Datenschutz-Folgenabschätzung (DSFA): Wann ist sie Pflicht und wie wird sie durchgeführt?

{ „@context“: „https://schema.org“, „@graph“: [ {„@type“:“Article“,“@id“:“https://datenschutzeinfach.com/datenschutz-folgenabschaetzung/#article“,“headline“:“Datenschutz-Folgenabsch\u00e4tzung (DSFA): Wann ist sie Pflicht und wie wird sie durchgef\u00fchrt?“,“description“:“Alles \u00fcber die Datenschutz-Folgenabsch\u00e4tzung nach Art. 35 DSGVO: Wann ist sie Pflicht, wie l\u00e4uft sie ab, Vorlage und h\u00e4ufige Fehler.“,“author“:{„@type“:“Organization“,“name“:“datenschutzeinfach.com“},“publisher“:{„@type“:“Organization“,“name“:“datenschutzeinfach.com“,“url“:“https://datenschutzeinfach.com“},“datePublished“:“2025-01-15″,“dateModified“:“2025-04-01″,“mainEntityOfPage“:“https://datenschutzeinfach.com/datenschutz-folgenabschaetzung/“}, {„@type“:“FAQPage“,“@id“:“https://datenschutzeinfach.com/datenschutz-folgenabschaetzung/#faq“,“mainEntity“:[{„@type“:“Question“,“name“:“Wann ist eine Datenschutz-Folgenabsch\u00e4tzung Pflicht?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Eine DSFA ist nach Art. 35 Abs. 1 DSGVO immer dann Pflicht, wenn eine Verarbeitungst\u00e4tigkeit voraussichtlich ein hohes Risiko f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen mit sich bringt. Typische F\u00e4lle sind: systematische Profilbildung, Verarbeitung besonderer Datenkategorien im gro\u00dfen Umfang, systematische \u00dcberwachung \u00f6ffentlich zug\u00e4nglicher Bereiche sowie Verarbeitungsarten auf der Muss-Liste der DSK.“}},{„@type“:“Question“,“name“:“Wer darf eine DSFA durchf\u00fchren?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“F\u00fcr die DSFA ist der Verantwortliche zust\u00e4ndig. Ist ein Datenschutzbeauftragter bestellt, muss dieser gem\u00e4\u00df Art. 35 Abs. 2 DSGVO bei der Durchf\u00fchrung beratend hinzugezogen werden.“}},{„@type“:“Question“,“name“:“Was passiert, wenn keine DSFA durchgef\u00fchrt wird?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Das Unterlassen einer erforderlichen DSFA kann gem\u00e4\u00df Art. 83 Abs. 4 DSGVO mit Bu\u00dfgeldern bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes bestraft werden. Zus\u00e4tzlich kann die Aufsichtsbeh\u00f6rde die Verarbeitungst\u00e4tigkeit untersagen.“}},{„@type“:“Question“,“name“:“Muss die DSFA der Aufsichtsbeh\u00f6rde vorgelegt werden?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“In der Regel nicht. Ergibt die DSFA jedoch ein hohes Restrisiko, das nicht ausreichend gemindert werden kann, besteht nach Art. 36 DSGVO eine Pflicht zur vorherigen Konsultation der Aufsichtsbeh\u00f6rde.“}}]}, {„@type“:“BreadcrumbList“,“itemListElement“:[{„@type“:“ListItem“,“position“:1,“name“:“Home“,“item“:“https://datenschutzeinfach.com/“},{„@type“:“ListItem“,“position“:2,“name“:“DSGVO-Wissen“,“item“:“https://datenschutzeinfach.com/dsgvo-wissen/“},{„@type“:“ListItem“,“position“:3,“name“:“Datenschutz-Folgenabsch\u00e4tzung“,“item“:“https://datenschutzeinfach.com/datenschutz-folgenabschaetzung/“}]} ] }

Auf einen Blick: Die Datenschutz-Folgenabsch\u00e4tzung (DSFA, englisch: DPIA) ist eine strukturierte Risikoanalyse f\u00fcr besonders sensible Datenverarbeitungen. Sie ist nach Art. 35 DSGVO Pflicht, wenn eine Verarbeitung voraussichtlich ein hohes Risiko f\u00fcr Betroffene mit sich bringt. Dieser Leitfaden erkl\u00e4rt, wann eine DSFA notwendig ist, wie sie Schritt f\u00fcr Schritt durchgef\u00fchrt wird und was dabei zu beachten ist.

