Datenschutz-Folgenabschätzung (DSFA)

Die Datenschutz-Folgenabschätzung (DSFA) — international als Data Protection Impact Assessment (DPIA) bekannt — gehört zu den wichtigsten Instrumenten der DSGVO. Wer personenbezogene Daten verarbeitet und dabei ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, muss eine DSFA durchführen. In diesem vollständigen Leitfaden erfahren Sie, wann eine Datenschutzfolgenabschätzung Pflicht ist, wie der Ablauf aussieht und welche Konsequenzen bei Verstößen drohen.

1. Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Die Datenschutz-Folgenabschätzung ist ein systematisches Verfahren zur Bewertung und Minimierung von Datenschutzrisiken. Sie ist in Art. 35 DSGVO geregelt und muss immer dann durchgeführt werden, wenn eine geplante Datenverarbeitung voraussichtlich ein hohes Risiko für die betroffenen Personen mit sich bringt.

Der englische Begriff DPIA (Data Protection Impact Assessment) wird synonym verwendet und ist vor allem im internationalen Kontext gebräuchlich. Die DSFA ist kein einmaliges Dokument, sondern ein lebender Prozess, der bei wesentlichen Änderungen der Verarbeitung aktualisiert werden muss.

Ziele der DSFA

• Risiken frühzeitig erkennen: Datenschutzprobleme werden identifiziert, bevor die Verarbeitung beginnt
• Schutzmaßnahmen definieren: Technische und organisatorische Maßnahmen (TOM) werden gezielt geplant
• Rechenschaftspflicht erfüllen: Die DSFA dokumentiert Ihre Compliance-Bemühungen nach Art. 5 Abs. 2 DSGVO
• Betroffenenrechte schützen: Der Schutz personenbezogener Daten wird systematisch sichergestellt
• Bußgelder vermeiden: Eine fehlende DSFA kann Bußgelder bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes nach sich ziehen

Abgrenzung: DSFA vs. Schwellwertanalyse

Nicht jede Datenverarbeitung erfordert eine vollständige DSFA. Vor der eigentlichen Folgenabschätzung steht die Schwellwertanalyse (auch Screening oder Vorabprüfung). In dieser Vorprüfung wird anhand definierter Kriterien bewertet, ob ein hohes Risiko vorliegt und somit eine DSFA durchzuführen ist. Die Schwellwertanalyse ist deutlich weniger aufwendig, muss aber ebenfalls dokumentiert werden.

2. Wann ist eine DSFA Pflicht?

Art. 35 Abs. 1 DSGVO formuliert die Pflicht bewusst weit: Eine DSFA ist immer dann erforderlich, wenn eine Verarbeitung — insbesondere bei Verwendung neuer Technologien — voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Regelbeispiele nach Art. 35 Abs. 3 DSGVO

Die DSGVO nennt drei konkrete Fallgruppen, in denen eine DSFA stets erforderlich ist:

1. Systematische Bewertung persönlicher Aspekte (Profiling): automatisierte Verarbeitung einschließlich Profiling, die als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber der betroffenen Person entfalten
2. Umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO (Gesundheitsdaten, biometrische Daten, politische Meinungen etc.) oder strafrechtlicher Daten nach Art. 10 DSGVO
3. Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (z. B. Videoüberwachung)

Die Blacklist der Aufsichtsbehörden

Gemäß Art. 35 Abs. 4 DSGVO veröffentlichen die nationalen Aufsichtsbehörden eine Blacklist — eine Liste von Verarbeitungsvorgängen, für die eine DSFA zwingend durchzuführen ist. Die deutsche Datenschutzkonferenz (DSK) hat eine solche Liste verabschiedet. Dazu gehören unter anderem:

• Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen
• Umfangreiche Verarbeitung von Daten über den Aufenthaltsort von Personen (Tracking)
• Zusammenführung von Daten aus verschiedenen Quellen (Data Warehousing, Big Data)
• Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten
• Automatisierte Auswertung von Video- oder Audioüberwachung
• Erstellung umfangreicher Profile über Interessen, Netzwerke oder Persönlichkeit
• Einsatz neuer Technologien wie Gesichtserkennung, Sprachassistenten oder IoT-Systeme

Die Whitelist

Art. 35 Abs. 5 DSGVO erlaubt es den Aufsichtsbehörden auch, eine Whitelist zu veröffentlichen — eine Liste von Verarbeitungen, bei denen keine DSFA erforderlich ist. In Deutschland existiert bisher keine verbindliche Whitelist der DSK, jedoch geben einzelne Landesdatenschutzbehörden Orientierungshilfen.

