Datenschutz & Compliance

Datenschutz-Folgenabschätzung (DSFA): Wann sie Pflicht ist und wie sie gelingt

9 Min. Lesezeit
Kurze Antwort

Eine DSFA ist Pflicht, wenn eine Datenverarbeitung ein hohes Risiko für Betroffene birgt – etwa bei Profiling, Videoüberwachung oder dem Einsatz neuer Technologien.

Eine DSFA ist kein Papiertiger – sie ist Ihr Frühwarnsystem gegen Datenpannen und Bußgelder.

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Die Datenschutz-Folgenabschätzung (DSFA), im Englischen Data Protection Impact Assessment (DPIA) genannt, ist ein strukturiertes Verfahren, mit dem Unternehmen und Behörden die Risiken einer geplanten Datenverarbeitung systematisch analysieren und bewerten. Rechtsgrundlage ist Art. 35 der DSGVO. Die DSFA ist kein optionales Extra – bei bestimmten Verarbeitungstätigkeiten ist sie zwingend vorgeschrieben, bevor die Verarbeitung beginnt.

Der Kerngedanke ist einfach: Wer neue Datenverarbeitungen einführt, die ein hohes Risiko für Betroffene erzeugen können, muss vorab prüfen, ob dieses Risiko beherrschbar ist. Die DSFA zwingt Verantwortliche, sich ernsthaft mit Fragen der Verhältnismäßigkeit, der Notwendigkeit und der technischen Schutzmaßnahmen auseinanderzusetzen – und das Ergebnis schriftlich festzuhalten.

Wichtig: Die DSFA ist kein einmaliges Dokument. Sie muss aktuell gehalten und bei wesentlichen Änderungen der Verarbeitung überprüft und fortgeschrieben werden. Datenschutz ist ein Prozess, kein Projekt.

Wann ist eine DSFA verpflichtend?

Art. 35 Abs. 3 DSGVO nennt drei Regelbeispiele, bei denen eine DSFA immer erforderlich ist: erstens systematische und umfangreiche Bewertung persönlicher Aspekte natürlicher Personen auf Basis automatisierter Verarbeitung einschließlich Profiling; zweitens umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheit, Religion, politische Meinungen, biometrische Daten etc.); drittens systematische Überwachung öffentlich zugänglicher Bereiche, also klassische Videoüberwachung.

Darüber hinaus veröffentlichen die Datenschutzaufsichtsbehörden sogenannte Muss-Listen (Art. 35 Abs. 4 DSGVO). Die deutschen Aufsichtsbehörden (DSK) haben eine gemeinsame Liste herausgegeben, die Verarbeitungen wie den Einsatz von KI-Systemen zur Persönlichkeitsbewertung, intelligente Videokameras, umfangreiche Tracking-Systeme und den Einsatz von Scoring-Modellen in sensitiven Bereichen aufführt.

Als Faustregel gilt: Immer dann, wenn zwei oder mehr der folgenden Kriterien zutreffen, ist eine DSFA wahrscheinlich erforderlich – Profiling, automatisierte Entscheidungsfindung, sensible Datenkategorien, systematische Überwachung, Verarbeitung im großen Maßstab, Zusammenführung unterschiedlicher Datensätze, innovative Technologie, Übermittlung in Drittländer oder Verarbeitung schutzbedürftiger Personengruppen (Kinder, Mitarbeiter, Patienten).

DSFA Schritt für Schritt durchführen

  1. Schritt 1 – Verarbeitung beschreiben

    Dokumentieren Sie vollständig, welche Daten zu welchem Zweck verarbeitet werden, wer Zugang hat, wohin Daten fließen und wie lange sie gespeichert werden. Je präziser die Beschreibung, desto aussagekräftiger die spätere Risikobewertung.

  2. Schritt 2 – Notwendigkeit und Verhältnismäßigkeit prüfen

    Fragen Sie: Ist die Verarbeitung für den Zweck notwendig? Gibt es weniger eingriffsintensive Alternativen? Werden nur die Daten erhoben, die tatsächlich gebraucht werden? Hier fließen Grundsätze wie Datensparsamkeit und Zweckbindung direkt ein.

  3. Schritt 3 – Risiken für Betroffene identifizieren

    Analysieren Sie, welche Risiken durch unbefugten Zugriff, Datenverlust, Missbrauch oder Fehlfunktionen entstehen können. Bewerten Sie Eintrittswahrscheinlichkeit und Schadenspotenzial – idealerweise nach einer strukturierten Risikomatrix.

  4. Schritt 4 – Maßnahmen festlegen

    Definieren Sie technische und organisatorische Maßnahmen (TOM), die die identifizierten Risiken auf ein akzeptables Niveau senken. Konkret und umsetzbar – nicht als Wunschliste, sondern als Handlungsplan mit Verantwortlichen und Fristen.

  5. Schritt 5 – Restrisiko bewerten und dokumentieren

    Nach Anwendung der Maßnahmen verbleibt in der Regel ein Restrisiko. Dokumentieren Sie dieses ehrlich. Ist das Restrisiko noch hoch, muss die zuständige Datenschutzaufsichtsbehörde vorab konsultiert werden (Art. 36 DSGVO).

  6. Schritt 6 – DSFA dokumentieren und genehmigen lassen

    Die fertige DSFA wird vom Verantwortlichen gezeichnet, dem Datenschutzbeauftragten (sofern vorhanden) vorgelegt und als Teil der Datenschutzdokumentation dauerhaft aufbewahrt. Einmal jährlich oder bei wesentlichen Änderungen ist eine Überprüfung Pflicht.

