Wer ist für die Durchführung der DSFA verantwortlich?

Nach Art. 35 Abs. 1 DSGVO liegt die Verantwortung für die Durchführung der Datenschutz-Folgenabschätzung beim Verantwortlichen — also der natürlichen oder juristischen Person, Behörde, Einrichtung oder anderen Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DSGVO). Der Verantwortliche kann die praktische Durchführung delegieren — etwa an den Datenschutzbeauftragten (DSB), eine spezialisierte Datenschutz-Abteilung, externe Datenschutzberater oder einen beauftragten Auftragsverarbeiter nach Art. 28 Abs. 3 lit. f DSGVO —, bleibt aber rechtlich für das Ergebnis und die Vollständigkeit der DSFA verantwortlich (Accountability-Prinzip, Art. 5 Abs. 2 DSGVO). Der Datenschutzbeauftragte hat nach Art. 35 Abs. 2 DSGVO eine Pflichtrolle als Berater, nicht als Entscheider. Er prüft die Vorgehensweise, bewertet das Ergebnis und gibt eine schriftliche Stellungnahme ab — die auch dann dokumentiert werden muss, wenn der Verantwortliche der Einschätzung des DSB nicht folgt. In Konzernstrukturen mit mehreren gemeinsamen Verantwortlichen (Art. 26 DSGVO) sollte die Zuständigkeit für die DSFA in der Vereinbarung über gemeinsame Verantwortlichkeit geregelt sein.

Was passiert, wenn eine DSFA nicht oder unvollständig durchgeführt wird?

Das Unterlassen oder die unvollständige Durchführung einer Datenschutz-Folgenabschätzung in Deutschland stellt einen Verstoß gegen Art. 35 DSGVO dar, der nach Art. 83 Abs. 4 lit. a DSGVO mit Geldbußen bis zu 10.000.000,00 Euro oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden kann — je nachdem, welcher Betrag höher ist. Die deutschen Datenschutzaufsichtsbehörden, darunter das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) und die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), haben in den vergangenen Jahren mehrfach Bußgelder wegen fehlender oder mangelhafter DSFA verhängt. Neben der Geldbuße können die Datenschutzaufsichtsbehörden nach Art. 58 Abs. 2 DSGVO auch Verwarnungen aussprechen, die Aufnahme oder Fortsetzung der Verarbeitung untersagen (Verarbeitungsverbot), Daten sperren oder löschen lassen sowie Zertifizierungen widerrufen. Ein Verarbeitungsverbot kann bei abhängigen Geschäftsmodellen erhebliche wirtschaftliche Schäden verursachen, die weit über die eigentliche Geldbuße hinausgehen. Betroffene Personen können außerdem nach Art. 82 DSGVO Schadenersatz — auch immateriellen Schadenersatz — direkt beim zuständigen Landgericht geltend machen, wenn sie durch die pflichtwidrige Verarbeitung einen Schaden erlitten haben.

Muss die DSFA nach einer einmaligen Erstellung aktualisiert werden?

Ja. Art. 35 Abs. 11 DSGVO schreibt ausdrücklich vor, dass der Verantwortliche überprüft, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird — zumindest dann, wenn eine Änderung des Risikos der Verarbeitungsvorgänge zu verzeichnen ist. Eine DSFA ist daher kein einmaliges Dokument, sondern ein lebendes Instrument, das kontinuierlich gepflegt werden muss. Eine Aktualisierungspflicht entsteht insbesondere in folgenden Situationen: bei wesentlichen Änderungen des Verarbeitungsvorhabens (neue Datenarten, neue Empfänger, neue Systeme, neue Zwecke); bei Bekanntwerden neuer Risiken (neue Cyberangriffsmuster, neue Schwachstellen in eingesetzten Systemen, neue Erkenntnisse aus Datenschutzverletzungen im Sektor); bei Änderungen der Rechtsgrundlage oder der anwendbaren Gesetze (z.B. Novellierung des BDSG, neue EDSA-Leitlinien); sowie bei Ablauf eines festgelegten Überprüfungszeitraums (empfohlen: spätestens alle drei Jahre oder bei wesentlichen Systemänderungen). Die DSK und der BfDI empfehlen, den Überprüfungszyklus im DSFA-Dokument selbst festzulegen und die Ergebnisse der Überprüfung schriftlich zu dokumentieren.