Die 9 Kriterien der Art.-29-Datenschutzgruppe

Die ehemalige Art.-29-Datenschutzgruppe (jetzt EDSA) hat neun Kriterien definiert, anhand derer das Risiko einer Verarbeitung eingeschätzt werden kann. Treffen zwei oder mehr Kriterien zu, ist in der Regel eine DSFA durchzuführen:

1. Bewertung oder Scoring (einschließlich Profiling)
2. Automatisierte Entscheidungsfindung mit Rechtswirkung
3. Systematische Überwachung
4. Verarbeitung sensibler oder höchst persönlicher Daten
5. Datenverarbeitung in großem Umfang
6. Abgleich oder Zusammenführung von Datensätzen
7. Daten schutzbedürftiger Personen (Kinder, Arbeitnehmer, Patienten)
8. Innovative Nutzung oder Anwendung neuer technologischer Lösungen
9. Verarbeitung, die Betroffene an der Ausübung eines Rechts hindert

Praxisbeispiele: Wann brauche ich eine DSFA?

Zur Veranschaulichung einige typische Szenarien aus der Unternehmenspraxis:

• DSFA erforderlich: Einführung einer KI-gestützten Bewerberauswahl, GPS-Tracking von Firmenfahrzeugen, Videoüberwachung im Büro, Gesundheits-App mit Symptomtracking, Online-Shop mit Kreditscoring
• DSFA nicht erforderlich: Standard-E-Mail-Kommunikation, einfache Kundendatenbank ohne Profiling, Gehaltsabrechnung durch externen Dienstleister (sofern nur Standarddaten)

3. DSFA-Ablauf in 7 Schritten

Eine strukturierte Datenschutz-Folgenabschätzung folgt einem bewährten Prozess in sieben Schritten. Dieses Vorgehen entspricht den Empfehlungen des EDSA und der deutschen Aufsichtsbehörden.

Schritt 1: Screening — Ist eine DSFA nötig?

Bevor Sie eine vollständige DSFA durchführen, prüfen Sie anhand der Blacklist, der neun Kriterien und der Regelbeispiele aus Art. 35 Abs. 3 DSGVO, ob eine DSFA erforderlich ist. Dokumentieren Sie das Ergebnis dieser Schwellwertanalyse — auch wenn Sie zu dem Schluss kommen, dass keine DSFA nötig ist. Die Dokumentation dient als Nachweis Ihrer Prüfung.

Schritt 2: Systematische Beschreibung der Verarbeitung

Beschreiben Sie die geplante Verarbeitung vollständig und nachvollziehbar:

• Zweck: Warum werden die Daten verarbeitet?
• Rechtsgrundlage: Auf welcher rechtlichen Basis erfolgt die Verarbeitung (Art. 6 DSGVO)?
• Datenkategorien: Welche personenbezogenen Daten sind betroffen?
• Betroffene: Wessen Daten werden verarbeitet (Kunden, Mitarbeiter, Bewerber)?
• Empfänger: An wen werden Daten weitergegeben (Auftragsverarbeiter, Drittländer)?
• Speicherdauer: Wie lange werden die Daten aufbewahrt?
• Technische Systeme: Welche IT-Systeme und Technologien kommen zum Einsatz?

