EuroComply
Konto erstellen
DSGVO · Art. 35 · Hochrisiko-Verarbeitungen

DSFA-Vorlage: Datenschutz-Folgenabschätzung nach Art. 35 DSGVO

Eine Datenschutz-Folgenabschätzung (DSFA, englisch: DPIA) ist immer dann Pflicht, wenn eine Verarbeitung ein hohes Risiko für Rechte und Freiheiten von Personen bedeutet. Diese Seite erklärt, wann eine DSFA erforderlich ist und wie Sie vorgehen.

DSGVO-Checker starten DSGVO-Übersicht

Schwellenwerte

Wann ist eine DSFA Pflicht?

!

Systematische umfangreiche Verarbeitung besonderer Kategorien

Art. 35 Abs. 3 lit. b

Verarbeitung von Gesundheitsdaten, biometrischen Daten, Gewerkschaftszugehörigkeit im großen Maßstab

DSFA zwingend erforderlich

!

Systematische umfangreiche Überwachung öffentlicher Räume

Art. 35 Abs. 3 lit. c

CCTV-Systeme in öffentlichen Bereichen, intelligente Videoanalyse, Gesichtserkennung

DSFA zwingend erforderlich

!

Automatisierte Entscheidungen mit erheblichen Auswirkungen

Art. 35 Abs. 3 lit. a

KI-gestützte Kreditvergabe, automatisiertes Profiling für Versicherungen, algorithmisches Recruiting

DSFA zwingend erforderlich

?

Neue Technologien mit unbekannten Risiken

Art. 35 Abs. 1

Erstmalige Einführung von Verhaltensüberwachung am Arbeitsplatz, neue KI-Systeme mit Personenbezug

DSFA empfohlen, Einzelfallprüfung

!

Blacklist der nationalen Aufsichtsbehörde (DSK/BfDI)

Art. 35 Abs. 4

Liste der Verarbeitungsvorgänge, für die eine DSFA zwingend durchzuführen ist (Deutschland: DSK-Blacklist)

DSFA zwingend erforderlich

KI-Systeme und DSFA: Die Nutzung von KI-Systemen, die automatisierte Entscheidungen treffen oder das Verhalten von Personen analysieren, erfordert in der Regel eine DSFA — insbesondere im Personalbereich, bei Kreditvergabe, Scoring und Videoanalyse.

Vorlage

DSFA in 6 Schritten durchführen

1

Beschreibung der Verarbeitungstätigkeit

Dokumentieren Sie Art, Umfang, Kontext und Zweck der Verarbeitung. Welche Daten werden wie, wo und durch wen verarbeitet? Welche technischen Systeme sind beteiligt?

2

Notwendigkeit und Verhältnismäßigkeit prüfen

Ist die Verarbeitung für den Zweck notwendig? Gibt es weniger einschneidende Alternativen? Sind Datenmenge und Verarbeitungsumfang auf das Minimum beschränkt (Datensparsamkeit, Art. 5 Abs. 1 lit. c)?

3

Risiken für Betroffene identifizieren

Analysieren Sie Risiken für Rechte und Freiheiten betroffener Personen: unbefugter Zugriff, Datenverlust, Diskriminierung, Identitätsdiebstahl, finanzielle Schäden. Bewerten Sie Eintrittswahrscheinlichkeit und Schwere.

4

Maßnahmen zur Risikominderung

Definieren Sie technische und organisatorische Maßnahmen (TOM) zur Risikoreduzierung: Pseudonymisierung, Verschlüsselung, Zugangskontrollen, Löschkonzepte, Auftragsverarbeitungsverträge.

5

Beratung durch den DSB

Ist ein Datenschutzbeauftragter (DSB) bestellt, muss dieser vor Beginn der DSFA hinzugezogen werden (Art. 35 Abs. 2 DSGVO). Dokumentieren Sie Zeitpunkt und Ergebnis der Beratung.

6

Vorherige Konsultation der Aufsichtsbehörde

Ist das Restrisiko nach Risikomaßnahmen weiterhin hoch, muss die zuständige Aufsichtsbehörde (in Deutschland: Landesbehörde oder BfDI) vorab konsultiert werden (Art. 36 DSGVO).

Empfohlene Dokumentstruktur der DSFA

# Datenschutz-Folgenabschätzung (DSFA)

nach Art. 35 DSGVO | Stand: [Datum] | Ersteller: [Name/DSB]

## 1. Beschreibung der Verarbeitungstätigkeit

## 2. Zweck und Notwendigkeit

## 3. Bewertung der Notwendigkeit und Verhältnismäßigkeit

## 4. Risiken für betroffene Personen

### 4.1 Identifizierte Risiken (Tabelle: Risiko | Wahrscheinlichkeit | Schwere)

### 4.2 Risikobewertung gesamt

## 5. Maßnahmen zur Risikoreduzierung

### 5.1 Technische Maßnahmen (TOM)

### 5.2 Organisatorische Maßnahmen

## 6. Restrisiko nach Maßnahmen

## 7. Konsultation Datenschutzbeauftragter

## 8. Entscheidung (Freigabe / Aufsichtsbehörde kontaktieren)

## 9. Überprüfung und Aktualisierung

Bußgelder bei unterlassener DSFA

Wird eine Datenschutz-Folgenabschätzung nicht durchgeführt, obwohl sie nach Art. 35 DSGVO erforderlich wäre, droht ein Bußgeld gemäß Article 83(5) von bis zu 20.000.000 € oder 4 % des weltweiten Jahresumsatzes. Europäische Aufsichtsbehörden prüfen zunehmend die DSFA-Pflicht bei KI-Systemen und großangelegten Datenverarbeitungen.

DSGVO-Compliance prüfen

Überprüfen Sie Ihre DSGVO-Compliance — kostenlos, ohne Registrierung. EuroComply deckt VVT, AVV und DSFA-Pflichten in einem Check ab.

DSGVO-Checker starten AVV-Muster ansehen

Diese Vorlage dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Maßgeblich ist die Verordnung (EU) 2016/679 (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Die DSK-Blacklist (Liste der Verarbeitungsvorgänge mit DSFA-Pflicht) sollte regelmäßig überprüft werden. Letzte Überprüfung: Juni 2026.