Die Datenschutz-Folgenabschätzung (DSFA) ist eines der wichtigsten Instrumente der DSGVO zur Identifizierung und Minimierung von Datenschutzrisiken. Gemäß Artikel 35 der Datenschutz-Grundverordnung muss eine DSFA durchgeführt werden, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Trotz dieser klaren Anforderung zeigt eine Untersuchung der Aufsichtsbehörden, dass rund 55% der Unternehmen, die zu einer Datenschutz-Folgenabschätzung verpflichtet sind, keine oder nur unvollständige DSFAs durchführen.
Dieser Leitfaden erklärt systematisch, wann eine Datenschutz-Folgenabschätzung erforderlich ist, wie sie durchgeführt wird und welche Mindestinhalte sie umfassen muss. Für den englischsprachigen Überblick empfehlen wir unseren Data Protection Impact Assessment Guide.
Was ist eine Datenschutz-Folgenabschätzung?
Eine Datenschutz-Folgenabschätzung ist ein strukturierter Prozess zur Bewertung der Auswirkungen einer geplanten Datenverarbeitung auf den Schutz personenbezogener Daten. Sie dient dazu, Risiken frühzeitig zu erkennen und geeignete Gegenmaßnahmen zu ergreifen, bevor die Verarbeitung beginnt.
Rechtsgrundlage und Abgrenzung
Artikel 35 DSGVO verpflichtet den Verantwortlichen zur Durchführung einer Datenschutz-Folgenabschätzung, wenn eine Verarbeitung insbesondere unter Verwendung neuer Technologien aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die DSFA ist stets vor Beginn der geplanten Verarbeitung durchzuführen — nicht erst nachträglich.
Die Datenschutz-Folgenabschätzung unterscheidet sich von einer allgemeinen IT-Risikoanalyse. Während eine IT-Risikoanalyse primär die Sicherheit der Systeme betrachtet, fokussiert die DSFA auf die Auswirkungen der Verarbeitung auf die betroffenen Personen. Sie berücksichtigt nicht nur technische Risiken, sondern auch Risiken für Grundrechte wie Privatsphäre, Diskriminierungsfreiheit und informationelle Selbstbestimmung. Die DSGVO Anforderungen geben den regulatorischen Rahmen für dieses Instrument vor.
Wann ist eine Datenschutz-Folgenabschätzung erforderlich?
Die Frage, wann eine DSFA durchgeführt werden muss, ist eine der häufigsten in der Datenschutzpraxis. Artikel 35 DSGVO nennt drei Regelbeispiele und verpflichtet die Aufsichtsbehörden zur Erstellung von Positivlisten.
Regelbeispiele und Positivlisten
Die DSGVO nennt drei Fälle, in denen eine Datenschutz-Folgenabschätzung in jedem Fall erforderlich ist: erstens bei automatisierten Einzelentscheidungen einschließlich Profiling, die rechtliche Wirkung entfalten oder die betroffene Person erheblich beeinträchtigen; zweitens bei der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9 DSGVO; und drittens bei der systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche, etwa durch Videoüberwachung.
Zusätzlich haben die Aufsichtsbehörden Positivlisten erstellt, die weitere Verarbeitungstätigkeiten benennen, für die eine DSFA erforderlich ist. Die Berliner Datenschutzbeauftragte hat eine solche Liste veröffentlicht, die unter anderem die Verarbeitung biometrischer Daten zur Identifizierung, Scoring-Verfahren und die Zusammenführung großer Datenbestände umfasst. Auch der BfDI bietet Orientierungshilfen zur DSFA an.