Schritt 3: Bewertung der Notwendigkeit und Verhältnismäßigkeit

Prüfen Sie, ob die Verarbeitung notwendig und verhältnismäßig ist. Fragen Sie sich: Gibt es mildere Mittel, um den Zweck zu erreichen? Werden nur die Daten erhoben, die tatsächlich benötigt werden (Datenminimierung)? Ist die Speicherdauer angemessen? Diese Prüfung ist zentral — wenn die Verarbeitung bereits unverhältnismäßig ist, kann sie durch Schutzmaßnahmen nicht „geheilt“ werden.

Schritt 4: Risikobewertung

Der Kern der DSFA: Identifizieren und bewerten Sie die Risiken für die Rechte und Freiheiten der betroffenen Personen. Dabei betrachten Sie:

• Eintrittswahrscheinlichkeit: Wie wahrscheinlich ist es, dass ein Schaden eintritt?
• Schwere des Schadens: Welche Folgen hätte ein Datenschutzvorfall für die Betroffenen?
• Schadensszenarien: Identitätsdiebstahl, Diskriminierung, finanzielle Verluste, Rufschädigung, physische Gefährdung

Verwenden Sie eine Risikomatrix (Eintrittswahrscheinlichkeit x Schadenschwere) mit mindestens vier Stufen: gering, mittel, hoch, sehr hoch. Jedes identifizierte Risiko wird einzeln bewertet.

Schritt 5: Schutzmaßnahmen festlegen

Für jedes identifizierte Risiko definieren Sie geeignete Abhilfemaßnahmen. Diese können technischer oder organisatorischer Natur sein (TOM):

• Technische Maßnahmen: Verschlüsselung, Pseudonymisierung, Zugriffskontrollen, Protokollierung, automatisierte Löschfristen
• Organisatorische Maßnahmen: Schulungen, Zuständigkeitsregelungen, Vier-Augen-Prinzip, Datenschutzrichtlinien, Berechtigungskonzepte
• Datenschutz durch Technikgestaltung: Privacy by Design und Privacy by Default nach Art. 25 DSGVO

Nach Umsetzung der Maßnahmen bewerten Sie das Restrisiko erneut. Bleibt es hoch, ist eine Konsultation der Aufsichtsbehörde erforderlich (Art. 36 DSGVO).

Schritt 6: Dokumentation

Die gesamte DSFA muss schriftlich dokumentiert werden. Die Dokumentation umfasst:

• Beschreibung der Verarbeitungsvorgänge und deren Zwecke (vgl. Verarbeitungsverzeichnis nach Art. 30 DSGVO)
• Bewertung der Notwendigkeit und Verhältnismäßigkeit
• Risikobewertung mit Eintrittswahrscheinlichkeit und Schwere
• Festgelegte Schutzmaßnahmen
• Restrisikobewertung
• Stellungnahme des Datenschutzbeauftragten
• Ggf. Standpunkt der betroffenen Personen (Art. 35 Abs. 9 DSGVO)

Schritt 7: Konsultation der Aufsichtsbehörde

Ergibt die DSFA, dass die Verarbeitung trotz aller Maßnahmen ein hohes Restrisiko birgt, müssen Sie vor Beginn der Verarbeitung die zuständige Aufsichtsbehörde konsultieren (Art. 36 DSGVO). In Sachsen ist dies der zuständige Datenschutzbehörde. Die Behörde hat dann bis zu acht Wochen Zeit, eine Stellungnahme abzugeben.

4. DSFA-Vorlage: Muster-Gliederung

Eine praxistaugliche DSFA-Vorlage sollte folgende Gliederung umfassen. Sie können dieses Muster als Ausgangspunkt für Ihre eigene Datenschutz-Folgenabschätzung verwenden:

