Geschrieben am 27.11.2025 von:
Julia Hohage
Legal Consultant | Diplom-Wirtschaftsjuristin (FH)
zum Profil
Kontaktiere mich:
+49 (0) 6232 – 100119 44
E-Mail senden
In der letzten Folge unserer Beitragsreihe haben wir uns mit dem Verzeichnis von Verarbeitungstätigkeiten (VVT) beschäftigt. Das VVT schafft Transparenz über die Prozesse, bei denen personenbezogene Daten verarbeitet werden. Genau an dieser Stelle knüpfen wir heute an: Besteht dabei voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen, ist nach Art. 35 DS-GVO eine Datenschutz-Folgenabschätzung erforderlich – zum Beispiel, wenn sensible Daten in großem Umfang verarbeitet werden oder künstliche Intelligenz eingesetzt wird. Doch handelt es sich bei der DS-FA um reine Bürokratie, wie der sperrige Begriff vermuten lässt – oder um wirksames Risikomanagement?
Erstellung von Datenschutz-Folgenabschätzungen mit System
Ob die Datenschutz-Folgenabschätzung ein „Bürokratie-Monster“ oder ein hilfreiches Risikomanagement-Instrument ist, hängt entscheidend von der Durchführung und Gestaltung ab. Zunächst ist ausgehend vom Verzeichnis von Verarbeitungstätigkeiten zu prüfen, ob eine Datenschutz-Folgenabschätzung nach Maßgabe des Art. 35 DS-GVO erforderlich ist.
Im MORGENSTERN Datenschutzmanagement-System ist eine solche „Schwellwertanalyse“ in die Erfassung der Verarbeitungstätigkeiten direkt integriert. Muss eine Datenschutz-Folgenabschätzung erstellt werden, nutzt die Software die bereits hinterlegten Daten und erleichtert die Arbeit dadurch erheblich. Die im System angelegte Struktur orientiert sich an den gesetzlichen Vorgaben. Inhaltlich liegt der Schwerpunkt auf der Risikoanalyse, technischen und organisatorischen Maßnahmen zur Risikominimierung und der abschließenden Risikobewertung unter Berücksichtigung dieser Maßnahmen.
Ein gewisser Aufwand ist daher auch bei der Erstellung einer Datenschutz-Folgenabschätzung „mit System“ unvermeidlich, kann mit Hilfe der Software aber deutlich reduziert werden.
Nur Pflicht – oder auch Chance?
Doch die Datenschutz-Folgenabschätzung ist mehr als reine Pflichterfüllung, sie ist auch eine Chance: Durch die frühzeitige Auseinandersetzung mit den Risiken treten diese gar nicht erst ein – weil angemessene technische und organisatorische Maßnahmen (Haftungs-)Risiken vorbeugen. Gleichzeitig erhält der Verantwortliche eine umfassende Dokumentation zur Erfüllung seiner Rechenschaftspflicht.
Richtig durchgeführt, legt die DS-FA ein solides Fundament für verantwortungsbewusste, rechtskonforme und sichere Digitalisierung – gerade beim Einsatz komplexer Systeme wie Microsoft 365 und moderner Technologien wie künstlicher Intelligenz.
Im letzten Beitrag unserer Reihe widmen wir uns der Frage, was passiert, wenn trotz aller Vorsorge doch etwas schiefgeht: dem Umgang mit Datenschutzverletzungen.
Du brauchst eine Datenschutz-Folgenabschätzung oder möchtest dir mal anschauen, wie wir mit dem MORGENSTERN Datenschutzmanagement-System eine DS-FA erstellen? Dann schreib eine E-Mail an contact@morgenstern-privacy.com, wir melden uns bei dir!