Was ist eine Datenschutz-Folgenabsch\u00e4tzung?

Die Datenschutz-Folgenabsch\u00e4tzung ist ein systematisches Verfahren zur Identifizierung, Bewertung und Minimierung von Datenschutzrisiken. Sie wird durchgef\u00fchrt, bevor eine neue Verarbeitungst\u00e4tigkeit aufgenommen wird, die m\u00f6glicherweise mit hohen Risiken f\u00fcr die Rechte und Freiheiten der betroffenen Personen verbunden ist.

Vereinfacht gesagt: Bei der DSFA analysiert ein Unternehmen, was bei einer geplanten Datenverarbeitung schiefgehen kann, wie wahrscheinlich und wie schwerwiegend diese Risiken sind \u2013 und welche Ma\u00dfnahmen ergriffen werden k\u00f6nnen, um sie zu minimieren. Sie ist das datenschutzrechtliche \u00c4quivalent einer Umweltvertr\u00e4glichkeitspr\u00fcfung in anderen Rechtsbereichen.

Die DSFA ist kein b\u00fcrokratischer Selbstzweck. Sie hilft Organisationen, riskante Verarbeitungen zu erkennen, bevor sie Schaden anrichten, und dokumentiert gleichzeitig gegen\u00fcber Aufsichtsbeh\u00f6rden, dass der Datenschutz ernst genommen wird. Sie ist Ausdruck des in der DSGVO verankerten Prinzips \u201ePrivacy by Design\u201c.

Rechtsgrundlage: Art. 35 DSGVO

Die Datenschutz-Folgenabsch\u00e4tzung ist in Art. 35 DSGVO geregelt:

  • Art. 35 Abs. 1 DSGVO: Pflicht zur DSFA bei voraussichtlich hohem Risiko
  • Art. 35 Abs. 2 DSGVO: Der Datenschutzbeauftragte muss beratend hinzugezogen werden
  • Art. 35 Abs. 3 DSGVO: Drei explizit genannte Fallgruppen, bei denen eine DSFA stets erforderlich ist
  • Art. 35 Abs. 4 DSGVO: Aufsichtsbeh\u00f6rden k\u00f6nnen eigene \u201eMuss-Listen\u201c erstellen
  • Art. 35 Abs. 9 DSGVO: Einbeziehung der betroffenen Personen, sofern m\u00f6glich
  • Art. 36 DSGVO: Vorherige Konsultation der Aufsichtsbeh\u00f6rde bei nicht behebbarem hohen Restrisiko

Wann ist eine Datenschutz-Folgenabsch\u00e4tzung Pflicht?

Art. 35 Abs. 3 DSGVO nennt drei Fallgruppen, bei denen eine DSFA stets erforderlich ist:

Fallgruppe 1: Systematische und umfassende Bewertung pers\u00f6nlicher Aspekte

Dazu z\u00e4hlen insbesondere Profiling-Verfahren, auf deren Grundlage Entscheidungen getroffen werden, die rechtliche oder \u00e4hnlich bedeutende Auswirkungen auf Personen haben. Beispiele: automatisierte Kreditw\u00fcrdigkeitspr\u00fcfungen, KI-gest\u00fctzte Bewerberauswahl, Scoring-Systeme zur Preisdifferenzierung, verhaltensbasierte Werbung mit umfangreicher Profilbildung.

Fallgruppe 2: Umfangreiche Verarbeitung besonderer Datenkategorien

Bei der Verarbeitung von besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO in gro\u00dfem Umfang ist stets eine DSFA erforderlich. Darunter fallen: Gesundheitsdaten (z.\u00a0B. elektronische Patientenakten), biometrische Daten zur Identifizierung (Fingerabdruck, Gesichtserkennung), genetische Daten, Daten \u00fcber religi\u00f6se oder politische \u00dcberzeugungen sowie Daten \u00fcber das Sexualleben oder die sexuelle Orientierung.

Fallgruppe 3: Systematische \u00dcberwachung \u00f6ffentlich zug\u00e4nglicher Bereiche in gro\u00dfem Umfang

Video\u00fcberwachungssysteme, die \u00f6ffentliche Bereiche in gro\u00dfem Umfang \u00fcberwachen (z.\u00a0B. in Einkaufszentren, Bahnh\u00f6fen, Stadtteilen), fallen unter diese Fallgruppe. Kleine Laden\u00fcberwachungen sind in der Regel nicht darunter zu fassen, gro\u00dffl\u00e4chige Smart-City-\u00dcberwachungssysteme hingegen schon.