1. Deckblatt: Bezeichnung der Verarbeitung, Verantwortlicher, Version, Datum, Status
2. Verarbeitungsbeschreibung: Zweck, Rechtsgrundlage, Datenkategorien, Betroffene, Empfänger, Drittlandtransfer, Speicherdauer, IT-Systeme
3. Schwellwertanalyse: Prüfung anhand Blacklist und 9 Kriterien mit Begründung
4. Notwendigkeits- und Verhältnismäßigkeitsprüfung: Erforderlichkeit, Datenminimierung, Zweckbindung
5. Risikobewertung: Risikoidentifikation, Bewertungsmatrix, Eintrittswahrscheinlichkeit, Schwere
6. Maßnahmenkatalog: Technische und organisatorische Maßnahmen je Risiko, Verantwortliche, Umsetzungsfrist
7. Restrisikobewertung: Neubewertung nach Maßnahmenumsetzung
8. Stellungnahme des DSB: Bewertung durch den Datenschutzbeauftragten
9. Ergebnis und Freigabe: Entscheidung des Verantwortlichen, ggf. Konsultation der Aufsichtsbehörde
10. Anhänge: Datenflussdiagramme, Risikoanalysen, Protokolle

Tipp: Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) stellt ein Kurzpapier Nr. 5 zur DSFA bereit, das als offizielle Orientierungshilfe dient. Zudem bietet das Standard-Datenschutzmodell (SDM) eine methodische Grundlage für die Risikobewertung.

5. DSFA und Künstliche Intelligenz

Die Verbreitung von KI-Systemen macht die Datenschutz-Folgenabschätzung aktueller denn je. Kaum ein Bereich der Datenverarbeitung wirft so viele datenschutzrechtliche Fragen auf wie der Einsatz künstlicher Intelligenz.

Warum KI fast immer eine DSFA erfordert

KI-Systeme erfüllen in der Regel mehrere der neun Kriterien der Art.-29-Datenschutzgruppe gleichzeitig:

• Profiling und Scoring: KI-Modelle bewerten und klassifizieren Personen
• Automatisierte Entscheidungsfindung: Algorithmen treffen oder bereiten Entscheidungen vor
• Neue Technologien: Machine Learning und Deep Learning gelten als innovative Technologien
• Umfangreiche Datenverarbeitung: KI-Training erfordert große Datenmengen
• Intransparenz: „Black Box“-Problematik erschwert die Nachvollziehbarkeit

AI Act und DSGVO: Doppelte Pflichten

Seit dem Inkrafttreten des EU AI Act (KI-Verordnung) müssen Unternehmen bei KI-Systemen zwei Rechtsrahmen beachten. Der AI Act klassifiziert KI-Systeme nach Risikoklassen — für Hochrisiko-KI-Systeme (z. B. Bewerberauswahl, Kreditscoring, biometrische Identifikation) gelten umfangreiche Pflichten:

• Risikomanagementsystem nach Art. 9 AI Act
• Datenqualitätsanforderungen an Trainingsdaten
• Transparenzpflichten gegenüber Nutzern
• Menschliche Aufsicht über das KI-System
• Grundrechte-Folgenabschätzung (Art. 27 AI Act) — zusätzlich zur DSFA!

Die DSFA nach DSGVO und die Grundrechte-Folgenabschätzung nach AI Act ergänzen sich. Unternehmen sollten beide Prüfungen parallel durchführen und aufeinander abstimmen. Mehr zur KI-Schulungspflicht nach dem AI Act erfahren Sie auf unserer Spezialseite.

Besondere Herausforderungen bei KI-DSFA

• Erklärbarkeit: Wie können Risiken bewertet werden, wenn die Entscheidungslogik des KI-Modells nicht vollständig nachvollziehbar ist?
• Bias und Diskriminierung: KI kann systematische Benachteiligungen verstärken — ein hohes Risiko für Betroffene
• Zweckänderung: KI-Modelle werden oft für neue Zwecke eingesetzt — jede Zweckänderung erfordert eine neue Prüfung
• Kontinuierliches Monitoring: Selbstlernende Systeme verändern sich — die DSFA muss regelmäßig aktualisiert werden

6. Wer führt die DSFA durch?

Die Verantwortung für die Durchführung der DSFA liegt beim Verantwortlichen im Sinne der DSGVO — also bei dem Unternehmen oder der Organisation, die über Zwecke und Mittel der Datenverarbeitung entscheidet.

