Datenschutz

DSFA-Software: Tools für die Folgenabschätzung

DSFA-Software 2026: kostenloses CNIL-PIA-Tool gegen integrierte Plattformen, Schwellwertanalyse, DSK-Muss-Liste und behördentaugliche Dokumentation.

Welche DSFA-Software eignet sich für die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO? Kurzantwort: Für einzelne, klar abgegrenzte Fälle genügt das kostenlose PIA-Tool der französischen Aufsichtsbehörde CNIL. Sobald Folgenabschätzungen regelmäßig anfallen, mit dem Verzeichnis verknüpft und gegenüber deutschen Landesbehörden nachgewiesen werden müssen, ist eine integrierte Plattform die rationale Wahl — sie verbindet Schwellwertanalyse, DSK-Muss-Liste, Workflow mit dem Datenschutzbeauftragten und revisionssichere Dokumentation. Dieser Vergleich zeigt, welches Werkzeug zu welchem Bedarf passt und woran eine DSFA in der Prüfung scheitert.

Key Takeaways

  • Eine DSFA ist nach Art. 35 DSGVO Pflicht, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für Betroffene birgt.
  • Die deutsche DSK-Muss-Liste definiert Verarbeitungen, für die eine DSFA zwingend ist — Videoüberwachung, KI-gestützte Bewertung, umfangreiche Gesundheitsdaten.
  • Das CNIL-PIA-Tool ist kostenlos und solide für Einzelfälle; es kennt aber weder die deutsche Muss-Liste noch die Verknüpfung mit Verzeichnis und AVV.
  • Integrierte Plattformen lohnen sich, sobald DSFA wiederkehrend sind und in ein Datenschutz-Management-System eingebettet werden müssen.

Wann eine DSFA Pflicht ist

Art. 35 Abs. 1 DSGVO verlangt eine Datenschutz-Folgenabschätzung, wenn eine Verarbeitung — insbesondere unter Einsatz neuer Technologien — voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Art. 35 Abs. 3 nennt drei Regelbeispiele: systematische umfangreiche Bewertung persönlicher Aspekte (Profiling), umfangreiche Verarbeitung besonderer Datenkategorien und systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Konkret wird es durch die Muss-Liste der Datenschutzkonferenz (DSK). Dieses Gremium aller deutschen Aufsichtsbehörden hat eine Liste von Verarbeitungen veröffentlicht, für die eine DSFA verpflichtend ist — etwa der Einsatz von Videoüberwachung zur Verhaltensanalyse, KI-gestützte Bewertungen von Beschäftigten oder Kunden und die umfangreiche Verarbeitung von Gesundheitsdaten. Wer in Deutschland eine DSFA-Software wählt, muss prüfen, ob diese Liste im Produkt hinterlegt ist. Die Grundlagen erklärt unser Beitrag zur Datenschutz-Folgenabschätzung und zur DSFA-Pflicht nach Art. 35 im Detail.

Die Schwellwertanalyse: der Schritt vor der DSFA

Bevor eine vollständige DSFA erstellt wird, steht die Schwellwertanalyse — die Prüfung, ob überhaupt eine DSFA nötig ist. Sie ist selbst dokumentationspflichtig: Auch die begründete Entscheidung, dass keine DSFA erforderlich ist, muss festgehalten werden. In einer Behördenprüfung ist die fehlende Schwellwertanalyse ein häufiger Mangel — das Unternehmen hat schlicht nie dokumentiert, warum es für eine riskante Verarbeitung keine DSFA gemacht hat.

Gute DSFA-Software führt diese Vorprüfung strukturiert: Sie fragt Kriterien ab (Umfang, Sensibilität, Betroffenenzahl, neue Technologie), gleicht sie gegen die DSK-Liste ab und leitet daraus eine begründete Empfehlung ab. Ein reines DSFA-Formular ohne Schwellwertanalyse springt einen Schritt zu spät ein.

Worked Example: eine Schwellwertanalyse gegen die DSK-Muss-Liste. Ein Einzelhändler plant eine Videoüberwachung der Verkaufsfläche zur Diebstahlprävention. Die Schwellwertanalyse arbeitet die Kriterien Schritt für Schritt ab. Erstens die DSK-Muss-Liste: Sie nennt die umfangreiche Verarbeitung von Daten über das Verhalten von Beschäftigten oder Kunden mittels optisch-elektronischer Einrichtungen ausdrücklich — schon dieser eine Treffer macht die DSFA zwingend, unabhängig vom weiteren Ergebnis. Zweitens die EDPB-Kriterien: systematische Überwachung (ja, dauerhaft), Erfassung schutzbedürftiger Personen (Kunden, auch Minderjährige), innovative Technologie (bei KI-gestützter Verhaltensanalyse ja) — bereits zwei erfüllte Kriterien lösen nach der EDPB-Leitlinie die DSFA-Pflicht aus. Drittens die Regelbeispiele aus Art. 35 Abs. 3: Die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche ist dort namentlich genannt.

