Eine DSFA ist erforderlich, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt. Beispiele sind systematische Überwachungen, großflächige Datenverarbeitungen oder der Umgang mit sensiblen Daten.
Eine DSFA ist notwendig bei Verarbeitungen, die ein hohes Risiko für Betroffene darstellen, wie bei Videoüberwachung, Scoring-Systemen oder der Verarbeitung sensibler Daten wie Gesundheitsinformationen oder biometrischer Daten.
Die DSFA erfolgt in drei Schritten: Analyse der Datenverarbeitung, Bewertung der Risiken für betroffene Personen und Definition geeigneter Schutzmaßnahmen, gefolgt von einer detaillierten Dokumentation.
Es werden Risiken wie Datenverlust, unbefugter Zugriff, Missbrauch oder Verletzung der Vertraulichkeit bewertet, die die Rechte und Freiheiten der betroffenen Personen gefährden könnten.
Die Verantwortung liegt beim Verantwortlichen für die Datenverarbeitung im Unternehmen. Häufig wird die DSFA vom Datenschutzbeauftragten in Zusammenarbeit mit anderen Abteilungen durchgeführt.