Datenschutz-Folgenabschätzung (DSFA): Wann sie Pflicht ist und wie du sie durchführst
Die DSFA nach Art. 35 DSGVO ist bei Hochrisiko-Verarbeitungen Pflicht. Erfahre, wann du eine DSFA brauchst, wie der Ablauf aussieht und welche Vorlagen es gibt.
Die Datenschutz-Folgenabschätzung (DSFA) ist eines der zentralen Instrumente der DSGVO für den risikobasierten Datenschutz. Nach Art. 35 DSGVO muss eine DSFA durchgeführt werden, wenn eine Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. In der Praxis ist die DSFA für viele Unternehmen relevant — insbesondere wenn Tracking, Profiling, Videoüberwachung oder die Verarbeitung von Gesundheitsdaten im Spiel sind.
Dieser Artikel erklärt, wann eine DSFA Pflicht ist, wie die Schwellwertanalyse funktioniert, wie du eine DSFA in 7 Schritten durchführst und welche Vorlagen und Tools die deutschen Aufsichtsbehörden bereitstellen.
Was ist eine DSFA?
Eine Datenschutz-Folgenabschätzung (englisch: Data Protection Impact Assessment, DPIA) ist eine systematische Analyse der Risiken, die eine geplante Datenverarbeitung für die betroffenen Personen mit sich bringt. Sie dient dazu:
- Risiken frühzeitig zu erkennen — bevor die Verarbeitung beginnt
- Gegenmaßnahmen zu definieren — um Risiken auf ein vertretbares Maß zu reduzieren
- Die Rechenschaftspflicht zu erfüllen — dokumentierter Nachweis der Risikobetrachtung (Art. 5 Abs. 2 DSGVO)
Die DSFA muss vor Beginn der Verarbeitung durchgeführt werden (Art. 35 Abs. 1: “vor der Verarbeitung”). Eine nachträgliche DSFA ist möglich und empfehlenswert, wenn eine bestehende Verarbeitung bisher nicht bewertet wurde — aber sie ist kein Ersatz für die rechtzeitige Durchführung.
Wann ist eine DSFA Pflicht?
Pflichttatbestände nach Art. 35 Abs. 3 DSGVO
Die DSGVO nennt drei Fälle, in denen eine DSFA zwingend durchgeführt werden muss:
| Tatbestand | Beispiel |
|---|---|
| Systematische und umfassende Bewertung persönlicher Aspekte (Profiling mit rechtlicher Wirkung) | Scoring bei Kreditvergabe, automatisierte Bewerberbewertung |
| Umfangreiche Verarbeitung besonderer Datenkategorien (Art. 9) oder strafrechtlich relevanter Daten (Art. 10) | Krankenhaus-IT, genetische Forschung, Patientenakten in großem Umfang |
| Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche | Videoüberwachung von Einkaufsstrassen, WLAN-Tracking in Einkaufszentren |
Positivliste der DSK (Muss-Liste)
Die Datenschutzkonferenz (DSK) hat eine Positivliste veröffentlicht, die konkrete Verarbeitungstätigkeiten benennt, für die eine DSFA durchzuführen ist. Auszüge:
| Nr. | Verarbeitungstätigkeit | Typische Betroffene |
|---|---|---|
| 1 | Scoring und Bewertung (Bonitat, Kreditwürdigkeit) | Verbraucher |
| 2 | Automatisierte Einzelfallentscheidung (Art. 22 DSGVO) | Bewerber, Versicherte |
| 3 | Systematische Überwachung von Beschäftigten | Arbeitnehmer |
| 4 | Big-Data-Analysen von Kundendaten | Kunden, Nutzer |
| 5 | Profiling mit Gesundheits-, Verhaltens- oder Standortdaten | Nutzer, Patienten |
| 6 | Zusammenführung von Daten aus verschiedenen Quellen | Verbraucher |
| 7 | Verarbeitung von Daten schutzbedürftiger Personen (Kinder, Patienten, Beschäftigte) | Kinder, Patienten |
| 8 | Einsatz neuer Technologien (KI, Biometrie, IoT) | Nutzer |
| 9 | Umfangreiche Videoüberwachung | Öffentlichkeit |
| 10 | Tracking und Profilbildung im Internet | Website-Besucher |
Quelle: DSK-Positivliste gemäß Art. 35 Abs. 4 DSGVO, veröffentlicht im Bundesanzeiger.
