Datenschutz-Folgenabschätzung: Schritt-für-Schritt-Anleitung nach DSGVO Art. 35
What you need to know: Datenschutz-Folgenabschätzung: Schritt-für-Schritt-Anleitung nach DSGVO Art. 35
Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 35 DSGVO für risikoreiche Verarbeitungen verpflichtend. Diese Anleitung erklärt, wann eine DSFA erforderlich ist, was sie enthalten muss und wie Sie sie effizient erstellen.
Eine Datenschutz-Folgenabschätzung (DSFA) ist ein strukturierter Prozess zur Identifikation und Minderung von Datenschutzrisiken, bevor Sie eine Verarbeitungstätigkeit beginnen. Gemäß Art. 35 DSGVO ist sie für bestimmte Kategorien risikoreicher Verarbeitungen verpflichtend — nicht freiwillig. Fehler bei der Einschätzung führen entweder dazu, dass risikoreiche Verarbeitungen ohne ordnungsgemäße Analyse durchgeführt werden, oder dass Zeit in Bewertungen investiert wird, die nicht erforderlich gewesen wären.
Diese Anleitung erläutert, wann eine DSFA erforderlich ist, was sie enthalten muss und wie Sie sie effizient durchführen.
Was eine DSFA ist
Art. 35 Abs. 7 DSGVO definiert, was eine DSFA enthalten muss. Im Kern sind es vier Elemente:
- Eine systematische Beschreibung der Verarbeitung: was Sie tun, warum und wie.
- Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit: Ist diese Verarbeitung für den Zweck notwendig? Steht der Eingriff in die Privatsphäre in einem angemessenen Verhältnis zum Nutzen?
- Eine Bewertung der Risiken für die betroffenen Personen: Was kann für die Menschen schiefgehen, deren Daten Sie verarbeiten, und wie wahrscheinlich und schwerwiegend sind diese Folgen?
- Die Maßnahmen, die Sie zur Risikominderung ergreifen werden: technische Kontrollen, organisatorische Verfahren, Schutzmaßnahmen.
Eine DSFA ist kein formales Abhakverfahren. Ihr Zweck ist es, Risiken aufzudecken, die andernfalls übersehen werden könnten, und Abhilfemaßnahmen zu verankern, bevor die Verarbeitung beginnt — nicht erst nach einer Datenpanne.
Wann eine DSFA verpflichtend ist
Art. 35 Abs. 1 DSGVO schreibt eine DSFA vor, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" zur Folge hat. Art. 35 Abs. 3 DSGVO benennt drei Kategorien, für die dies stets gilt:
1. Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die auf einer automatisierten Verarbeitung — einschließlich Profiling — beruht und auf deren Grundlage Entscheidungen getroffen werden, die rechtliche Wirkung gegenüber natürlichen Personen entfalten oder sie in ähnlich erheblicher Weise beeinträchtigen. Hierzu gehören Kreditscoring, Risikomodelle in der Versicherungsbranche, automatisierte Eignungsbeurteilungen im Bewerbungsverfahren sowie Betrugserkennungssysteme, die konsequenzreiche Ergebnisse auslösen.
2. Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) oder von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO). Besondere Kategorien umfassen Gesundheitsdaten, zur Identifizierung verwendete biometrische Daten, genetische Daten, rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit und sexuelle Orientierung.
3. Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. Videoüberwachung eines großen öffentlichen Raums ist das deutlichste Beispiel; erfasst wird jedoch auch die Verfolgung von Bewegungen oder Verhaltensweisen in der Öffentlichkeit mittels Mobilfunkdaten oder IoT-Sensoren.
Über diese drei Kategorien hinaus veröffentlichen die nationalen Datenschutz-Aufsichtsbehörden Listen von Verarbeitungstypen, die in ihrem Zuständigkeitsbereich eine DSFA erfordern. Prüfen Sie die Liste Ihrer zuständigen Aufsichtsbehörde. In Deutschland ist dies der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die jeweiligen Landesdatenschutzbehörden. Das Bundesdatenschutzgesetz (BDSG) enthält in § 38 eine nationale Regelung zur Benennung von Datenschutzbeauftragten — dies ist nationales deutsches Recht und gilt nicht universell in allen EU-Mitgliedstaaten.
Zwei oder mehr der folgenden Kriterien weisen ebenfalls auf ein hohes Risiko hin (gemäß WP29-Leitlinien): Bewertung oder Einstufung von Personen; automatisierte Entscheidungsfindung mit rechtlicher oder ähnlich erheblicher Wirkung; systematische Überwachung; sensible Daten oder Daten besonderer Natur; umfangreiche Verarbeitung; Abgleich oder Kombination von Datensätzen; Daten betreffend schutzbedürftige Betroffene; innovativer Einsatz von Technologie; Übermittlung außerhalb der EU; Verarbeitungen, die es betroffenen Personen erschweren, ihre Rechte wahrzunehmen.
Wann eine DSFA nicht erforderlich ist
Eine DSFA ist nicht erforderlich, wenn die Verarbeitung voraussichtlich kein hohes Risiko zur Folge hat. Indikatoren für ein geringeres Risiko sind: kleinmaßstäbliche Verarbeitung nicht sensibler Daten; Verarbeitungen ohne automatisierte Entscheidungsfindung; Verarbeitungen, die betroffene Personen vernünftigerweise erwarten würden; sowie Verarbeitungen, für die eine bestehende, aktuelle DSFA für denselben Tätigkeitstyp vorliegt.
Haben Sie zuvor eine DSFA für denselben Verarbeitungstyp erstellt und hat sich das Risikoprofil nicht verändert, können Sie auf die bestehende DSFA verweisen, anstatt von vorn zu beginnen.
Die 7 Pflichtbestandteile einer gültigen DSFA
Art. 35 Abs. 7 DSGVO listet die erforderlichen Elemente auf:
| # | Element | Bedeutung | |---|---------|-----------| | 1 | Systematische Beschreibung | Welche Daten, welche Verarbeitung, welcher Zweck, welche Systeme | | 2 | Bewertung der Notwendigkeit und Verhältnismäßigkeit | Warum diese Verarbeitung notwendig ist; weniger eingreifende Alternativen wurden geprüft | | 3 | Bewertung der Risiken für betroffene Personen | Eintrittswahrscheinlichkeit × Schwere für jedes identifizierte Risiko | | 4 | Maßnahmen zur Risikobehandlung | Technische und organisatorische Abhilfemaßnahmen | | 5 | Konsultation des Datenschutzbeauftragten | Sofern ein DSB bestellt ist, muss dieser konsultiert werden | | 6 | Standpunkte betroffener Personen | Wie Sie die Standpunkte betroffener Personen berücksichtigt oder eingeholt haben (oder warum nicht) | | 7 | Rechtmäßige Grundlage und Einhaltung der Grundsätze | Bestätigung, dass die Verarbeitung den DSGVO-Grundsätzen (Art. 5) entspricht |
Schritt-für-Schritt-Durchführung
Schritt 1: Verarbeitung beschreiben Beantworten Sie: Welche personenbezogenen Daten werden erhoben? Von wem? Auf welchem Weg? Zu welchem Zweck? Wer hat Zugriff? Wo werden die Daten gespeichert? Wie lange werden sie aufbewahrt? Welche Auftragsverarbeiter sind beteiligt? Dieser Abschnitt sollte so detailliert sein, dass eine mit dem Projekt nicht vertraute Person verstehen kann, was aufgebaut wird.
Schritt 2: Notwendigkeit und Verhältnismäßigkeit bewerten Beantworten Sie: Ist diese Verarbeitung für den genannten Zweck notwendig? Könnte der Zweck mit weniger Daten oder einer weniger eingreifenden Verarbeitung erreicht werden? Welche Rechtsgrundlage liegt vor? Wie lange werden die Daten aufbewahrt, und ist dies verhältnismäßig? Welche Rechte haben betroffene Personen, und wie werden Sie diesen die Ausübung dieser Rechte ermöglichen?
Schritt 3: Risiken für betroffene Personen identifizieren Bewerten Sie für jedes identifizierte Risiko: Was ist die Bedrohung? Wie hoch ist die Eintrittswahrscheinlichkeit (niedrig/mittel/hoch)? Wie schwerwiegend ist der Schaden, wenn er eintritt? Typische Risiken umfassen: unbefugten Zugriff, Datenpannen, Zweckentfremdung (Daten werden für unbeabsichtigte Zwecke verwendet), Unrichtigkeit und deren Folgen, Ausgrenzung oder Diskriminierung durch automatisierte Entscheidungen, Kontrollverlust der betroffenen Personen.
Schritt 4: Abhilfemaßnahmen festlegen Legen Sie für jedes Risiko die Maßnahme fest, die es adressiert. Ordnen Sie jede Maßnahme einem spezifischen Risiko zu. Nach Anwendung der Maßnahmen bewerten Sie das verbleibende Restrisiko neu.
Schritt 5: Datenschutzbeauftragten konsultieren Sofern Ihre Organisation einen Datenschutzbeauftragten (DSB) bestellt hat, muss dieser konsultiert werden. Halten Sie seine Stellungnahme und deren Berücksichtigung schriftlich fest.
Schritt 6: Standpunkte betroffener Personen dokumentieren Erläutern Sie, wie Sie die Interessen und vernünftigen Erwartungen der betroffenen Personen berücksichtigt haben. Dies erfordert nicht zwingend eine Umfrage — für viele Verarbeitungstätigkeiten können Sie Ihre Einschätzung dokumentieren, was betroffene Personen vernünftigerweise erwarten würden, und darlegen, warum diese Verarbeitung diesen Erwartungen entspricht oder nicht.
Schritt 7: Genehmigen und dokumentieren Die DSFA sollte vom zuständigen Verantwortlichen auf Unternehmensseite genehmigt werden. Halten Sie das Abschlussdatum und etwaige mit der Genehmigung verbundene Bedingungen fest.
Wann die Aufsichtsbehörde zu konsultieren ist
Art. 36 DSGVO schreibt eine vorherige Konsultation der zuständigen nationalen Aufsichtsbehörde vor, wenn das Restrisiko nach Anwendung der Abhilfemaßnahmen weiterhin hoch ist. Dies ist eine hohe Schwelle — sie wird nicht bereits dann ausgelöst, wenn eine DSFA abgeschlossen wird, sondern nur dann, wenn das Risiko durch eigene Maßnahmen nicht auf ein akzeptables Niveau gesenkt werden kann.
Ist eine vorherige Konsultation erforderlich, reichen Sie Ihre DSFA bei der Aufsichtsbehörde ein, bevor Sie mit der Verarbeitung beginnen. Die Aufsichtsbehörde hat acht Wochen Zeit zur Antwort (verlängerbar um weitere sechs Wochen bei komplexen Fällen).
Wie lange eine DSFA gültig ist
Für eine DSFA gibt es keine feste Gültigkeitsdauer, jedoch schreibt Art. 35 Abs. 11 DSGVO eine Überprüfung vor, „wenn sich das mit den Verarbeitungsvorgängen verbundene Risiko ändert." Best Practice ist es, DPIAs für risikoreiche Verarbeitungen mindestens jährlich zu überprüfen und eine Überprüfung immer dann auszulösen, wenn eine wesentliche Änderung der Verarbeitung eintritt: neue Datenkategorien, neue Auftragsverarbeiter, neue automatisierte Entscheidungslogik, neue Jurisdiktionen.
DSFA und Grundrechte-Folgenabschätzung nach KI-Verordnung kombinieren
Für Hochrisiko-KI-Systeme nach der EU-KI-Verordnung müssen Betreiber gemäß Art. 27 KI-VO eine Grundrechte-Folgenabschätzung (GRFA) durchführen. Die GRFA deckt ähnliche Bereiche wie eine DSFA ab, legt den Schwerpunkt jedoch auf Grundrechte jenseits des Datenschutzes.
Sofern die Verarbeitung ein Hochrisiko-KI-System umfasst, führen Sie eine kombinierte DSFA + GRFA durch. Verwenden Sie die Struktur nach Art. 35 DSGVO als Grundlage und ergänzen Sie einen Abschnitt über grundrechtliche Auswirkungen jenseits des Datenschutzes (faires Verfahren, Nichtdiskriminierung, Meinungsfreiheit). Ein einziges kombiniertes Dokument erfüllt beide Verpflichtungen und vermeidet die Dopplung der systematischen Beschreibung und Risikobewertung.
Häufig gestellte Fragen
Wann ist eine DSFA nach Art. 35 DSGVO verpflichtend?