Die Muss-Liste der Datenschutz-Konferenz (DSK)

Zus\u00e4tzlich zu Art. 35 Abs. 3 DSGVO hat die Datenschutzkonferenz (DSK) eine Positivliste ver\u00f6ffentlicht, die weitere Verarbeitungsarten auff\u00fchrt, bei denen eine DSFA zwingend durchzuf\u00fchren ist:

  • Verarbeitung von Besch\u00e4ftigtendaten mit umfassenden Leistungs- und Verhaltenskontrollen
  • Zentrale Speicherung und Auswertung von Telekommunikationsdaten
  • Verarbeitung umfangreicher Standortdaten
  • Einsatz von KI-Systemen f\u00fcr Entscheidungen mit erheblichen Auswirkungen auf Personen
  • Einsatz intelligenter Videoanalyse-Systeme
  • Verarbeitung biometrischer Daten zur Identifizierung oder Authentifizierung
  • Umfangreiche Auswertung von Social-Media-Profilen
  • Verarbeitung von Daten zur Erstellung von Risikoprofilen (z.\u00a0B. Betrugserkennungssysteme)

Schwellenwertanalyse: Ist eine DSFA wirklich notwendig?

Vor jeder neuen Verarbeitungst\u00e4tigkeit empfiehlt sich eine kurze Schwellenwertanalyse. Der EDSA nennt neun Kriterien, bei deren Erf\u00fcllung (zwei oder mehr Kriterien) eine DSFA durchzuf\u00fchren ist:

  1. Bewertung oder Scoring von Personen (inkl. Profiling)
  2. Automatisierte Entscheidungsfindung mit erheblichen Auswirkungen
  3. Systematische \u00dcberwachung
  4. Verarbeitung vertraulicher oder h\u00f6chstpers\u00f6nlicher Daten
  5. Verarbeitung von Daten in gro\u00dfem Umfang
  6. Abgleich oder Zusammenf\u00fchrung von Datens\u00e4tzen aus verschiedenen Quellen
  7. Verarbeitung von Daten \u00fcber schutzbed\u00fcrftige Personen (Kinder, Patienten etc.)
  8. Innovative Nutzung neuer technologischer oder organisatorischer L\u00f6sungen
  9. Verarbeitung, die Betroffene an der Aus\u00fcbung ihrer Rechte hindert

Dokumentieren Sie die Schwellenwertanalyse schriftlich. Wenn das Ergebnis ist, dass keine DSFA notwendig ist, halten Sie fest, warum \u2013 das sch\u00fctzt Sie bei sp\u00e4teren Pr\u00fcfungen.

Schritt-f\u00fcr-Schritt: DSFA durchf\u00fchren

Schritt 1: Beschreibung der Verarbeitungst\u00e4tigkeit

Beschreiben Sie die geplante Verarbeitungst\u00e4tigkeit vollst\u00e4ndig: Welche Daten werden verarbeitet? Von wem? Zu welchem Zweck? Mit welchen Mitteln und Technologien? Wer sind die Beteiligten? Wo werden die Daten gespeichert? Wie lange? Diese Beschreibung bildet die Grundlage f\u00fcr alle nachfolgenden Schritte.

Schritt 2: Notwendigkeit und Verh\u00e4ltnism\u00e4\u00dfigkeit pr\u00fcfen

Ist die Verarbeitung f\u00fcr den angestrebten Zweck notwendig? K\u00f6nnte der Zweck auch mit weniger sensiblen Daten oder weniger intensiver Verarbeitung erreicht werden? Sind Rechtsgrundlagen, Zweckbindung, Datenminimierung und Speicherbegrenzung gew\u00e4hrleistet? Dieser Schritt entspricht dem Grundsatz der Verh\u00e4ltnism\u00e4\u00dfigkeit.

