Eine Datenschutz-Folgenabschätzung (DSFA) ist ein letzter Schritt in der Gesamtbeurteilung einer Verarbeitungstätigkeit.
Eine geplante oder bereits durchgeführte Verarbeitungstätigkeit beinhaltet immer auch ein Risiko für die Rechte und Freiheiten von natürliche personen. Aus diesem Grund müssen alle Verarbeitungstätigkeiten daraufhin überprüft werden wie hoch ein möglich vorhandenes Risiko einzuschätzen ist.
Wenn die Verarbeitung von personenbezogenen Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, dann hat der Verantwortliche vor Anfang der Verarbeitung eine Abschätzung der Folgen für den Schutz von personenbezogenen Daten (eine DSFA) durchzuführen.
Sollte das Ergebnis der DSFA, auch nach einer Überprüfung und Apassung der technische und organisatorische Maßnahmen, ein hohes oder sehr hohes risiko aufzeigen, dann darf diese Verarbeitung nicht ohne eine vorherigen Konsultation der Datenschutzbehörde gemäß Art. 36 DS-GVO, DSK Kurzpapier 18 sowie die Erwägungsgründen 84, 90, 91, 92 und 93 durchgeführt werden.
Die Datenschutz-Folgenabschätzung ist somit ein letzter Schritt in einer Gesamtbeurteilung (Analyse) einer bestimmten Verarbeitungstätigkeit.
Bereits bestehende Verarbeitungstätigkeiten müssen regelmäßig daraufhin überprüft werden, ob diese auch unter die Pflicht einer Datenschutz-Folgenabschätzung fallen.
Eine Datenschutz-Folgenabschätzung kann im Allgemeinen nur von einem interdisziplinären Team erstellt werden, das Kompetenzen im Bereich Datenschutz, Risikoermittlung und Fachprozesse mitbringt. Der Datenschutzbeauftragte ( BDSG §38 ) steht diesem während des gesamten Prozesses beratend zur Seite.