DSFA-Leitfaden – nach Ländern

Diese Dokumentationsseite bietet offizielle Ressourcen und Referenzen der Datenschutzbehörden (Aufsichtsbehörden), die es ermöglichen festzustellen, ob eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist. Die Liste ist nach Ländern geordnet.

Europa

Frankreich

Aufsichtsbehörde: Commission Nationale de l'Informatique et des Libertés (CNIL)

• Liste der Verarbeitungen, die eine DSFA erfordern

• Liste der ausgenommenen Verarbeitungen (PDF)

• DSFA-Rahmen und -Leitfaden – CNIL

Vereinigtes Königreich (UK)

Aufsichtsbehörde: Information Commissioner's Office (ICO) Wichtigste Ressourcen:

• Wann ist eine DSFA erforderlich? DSFA-Leitfaden – ICO Beschreibt die Kriterien für Verarbeitungen mit hohem Risiko, mit Beispielen (z. B.: Profiling, Tracking, großangelegte Verarbeitung sensibler Daten).

• Beispiele für Verarbeitungen mit wahrscheinlich hohem Risiko: Beispiele für Verarbeitungen mit hohem Risiko – ICO

Irland

Aufsichtsbehörde: Data Protection Commission (DPC) Wichtigste Ressourcen:

• Liste der Verarbeitungsvorgänge, die eine DSFA erfordern: DSFA-Blacklist – DPC (PDF) Umfasst Verarbeitungen mit systematischer Überwachung, sensiblen Daten oder großangelegtem Profiling.

• Allgemeiner DSFA-Leitfaden: DSFA-Leitfaden – DPC

Deutschland

Aufsichtsbehörde: Jedes Bundesland verfügt über seine eigene Datenschutzbehörde (z. B.: BfDI auf Bundesebene)

• DSFA-Kriterien auf Bundesebene – BfDI

  • Liste der Verarbeitungen gemäß Artikel 35(4) DSGVO für Bundesbehörden

  • Liste der Verarbeitungen, die eine DSFA erfordern (DSK)

• Nach Bundesland

  • Liste der Verarbeitungstätigkeiten, die eine DSFA erfordern (Datenschutzbehörde Baden-Württemberg) (auf Deutsch)

    Datenschutz-Folgenabschätzung – Bayerische Blacklist (auf Deutsch)

🛑 Die DSFA-Kriterien können aufgrund des deutschen Föderalismus je nach Bundesland leicht variieren.

Spanien

Aufsichtsbehörde: Agencia Española de Protección de Datos (AEPD)

• DSFA-Leitfaden – AEPD (auf Spanisch)

• Liste der Verarbeitungsarten, die eine DSFA erfordern (PDF)

• Liste der Verarbeitungen, die keine DSFA erfordern – AEPD

• DSFA-Berichtsvorlage – AEPD

Niederlande

Aufsichtsbehörde: Autoriteit Persoonsgegevens (AP)

• DSFA-Leitfaden – AP

• Liste der Verarbeitungsarten, die eine DSFA erfordern (auf Niederländisch)

Belgien

Aufsichtsbehörde: Autorité de protection des données (APD)

• DSFA-Leitfaden – APD (auf Französisch)

• Liste der Verarbeitungskategorien, die eine DSFA erfordern (PDF – FR)

• DSFA-Leitfaden – APD (auf Niederländisch)

• Liste der Verarbeitungen, die eine DSFA erfordern (PDF – NL)

• Liste der GEB/DPIA VTC-Kriterien (auf Niederländisch)

Italien

Aufsichtsbehörde: Garante per la Protezione dei Dati Personali (GPDP)

• DSFA-Seite – GPDP

• Liste der Verarbeitungen, die eine DSFA erfordern

Schweden

Aufsichtsbehörde: Integritetsskyddsmyndigheten (IMY)

• Wann eine DSFA durchzuführen ist – IMY

• Praktischer Leitfaden – DSFA (PDF – Schwedisch)

• Liste der Verarbeitungsarten, die eine DSFA erfordern (PDF – Schwedisch)

Dänemark

Aufsichtsbehörde: Datatilsynet

• DSFA-Leitfaden – Datatilsynet

• DSFA-Leitfaden (PDF – Dänisch)

• Liste der Verarbeitungen, die eine DSFA erfordern (PDF – Dänisch)

• Liste der Verarbeitungen, die eine Vorabkonsultation erfordern (Abschnitt 26 Strafverfolgungsgesetz)

Finnland

Aufsichtsbehörde: Office of the Data Protection Ombudsman

• DSFA-Leitfaden – Finnland (auf Englisch)