Schritt 3: Risiken f\u00fcr die Rechte und Freiheiten der betroffenen Personen identifizieren

Welche Risiken bestehen f\u00fcr die Betroffenen? M\u00f6gliche Risiken sind: unbefugter Zugriff auf personenbezogene Daten, Datenverlust oder -zerst\u00f6rung, Zweckentfremdung, Identit\u00e4tsdiebstahl, Diskriminierung, finanzielle Sch\u00e4den, Reputationssch\u00e4den, Verlust der Kontrolle \u00fcber eigene Daten. F\u00fcr jedes identifizierte Risiko werden Eintrittswahrscheinlichkeit und Schadensausma\u00df bewertet (typischerweise auf einer Skala von 1\u20135).

Schritt 4: Ma\u00dfnahmen zur Risikoreduzierung definieren

F\u00fcr jedes identifizierte Risiko werden Gegenma\u00dfnahmen definiert: technische Ma\u00dfnahmen (Verschl\u00fcsselung, Pseudonymisierung, Zugriffskontrollen, Backup-Konzepte) und organisatorische Ma\u00dfnahmen (Schulungen, Datenschutzklauseln in Vertr\u00e4gen, Prozessanpassungen, Berechtigungskonzepte). Nach Umsetzung der Ma\u00dfnahmen wird das verbleibende Restrisiko bewertet.

Schritt 5: Datenschutzbeauftragten einbeziehen

Art. 35 Abs. 2 DSGVO schreibt vor, dass der Datenschutzbeauftragte bei der Durchf\u00fchrung der DSFA beratend hinzuzuziehen ist. Seine Stellungnahme muss dokumentiert werden. Ist kein DSB bestellt, sollte ein erfahrener externer Datenschutzberater einbezogen werden.

Schritt 6: Betroffene konsultieren (sofern m\u00f6glich)

Art. 35 Abs. 9 DSGVO sieht vor, dass die Ansichten der betroffenen Personen eingeholt werden, sofern dies angemessen ist. In der Praxis bedeutet dies etwa: Mitarbeiterbefragungen bei neuen HR-Systemen, Kundenbefragungen bei neuen Profiling-Funktionen oder die Konsultation von Patientenvertretungen bei Gesundheitsdaten-Systemen.

Schritt 7: DSFA dokumentieren und entscheiden

Das Ergebnis der DSFA wird schriftlich dokumentiert. Es gibt drei m\u00f6gliche Ergebnisse: (1) Das Risiko ist akzeptabel \u2013 die Verarbeitung kann aufgenommen werden. (2) Das Risiko ist durch weitere Ma\u00dfnahmen auf ein akzeptables Niveau reduzierbar. (3) Das Risiko ist auch durch Ma\u00dfnahmen nicht ausreichend minimierbar \u2013 vorherige Konsultation der Aufsichtsbeh\u00f6rde gem\u00e4\u00df Art. 36 DSGVO ist erforderlich.

Inhalt einer DSFA: Was muss rein?

Art. 35 Abs. 7 DSGVO definiert den Mindestinhalt einer DSFA:

  • Systematische Beschreibung der geplanten Verarbeitungsvorg\u00e4nge und der Zwecke der Verarbeitung
  • Bewertung der Notwendigkeit und Verh\u00e4ltnism\u00e4\u00dfigkeit der Verarbeitungsvorg\u00e4nge in Bezug auf den Zweck
  • Bewertung der Risiken f\u00fcr die Rechte und Freiheiten der betroffenen Personen
  • Beschreibung der zur Bew\u00e4ltigung der Risiken geplanten Abhilfema\u00dfnahmen

DSFA-Ergebnis: Akzeptables Risiko vs. Konsultationspflicht

Das Ergebnis einer DSFA ist keine Ja/Nein-Entscheidung, sondern eine Risikobewertung. Wenn das Restrisiko akzeptabel ist, kann die Verarbeitungst\u00e4tigkeit aufgenommen werden. Wenn das Restrisiko auch durch Ma\u00dfnahmen nicht ausreichend minimiert werden kann, greift Art. 36 DSGVO: Der Verantwortliche muss die zust\u00e4ndige Datenschutz-Aufsichtsbeh\u00f6rde konsultieren, bevor die Verarbeitungst\u00e4tigkeit aufgenommen wird. Die Aufsichtsbeh\u00f6rde hat dann maximal 8 Wochen Zeit (verl\u00e4ngerbar auf 14 Wochen), um zu beraten. Sie kann Empfehlungen aussprechen, Ma\u00dfnahmen anordnen oder die Verarbeitung untersagen.

