{"id":168168,"date":"2025-10-02T15:51:54","date_gmt":"2025-10-02T13:51:54","guid":{"rendered":"https:\/\/factorialhr.com\/blog\/?p=168168"},"modified":"2025-10-01T16:55:16","modified_gmt":"2025-10-01T14:55:16","slug":"datenschutzfolgeabschaetzung","status":"publish","type":"post","link":"https:\/\/factorialhr.de\/blog\/datenschutzfolgeabschaetzung\/","title":{"rendered":"Datenschutzfolgeabsch\u00e4tzung f\u00fcr Unternehmen: Wer sie machen muss und wie sie abl\u00e4uft"},"content":{"rendered":"

Die DSGVO<\/strong> regelt genau, was mit der Verarbeitung personenbezogener Daten passiert. Doch wie sieht es aus, wenn HR-Software<\/strong> im Unternehmen zum Einsatz kommt? Unternehmen, die solche Software verwenden, m\u00fcssen in der Regel eine Datenschutzfolgeabsch\u00e4tzung (DSFA)<\/strong> durchf\u00fchren. Wann genau dies notwendig ist und wie eine DSFA durchgef\u00fchrt wird, erkl\u00e4ren wir im folgenden Artikel.<\/p>\n

Das Wichtigste in K\u00fcrze<\/h2>\n
    \n
  1. Eine Datenschutzfolgeabsch\u00e4tzung<\/strong> ist erforderlich, wenn bei einer Anwendung eine umfangreiche Verarbeitung besonderer Datenkategorien<\/strong> erfolgt, die potenziell ein hohes oder sehr hohes Risiko<\/strong> f\u00fcr die Grundrechte und Freiheiten der betroffenen Personen darstellt.<\/li>\n
  2. Unternehmen, die HR-Software<\/strong> nutzen, die z.\u202fB. KI-basiertes Screening<\/strong> oder Geotracking<\/strong> umfasst, sind in der Regel verpflichtet, eine DSFA durchzuf\u00fchren.<\/li>\n<\/ol>\n

    Gesetzliche Grundlage<\/h2>\n
      \n
    1. Notwendigkeit, Verfahren und Zust\u00e4ndigkeiten sind in Art. 35 der Datenschutz-Grundverordnung<\/a> festgehalten.<\/li>\n<\/ol>\n
      \n
      \n
      \n

      Leitfaden: HR Analytics<\/h4>\n \n

      Nutzen Sie Ihre HR-Daten sinnvoll und treffen Sie fundiertere Entscheidungen und Ma\u00dfnahmen!\r\n\r\nWie das geht? Lesen Sie unseren Leitfaden.<\/p>\n \n \n Kostenlos herunterladen <\/a>\n <\/div>\n\n

      \n \n <\/div>\n <\/div>\n<\/div>\n

      Was ist eine Datenschutzfolgeabsch\u00e4tzung?<\/h2>\n

      Eine Datenschutzfolgeabsch\u00e4tzung <\/strong>(DSF; manchmal auch Datenschutz-Folgenabsch\u00e4tzung oder Datenschutzfolgenabsch\u00e4tzung) ist ein Prozess, den Unternehmen durchf\u00fchren m\u00fcssen, wenn die Verarbeitung personenbezogener Daten ein hohes oder sehr hohes Risiko f\u00fcr die Rechte und Freiheiten <\/strong>der betroffenen Personen mit sich bringt.<\/p>\n

      Vor der Einf\u00fchrung einer Anwendung, die personenbezogene Daten verarbeitet, sind die Verantwortlichen daher verpflichtet, eine Datenschutzfolgeabsch\u00e4tzung durchzuf\u00fchren. In diesem Verfahren werden die m\u00f6glichen Risiken bewertet und geeignete Ma\u00dfnahmen zur Minimierung erarbeitet. Ziel ist es, die Risiken zu erkennen, zu bewerten und so weit wie m\u00f6glich zu reduzieren.<\/strong><\/p>\n

      Wird im Rahmen der DSFA deutlich, dass die Risiken weder durch technische noch durch organisatorische Ma\u00dfnahmen ausreichend gesenkt werden k\u00f6nnen, muss vor der Einf\u00fchrung eine Genehmigung der zust\u00e4ndigen Datenschutzaufsichtsbeh\u00f6rde eingeholt werden.<\/p>\n

      Das Verfahren der Datenschutzfolgeabsch\u00e4tzung ist in Art. 35 DSGVO<\/a> geregelt. Die Datenschutz-Grundverordnung (DSGVO)<\/a> ist eine EU-Verordnung, die seit Mai 2018 den Schutz personenbezogener Daten und die Rechte von Betroffenen europaweit einheitlich regelt.<\/p>\n

      Ausf\u00fchrliche Informationen hierzu finden Sie auch in unserem Blogartikel zum Thema DSGVO & personenbezogene Daten<\/a>.<\/p>\n

      Wann muss man eine Datenschutzfolgeabsch\u00e4tzung machen?<\/h2>\n

      Eine DSFA ist immer dann erforderlich, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen zur Folge hat.<\/p>\n

      Laut Art. 35 der Datenschutz-Grundverordnung<\/strong> ist dies insbesondere in folgenden F\u00e4llen gegeben:<\/p>\n

        \n
      • bei einer systematischen umfangreichen \u00dcberwachung \u00f6ffentlich zug\u00e4nglicher Bereiche<\/strong><\/li>\n
      • bei der Verarbeitung besonders sensibler Daten<\/strong>, wie Gesundheitsdaten, biometrische Daten oder Daten zu strafrechtlichen Verurteilungen<\/li>\n
      • bei einem umfangreichen Profiling<\/strong>, zum Beispiel durch Scoring-Verfahren<\/li>\n<\/ul>\n

        Welche Beispiele gibt es f\u00fcr Datenschutzfolgeabsch\u00e4tzungen?<\/h3>\n

        Die oben genannten F\u00e4lle sind eher allgemein gehalten. Die einzelnen Datenschutzbeh\u00f6rden haben jedoch die Aufgabe, diese Vorgaben weiter zu konkretisieren, was in Deutschland L\u00e4ndersache<\/strong> ist. Diese Konkretisierung erfolgt gem\u00e4\u00df Art. 35 Abs. 4 DSGVO<\/a> durch die jeweiligen Aufsichtsbeh\u00f6rden.<\/p>\n

        Beispiele f\u00fcr konkrete F\u00e4lle in Baden-W\u00fcrttemberg<\/a> sind etwa:<\/p>\n

          \n
        • Verarbeitung von Fahrzeugdaten<\/strong> bei Car-Sharing- oder Mobilit\u00e4tsanbietern<\/li>\n
        • Einsatz von RFID- oder NFC-Technologien<\/strong> durch Apps oder Karten<\/li>\n<\/ul>\n

          In diesen F\u00e4llen muss zwingend eine DSFA<\/strong> durchgef\u00fchrt werden.<\/p>\n

          Eine \u00dcbersicht aller Listen von Verarbeitungsvorg\u00e4ngen der einzelnen Bundesl\u00e4nder finden Sie auch auf der Website von Keyed<\/a>.<\/p>\n