Das Ergebnis ist eindeutig: DSFA erforderlich. Entscheidend ist aber, dass diese Prüfung dokumentiert wird — mit Datum, geprüften Kriterien und Begründung. Kippt das Beispiel ins Gegenteil (eine einzelne Kamera nur auf den Kasseneingang, kurze Speicherfrist, keine Verhaltensanalyse), lautet das Ergebnis womöglich „keine DSFA nötig" — auch dann muss die begründete Entscheidung festgehalten werden, denn die Behörde fragt in der Prüfung genau nach dieser Vorüberlegung. Software, die DSK-Liste und EDPB-Kriterien als Fragebogen hinterlegt, erzwingt diese Dokumentation und verhindert den häufigsten Mangel: die riskante Verarbeitung, für die niemand je begründet hat, warum keine DSFA gemacht wurde.

Der Zeitpunkt ist dabei ebenso wichtig wie das Ergebnis. Die Schwellwertanalyse gehört an den Anfang der Planung — bevor die Kamera montiert oder das KI-Modul lizenziert wird. Wird sie erst nachträglich erstellt, hat die Behörde bereits den formalen Ansatzpunkt für eine Beanstandung: eine risikoreiche Verarbeitung, die ohne vorherige Risikoprüfung startete. Genau deshalb koppeln integrierte Plattformen die Schwellwertanalyse an den Moment, in dem eine neue Verarbeitung ins Verzeichnis aufgenommen wird — die Prüfung wird ausgelöst, bevor der Betrieb beginnt, nicht erst, wenn die Aufsicht fragt.

Werkzeuge im Vergleich

Kriterium CNIL-PIA-Tool Integrierte DSMS-Plattform
Preis kostenlos Teil des Plattform-Abos
Schwellwertanalyse rudimentär strukturiert, DSK-basiert
DSK-Muss-Liste nicht hinterlegt integriert
Verknüpfung mit VVT keine Verarbeitung ↔ DSFA verbunden
Workflow mit DSB manuell Freigabe, Wiedervorlage, Nachweis
Mehrere DSFA verwalten einzeln, lokal zentral, versioniert
Behörden-Export PDF, generisch strukturiert, deutsch
Aktualisierung bei Änderung manuell neu Trigger aus dem Verzeichnis

Das CNIL-PIA-Tool ist ein ernstzunehmendes Werkzeug — es folgt der Methodik der französischen Aufsichtsbehörde, ist quelloffen und kostenlos. Für ein Unternehmen mit ein oder zwei DSFA im Jahr ist es ausreichend. Seine Grenze ist die Isolation: Es kennt Ihr Verzeichnis nicht, erinnert an keine Überprüfung und bildet die deutsche Muss-Liste nicht ab. Details zu den einzelnen Behörden finden Sie direkt bei der CNIL und der deutschen Datenschutzkonferenz.

Integrierte Plattformen (etwa Legiscope, DataGuard oder OneTrust im Enterprise-Segment) betten die DSFA in den Datenschutz-Zyklus ein: Eine neue Verarbeitung im Verzeichnis löst die Schwellwertanalyse aus, die DSFA wird mit dem DSB freigegeben, Änderungen an der Verarbeitung triggern eine Überprüfung. Für Unternehmen mit regelmäßigen DSFA ist das der entscheidende Unterschied.

Drei DSFA-Fälle aus der Praxis

Videoüberwachung. Der häufigste DSFA-Fall im Mittelstand. Sobald Kameras öffentlich zugängliche Bereiche systematisch erfassen, greift die Muss-Liste. Die DSFA muss Zweck, Erforderlichkeit, mildere Mittel, Speicherdauer und Betroffenenrechte abwägen — und wird von Landesbehörden regelmäßig angefordert.

KI-Einsatz. Ein KI-System zur Bewertung von Bewerbern oder zur Betrugserkennung verbindet Profiling mit potenziell automatisierten Entscheidungen. Hier überlagern sich DSFA-Pflicht und die Vorgaben zu automatisierten Entscheidungen nach Art. 22 DSGVO — und ab 2026 die Anforderungen der KI-Verordnung. Eine solche DSFA gehört in die Hände des DSB, nicht in ein Freitextformular.

Gesundheitsdaten. Die umfangreiche Verarbeitung von besonderen Datenkategorien nach Art. 9 — in Praxen, Kliniken, bei Versicherern — ist Muss-Liste-Fall. Die DSFA muss hier besonders sorgfältig sein, weil das Schadenspotenzial hoch ist und § 203 StGB zusätzlich greift.

In allen drei Fällen liefert eine Vorlage den Rahmen; unsere DSFA-Vorlage zeigt die Pflichtbestandteile. Software macht daraus einen wiederholbaren, nachweisbaren Prozess.