• Liste der Verarbeitungen, die eine DSFA erfordern

Österreich

Aufsichtsbehörde: Datenschutzbehörde (DSB)

• DSFA-Leitfaden – WKO (auf Deutsch)

• Liste der Verarbeitungen, die eine DSFA erfordern – DSB (PDF)

• Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA) - DSB (PDF)

Tschechische Republik

Aufsichtsbehörde: Úřad pro ochranu osobních údajů (UOOU)

• DSFA-Leitfaden - UOOU (auf Tschechisch)

• Allgemeine Methodik zur Datenschutz-Folgenabschätzung (PDF-Dokument) – UOOU (auf Tschechisch)

• Liste der Verarbeitungsvorgänge, die (nicht) der DSFA-Pflicht unterliegen (PDF-Dokument) - UOOU (auf Tschechisch)

Polen

Aufsichtsbehörde: Urząd Ochrony Danych Osobowych (UODO)

• DSFA-Leitfaden – UODO (auf Polnisch)

• Liste der Kategorien von Verarbeitungsvorgängen personenbezogener Daten, die eine Datenschutz-Folgenabschätzung erfordern - UODO (auf Polnisch)

• Video der Konferenz "Risikobewertung und Schutz personenbezogener Daten" - UODO (auf Polnisch)

Portugal

Aufsichtsbehörde: Comissão Nacional de Proteção de Dados (CNPD)

• DSFA-Leitfaden – CNPD (auf Portugiesisch)

• Liste der Verarbeitungsarten, die eine DSFA erfordern (PDF) - CNPD (auf Portugiesisch)

Kroatien

Aufsichtsbehörde: Agencija za zaštitu osobnih podataka (AZOP)

• DSFA-Leitlinien – AZOP (auf Kroatisch)

• Liste der Verarbeitungsvorgänge, die der DSFA-Pflicht unterliegen - AZOP (auf Kroatisch)

Slowakei

Aufsichtsbehörde: Úrad na ochranu osobných údajov Slovenskej republiky (UOOU SR)

• Datenschutz in der Slowakischen Republik - UOOU SR (PDF) (auf Slowakisch)

• DSFA-Leitlinien - UOOU SR (auf Slowakisch)

Ungarn

Aufsichtsbehörde: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)

• DSFA-Leitlinien – NAIH (auf Ungarisch)

  Liste der Verarbeitungsvorgänge, die einer DSFA unterliegen – NAIH (auf Ungarisch)

Rumänien

Aufsichtsbehörde: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)

• Liste der Verarbeitungen, die einer DSFA unterliegen - ANSPDCP (PDF) (auf Rumänisch)

  Beschluss Nr. 174 vom 18. Oktober 2018 über die Liste der Verarbeitungsarten, die der DSFA-Pflicht unterliegen (PDF) (auf Englisch)

Bulgarien

Aufsichtsbehörde: Commission for Personal Data Protection (CPDP)

• Liste der Arten von Verarbeitungsvorgängen personenbezogener Daten, für die eine Datenschutz-Folgenabschätzung erforderlich ist (auf Bulgarisch)

🇱🇹 Litauen

Aufsichtsbehörde: Valstybinė duomenų apsaugos inspekcija (VDAI)

• Liste der Datenverarbeitungsvorgänge, die einer DSFA unterliegen - VDAI (PDF) (auf Litauisch)

🇱🇻 Lettland

Aufsichtsbehörde: Datu valsts inspekcija (DVI)

• Arten von Verarbeitungstätigkeiten, für die eine DSFA durchgeführt werden muss – DVI (auf Lettisch)

Luxemburg

Aufsichtsbehörde: Commission Nationale pour la Protection des Données (CNPD)

• DSFA-Leitfaden – CNPD

• Liste der Verarbeitungen, die eine DSFA erfordern – CNPD (auf Französisch)

• DSFA-Infografik - CNPD

Griechenland

Aufsichtsbehörde: Hellenic Data Protection Authority (HDPA) – Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

• DSFA-Leitlinien – HDPA

• Liste der Verarbeitungen, die eine DSFA erfordern (Blacklist) – HDPA (PDF, Englisch)

Schweiz

Aufsichtsbehörde: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB / PFPDT / FDPIC)

Obwohl die Schweiz nicht Teil der EU ist, stellt sie in ihrem revidierten Bundesgesetz über den Datenschutz (nDSG, 2023) der DSFA ähnliche Anforderungen:

• Merkblatt zur Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 22 und 23 DSG

• Umsetzungsleitfaden zur DSFA

✅ Erforderlich, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte mit sich bringt. Die Struktur ähnelt der von Artikel 35 der DSGVO.