Eine DSFA ist nach Art. 35 Abs. 1 DSGVO immer dann verpflichtend, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" zur Folge hat. Art. 35 Abs. 3 DSGVO benennt drei Kategorien, die stets eine DSFA erfordern: die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen auf Basis automatisierter Verarbeitung mit rechtlich erheblichen Wirkungen (einschließlich Profiling für Kreditscoring, Stellenbesetzungsverfahren und Versicherungsrisiken); die umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9 oder von Daten zu strafrechtlichen Verurteilungen nach Art. 10; sowie die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. Darüber hinaus veröffentlichen die nationalen Aufsichtsbehörden Listen zusätzlicher Verarbeitungstypen, die in ihrem Zuständigkeitsbereich eine DSFA erfordern; Verantwortliche sollten die einschlägige nationale Liste zusammen mit den Kategorien des Art. 35 Abs. 3 DSGVO prüfen.
Was muss eine DSFA nach der DSGVO enthalten?
Art. 35 Abs. 7 DSGVO definiert die Pflichtbestandteile: eine systematische Beschreibung der Verarbeitung (welche Daten, welcher Zweck, welche Systeme, welche Auftragsverarbeiter); eine Bewertung der Notwendigkeit und Verhältnismäßigkeit (ob die Verarbeitung notwendig ist und ob der Eingriff in die Privatsphäre dem Ziel angemessen ist); eine Bewertung der Risiken für betroffene Personen (Eintrittswahrscheinlichkeit und Schwere potenzieller Schäden); sowie die zur Risikobewältigung vorgesehenen Maßnahmen (technische und organisatorische Kontrollen mit Neubewertung des Restrisikos nach den Abhilfemaßnahmen). Sofern ein Datenschutzbeauftragter bestellt wurde, muss seine Konsultation dokumentiert werden. Ebenfalls zu dokumentieren sind die Überlegungen dazu, ob und wie die Standpunkte der betroffenen Personen eingeholt oder berücksichtigt wurden.
Muss nach Abschluss einer DSFA die Aufsichtsbehörde konsultiert werden?
Nur wenn das Restrisiko nach Anwendung aller zumutbaren Abhilfemaßnahmen weiterhin hoch ist. Art. 36 DSGVO schreibt eine vorherige Konsultation der zuständigen nationalen Aufsichtsbehörde vor, bevor die Verarbeitung aufgenommen wird, wenn die DSFA ergibt, dass das Restrisiko hoch und durch eigene Maßnahmen des Verantwortlichen nicht weiter reduzierbar ist. Dies ist eine hohe Schwelle — der bloße Abschluss einer DSFA löst keine Konsultationspflicht aus. Ist eine Konsultation erforderlich, muss der Aufsichtsbehörde die vollständige DSFA-Dokumentation vorgelegt werden; die Behörde hat acht Wochen zur Antwort, verlängerbar um weitere sechs Wochen bei komplexen Fällen. Während des Konsultationszeitraums darf die Verarbeitung nicht aufgenommen werden.
Quellen
- Verordnung (EU) 2016/679 — DSGVO, Artikel 35 (Datenschutz-Folgenabschätzung) — Gesetzestext der DSFA-Verpflichtung, Pflichtkategorien, erforderliche Inhalte nach Art. 35 Abs. 7 sowie die Voraussetzungen für die vorherige Konsultation nach Art. 36.
- EDPB-Leitlinien 09/2022 zu Datenschutz-Folgenabschätzungen — Leitlinien des Europäischen Datenschutzausschusses zu den Voraussetzungen für DPIAs, den neun Kriterien für hohes Risiko und der Methodik für eine konforme Bewertung.
- ICO — Leitlinien zu Datenschutz-Folgenabschätzungen — Praxisleitfaden der britischen Informationsbeauftragten zur DSFA-Struktur, Pflichtsituationen und Best-Practice-Vorlagen, die auf EU-Mitgliedstaaten übertragbar sind.
- WP29-Leitlinien zur Datenschutz-Folgenabschätzung (WP248) — Leitlinien der Artikel-29-Datenschutzgruppe vor Gründung des EDPB, die die neun Kriterien für risikoreiche Verarbeitungen und die von den Aufsichtsbehörden in der EU befürwortete Methodik festlegen.
Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.
Key takeaways: Datenschutz-Folgenabschätzung: Schritt-für-Schritt-Anleitung nach DSGVO Art. 35
This article covers: Was eine DSFA ist, Wann eine DSFA verpflichtend ist, Wann eine DSFA nicht erforderlich ist.
- Was eine DSFA ist
- Wann eine DSFA verpflichtend ist
- Wann eine DSFA nicht erforderlich ist
- Die 7 Pflichtbestandteile einer gültigen DSFA
- Schritt-für-Schritt-Durchführung
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing — 2 minutes, every Thursday.