Typische Fehler bei der DSFA

Die DSFA wird häufig als reine Pflichtübung behandelt – schnell ausgefüllt, abgeheftet, vergessen. Das ist gefährlich: Aufsichtsbehörden prüfen bei Datenpannen, ob eine DSFA vorhanden war und ob die darin beschriebenen Maßnahmen tatsächlich umgesetzt wurden. Eine DSFA ohne Umsetzung ist schlimmer als keine – sie belegt, dass Risiken bekannt waren und trotzdem nichts getan wurde.

Verhältnis von DSFA zu TOM und Verarbeitungsverzeichnis (VVT)

Die DSFA steht nicht isoliert. Sie baut auf dem Verarbeitungsverzeichnis (VVT) auf, das nach Art. 30 DSGVO ohnehin geführt werden muss. Das VVT liefert die Basisdaten für Schritt 1 der DSFA – Verarbeitungsbeschreibung, Zweck, Empfänger, Löschfristen. Eine gut gepflegte VVT-Eintragung ist also gleichzeitig ein wichtiger Baustein der DSFA.

Die technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO sind das Ergebnis der DSFA. Was die DSFA als notwendige Schutzmaßnahme identifiziert, muss in den TOM verbindlich festgelegt und dokumentiert werden. DSFA und TOM sind damit keine konkurrierenden Dokumente, sondern ergänzen sich systematisch: Die DSFA analysiert das Risiko, die TOM beschreiben die Gegenmaßnahmen.

Für Unternehmen mit einem Datenschutzbeauftragten (DSB) gilt: Der DSB ist nach Art. 35 Abs. 2 DSGVO bei der Durchführung der DSFA zu konsultieren. Seine Bewertung sollte schriftlich dokumentiert werden – auch dann, wenn er der DSFA zustimmt.

Wann muss die Aufsichtsbehörde vorab konsultiert werden?

  • Restrisiko bleibt nach Maßnahmen hoch: Art. 36 DSGVO greift
  • Verarbeitung ist ohne Risikominderung nicht beherrschbar
  • Konsultation muss VOR Beginn der Verarbeitung erfolgen
  • Aufsichtsbehörde hat 8 Wochen Antwortfrist (verlängerbar auf 14 Wochen)
  • Behörde kann Verarbeitung untersagen oder Empfehlungen geben
  • Auch bei unklarer Rechtslage kann freiwillige Konsultation sinnvoll sein

INREMA-Tipp: DSFA als Qualitätssicherung

Nutzen Sie die DSFA nicht nur als Compliance-Pflicht, sondern als Qualitätssicherungsinstrument für neue Produkte und Prozesse. Unternehmen, die früh fragen 'Welche Risiken entstehen für unsere Kunden?', entwickeln bessere Produkte und vermeiden teure Nachbesserungen. Eine DSFA zu Beginn eines Projekts spart im Schnitt mehr Zeit und Geld als eine nachträgliche Korrektur nach einer Datenpanne.

Zusammenfassung

Zusammenfassung
  • DSFA ist Pflicht bei Profiling, Videoüberwachung, sensiblen Daten und neuen Technologien mit hohem Risiko
  • Strukturierte Durchführung in 6 Schritten von Beschreibung bis Restrisiko-Bewertung
  • Bei nicht beherrschbarem Restrisiko muss die Aufsichtsbehörde vorab konsultiert werden
  • DSFA, VVT und TOM bilden ein aufeinander aufbauendes Datenschutz-Dokumentationssystem

Jetzt beraten lassen

INREMA begleitet KMU bei der DSFA-Erstellung – strukturiert, pragmatisch und aufsichtsbehördenkonform. Vereinbaren Sie ein kostenloses Erstgespräch.

Beratung anfragen

Häufige Fragen

Muss jedes Unternehmen eine DSFA durchführen?
Nein – nur dann, wenn eine konkrete Verarbeitung ein hohes Risiko für Betroffene birgt. Die DSGVO benennt Regelbeispiele (Profiling, Videoüberwachung, sensible Daten), und die Aufsichtsbehörden veröffentlichen Muss-Listen. Kleine Unternehmen mit überschaubaren Verarbeitungen werden seltener betroffen sein als große Datenverarbeiter.
Wie lange dauert eine ordentliche DSFA?
Je nach Komplexität der Verarbeitung zwischen einem halben Tag (einfache Prozesse mit guter Dokumentationsbasis) und mehreren Wochen (komplexe KI-Systeme, neue Technologien). Wer ein VVT führt und TOM dokumentiert hat, kann eine DSFA deutlich schneller durchführen.
Was passiert, wenn ich eine erforderliche DSFA unterlasse?
Das kann teuer werden: Bußgelder bis 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes sind möglich (Art. 83 Abs. 4 DSGVO). Außerdem kann die Aufsichtsbehörde die Verarbeitung vorläufig untersagen.
Muss die DSFA veröffentlicht werden?
Nein, eine Veröffentlichungspflicht besteht nicht. Die DSFA ist ein internes Dokument, das aber der Aufsichtsbehörde auf Verlangen vorgelegt werden muss. Es empfiehlt sich, sie sicher zu archivieren und regelmäßig zu aktualisieren.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
Datenschutz-Folgenabschätzung: Wann sie Pflicht ist und wie man vorgeht
7 Min. Lesezeit
Datenschutz & Compliance
Datenschutzbeauftragter: intern oder extern bestellen – was passt für Ihr Unternehmen?
8 Min. Lesezeit
Digitalisierung & KI
KI und Datenschutz: Was Mitarbeiter wissen müssen bevor sie Kundendaten eingeben
6 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen