Datenschutz

DSFA Vorlage 2026: Datenschutz-Folgenabschätzung Art. 35 DSGVO + Muster

DSFA-Vorlage 2026 nach Art. 35 DSGVO: vollständiges Muster der Datenschutz-Folgenabschätzung zum Kopieren, mit Risikomatrix und Anpassungsanleitung.

In einem Satz. Eine DSFA-Vorlage strukturiert die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO — Pflicht bei Verarbeitungen mit voraussichtlich hohem Risiko — in vier Bausteine: Beschreibung der Verarbeitung, Prüfung von Erforderlichkeit und Verhältnismäßigkeit, Bewertung der Risiken für Betroffene und Festlegung von Abhilfemaßnahmen (Art. 35 Abs. 7).

Wer KI-Systeme, umfangreiche Gesundheitsdaten oder systematische Überwachung einsetzt, muss vor Beginn eine DSFA durchführen. Diese Vorlage folgt Art. 35 Abs. 7 und der bewährten CNIL/ISO-29134-Methodik. Grundlagen im DSFA-Leitfaden und im Beitrag zur DSFA-Pflicht nach Art. 35.

Wichtige Punkte

  • Pflicht bei „voraussichtlich hohem Risiko" (drei Auslöser Abs. 3 + DSK-Liste).
  • Vier Pflichtinhalte nach Abs. 7.
  • DSB ist zwingend einzubeziehen (Abs. 2).
  • Bei verbleibendem hohem Risiko: Konsultation der Aufsicht (Art. 36).
  • Vor Beginn der Verarbeitung durchzuführen.

Wann ist eine DSFA Pflicht?

Auslöser (Art. 35 Abs. 3) Beispiel
lit. a: systematische Bewertung + automatisierte Entscheidung Scoring, KI-Bewerberauswahl
lit. b: umfangreiche Verarbeitung Art. 9/10-Daten Krankenhaus-Informationssystem
lit. c: systematische Überwachung öffentlicher Bereiche Videoüberwachung Verkehrsflächen

Ergänzend gilt die DSK-Liste (Datenschutzkonferenz) mit deutschen Pflichtfällen: Bonitätsscoring, biometrische Identifikation, Smart-Meter-Rollout, Beschäftigtenüberwachung u. a. Bei automatisierten Einzelentscheidungen lohnt der Blick auf Art. 22 DSGVO.

Das DSFA-Muster

DATENSCHUTZ-FOLGENABSCHÄTZUNG (Art. 35 DSGVO)
Projekt: [Bezeichnung] | Verantwortlicher: [Firma]
DSB einbezogen: [Name, Datum] | Version: [Datum]

TEIL 1 – BESCHREIBUNG DER VERARBEITUNG (Abs. 7 lit. a)
- Zweck: [...]
- Datenkategorien: [...]
- Betroffene: [...]
- Datenfluss / beteiligte Systeme: [...]
- Auftragsverarbeiter / Empfänger: [...]
- Aufbewahrung / Löschung: [...]

TEIL 2 – ERFORDERLICHKEIT & VERHÄLTNISMÄSSIGKEIT (Abs. 7 lit. b)
- Rechtsgrundlage (Art. 6/9): [...]
- Datenminimierung: [...]
- Prüfung milderer Mittel: [...]
- Information der Betroffenen: [...]

TEIL 3 – RISIKOBEWERTUNG (Abs. 7 lit. c)
Je Risiko: Eintrittswahrscheinlichkeit x Schadensschwere
- Risiko 1: unbefugter Zugriff       – Wahrsch.: mittel – Schwere: hoch
- Risiko 2: Zweckentfremdung         – Wahrsch.: gering – Schwere: hoch
- Risiko 3: unrechtmäßige Weitergabe – Wahrsch.: gering – Schwere: mittel

TEIL 4 – ABHILFEMASSNAHMEN (Abs. 7 lit. d)
- TOM: Verschlüsselung, Zugriffskonzept, Protokollierung
- Organisatorisch: Schulung, Rollen, Löschregeln
- Restrisiko nach Maßnahmen: [niedrig/mittel/hoch]

ERGEBNIS
- Restrisiko akzeptabel? [ja/nein]
- Konsultation Aufsicht (Art. 36) erforderlich? [ja/nein]
- Freigabe durch: [Name, Datum]

Risikomatrix

Schwere \ Wahrscheinlichkeit gering mittel hoch
begrenzt niedrig niedrig mittel
erheblich niedrig mittel hoch
schwer mittel hoch sehr hoch

Bei „hoch" oder „sehr hoch" nach Abhilfemaßnahmen ist die Aufsicht zu konsultieren (Art. 36).

So passen Sie das Muster an

  1. Auslöser dokumentieren. Halten Sie fest, warum eine DSFA Pflicht ist (welcher Abs.-3-Auslöser oder DSK-Listeneintrag).
  2. DSB früh einbinden. Art. 35 Abs. 2 verlangt die Einbeziehung des Datenschutzbeauftragten — dessen Stellungnahme gehört ins Dokument.
  3. Risiken aus Betroffenensicht bewerten. Nicht das Unternehmensrisiko zählt, sondern die Folgen für die betroffenen Personen (Diskriminierung, Identitätsdiebstahl, finanzielle Nachteile).
  4. TOM verknüpfen. Die Abhilfemaßnahmen greifen auf Ihr TOM-Muster zurück.
  5. Bei Änderungen wiederholen. Neue Datenarten, neue KI-Modelle oder neue Empfänger erfordern eine Aktualisierung.

Schwellenwertanalyse: brauche ich überhaupt eine DSFA?

Vor der eigentlichen DSFA steht die Frage, ob überhaupt eine Pflicht besteht. Diese Vorprüfung — oft „Schwellenwertanalyse" oder „DSFA-Notwendigkeitsprüfung" genannt — ist selbst Teil der Rechenschaftspflicht und sollte dokumentiert werden, auch wenn sie negativ ausfällt. Sie prüft drei Ebenen: Erstens die drei gesetzlichen Auslöser des Art. 35 Abs. 3. Zweitens die verbindliche DSK-Muss-Liste, die für Deutschland konkrete Verarbeitungen benennt, bei denen stets eine DSFA erforderlich ist. Drittens die neun Kriterien der EDSA-Leitlinie WP 248: Bewertung/Scoring, automatisierte Entscheidungen mit Rechtswirkung, systematische Überwachung, sensible Daten, umfangreiche Verarbeitung, Abgleich von Datensätzen, Daten schutzbedürftiger Personen, innovative Technologien und Verhinderung der Rechteausübung. Als Faustregel gilt: Treffen zwei oder mehr dieser Kriterien zu, ist eine DSFA in der Regel durchzuführen.

Diese gestufte Prüfung schützt vor beiden Fehlern — der übersehenen Pflicht ebenso wie der unnötigen DSFA für harmlose Standardverarbeitungen. Halten Sie das Ergebnis knapp fest: welche Kriterien geprüft wurden, welche zutrafen und warum eine DSFA nötig oder entbehrlich ist.

Die DSFA als lebendes Dokument

Eine DSFA ist keine einmalige Momentaufnahme. Art. 35 Abs. 11 verlangt, dass der Verantwortliche „erforderlichenfalls" überprüft, ob die Verarbeitung noch gemäß der DSFA erfolgt — insbesondere bei einer Änderung des Risikos. In der Praxis heißt das: Bei wesentlichen Änderungen (neue Datenarten, neuer KI-Algorithmus, zusätzliche Empfänger, neue Rechtslage) ist die DSFA zu aktualisieren, mindestens aber alle zwei bis drei Jahre zu überprüfen. Verknüpfen Sie die DSFA deshalb mit dem betroffenen Eintrag im Verarbeitungsverzeichnis, damit Änderungen am Prozess automatisch eine Überprüfung anstoßen.

