EuroComply
Sign up
Back to blog
DSGVO 7 min read

DSGVO DSFA: Wann Sie eine benötigen und wie Sie sie erstellen

What you need to know: DSGVO DSFA: Wann Sie eine benötigen und wie Sie sie erstellen

Eine Datenschutz-Folgenabschätzung ist vor risikoreicher Verarbeitung nach Art. 35 DSGVO verpflichtend. Dieser Leitfaden erläutert Auslöser, Methodik und Dokumentation.

Source: EuroComply Editorial (2025-02-01)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Eine Datenschutz-Folgenabschätzung (DSFA) ist ein strukturierter Prozess zur Identifizierung und Reduzierung von Datenschutzrisiken, bevor eine neue Verarbeitungstätigkeit aufgenommen wird. Nach der DSGVO ist die Durchführung einer DSFA nicht optional — Artikel 35 macht sie zu einer gesetzlichen Anforderung für bestimmte Kategorien der Verarbeitung, und die Aufsichtsbehörden in der gesamten EU betrachten eine fehlende oder unzureichende DSFA als schwerwiegenden Compliance-Verstoß.

Dieser Leitfaden erläutert, wann eine DSFA erforderlich ist, wie Sie eine solche durchführen, was Sie dokumentieren müssen und wann Sie Ihre Aufsichtsbehörde konsultieren müssen.

Wann ist eine DSFA erforderlich

Artikel 35 Abs. 1 legt den wesentlichen Auslöser fest: Eine DSFA ist verpflichtend, wenn die Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" zur Folge hat. Die Pflicht gilt für neue Verarbeitungsvorgänge sowie für bestehende Verarbeitungen, bei denen sich Art, Umfang, Kontext oder Zwecke wesentlich geändert haben.

Artikel 35 Abs. 3 benennt drei Verarbeitungsarten, die stets eine DSFA erfordern:

  1. Systematische und umfassende Profilerstellung mit rechtlichen oder ähnlich bedeutenden Auswirkungen — automatisierte Entscheidungen über Kreditwürdigkeit, Leistung, Zuverlässigkeit oder Verhalten von Personen.
  2. Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9 (Gesundheitsdaten, biometrische Daten, rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, sexuelle Orientierung) oder von Daten über strafrechtliche Verurteilungen nach Artikel 10.
  3. Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche — Videoüberwachung (CCTV), Tracking-Systeme in öffentlichen Räumen.

Darüber hinaus veröffentlicht jede Aufsichtsbehörde eine Liste von Verarbeitungsvorgängen, die in ihrer Zuständigkeit einer DSFA bedürfen. Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien herausgegeben, die gemeinsame Kriterien aus den nationalen Listen zusammenfassen.

Die 8 Kriterien: Zwei oder mehr Kriterien lösen eine DSFA aus

Der Europäische Datenschutzausschuss (EDSA) hat acht Kriterien ermittelt, die aus Artikel 35 Abs. 3 und Erwägungsgrund 91 abgeleitet wurden. Wenn Ihre Verarbeitung zwei oder mehr dieser Kriterien erfüllt, ist eine DSFA erforderlich:

  1. Bewertung oder Einstufung von Personen (Profilerstellung, Verhaltensvorhersage)
  2. Automatisierte Entscheidungsfindung mit rechtlichen oder erheblichen Auswirkungen
  3. Systematische Überwachung
  4. Verarbeitung sensibler Daten (Artikel 9 oder Artikel 10)
  5. Umfangreiche Verarbeitung
  6. Abgleich oder Kombination von Datensätzen aus verschiedenen Quellen
  7. Verarbeitung von Daten über schutzbedürftige Personen (Kinder, Beschäftigte, Patienten)
  8. Einsatz innovativer Technologien oder neuartige Anwendung bestehender Technologien

Ein einzelnes Kriterium kann ebenfalls eine DSFA auslösen, wenn das daraus resultierende Risiko besonders hoch ist. Die Beurteilung, ob zwei Kriterien erfüllt sind, erfordert eine ehrliche Bewertung — der Zweck besteht darin, echte Datenschutzrisiken zu identifizieren, nicht darin, eine Klassifizierung zu konstruieren, die die Pflicht vermeidet.

Die DSFA-Methodik

Eine gut strukturierte DSFA folgt vier Phasen:

Phase 1: Verarbeitungsvorgang beschreiben

Dokumentieren Sie den Verarbeitungsvorgang vollständig: welche Daten erhoben werden, von wem, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange sie gespeichert werden, mit wem sie geteilt werden und ob Daten den EWR verlassen. Dies ist die Grundlage — Sie können keine Risiken bewerten, die Sie nicht verstanden und beschrieben haben.

Phase 2: Notwendigkeit und Verhältnismäßigkeit prüfen

Beurteilen Sie, ob die Verarbeitung notwendig ist, um den angegebenen Zweck zu erreichen, und ob derselbe Zweck mit geringeren Auswirkungen auf den Datenschutz erreicht werden könnte. Diese Phase prüft die Rechtsgrundlage nach Artikel 6, den Grundsatz der Datenminimierung nach Artikel 5 Abs. 1 lit. c sowie den Zweckbindungsgrundsatz nach Artikel 5 Abs. 1 lit. b. Dokumentieren Sie, warum weniger eingreifende Alternativen nicht ausreichen.

Phase 3: Risiken identifizieren und bewerten

Identifizieren Sie konkrete Risiken für betroffene Personen — unbefugter Zugang, fehlerhafte Daten, die zu falschen Entscheidungen führen, Re-Identifizierung pseudonymisierter Daten, Diskriminierung, finanzieller Schaden, Reputationsschaden. Beurteilen Sie für jedes Risiko seine Eintrittswahrscheinlichkeit und Schwere. Dies ist eine qualitative Bewertung, keine rein technische: Berücksichtigen Sie, was tatsächlich mit einer Person geschehen würde, wenn das Risiko einträte.

Phase 4: Maßnahmen und Restrisiko bewerten

Dokumentieren Sie für jedes identifizierte Risiko die technischen und organisatorischen Maßnahmen (TOMs), die Sie zur Risikominderung ergreifen werden. Beurteilen Sie anschließend das Restrisiko nach Anwendung der Maßnahmen. Bleibt das Restrisiko hoch — auch nach Ergreifung von Maßnahmen —, müssen Sie vor Beginn der Verarbeitung die Aufsichtsbehörde konsultieren (Artikel 36).

Was dokumentiert werden muss

Artikel 35 Abs. 7 legt fest, was eine DSFA enthalten muss:

  • Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke, einschließlich des vom Verantwortlichen verfolgten berechtigten Interesses, soweit anwendbar
  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
  • Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
  • Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsmaßnahmen und Verfahren, die den Schutz personenbezogener Daten sicherstellen

Darüber hinaus sind zu dokumentieren: wer die DSFA durchgeführt hat, der Rat des Datenschutzbeauftragten (DSB) (Artikel 35 Abs. 2 schreibt vor, dass der Rat des DSB einzuholen ist, wenn ein solcher benannt wurde), das Datum der Bewertung und der Überprüfungsplan.

Wann die Aufsichtsbehörde zu konsultieren ist

Artikel 36 Abs. 1 schreibt eine vorherige Konsultation der Aufsichtsbehörde vor, wenn eine DSFA ergibt, dass die Verarbeitung ohne getroffene Abhilfemaßnahmen ein hohes Risiko zur Folge hätte. Dies ist keine Formalität — es handelt sich um eine zwingende Voraussetzung vor Beginn der Verarbeitung.

Die Konsultation umfasst die Übermittlung der vollständigen DSFA-Dokumentation an die Aufsichtsbehörde, eine Beschreibung der jeweiligen Verantwortlichkeiten des Verantwortlichen und etwaiger Auftragsverarbeiter, die Kontaktdaten des DSB sowie eine Zusammenfassung der geplanten Verarbeitung. Die Aufsichtsbehörde hat bis zu acht Wochen Zeit für eine Antwort (verlängerbar um sechs Wochen bei komplexen Fällen). Geht innerhalb dieser Frist keine Antwort ein, darf mit der Verarbeitung begonnen werden.

Häufige Fehler

Die am häufigsten in Leitlinien und Bußgeldentscheidungen der Aufsichtsbehörden festgestellten DSFA-Versäumnisse sind: die DSFA als nachträgliche Übung zu behandeln, nachdem die Verarbeitung bereits begonnen hat (Artikel 35 schreibt die Bewertung vor Beginn der Verarbeitung vor); eine oberflächliche Risikoabschätzung durchzuführen, die Risiken benennt, ohne ihre Eintrittswahrscheinlichkeit oder Schwere zu beurteilen; den DSB nicht einzubeziehen; die Bewertung von Notwendigkeit und Verhältnismäßigkeit wegzulassen; sowie Maßnahmen zu dokumentieren, ohne zu beurteilen, ob das Restrisiko weiterhin hoch bleibt. Eine DSFA, die wie eine Checkbox-Übung wirkt und keine echte Risikoanalyse darstellt, wird eine Organisation in einem Aufsichtsverfahren nicht schützen.


Zuletzt aktualisiert: Mai 2026. Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.

Häufig gestellte Fragen

Welche Verarbeitungstätigkeiten erfordern in der Praxis am häufigsten eine DSFA?

Die häufigsten Auslöser für DSFAs in Unternehmen sind: Systeme zur Mitarbeiterüberwachung (einschließlich Produktivitätssoftware, die Tastenanschläge, Bildschirmaktivitäten oder den Standort erfasst); automatisierte Kredit- oder Versicherungsprüfung; Verarbeitung von Gesundheits- oder Wellnessdaten einschließlich Apps und Wearables; umfangreiche Kundenprofilerstellung für Marketingzwecke; sowie jede Nutzung biometrischer Daten zur Identifizierung oder Zugangskontrolle. Die Kombination aus besonderen Kategorien personenbezogener Daten und automatisierter Entscheidungsfindung löst besonders häufig eine DSFA aus, sowohl nach Artikel 35 Abs. 3 als auch nach dem Acht-Kriterien-Ansatz des EDSA.

Muss eine DSFA nach ihrer Fertigstellung aktualisiert werden?

Ja. Artikel 35 schreibt eine Überprüfung der DSFA „erforderlichenfalls" vor, insbesondere wenn sich das mit der Verarbeitung verbundene Risiko ändert. Als bewährte Praxis gilt, einen regelmäßigen Überprüfungszyklus festzulegen — in der Regel jährlich — und eine sofortige Überprüfung auszulösen, wenn sich Verarbeitungszweck, Datenkategorien, Empfänger, Technologie oder Risikoprofil wesentlich ändern. Das DSFA-Dokument sollte einen Versionsverlauf enthalten und festhalten, wer jede Version genehmigt hat. Eine veraltete DSFA für eine weiterentwickelte Verarbeitung wird von den Aufsichtsbehörden als gleichwertig mit dem Fehlen einer DSFA für die aktuelle Verarbeitungstätigkeit behandelt.

Was geschieht, wenn eine erforderliche DSFA nicht durchgeführt wird?

Die Nichtdurchführung einer DSFA, wenn eine solche erforderlich ist, stellt selbst einen Verstoß gegen Artikel 35 DSGVO dar, unabhängig von einer etwaigen zugrunde liegenden Datenschutzverletzung. Nach Artikel 83 Abs. 4 sind Verstöße gegen Artikel 35 mit Geldbußen von bis zu 10 Millionen Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes bedroht, je nachdem, welcher Betrag höher ist. Mehrere Aufsichtsbehörden — darunter die belgische APD und der dänische Datatilsynet — haben Verwarnungen und Bußgelder speziell wegen der unterlassenen Durchführung von DSFAs vor Beginn der Verarbeitung verhängt, unabhängig davon, ob die Verarbeitung selbst betroffenen Personen Schaden zugefügt hat.

Quellen

  • EUR-Lex, Verordnung (EU) 2016/679 (DSGVO), Artikel 35 und Artikel 36: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
  • Europäischer Datenschutzausschuss, Leitlinien zur Datenschutz-Folgenabschätzung (WP248 rev.01): https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-wp248_en
  • Europäischer Datenschutzausschuss, Leitlinien zur automatisierten Entscheidungsfindung und Profilerstellung (WP251 rev.01): https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-wp251_en
  • ICO (UK), DPIA-Leitfaden und Vorlage: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/data-protection-impact-assessments-dpias/

Key takeaways: DSGVO DSFA: Wann Sie eine benötigen und wie Sie sie erstellen

This article covers: Wann ist eine DSFA erforderlich, Die 8 Kriterien: Zwei oder mehr Kriterien lösen eine DSFA aus, Die DSFA-Methodik.

  • Wann ist eine DSFA erforderlich
  • Die 8 Kriterien: Zwei oder mehr Kriterien lösen eine DSFA aus
  • Die DSFA-Methodik
  • Was dokumentiert werden muss
  • Wann die Aufsichtsbehörde zu konsultieren ist
Source: EuroComply Editorial (2025-02-01)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.