Abstrakte Darstellung von zwei symmetrischen, halbkreisförmigen Formen, die miteinander verbunden sind und Cortina Consult Logo rot mit Schrift
Cortina Consult
Datenschutzfolgenabschätzung
Datenschutz

Datenschutz-Folgenabschätzung (DSFA)

Risikoreiche Verarbeitungen erfordern eine DSFA (Art. 35 EU-DSGVO). Wir prüfen die Pflicht und erstellen sie – als externer DSB oder Berater.

Pauschalpakete
kostenlose Mustervorlage
Abstrakte rote Grafik mit Datenbanksymbol und Schloss als Zeichen für IT-Sicherheit und Schutz sensibler Informationen

Was ist eine Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung (DSFA) ist ein systematisches Verfahren zur Bewertung von Datenschutzrisiken. Sie erfasst potenzielle Gefährdungen für die Rechte und Freiheiten betroffener Personen und dokumentiert Maßnahmen zur Risikominderung.

Gesetzliche Grundlage: Art. 35 Abs. 1 DSGVO

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“ (Quelle: EUR-Lex)

Die DSFA analysiert Datenverarbeitungsvorgänge mit hoher potenzieller Gefährdung für die Rechte und Freiheiten betroffener Personen und bewertet, ob die geplanten Schutzmaßnahmen ausreichen. Der Datenschutzbeauftragte begleitet den Prozess beratend – die Verantwortung liegt jedoch beim Verantwortlichen selbst.

Vorteile von Datenschutz-Folgenabschätzungen

  • Risiken minimieren: Gefährdungen werden erkannt, bevor sie eintreten
  • Datenschutzmaßnahmen verbessern: Systematische Prüfung deckt Schwachstellen auf
  • Compliance sicherstellen: Korrekter Umgang mit personenbezogenen Daten wird dokumentiert
  • Bußgelder vermeiden: Präventive Risikoanalyse schützt vor hohen DSGVO-Strafen

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Wann ist eine Datenschutz-Folgenabschätzung erforderlich?

Nicht jedes Unternehmen muss für jeden Verarbeitungsvorgang eine DSFA durchführen. Entscheidend ist das Risiko für betroffene Personen.

Regelbeispiele nach Art. 35 Abs. 3 DSGVO

Die DSGVO nennt drei konkrete Fallgruppen, in denen eine DSFA verpflichtend ist:

  1. Systematische umfangreiche Bewertung persönlicher Aspekte mittels automatisierter Verarbeitung einschließlich Profiling, auf deren Grundlage Entscheidungen ergehen, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese erheblich beeinträchtigen
  2. Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO)
  3. Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (z.B. Videoüberwachung von Bahnhöfen, Einkaufszentren, öffentlichen Plätzen)

9 Kriterien für hohes Risiko – Die Schwellwertanalyse

Die Art. 29-Datenschutzgruppe hat neun Kriterien entwickelt, die auf ein hohes Risiko hindeuten. Faustregel: Treffen mindestens zwei Kriterien zu, ist eine DSFA in der Regel erforderlich.

DSGVO Infografik zeigt Kriterien für hohes Risiko bei der Datenverarbeitung wie Profiling, automatisierte Entscheidungen und Überwachung

Die 9 Kriterien im Überblick:

  1. Scoring oder Profiling: Bewertung, Einstufung oder Vorhersage von Verhalten, wirtschaftlicher Lage, Gesundheit, Vorlieben oder Interessen
  2. Automatisierte Entscheidung mit Rechtswirkung: Entscheidungen, die Rechtswirkung entfalten oder Personen erheblich beeinträchtigen
  3. Systematische Überwachung: Beobachtung, Verfolgung oder Kontrolle betroffener Personen (z.B. kontinuierliche Videoüberwachung)
  4. Besondere Kategorien personenbezogener Daten: Gesundheitsdaten, biometrische Daten, genetische Daten, Informationen zu sexueller Orientierung, politischen Meinungen oder Gewerkschaftszugehörigkeit
  5. Großer Umfang: Verarbeitung betrifft große Personenanzahl oder große Datenmengen
  6. Zusammenführung von Datensätzen: Daten aus verschiedenen Quellen oder Verarbeitungsvorgängen werden kombiniert, sodass Erwartungen betroffener Personen überschritten werden
  7. Daten schutzbedürftiger Personen: Verarbeitung betrifft Kinder, Beschäftigte, ältere Menschen, Patienten oder andere Personen in Abhängigkeitsverhältnissen
  8. Innovative Nutzung oder Anwendung neuer Technologien: Einsatz neuer technologischer oder organisatorischer Lösungen (z.B. KI, Gesichtserkennung, Internet of Things)
  9. Verhinderung der Ausübung von Rechten oder Nutzung von Diensten: Verarbeitung hindert betroffene Personen daran, ihre Rechte auszuüben, einen Vertrag zu nutzen oder eine Dienstleistung in Anspruch zu nehmen

 

Beispiel: Ein Online-Shop führt automatisiertes Kreditscoring (Kriterium 1 + 2) durch und verarbeitet dabei große Datenmengen (Kriterium 5) → DSFA ist Pflicht!

DSFA digital durchführen

Mit unserem Compliance Hub können Sie die Datenschutz-Folgenabschätzung einfach, strukturiert und rechtssicher digital durchführen. So erfüllen Sie alle gesetzlichen Anforderungen und minimieren Risiken für Ihr Unternehmen.

Zur DSFA-Funktion
Visualisierung des Compliance Hub mit Icons für Analysen, Checklisten und Dateien, verbunden durch digitale Linien als Symbol für automatisierte Prozesse

DSFA durchführen – Schritt-für-Schritt-Anleitung

Die Durchführung einer DSFA erfolgt in vier strukturierten Schritten. Das Kurzpapier der Datenschutzkonferenz bietet eine kompakte Orientierungshilfe für die praktische Umsetzung.

Schritt 1: Notwendigkeit prüfen

Prüfen Sie zunächst, ob Ihr Verarbeitungsvorgang auf einer Muss-Liste (Whitelist) einer Aufsichtsbehörde steht. Diese Listen enthalten Verarbeitungstätigkeiten, für die eine DSFA zwingend erforderlich ist.

Falls Ihr Vorgang nicht auf der Muss-Liste steht, führen Sie die Schwellwertanalyse durch: Prüfen Sie anhand der 9 Kriterien, ob mindestens zwei zutreffen.

Schritt 2: Schwellwertanalyse durchführen

Bewerten Sie systematisch alle neun Kriterien für Ihren Verarbeitungsvorgang. Dokumentieren Sie für jedes Kriterium:

  • Trifft das Kriterium zu? (Ja/Nein)
  • Begründung der Bewertung
  • Relevante Details zur Verarbeitung

Ergebnis: Treffen zwei oder mehr Kriterien zu, ist eine vollständige DSFA durchzuführen.

Schritt 3: DSFA dokumentieren – Die fünf Mindestinhalte

Eine rechtmäßige DSFA muss gemäß Art. 35 Abs. 7 DSGVO folgende Elemente enthalten:

  1. Systematische Beschreibung der geplanten Verarbeitungsvorgänge: Welche Daten werden von wem, wie, wo und zu welchem Zweck verarbeitet? Diese Beschreibung baut häufig auf dem Verzeichnis von Verarbeitungstätigkeiten auf, das nach Art. 30 DSGVO ohnehin zu führen ist.
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit: Ist die Verarbeitung zur Zweckerreichung erforderlich? Gibt es weniger eingriffsintensive Alternativen?
  3. Bewertung der Risiken für Rechte und Freiheiten betroffener Personen: Welche Gefährdungen bestehen? Wie hoch ist die Eintrittswahrscheinlichkeit? Welche Schwere hätte ein Schadensfall?
  4. Geplante Abhilfemaßnahmen: Welche technischen und organisatorischen Maßnahmen (TOM) minimieren die Risiken? Welche Garantien, Sicherheitsvorkehrungen und Verfahren greifen?
  5. Nachweis der Einhaltung der DSGVO: Wie wird demonstriert, dass die Verarbeitung datenschutzkonform erfolgt?

Schritt 4: Datenschutzbeauftragten beteiligen

Der Datenschutzbeauftragte (DSB) muss bei der Durchführung der DSFA eingebunden werden (Art. 35 Abs. 2 DSGVO). Er berät und gibt Empfehlungen – führt die DSFA jedoch nicht selbst durch. Die Verantwortung verbleibt beim Verantwortlichen. Die DSFA muss regelmäßig überprüft werden – spätestens alle drei Jahre oder bei wesentlichen Änderungen der Verarbeitung.

DSFA-Mustervorlage

Bewerten Sie Datenschutzrisiken systematisch und dokumentieren Sie rechtssicher – mit der DSFA-Mustervorlage inkl. Schwellwertanalyse und Risikobewertungsmatrix, kostenlos als Download.

PDF herunterladen
Grafik eines PDFs mit einer Checkliste und einem Download-Symbol darunter

Was ist bei einer Datenschutz-Folgenabschätzung zu beachten?

Eine DSFA sollte umfassend, systematisch und belastbar dokumentiert werden. Sie dient nicht nur der Compliance, sondern auch als internes Steuerungsinstrument für datenschutzgerechte Systemgestaltung – ähnlich einem Informationssicherheitsmanagementsystem nach ISO 27001.

Zentrale Anforderungen:

  • Vollständigkeit: Alle fünf Mindestinhalte müssen abgedeckt sein
  • Nachvollziehbarkeit: Externe Dritte (z.B. Aufsichtsbehörden) müssen die Bewertung nachvollziehen können
  • Aktualität: Bei Änderungen der Verarbeitung muss die DSFA aktualisiert werden
  • DSB-Beteiligung: Die Einbindung des Datenschutzbeauftragten ist Pflicht
  • Konsultation der Aufsichtsbehörde: Bei verbleibendem hohem Risiko trotz Maßnahmen muss die Behörde vorab konsultiert werden (Art. 36 DSGVO)

Positiv- und Negativlisten der Aufsichtsbehörden

Die Datenschutzaufsichtsbehörden veröffentlichen Listen, die Orientierung bieten:

Whitelist (Muss-Liste)

Die Muss-Liste enthält Verarbeitungstätigkeiten, für die eine DSFA in jedem Fall verpflichtend ist. Die Listen basieren auf den Gewährleistungszielen des Standard-Datenschutzmodells und sind nach Bundesland unterschiedlich.

Typische Beispiele aus Muss-Listen:

  • Biometrische Identifikationssysteme im großen Umfang
  • Umfangreiche Verarbeitung genetischer oder Gesundheitsdaten
  • Kreditscoring mit automatisierten Entscheidungen
  • Videoüberwachung öffentlicher Bereiche mit intelligenter Bildanalyse
  • Tracking und Profiling im großen Umfang

Blacklist (Kann-Liste bzw. Negativliste)

Die Blacklist enthält Verarbeitungsvorgänge, für die keine DSFA erforderlich ist – etwa, weil das Risiko gering ist oder bereits durch andere Rechtsgrundlagen ausreichend abgesichert wurde. Die Listen variieren zwischen den Bundesländern. Die Bundesbeauftragte für den Datenschutz bietet eine Übersicht der veröffentlichten Muss- und Kann-Listen aller Aufsichtsbehörden.

Datenschutzberatung anfragen

Eine umfassende Beratung zu allen Themen rund um die DSGVO aus einer Hand, damit Sie gesetzliche Anforderungen effizient umsetzen und Ihre Daten sicher verwalten können.

Beratung anfragen
Beratung

Wer führt die DSFA durch – Verantwortlicher oder DSB?

Die Durchführung der DSFA liegt in der Verantwortung des Verantwortlichen (z.B. Geschäftsführung, IT-Leitung, Fachbereich). Der Datenschutzbeauftragte wirkt beratend mit, prüft die Qualität und gibt Empfehlungen.

Rollenverteilung:

  • Verantwortlicher: Plant Verarbeitung, führt DSFA durch, trifft Entscheidungen über Maßnahmen
  • Datenschutzbeauftragter: Berät, prüft Vollständigkeit, bewertet Risikobewertung, gibt Empfehlungen
  • Aufsichtsbehörde: Wird bei verbleibendem hohen Risiko vorab konsultiert (Art. 36 DSGVO)

Wie oft muss eine DSFA wiederholt werden?

Eine DSFA ist kein einmaliges Dokument. Sie muss aktualisiert werden, wenn:

  • Sich die Verarbeitungstätigkeit wesentlich ändert
  • Neue Technologien eingesetzt werden
  • Neue Datenarten hinzukommen
  • Der Verarbeitungszweck erweitert wird
  • Spätestens alle drei Jahre (Best Practice)

Tipp: Integrieren Sie die DSFA-Prüfung in Ihr jährliches Datenschutz-Audit oder in Ihr Change-Management.

Beitrag aktualisiert am 9. Februar 2026 – Geprüft durch Datenschutzbeauftragter Jörg ter Beek
Sie suchen einen externen DSB?

Professioneller Datenschutz zum Budget-Preis mit Software, Schulungen, Audits & Vorlagen inklusive

ab 125€ / pro Monat
  • Stellung des TÜV-zertifizierten DSB
  • Datenschutzmanagementsystem
  • E-Learning für Mitarbeitende
  • Persönlicher Ansprechpartner
  • Website & Social Media Monitoring
Angebot berechnen
Inhalt dieser Seite
Ihre Vorteile mit Cortina Consult im Datenschutz

Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.

  • Gebündelte Erfahrung aus 10 Jahren in der Branche
  • Beratung, Software & Schulung aus einer Hand
  • Prozessoptimierung und Skalierbarkeit garantiert
Pauschalpakete entdecken
Datenschutz
Jörg ter Beek
Autor dieses Artikels:
Jörg ter Beek
CEO & Datenschutzbeauftragter bei Cortina Consult
Zum Autorenprofil
Bleiben Sie up-to-date

Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zum Datenschutz und Best-Practices zur Umsetzung.

* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Date​​​​nschutzerklärung.

Abstrakte Darstellung von zwei symmetrischen, halbkreisförmigen Formen, die miteinander verbunden sind und Cortina Consult Logo rot mit Schrift

Sie haben Fragen?
– Wir beraten Sie gerne

Jörg ter Beek
Jörg ter Beek
Datenschutzexperte & CEO
+49 251 95 20 37 - 40
jtb@cortina-consult.de

Unsere Lösungen