Zwei-Kriterien-Regel des EDPB
Der Europäische Datenschutzausschuss (EDPB) hat neun Kriterien identifiziert, die auf ein hohes Risiko hinweisen. Wenn mindestens zwei dieser Kriterien erfüllt sind, ist in der Regel eine Datenschutz-Folgenabschätzung durchzuführen. Die Kriterien umfassen unter anderem Bewertung und Scoring, automatisierte Entscheidungsfindung, systematische Überwachung, Verarbeitung sensibler Daten, umfangreiche Datenverarbeitung, Abgleich von Datenbeständen, Daten schutzbedürftiger Personen, innovative Nutzung neuer Technologien und Verarbeitungen, die betroffene Personen an der Ausübung ihrer Rechte hindern. Diese Kriterien bieten Unternehmen eine praktische Orientierungshilfe, um zu beurteilen, ob eine DSFA erforderlich ist. Im Zweifelsfall empfehlen Aufsichtsbehörden, eine DSFA durchzuführen, da das Unterlassen mit erheblichen Sanktionsrisiken verbunden ist.
Durchführung einer Datenschutz-Folgenabschätzung
Die DSGVO schreibt keinen bestimmten Ablauf vor, definiert jedoch Mindestinhalte in Artikel 35 Absatz 7. Die folgende Methodik hat sich in der Praxis bewährt. Unsere DSGVO Checkliste kann als ergänzender Ausgangspunkt dienen.
Systematische Beschreibung und Risikobewertung
Im ersten Schritt beschreiben Sie die geplante Verarbeitung umfassend und systematisch. Die Beschreibung muss Art, Umfang, Umstände und Zwecke der Verarbeitung enthalten, die Rechtsgrundlage dokumentieren, die verfolgten berechtigten Interessen benennen und eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung umfassen.
Im zweiten Schritt bewerten Sie die Risiken für die Rechte und Freiheiten der betroffenen Personen. Dabei sind sowohl die Eintrittswahrscheinlichkeit als auch die Schwere des potenziellen Schadens zu berücksichtigen. Typische Risikokategorien umfassen unbefugten Zugang zu personenbezogenen Daten, unberechtigte Veränderung oder Löschung von Daten, Diskriminierung aufgrund automatisierter Entscheidungen, Identitätsdiebstahl, finanzielle Verluste für betroffene Personen und Rufschädigung oder soziale Benachteiligung. In der EU waren im vergangenen Jahr 38% der gemeldeten Datenschutzverletzungen auf unbefugten Zugriff durch interne Mitarbeiter zurückzuführen.
Maßnahmen zur Risikominderung
Definieren Sie technische und organisatorische Maßnahmen, die die identifizierten Risiken auf ein akzeptables Niveau reduzieren. Bewährte Maßnahmen umfassen Pseudonymisierung, Verschlüsselung, Zugangsbeschränkungen, Datenminimierung und regelmäßige Sicherheitsaudits. Die gewählten Maßnahmen müssen in einem angemessenen Verhältnis zu den identifizierten Risiken stehen und sollten die Eintrittswahrscheinlichkeit und die Schwere möglicher Schäden gleichermaßen adressieren. Dabei ist es wichtig, die Wirksamkeit der Maßnahmen regelmäßig zu evaluieren und bei Bedarf anzupassen. Eine dokumentierte Nachverfolgung der umgesetzten Maßnahmen erleichtert den Nachweis der Compliance gegenüber den Aufsichtsbehörden erheblich und reduziert das Risiko von Sanktionen bei späteren Prüfungen. Das Auskunftsrecht nach DSGVO und das Recht auf Löschung müssen bei der Gestaltung der Maßnahmen ebenfalls berücksichtigt werden.
Beteiligte und Verantwortlichkeiten
Die Durchführung einer Datenschutz-Folgenabschätzung erfordert die Zusammenarbeit verschiedener Funktionen innerhalb der Organisation. Der Verantwortliche trägt die Gesamtverantwortung für die Durchführung der DSFA. Der Datenschutzbeauftragte muss gemäß Artikel 35 Absatz 2 DSGVO um seinen Rat ersucht werden — seine Einbindung ist gesetzlich vorgeschrieben. Die Fachabteilungen liefern die fachliche Expertise zu den Verarbeitungsprozessen, und die IT-Abteilung bewertet die technischen Risiken und schlägt Schutzmaßnahmen vor.