Wann muss die Datenschutzaufsichtsbehörde nach Art. 36 DSGVO konsultiert werden?

Die vorherige Konsultation der Datenschutzaufsichtsbehörde nach Art. 36 DSGVO ist in Deutschland erforderlich, wenn die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ergibt, dass die Verarbeitung trotz aller vom Verantwortlichen vorgesehenen Maßnahmen ein hohes Restrisiko für die Rechte und Freiheiten natürlicher Personen birgt. In Deutschland wenden sich private Unternehmen an den Landesdatenschutzbeauftragten des Bundeslandes, in dem sie ihren Sitz haben — also z.B. das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) für in Bayern ansässige Unternehmen, die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) für Berliner Unternehmen oder den Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LfDI NRW) für nordrhein-westfälische Unternehmen. Die zuständige Aufsichtsbehörde hat nach Art. 36 Abs. 2 DSGVO eine Reaktionsfrist von acht Wochen, die bei komplexen Verarbeitungsvorgängen um weitere sechs Wochen verlängert werden kann. Während dieser Frist darf die Verarbeitung grundsätzlich nicht aufgenommen werden. Die Aufsichtsbehörde kann nach Art. 36 Abs. 2 DSGVO schriftliche Empfehlungen aussprechen oder nach Art. 58 Abs. 2 DSGVO von ihren Abhilfebefugnissen Gebrauch machen und die Verarbeitung untersagen. Für öffentliche Stellen des Bundes ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig.

Gilt die DSFA-Pflicht auch für Auftragsverarbeiter?

Die primäre Pflicht zur Durchführung der Datenschutz-Folgenabschätzung trifft nach Art. 35 Abs. 1 DSGVO den Verantwortlichen, nicht den Auftragsverarbeiter. Allerdings haben Auftragsverarbeiter nach Art. 28 Abs. 3 lit. f DSGVO die Pflicht, den Verantwortlichen bei der Erfüllung seiner Pflichten aus Art. 35 und 36 DSGVO zu unterstützen — insbesondere durch Bereitstellung aller notwendigen Informationen über die Verarbeitungssysteme, eingesetzten Technologien und Sicherheitsmaßnahmen. In der Praxis bedeutet dies: Wenn ein Cloud-Anbieter, ein IT-Dienstleister oder ein Softwareanbieter als Auftragsverarbeiter für den Verantwortlichen tätig ist, muss er auf Anfrage die für die DSFA notwendigen Informationen (Systemarchitektur, Sicherheitsmaßnahmen, Subauftragnehmer, Datenspeicherort) bereitstellen. Manche Auftragsverarbeiter stellen ihren Kunden standardisierte DSFA-Hilfen oder sogenannte Vendor Security Assessments zur Verfügung. Verantwortliche sollten dies im Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO ausdrücklich vereinbaren. Betreibt der Auftragsverarbeiter selbst eine eigenständige Verarbeitung — was bei gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO der Fall sein kann — muss er für seinen Verarbeitungsanteil ggf. eine eigene DSFA erstellen oder sich an der gemeinsamen DSFA beteiligen.

Wie lange muss eine DSFA aufbewahrt werden?