Häufige Fehler

  • DSFA zu spät. Sie muss vor Verarbeitungsbeginn erfolgen. Eine nachträgliche DSFA heilt den Verstoß nicht.
  • Schwellenwertanalyse überspringen. Prüfen Sie zuerst dokumentiert, ob überhaupt hohes Risiko vorliegt — auch die negative Feststellung ist Teil der Rechenschaft.
  • Restrisiko schönrechnen. Verbleibt trotz Maßnahmen hohes Risiko, ist die Konsultation der Aufsicht nach Art. 36 Pflicht — kein optionaler Schritt.
  • Fehlende DSFA teuer. Die AOK Baden-Württemberg wurde 2020 mit 1,24 Mio. € sanktioniert, unter anderem wegen unzureichender technisch-organisatorischer Absicherung einer Verarbeitung, die eine gründliche Risikoanalyse erfordert hätte.
  • DSB nicht einbezogen. Ohne dokumentierte DSB-Einbindung ist die DSFA formal unvollständig.

Legiscope liefert DSFA-Templates je Risikoart (KI, Cloud, Videoüberwachung), integriert die DSK-Liste und führt den Konsultations-Workflow — inklusive Verknüpfung zu Verzeichnis und TOM.

FAQ

Wann muss ich die Aufsichtsbehörde konsultieren?

Nach Art. 36 DSGVO immer dann, wenn nach Durchführung der DSFA und trotz geplanter Abhilfemaßnahmen ein hohes Restrisiko verbleibt. Die Behörde antwortet innerhalb von acht Wochen, verlängerbar um sechs Wochen. Die Verarbeitung darf erst nach Abschluss der Konsultation beginnen.

Wer führt die DSFA durch?

Der Verantwortliche, unter zwingender Einbeziehung des Datenschutzbeauftragten (Art. 35 Abs. 2). Der DSB führt sie nicht selbst durch, sondern berät und bewertet. In der Praxis koordiniert oft der DSB, während die Fachabteilung die Beschreibung der Verarbeitung liefert.

Wie lange dauert eine DSFA?

Einfache Fälle sind in zwei bis fünf Tagen erledigt, komplexe Systeme (etwa ein KI-gestütztes Auswahlverfahren) benötigen vier bis acht Wochen. Der Aufwand hängt von der Zahl der Datenflüsse, Empfänger und Risiken ab.

Kann ich eine DSFA für mehrere ähnliche Verarbeitungen nutzen?

Ja. Art. 35 Abs. 1 erlaubt ausdrücklich, dass eine einzige Abschätzung mehrere ähnliche Verarbeitungen mit vergleichbar hohem Risiko abdeckt. Betreiben Sie etwa Videoüberwachung an mehreren gleichartigen Standorten oder setzen Sie dasselbe Bewerbertool konzernweit ein, genügt eine DSFA, sofern die Risikolage vergleichbar ist. Weichen einzelne Standorte oder Verarbeitungen erheblich ab, sind ergänzende Betrachtungen nötig.

Muss ich die DSFA veröffentlichen oder der Aufsicht vorlegen?

Eine Veröffentlichungspflicht besteht nicht — die DSFA ist ein internes Dokument. Die Aufsichtsbehörde erhält sie nur, wenn Sie nach Art. 36 wegen eines verbleibenden hohen Risikos konsultieren oder wenn die Behörde sie im Rahmen einer Prüfung anfordert. Der Europäische Datenschutzausschuss empfiehlt allerdings, zumindest eine Zusammenfassung der DSFA zu veröffentlichen, um Transparenz zu schaffen — verpflichtend ist das nicht. Wichtig ist, dass die DSFA vorliegt und auf Verlangen vorgelegt werden kann. Ein Unternehmen, das eine offensichtlich DSFA-pflichtige Verarbeitung ohne dokumentierte Abschätzung betreibt, hat im Aufsichtsverfahren einen schweren Stand — unabhängig davon, ob die Behörde die DSFA zuvor gesehen hat.

Fazit

Die DSFA ist das Pflichtinstrument für jede Hochrisiko-Verarbeitung. Nutzen Sie die Vorlage nach Art. 35 Abs. 7, bewerten Sie Risiken konsequent aus Betroffenensicht und dokumentieren Sie das Restrisiko ehrlich. Wer strukturiert vorgeht, minimiert nicht nur das Risiko, sondern erspart sich in vielen Fällen die aufwendige Aufsichtskonsultation. Den Normtext des Art. 35 finden Sie bei EUR-Lex, Leitlinien beim Europäischen Datenschutzausschuss.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →