbesondere bei Einsatz neuer Technologie – voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen zur Folge hat.
Ziel ist es, diese Risiken bevor das System live geht zu identifizieren, zu bewerten und zu minimieren.
Was muss eine DSFA enthalten?
Unabhängig davon, welche Vorlage du verwendest, verlangt die DSGVO mindestens vier Elemente in der Folgenabschätzung:
- Eine systematische Beschreibung der geplanten Verarbeitung und ihrer Zwecke
- Eine Bewertung von Erforderlichkeit und Verhältnismäßigkeit – ist die Verarbeitung erforderlich und verhältnismäßig in Bezug auf den Zweck?
- Eine Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen
- Risikomanagementmaßnahmen – die geplanten Maßnahmen zur Bewältigung der Risiken (z. B. Sicherheitsmaßnahmen und Verfahren)
Gemeinsame Aufteilung der Verantwortung
Die Arbeit basiert auf einer gemeinsamen Verantwortungsaufteilung: Deine Organisation ist für Inhalt und Eigentum deiner DSFA verantwortlich, während Intric das unterstützende Material, die Dokumentation und die Werkzeuge (einschließlich unseres DSFA-Assistenten) bereitstellt, damit du sie einfach ausfüllen kannst.
- Du weißt wie du das System nutzen wirst, welche Dokumente du hochladen willst und welche internen Verfahren du hast. Du füllst diese Teile basierend auf dem Kontext deiner Organisation aus.
- Wir (Intric) wissen genau wie die Technologie funktioniert, wo Daten gespeichert werden und welche Sicherheitsmaßnahmen sie schützen. Wir stellen dir fertiges Material, technische Beschreibungen und einen interaktiven Assistenten zur Verfügung, der dich durch den Prozess führt.
Überblick über die Verantwortungsaufteilung
| DSGVO-Anforderung | Was die Organisation dokumentiert | Was Intric bereitstellt |
|---|---|---|
| 1. Eine systematische Beschreibung der geplanten Verarbeitung und ihrer Zwecke | Verwendungszweck, welche Dokumente/Inhalte hochgeladen werden und welche internen Ressourcen einbezogen sind | Technische Systembeschreibung, Datenflüsse, geografische Speicherung und vollständige Liste der Unterauftragsverarbeiter |
| 2. Eine Bewertung, ob die Verarbeitung erforderlich und verhältnismäßig zum Zweck ist | Rechtsgrundlage der Verarbeitung, interne Aufbewahrungs- und Löschregeln, Verfahren für Betroffenenrechte | Technische Unterstützung für Speicherminimierung, automatische Löschung sowie Löschung/Export von Daten |
| 3. Eine Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen | Identifikation von Betriebsrisiken (z. B. fehlerhafte interne Nutzung) und Bewertung von Eintrittswahrscheinlichkeit und Schwere | Vorgefüllte Auftragsverarbeiterrisiken, Zertifizierungen (ISO 27001, SOC 2) und Vorfallhistorie zur Unterstützung deiner Bewertung |
| 4. Die geplanten Maßnahmen zur Bewältigung der Risiken | Interne technische und organisatorische Maßnahmen (z. B. Richtlinien, Verfahren, Schulung) und Bewertung des Restrisikos | Intrics eingebaute Sicherheitsmaßnahmen (z. B. Zugriffskontrolle/RBAC, Verschlüsselung, Backup), Best Practices für sichere Konfiguration und vertragliche Garantien (AVV) |
So startest du mit deiner DSFA
Um den Prozess so einfach und klar wie möglich zu gestalten, haben wir eine Schritt-für-Schritt-Anleitung entwickelt, die auf Methodik und Material von Organisationen basiert, die bereits eine DSFA für ihre Intric-Nutzung durchgeführt haben.
Eine DSFA für KI ist kein anderer Prozess
Wichtig zu verstehen: Eine DSFA für ein KI-Werkzeug wie Intric unterscheidet sich in der Sache nicht von einer DSFA für andere IT-Systeme. Der Prozess folgt derselben Struktur und denselben Anforderungen wie bei der Einführung eines anderen Systems zur Verarbeitung personenbezogener Daten – ob HR-System, CRM-Werkzeug oder Dokumentenmanagementsystem.
Einzigartig für deine Implementierung ist nicht die Technologie selbst, sondern wie du sie nutzt, welche Daten du verarbeitest und welche Risiken in deinem spezifischen Kontext entstehen.