Die Rolle des Datenschutzbeauftragten

Der Datenschutzbeauftragte (DSB) hat bei der DSFA eine beratende und überwachende Funktion (Art. 35 Abs. 2 DSGVO). Er führt die DSFA nicht selbst durch, sondern:

• Berät den Verantwortlichen bei der Durchführung
• Überwacht den Prozess und die Methodik
• Gibt eine schriftliche Stellungnahme zum Ergebnis ab
• Prüft, ob die vorgeschlagenen Maßnahmen ausreichend sind
• Empfiehlt ggf. die Konsultation der Aufsichtsbehörde

Beteiligte Akteure

An einer DSFA sind typischerweise mehrere Personen und Abteilungen beteiligt:

• Fachverantwortliche: Kennen den Verarbeitungsprozess im Detail
• IT-Abteilung: Bewertet technische Risiken und Schutzmaßnahmen
• Datenschutzbeauftragter: Berät zur Rechtskonformität
• Informationssicherheitsbeauftragter: Bewertet IT-Sicherheitsrisiken
• Geschäftsführung: Trägt die Letztverantwortung und gibt frei
• Ggf. Betroffene: Art. 35 Abs. 9 DSGVO sieht die Einholung des Standpunkts der Betroffenen vor

Externe Unterstützung durch DATUREX

Viele Unternehmen — insbesondere kleine und mittlere Betriebe — verfügen intern nicht über die nötige Expertise für eine rechtssichere DSFA. Hier bietet sich die Unterstützung durch einen externen Datenschutzbeauftragten an. Die DATUREX GmbH begleitet Sie durch den gesamten DSFA-Prozess:

• Durchführung der Schwellwertanalyse
• Methodische Risikobewertung nach anerkannten Standards
• Erstellung der vollständigen DSFA-Dokumentation
• Ableitung geeigneter technischer und organisatorischer Maßnahmen
• Stellungnahme als Datenschutzbeauftragter
• Begleitung bei der Konsultation der Aufsichtsbehörde

7. DSFA-Dokumentation und Nachweispflicht

Die DSGVO verlangt vom Verantwortlichen, die Einhaltung der Datenschutzvorschriften nachweisen zu können (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Die DSFA-Dokumentation ist ein zentraler Baustein dieser Nachweispflicht.

Mindestinhalte der Dokumentation

Art. 35 Abs. 7 DSGVO definiert, was eine DSFA mindestens enthalten muss:

1. Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung
2. Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
3. Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
4. Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen

Aufbewahrung und Aktualisierung

Die DSFA-Dokumentation sollte mindestens drei Jahre aufbewahrt werden — empfohlen wird die Aufbewahrung für die gesamte Dauer der Verarbeitung plus Verjährungsfrist. Eine Überprüfung und Aktualisierung ist erforderlich bei:

• Wesentlichen Änderungen des Verarbeitungsvorgangs
• Neuen technologischen Entwicklungen
• Veränderten Risiken (z. B. durch Sicherheitsvorfälle)
• Neuen rechtlichen Anforderungen oder Leitlinien der Aufsichtsbehörden
• Turnusmäßiger Überprüfung (empfohlen: mindestens alle zwei Jahre)

Transparenz gegenüber der Aufsichtsbehörde

Die DSFA muss auf Anfrage der Aufsichtsbehörde vorgelegt werden können. Es besteht keine Pflicht zur vorausschauenden Veröffentlichung, jedoch empfiehlt der EDSA, zumindest eine Zusammenfassung oder Übersicht der durchgeführten DSFAs zu veröffentlichen, um Transparenz zu demonstrieren.

8. Bußgelder bei fehlender DSFA

Eine fehlende oder mangelhafte Datenschutz-Folgenabschätzung stellt einen Verstoß gegen Art. 35 DSGVO dar und kann empfindliche Sanktionen nach sich ziehen.

Bußgeldrahmen

Nach Art. 83 Abs. 4 lit. a DSGVO können bei Verstößen gegen die DSFA-Pflicht Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden — je nachdem, welcher Betrag höher ist.

