Mit der so genannten „Datenschutz-Folgenabschätzung“ (nachfolgend „DSFA“ genannt) bekommen die Verantwortlichen für die Datenverarbeitung ein Werkzeug an die Hand, um die Verarbeitung personenbezogener Daten mit hohem Risiko zu prüfen, Schutzmaßnahmen zu evaluieren und zu entscheiden, ob die Risiken der Verarbeitung soweit reduziert werden können, dass die Rechte und Freiheiten der Betroffenen ausreichend geschützt sind.
Sobald eine (einfach durchzuführende) Schwellwertanalyse bestätigt, dass entweder besonders sensible Daten verarbeitet werden oder eine Datenverarbeitung in großem Umfang vorliegt, ist eine DSFA durchzuführen. In dieser muss jeder Prozess geprüft werden, bei dem personenbezogene Daten verarbeitet werden, es müssen die Zwecke der Verarbeitung, sowie Schutzmängel benannt und Handlungsmöglichkeiten aufgezeigt werden (technische und organisatorische Maßnahmen).
Eine DSFA ist vom Datenverarbeiter durchzuführen und Datenschutzbeauftragte können in beratender Funktion hinzugezogen werden. Der/die Datenschutzbeauftragte handelt dabei im Interesse der Betroffenen, nicht im Interesse der Datenverarbeiter.
Die Ergebnisse müssen in einem abschließenden Bericht festgehalten werden. Sofern sich das Ergebnis auf ein erhöhtes Restrisiko, trotz vorgeschlagener Schutzmöglichkeiten, beläuft, muss die Datenverarbeitung zum Schutz der Betroffenen ausgesetzt werden. Es besteht darüber hinaus die Möglichkeit, den Landesbeauftragten für den Datenschutz und die Informationsfreiheit beratend hinzuziehen, um Möglichkeiten zu finden, die Risiken der Verarbeitung weiter zu reduzieren.
Bei den meisten Lösungen, die an Schulen eingesetzt werden, kann davon ausgegangen werden, dass die Anfertigung einer DSFA erforderlich ist, da in den meisten Fällen besonders schützenswerte Daten einer dazu besonders schützenswerten Personengruppe erhoben werden, dazu noch in einem großen Umfang.
Wurde bereits eine allgemeine DSFA für den Einsatz einer Lösung erstellt, muss der Verantwortliche den Einsatz zusätzlich für die besonderen Bedingungen an seiner Schule überprüfen lassen, um sicherzustellen, dass durch den Einsatz keine neuen Risiken entstehen. Die Ergebnisse einer DSFA sind somit nur bedingt übertragbar und müssen in jedem Fall komplett überprüft werden.
Häufig hört man den Satz „Software XY wird doch in allen deutschen Unternehmen eingesetzt, warum soll das dann nicht auch an Schulen möglich sein? Weil es um die Daten einer besonders schützenswerten Gruppe geht (Kinder und Jugendliche) und besonders sensible Daten anfallen.