Die Schwellwertanalyse: Muss ich oder muss ich nicht?
Nicht jede Datenverarbeitung erfordert eine DSFA. Die Schwellwertanalyse hilft bei der Entscheidung. Die Leitlinien der Art.-29-Datenschutzgruppe (jetzt EDSA) benennen 9 Kriterien. Treffen mindestens zwei davon zu, ist eine DSFA in der Regel erforderlich:
| Nr. | Kriterium | Beispiel |
|---|---|---|
| 1 | Bewertung oder Scoring | Bonitätsprüfung, Gesundheitsrisiko-Score |
| 2 | Automatisierte Entscheidung mit rechtlicher Wirkung | Kreditvergabe, automatisierte Kündigung |
| 3 | Systematische Überwachung | Videoüberwachung, GPS-Tracking, Internet-Monitoring |
| 4 | Sensible Daten oder Daten höchstpersönlicher Natur | Gesundheitsdaten, politische Meinung, Strafregister |
| 5 | Umfangreiche Datenverarbeitung | Viele Betroffene, große Datenmenge, lange Dauer |
| 6 | Zusammenführung von Datensätzen | CRM + Website-Tracking + Social-Media-Daten |
| 7 | Daten schutzbedürftiger Personen | Kinder, Arbeitnehmer, Patienten, Asylsuchende |
| 8 | Einsatz neuer Technologien | KI-basierte Analyse, Fingerabdruck-Scanner, Gesichtserkennung |
| 9 | Verarbeitung, die Betroffene an Ausübung eines Rechts hindert | Zugangssteuerung zu Dienstleistungen basierend auf Scoring |
Praxistipp: Dokumentiere die Schwellwertanalyse auch dann, wenn du zu dem Ergebnis kommst, dass keine DSFA erforderlich ist. Das zeigt der Aufsichtsbehörde, dass du dich mit der Frage befasst hast (Rechenschaftspflicht).
Ablauf einer DSFA in 7 Schritten
Schritt 1: Verarbeitungsbeschreibung
Dokumentiere die geplante Verarbeitung vollständig:
- Zweck: Warum werden die Daten verarbeitet?
- Rechtsgrundlage: Art. 6 (und ggf. Art. 9) DSGVO
- Datenkategorien: Welche personenbezogenen Daten werden verarbeitet?
- Betroffene: Wessen Daten sind betroffen?
- Empfänger: An wen werden Daten übermittelt?
- Speicherdauer: Wie lange werden die Daten gespeichert?
- Technischer Ablauf: Wie fließen die Daten durch das System?
Schritt 2: Notwendigkeits- und Verhältnismäßigkeitsprüfung
Prüfe nach Art. 35 Abs. 7 lit. b DSGVO:
- Ist die Verarbeitung für den angegebenen Zweck erforderlich?
- Gibt es eine weniger eingreifende Alternative (Datenminimierung, Pseudonymisierung)?
- Ist der Zweck verhältnismäßig zum Eingriff in die Rechte der Betroffenen?
- Sind die Betroffenen ausreichend informiert (Transparenz)?
