Die DSGVO nennt typische Fälle – eine DSFA ist u. a. nötig bei:

1. Systematischer und umfangreicher Überwachung

• z. B. Videoüberwachung öffentlich zugänglicher Bereiche
• Tracking-Verfahren, Standortverfolgung, Verhaltensanalysen

2. Verarbeitung besonderer Kategorien personenbezogener Daten

• z. B. Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen
• insbesondere bei großem Umfang oder Automatisierung (z. B. KI-Systeme)

3. Automatisierter Entscheidungsfindung mit Rechtswirkung

• z. B. Bonitätsprüfungen, Profiling im Recruiting oder bei Versicherungen
• Die DSGVO nennt typische Fälle – eine DSFA ist u. a. nötig bei:

4. Systematischer und umfangreicher Überwachung

• z. B. Videoüberwachung öffentlich zugänglicher Bereiche
• Tracking-Verfahren, Standortverfolgung, Verhaltensanalysen

5. Verarbeitung besonderer Kategorien personenbezogener Daten

• z. B. Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen
• insbesondere bei großem Umfang oder Automatisierung (z. B. KI-Systeme)

6. Automatisierter Entscheidungsfindung mit Rechtswirkung

• z. B. Bonitätsprüfungen, Profiling im Recruiting oder bei Versicherungen

Weitere Kriterien laut Aufsichtsbehörden (nicht abschließend)

• Innovative Technologien (z. B. KI, Gesichtserkennung, IoT)
• Scoring oder Bewertung von Personen
• Verarbeitung von Daten schutzbedürftiger Gruppen (z. B. Kinder, Patienten)
• Zusammenführung oder Verknüpfung von Datensätzen
• Eingriffe in Persönlichkeits- oder Freiheitsrechte