DSFA-Vorlage und Tools

Es gibt verschiedene Ans\u00e4tze zur praktischen Durchf\u00fchrung einer DSFA: Vorlagen der Datenschutzbeh\u00f6rden (kostenlos, anpassungsbedürftig), das kostenlose Open-Source-Tool PIA der franz\u00f6sischen CNIL (f\u00fcr Windows, Mac, Linux) sowie spezialisierte Datenschutz-Management-Software mit integrierten DSFA-Modulen. Alle Ans\u00e4tze sind rechtlich zul\u00e4ssig \u2013 entscheidend ist die inhaltliche Qualit\u00e4t der DSFA, nicht das Format.

DSFA und das Verzeichnis der Verarbeitungst\u00e4tigkeiten

DSFA und VVT sind eng miteinander verkn\u00fcpft. Im Verzeichnis der Verarbeitungst\u00e4tigkeiten sollte f\u00fcr jede Verarbeitungst\u00e4tigkeit, f\u00fcr die eine DSFA durchgef\u00fchrt wurde, ein entsprechender Vermerk stehen. Wenn sich eine Verarbeitungst\u00e4tigkeit \u00e4ndert, muss auch gepr\u00fcft werden, ob die zugeh\u00f6rige DSFA aktualisiert werden muss.

H\u00e4ufig gestellte Fragen zur Datenschutz-Folgenabsch\u00e4tzung

Wann ist eine Datenschutz-Folgenabsch\u00e4tzung Pflicht?

Eine DSFA ist nach Art. 35 Abs. 1 DSGVO immer dann Pflicht, wenn eine Verarbeitungst\u00e4tigkeit voraussichtlich ein hohes Risiko f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen mit sich bringt. Typische F\u00e4lle sind systematische Profilbildung, Verarbeitung besonderer Datenkategorien im gro\u00dfen Umfang, systematische \u00dcberwachung \u00f6ffentlicher Bereiche sowie alle Verarbeitungsarten auf der Muss-Liste der DSK.

Wer darf eine DSFA durchf\u00fchren?

Die Verantwortung f\u00fcr die DSFA liegt beim Verantwortlichen. Ist ein Datenschutzbeauftragter bestellt, muss dieser gem\u00e4\u00df Art. 35 Abs. 2 DSGVO beratend hinzugezogen werden. Die DSFA kann intern oder mit externer Unterst\u00fctzung durchgef\u00fchrt werden.

Was passiert, wenn keine DSFA durchgef\u00fchrt wird?

Das Unterlassen einer erforderlichen DSFA kann gem\u00e4\u00df Art. 83 Abs. 4 DSGVO mit Bu\u00dfgeldern bis zu 10 Millionen Euro oder 2\u00a0% des weltweiten Jahresumsatzes bestraft werden. Zus\u00e4tzlich kann die Aufsichtsbeh\u00f6rde die Verarbeitungst\u00e4tigkeit untersagen, bis die DSFA durchgef\u00fchrt und das Risiko angemessen adressiert wurde.

Muss die DSFA der Aufsichtsbeh\u00f6rde vorgelegt werden?

In der Regel nicht. Ergibt die DSFA jedoch ein hohes Restrisiko, das nicht ausreichend gemindert werden kann, besteht nach Art. 36 DSGVO eine Pflicht zur vorherigen Konsultation der Aufsichtsbeh\u00f6rde.

Fazit: DSFA als Chance, nicht als Last

Die Datenschutz-Folgenabsch\u00e4tzung ist bei richtiger Durchf\u00fchrung mehr als eine gesetzliche Pflicht. Sie zwingt Organisationen dazu, neue Verarbeitungsvorhaben kritisch zu hinterfragen, Risiken systematisch zu identifizieren und in die Planung einzubeziehen. Das Ergebnis sind sicherere Systeme, weniger Datenschutzvorvorf\u00e4lle und mehr Vertrauen bei Kunden und Mitarbeitern.

Lesen Sie auch unsere Leitf\u00e4den zu verwandten Themen: Verzeichnis der Verarbeitungst\u00e4tigkeiten (VVT) und L\u00f6schkonzept nach DSGVO.

Von TSMONDO

IT-Security Software & Beratung

NIS2, ISO 27001, DSGVO, BCM — mandanten­fähige SaaS-Tools und professionelle Beratung.

Software ansehen → Beratung anfragen
v1.2.0-20260415-1105

Build-Info

Versionv1.2.0-20260415-1105
Build2026-04-15 11:05:00 Europe/Berlin
Commit6960793