Schritt 3: Risiken identifizieren
Identifiziere alle Risiken für die Rechte und Freiheiten der betroffenen Personen. Typische Risikokategorien:
- Vertraulichkeitsverlust: Unbefugter Zugriff auf personenbezogene Daten
- Integritätsverlust: Veränderung oder Verfälschung von Daten
- Verfügbarkeitsverlust: Daten sind nicht mehr zugänglich (Datenverlust)
- Diskriminierung: Daten werden für benachteiligende Entscheidungen genutzt
- Identitätsdiebstahl: Daten ermöglichen Identitätsmissbrauch
- Finanzielle Schäden: Daten ermöglichen finanziellen Betrug
- Rufschädigung: Veröffentlichung sensibler Informationen
Schritt 4: Risikobewertung (Eintrittswahrscheinlichkeit x Schwere)
Bewerte jedes identifizierte Risiko nach zwei Dimensionen:
Eintrittswahrscheinlichkeit:
| Stufe | Beschreibung | Wert |
|---|---|---|
| Gering | Unwahrscheinlich, nur bei vorsätzlichem Angriff mit hohem Aufwand | 1 |
| Mittel | Möglich, erfordert gewisse technische Kenntnisse | 2 |
| Hoch | Wahrscheinlich, könnte durch einfache Fehler oder bekannte Schwachstellen eintreten | 3 |
| Sehr hoch | Nahezu sicher, wenn keine Gegenmaßnahmen getroffen werden | 4 |
Schwere des Schadens:
| Stufe | Beschreibung | Wert |
|---|---|---|
| Gering | Vorübergehende Unannehmlichkeiten, leicht behebbar | 1 |
| Mittel | Erhebliche Unannehmlichkeiten, aber überwindbar | 2 |
| Hoch | Ernsthafte Konsequenzen (finanzielle Verluste, Diskriminierung) | 3 |
| Sehr hoch | Irreversible Schäden (Gesundheitsgefährdung, Existenzbedrohung) | 4 |
Risikomatrix:
Schwere des Schadens
Gering Mittel Hoch Sehr hoch
Wahrsch. ------ ------ ---- ---------
Gering 1 2 3 4
Mittel 2 4 6 8
Hoch 3 6 9 12
Sehr hoch 4 8 12 16
- 1-4: Geringes Risiko — Maßnahmen empfohlen
- 6-9: Mittleres Risiko — Maßnahmen erforderlich
- 12-16: Hohes Risiko — Maßnahmen zwingend, ggf. Konsultation der Aufsichtsbehörde
Schritt 5: Maßnahmen zur Risikominimierung
Für jedes identifizierte Risiko definierst du Gegenmaßnahmen:
| Risiko | Maßnahme | Restrisiko |
|---|---|---|
| Unbefugter Datenzugriff | Verschlüsselung, RBAC, MFA | Gering |
| Datenverlust | Backups (3-2-1-Regel), Disaster Recovery | Gering |
| Tracking ohne Einwilligung | Cookie-Banner mit Script-Blocking | Gering |
| Profiling-Missbrauch | Pseudonymisierung, Zugriffsbeschränkung | Mittel |
| Drittlandtransfer-Risiko | EU-Hosting, SCCs, Transfer Impact Assessment | Mittel |
Schritt 6: Stellungnahme des Datenschutzbeauftragten
Art. 35 Abs. 2 DSGVO verlangt, dass der Rat des Datenschutzbeauftragten (DSB) eingeholt wird. Die Stellungnahme des DSB sollte schriftlich dokumentiert werden und enthalten:
- Bewertung der Risiken aus Sicht des DSB
- Empfehlungen für zusätzliche Maßnahmen
- Einschätzung, ob die geplanten Maßnahmen ausreichen
Schritt 7: Ergebnis und Entscheidung
Auf Basis der Risikobewertung und der geplanten Maßnahmen wird entschieden:
- Restrisiko akzeptabel: Verarbeitung kann beginnen
- Restrisiko nicht akzeptabel: Weitere Maßnahmen erforderlich
- Restrisiko trotz Maßnahmen hoch: Konsultation der Aufsichtsbehörde (Art. 36 DSGVO)
Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO
Wenn nach der DSFA trotz aller Maßnahmen ein hohes Restrisiko verbleibt, muss der Verantwortliche die zuständige Aufsichtsbehörde vor Beginn der Verarbeitung konsultieren (Art. 36 Abs. 1 DSGVO). Die Behörde hat 8 Wochen Zeit, schriftlich zu antworten — sie kann zusätzliche Maßnahmen empfehlen, die Verarbeitung einschränken oder keine Einwände erheben. In der Praxis sind Konsultationen selten, da sich Risiken meist durch geeignete TOM auf ein akzeptables Maß reduzieren lassen.
Beispiel-DSFA: Website-Tracking mit Google Analytics 4
Die folgende verkürzte DSFA illustriert den Ablauf für einen häufigen Anwendungsfall:
Verarbeitungsbeschreibung
- Zweck: Analyse des Nutzerverhaltens auf der Website zur Optimierung des Angebots
- Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
- Daten: IP-Adresse (anonymisiert), Seitenaufrufe, Verweildauer, Geräteinformationen, Referrer, Conversion-Events
- Betroffene: Website-Besucher (geschätzt: 50.000/Monat)
- Empfänger: Google Ireland Ltd. (Auftragsverarbeiter), ggf. Datentransfer an Google LLC (USA)
- Speicherdauer: 14 Monate (GA4 Standard)
Schwellwertanalyse
| Kriterium | Zutreffend? | Begründung |
|---|---|---|
| Bewertung/Scoring | Nein | Keine Bewertung einzelner Personen |
| Automatisierte Entscheidung | Nein | Keine rechtliche Wirkung |
| Systematische Überwachung | Ja | Tracking des Nutzerverhaltens über Seitenaufrufe hinweg |
| Sensible Daten | Nein | Keine besonderen Kategorien |
| Umfangreiche Verarbeitung | Ja | 50.000 Besucher/Monat |
| Zusammenführung | Möglich | Google kann Daten übergreifend verknüpfen |
| Schutzbedürftige Personen | Möglich | Kinder können betroffen sein |
Ergebnis: Mindestens 2 Kriterien treffen zu — DSFA empfehlenswert.
Risiken und Maßnahmen
| Risiko | Wahrsch. | Schwere | Score | Maßnahme |
|---|---|---|---|---|
| Tracking ohne Consent | Hoch | Hoch | 9 | Cookie-Banner mit Script-Blocking |
| Drittlandtransfer USA | Mittel | Hoch | 6 | DPF-Zertifizierung prüfen, IP-Anonymisierung |
| Profilbildung durch Google | Mittel | Mittel | 4 | Google Signals deaktivieren, keine User-ID |
| Zugriff auf Rohdaten durch Dritte | Gering | Hoch | 3 | Zugriffssteuerung im GA4-Account |
Ergebnis
Mit den definierten Maßnahmen (Cookie-Banner mit Script-Blocking, IP-Anonymisierung, Google Signals deaktiviert) ist das Restrisiko auf ein akzeptables Maß reduziert. Eine Konsultation der Aufsichtsbehörde ist nicht erforderlich.
DSFA-Vorlagen und Tools
| Quelle | Ressource | Sprache |
|---|---|---|
| DSK | Kurzpapier Nr. 5 (Schritt-für-Schritt-Anleitung, Prüfschema) | Deutsch |
| CNIL | PIA Tool (Open-Source, generiert PDF-Dokumentation) | Englisch/Französisch |
| BayLDA | Muster-DSFAs für verschiedene Verarbeitungen | Deutsch |
| EDSA | Leitlinien WP 248 rev.01 (maßgebliche Interpretationshilfe) | Deutsch/Englisch |
| ICO (UK) | Screening-Checklist und DPIA-Template | Englisch |
Praxis-Checkliste: DSFA durchführen
- Schwellwertanalyse durchführen: Treffen mindestens 2 der 9 EDSA-Kriterien zu?
- Ergebnis der Schwellwertanalyse dokumentieren (auch wenn keine DSFA nötig ist)
- Verarbeitungsbeschreibung erstellen (Zweck, Rechtsgrundlage, Daten, Betroffene, Empfänger)
- Notwendigkeit und Verhältnismäßigkeit der Verarbeitung prüfen
- Risiken für die Betroffenen systematisch identifizieren
- Risikobewertung durchführen (Eintrittswahrscheinlichkeit x Schwere)
- Gegenmaßnahmen für jedes Risiko definieren
- Restrisiko nach Maßnahmen bewerten
- Stellungnahme des DSB einholen und dokumentieren
- Bei hohem Restrisiko: Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO
- DSFA-Dokument zentral ablegen und versionieren
- Regelmäßige Überprüfung der DSFA planen (mindestens bei Änderungen an der Verarbeitung)
Fazit: DSFA als Chance
Die DSFA wird oft als bürokratische Pflicht wahrgenommen. In der Praxis ist sie aber ein wertvolles Instrument: Sie zwingt dazu, Risiken systematisch zu durchdenken, bevor etwas schiefgeht. Unternehmen, die DSFAs ernsthaft durchführen, erkennen Schwachstellen frühzeitig und können Maßnahmen ergreifen, bevor ein Datenschutzvorfall eintritt.
Der Compliso Content-Generator unterstützt bei der Erstellung von Datenschutzerklärungen und Rechtstexten, die auf den Ergebnissen deiner DSFA aufbauen. Und der Compliso Scanner prüft die technischen Maßnahmen deiner Website automatisch — von Security-Headers über Cookie-Consent bis hin zu Drittanbieter-Verbindungen.
Starte jetzt mit einem kostenlosen Website-Scan und lege die technische Grundlage für deine nächste DSFA.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.