Was in der Behördenprüfung zählt

Deutsche Aufsichtsbehörden fragen die DSFA nicht abstrakt ab, sondern anhand konkreter Verarbeitungen. In einer Prüfung will die Behörde sehen: Existiert für die riskante Verarbeitung eine DSFA? Wurde sie vor Beginn der Verarbeitung erstellt (nicht nachträglich)? Ist der DSB beteiligt worden (Art. 35 Abs. 2)? Und: Wurde bei verbleibendem hohem Risiko die Aufsichtsbehörde konsultiert (Art. 36)?

An diesen vier Punkten scheitern viele Unternehmen. Die DSFA wurde erst nach der Beanstandung erstellt, der DSB stand nicht auf dem Dokument, oder die vorherige Konsultation nach Art. 36 wurde übersehen. Software mit Freigabe-Workflow und Zeitstempel liefert genau diese Nachweise: Sie dokumentiert, wann die DSFA erstellt wurde, wer sie freigegeben hat und ob eine Konsultation nötig war. Ein Papierkonzept kann den Zeitpunkt nicht belegen.

Ein häufiger Trugschluss: Die DSFA sei ein einmaliges Dokument. Tatsächlich ist sie an die Verarbeitung gebunden — ändert sich die Verarbeitung wesentlich, ist die DSFA zu überprüfen. Nur eine Software, die DSFA und Verzeichnis verbindet, erkennt solche Änderungen und erzwingt die Aktualisierung.

Auswahl und Kosten

Als eigenständiges Produkt ist DSFA-Software selten sinnvoll — sie ist Teil einer Plattform. Für ein KMU liegt eine DSMS-Plattform mit DSFA-Modul bei 2.000 bis 12.000 € pro Jahr; das CNIL-Tool ist der kostenlose Einstieg für Einzelfälle. Der breitere Anbietervergleich mit Preisen steht in unserem DSGVO-Software-Vergleich. Die Faustregel: Bis zwei DSFA im Jahr reicht das freie Tool plus eine gute Vorlage; ab regelmäßigen Fällen mit Behördenkontakt rechnet sich die integrierte Lösung.

FAQ

Ist das kostenlose CNIL-PIA-Tool für Deutschland ausreichend?

Für Einzelfälle ja. Es folgt einer soliden Methodik und ist quelloffen. Für den deutschen Einsatz fehlen ihm aber die DSK-Muss-Liste, die Verknüpfung mit dem Verarbeitungsverzeichnis und der behördentaugliche deutsche Export. Wer regelmäßig DSFA erstellt oder sie gegenüber einer Landesbehörde nachweisen muss, stößt schnell an seine Grenzen.

Wann brauche ich zwingend eine DSFA?

Immer, wenn eine Verarbeitung voraussichtlich ein hohes Risiko birgt (Art. 35 Abs. 1) oder auf der DSK-Muss-Liste steht — etwa Videoüberwachung öffentlicher Bereiche, KI-gestützte Bewertungen oder die umfangreiche Verarbeitung von Gesundheitsdaten. Auch die begründete Entscheidung gegen eine DSFA muss über eine Schwellwertanalyse dokumentiert werden.

Was unterscheidet DSFA-Software von einer DSFA-Vorlage?

Eine Vorlage gibt die Struktur vor und muss für jeden Fall neu ausgefüllt werden. Software führt den Prozess: Schwellwertanalyse, Freigabe-Workflow mit dem DSB, Wiedervorlagen bei Änderungen und die Verknüpfung mit dem Verzeichnis. Für einzelne Fälle reicht die Vorlage; für wiederkehrende ist der Prozess der Mehrwert.

Muss die DSFA aktualisiert werden?

Ja. Ändert sich die Verarbeitung wesentlich — neue Technologie, größerer Umfang, andere Datenkategorien — ist die DSFA zu überprüfen. Gute Software erkennt solche Änderungen über die Verknüpfung mit dem Verzeichnis und löst eine Wiedervorlage aus, statt dass die DSFA nach der Ersterstellung veraltet.

Fazit

Die DSFA ist der Punkt, an dem Datenschutz von der Dokumentation zur echten Risikobewertung wird — und der am häufigsten übersehene Schritt in deutschen Prüfungen. Das kostenlose CNIL-Tool ist ein ehrlicher Einstieg für Einzelfälle. Sobald Folgenabschätzungen regelmäßig anfallen, mit dem Verzeichnis verbunden und gegenüber der Aufsicht nachgewiesen werden müssen, ist die integrierte Plattform die wirtschaftliche Wahl. Entscheidend ist nicht das schönste Formular, sondern der Prozess dahinter: Schwellwertanalyse, Freigabe, Wiedervorlage — nachweisbar.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →