DSFA-Trigger
Wann ist eine DSFA Pflicht?
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
DSFA-Pflicht greift bei wahrscheinlich hohem Risiko für Rechte + Freiheiten. Konkretisierung in Art. 35 Abs. 3 + AB-Black/White-Listen + Art. 29 EDSA-Leitlinien.
Was ist DSFA-Trigger?
Pflicht-Triggers (Art. 35 Abs. 3):
- Systematische Bewertung mit rechtlicher Wirkung
- Sondersensible Daten in großem Umfang
- Systematische Überwachung öffentlicher Bereiche
BfDI Black-Liste 2024 (Auszug): Mitarbeiter-Tracking, KI-Recruiting, Fitness-Tracker, Smart-Cities.
Praxisbeispiel
HR-Tool mit KI-Bewertung: alle 3 Trigger erfüllt → DSFA Pflicht. Aufwand 8-15 PT, dokumentiert nach Art. 35 Abs. 7.
Häufig gestellte Fragen
Wer macht DSFA?
Verantwortlicher mit Beratung DSB. Externe Beratung empfohlen bei Komplexität.
Wer prüft?
Verantwortlicher selbst. Aufsicht prüft auf Anfrage.