Artikel 35 Absatz 9 DSGVO empfiehlt zudem, die Standpunkte der betroffenen Personen oder ihrer Vertreter einzuholen, sofern dies angemessen und durchführbar ist. In der Praxis geschieht dies häufig durch Befragungen, Fokusgruppen oder die Einbindung von Betriebsräten. Die frühzeitige Einbindung aller relevanten Akteure erhöht nicht nur die Qualität der DSFA, sondern stärkt auch die Akzeptanz der daraus resultierenden Maßnahmen innerhalb der Organisation. Unternehmen sollten die Zuständigkeiten und Mitwirkungspflichten klar in einer internen Richtlinie definieren, um den Ablauf der Datenschutz-Folgenabschätzung zu standardisieren und wiederholbare Prozesse zu schaffen.
Ergebnisse und Folgemaßnahmen
Nach Abschluss der DSFA muss der Verantwortliche die Ergebnisse bewerten und entsprechende Maßnahmen ergreifen. Wenn die Datenschutz-Folgenabschätzung ergibt, dass die Verarbeitung trotz der vorgesehenen Maßnahmen ein hohes Restrisiko aufweist, muss der Verantwortliche gemäß Artikel 36 DSGVO die Aufsichtsbehörde vor Beginn der Verarbeitung konsultieren. Die Aufsichtsbehörde hat dann bis zu acht Wochen Zeit, um eine Stellungnahme abzugeben.
Die DSFA muss vollständig dokumentiert und aufbewahrt werden. Sie ist kein einmaliger Vorgang, sondern muss regelmäßig überprüft und aktualisiert werden — insbesondere wenn sich die Risiken der Verarbeitung ändern. Der GDPR Fines Guide zeigt, dass fehlende oder unvollständige DSFAs regelmäßig zu Sanktionen führen. In der Vergangenheit haben Aufsichtsbehörden Bußgelder in sechsstelliger Höhe gegen Unternehmen verhängt, die eine erforderliche Datenschutz-Folgenabschätzung unterlassen hatten. Die regelmäßige Überprüfung bestehender DSFAs sollte daher fester Bestandteil des Datenschutz-Managementsystems sein, um sowohl rechtliche Risiken als auch potenzielle Schäden für betroffene Personen zu minimieren.
FAQ
Muss jedes Unternehmen eine Datenschutz-Folgenabschätzung durchführen?
Nein, eine DSFA ist nur dann erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt. Für Standardverarbeitungen wie die reguläre Lohn- und Gehaltsabrechnung oder die übliche Kundenverwaltung ist in der Regel keine DSFA notwendig.
Welche Mindestinhalte muss eine DSFA haben?
Eine DSFA muss gemäß Artikel 35 Absatz 7 DSGVO mindestens enthalten: eine systematische Beschreibung der Verarbeitungsvorgänge und ihrer Zwecke, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Bewertung der Risiken für die betroffenen Personen sowie die vorgesehenen Abhilfemaßnahmen und Sicherheitsvorkehrungen.
Wie oft muss eine Datenschutz-Folgenabschätzung aktualisiert werden?
Die DSGVO schreibt keine feste Aktualisierungsfrist vor. Eine Überprüfung ist jedoch erforderlich, wenn sich die Risiken der Verarbeitung wesentlich ändern — beispielsweise bei neuen Technologien, geänderten Verarbeitungszwecken oder veränderten Rahmenbedingungen. In der Praxis empfehlen Aufsichtsbehörden eine Überprüfung mindestens alle drei Jahre. Besondere Aktualität erhält die DSFA-Pflicht durch das Inkrafttreten der zentralen Vorschriften der EU-KI-Verordnung am 2. August 2026: Da der Einsatz von KI-Systemen mit personenbezogenen Daten regelmäßig die Kriterien für ein hohes Risiko erfüllt, ist eine DSFA bei nahezu allen geschäftlichen KI-Projekten erforderlich — ergänzt durch die neue Grundrechte-Folgenabschätzung nach Artikel 27 der KI-Verordnung für Betreiber von Hochrisiko-KI-Systemen.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