Praxisbeispiele für Bußgelder

Die europäischen Aufsichtsbehörden haben bereits zahlreiche Bußgelder wegen fehlender oder mangelhafter DSFAs verhängt:

• Clearview AI (Frankreich, CNIL): 20 Mio. Euro — u. a. wegen fehlender DSFA bei der biometrischen Gesichtserkennung
• Deutsche Wohnen (Deutschland): 14,5 Mio. Euro — mangelhafte Datenschutzstrukturen, darunter fehlende Folgenabschätzungen
• Vodafone España: 3,94 Mio. Euro — unzureichende DSFA bei der Verarbeitung von Kundendaten
• Diverse KMU: Bußgelder zwischen 5.000 und 50.000 Euro für fehlende DSFAs bei Videoüberwachung oder GPS-Tracking

Auch ohne Bußgeld kann eine fehlende DSFA weitreichende Konsequenzen haben: Die Aufsichtsbehörde kann die Verarbeitung untersagen (Art. 58 Abs. 2 lit. f DSGVO), was im schlimmsten Fall zum Stillstand geschäftskritischer Prozesse führt.

Aktuelle Durchsetzungstrends

Die Aufsichtsbehörden verschärfen ihre Kontrollen kontinuierlich. Besonders im Fokus stehen:

• KI-Systeme ohne DSFA
• Videoüberwachung im Beschäftigtenkontext
• Tracking und Profiling im Online-Marketing
• Verarbeitung von Gesundheitsdaten in Apps

Häufig gestellte Fragen zur DSFA

Was ist der Unterschied zwischen DSFA und DPIA?

Es gibt keinen inhaltlichen Unterschied. DSFA (Datenschutz-Folgenabschätzung) ist der deutsche Begriff, DPIA (Data Protection Impact Assessment) der englische. Beide bezeichnen dasselbe Verfahren nach Art. 35 DSGVO. In der Praxis werden die Begriffe synonym verwendet. Auch die Bezeichnung „Datenschutzfolgenabschätzung“ (ohne Bindestrich) ist gebräuchlich.

Muss jedes Unternehmen eine DSFA durchführen?

Nein, eine DSFA ist nur dann Pflicht, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Kleine Unternehmen mit Standard-Datenverarbeitungen (z. B. Buchhaltung, einfache Kundenverwaltung) benötigen in der Regel keine DSFA. Dennoch sollte auch hier eine dokumentierte Schwellwertanalyse durchgeführt werden, die belegt, dass kein hohes Risiko vorliegt.

Wie lange dauert eine Datenschutz-Folgenabschätzung?

Die Dauer hängt von der Komplexität der Verarbeitung ab. Einfache DSFAs (z. B. Videoüberwachung) können in wenigen Tagen abgeschlossen werden. Komplexe Verarbeitungen (z. B. KI-Systeme, umfangreiche Profiling-Maßnahmen) können mehrere Wochen bis Monate in Anspruch nehmen. Wichtig ist die Qualität der Dokumentation, nicht die Geschwindigkeit.

Kann ich eine DSFA nachträglich durchführen?

Art. 35 DSGVO verlangt, dass die DSFA vor Beginn der Verarbeitung durchgeführt wird. Wurde dies versäumt, sollte die DSFA schnellstmöglich nachgeholt werden. Beachten Sie jedoch, dass die Aufsichtsbehörde den Verstoß (fehlende DSFA vor Verarbeitungsbeginn) auch dann sanktionieren kann, wenn die DSFA nachträglich erstellt wird.

Welche Tools gibt es für die DSFA-Durchführung?

Neben manuellen Vorlagen (Word/Excel) gibt es spezialisierte Software-Tools: Das PIA-Tool der CNIL (französische Aufsichtsbehörde) ist kostenlos und quelloffen verfügbar. Kommerzielle Lösungen bieten unter anderem OneTrust, TrustArc und DataGuard. Für kleinere Unternehmen genügt oft eine strukturierte Vorlage in Kombination mit der Beratung durch einen erfahrenen Datenschutzbeauftragten.