Die DSGVO enthält keine spezifische gesetzliche Aufbewahrungsfrist für Datenschutz-Folgenabschätzungen. Aus dem Accountability-Prinzip des Art. 5 Abs. 2 DSGVO und der Nachweispflicht des Art. 24 DSGVO ergibt sich jedoch, dass die DSFA mindestens für die Dauer der Verarbeitung, auf die sie sich bezieht, aufzubewahren und auf Anfrage der Datenschutzaufsichtsbehörde nach Art. 58 Abs. 1 lit. a DSGVO vorzulegen ist. Da die Aufsichtsbehörde auch nach Beendigung einer Verarbeitung prüfen kann, ob die Verarbeitung rechtmäßig war, empfehlen der BfDI und verschiedene Landesdatenschutzbehörden eine Aufbewahrungsdauer von mindestens zehn Jahren nach Abschluss der Verarbeitung — analog zu handelsrechtlichen Aufbewahrungsfristen nach §257 HGB und §147 AO. Frühere Versionen der DSFA und Überprüfungsdokumentationen sollten ebenfalls aufbewahrt werden, um die Entwicklung des Risikomanagements nachvollziehbar zu machen. Die DSFA sollte sicher und vor unbefugtem Zugriff geschützt archiviert werden — da sie selbst hochsensible Informationen über Verarbeitungsrisiken und Sicherheitsmaßnahmen enthält, kommt eine Einstufung als vertrauliches Dokument in Betracht.

Datenschutz-Folgenabschätzung (DSFA) Deutschland

Q: Wann ist eine Datenschutz-Folgenabschätzung in Deutschland verpflichtend?

Eine Datenschutz-Folgenabschätzung (DSFA) ist in Deutschland nach Art. 35 Abs. 1 DSGVO verpflichtend, wenn eine geplante Verarbeitungsart voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen verursacht. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat auf Grundlage von Art. 35 Abs. 4 DSGVO eine verbindliche Liste von DSFA-pflichtigen Verarbeitungsvorgängen veröffentlicht. Zu den in Deutschland definitiv DSFA-pflichtigen Kategorien zählen: Videoüberwachung öffentlich zugänglicher Räume im großen Maßstab, biometrische Identifikationssysteme, systematische Standortverfolgung, umfangreiche Verarbeitung von Gesundheitsdaten, Scoring-Systeme in Kreditwirtschaft und Versicherung sowie KI-gestützte Personalentscheidungssysteme. Daneben lösen nach der EDSA-Leitlinie WP248 zwei oder mehr der folgenden Kriterien eine DSFA-Pflicht aus: Profiling oder Bewertung von Personen, automatisierte Entscheidungen mit wesentlicher Wirkung, systematische Überwachung, sensitive Datenkategorien nach Art. 9 DSGVO, umfangreiche Datenmengen, Datensatzabgleiche aus verschiedenen Quellen, vulnerable Personengruppen, innovative Technologien sowie die Verhinderung der Ausübung von Rechten durch Betroffene. Die DSFA muss vor Beginn der Verarbeitung abgeschlossen sein — eine nachträgliche Durchführung stellt eine Pflichtverletzung dar, die nach Art. 83 Abs. 4 DSGVO mit Geldbußen bis zu 10.000.000,00 Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden kann.

Q: Welche Mindestinhalte muss eine DSFA nach DSGVO Art. 35 enthalten?

Art. 35 Abs. 7 DSGVO schreibt als Mindestinhalt für jede Datenschutz-Folgenabschätzung in Deutschland vier Kernelemente vor: Erstens eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, einschließlich gegebenenfalls der von dem Verantwortlichen verfolgten berechtigten Interessen. Dies umfasst die Datenarten, Kategorien betroffener Personen, Empfänger, Verarbeitungsmittel, Systemarchitektur und Datenflüsse. Zweitens eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck — also die Prüfung, ob die Verarbeitung für den verfolgten Zweck geeignet, erforderlich und verhältnismäßig ist. Drittens eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen nach Art. 35 Abs. 7 lit. c DSGVO — mit konkreten Schadensszenarien, Eintrittswahrscheinlichkeiten und Schadensschwerenbewertungen, nicht bloß abstrakte Risikobeschreibungen. Viertens die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren zum Nachweis der Einhaltung dieser Verordnung — also die technischen und organisatorischen Maßnahmen (TOMs) nach Art. 32 DSGVO. Zusätzlich muss nach Art. 35 Abs. 2 DSGVO der Datenschutzbeauftragte einbezogen werden, soweit ein solcher benannt wurde. Die Deutsche Datenschutzkonferenz (DSK) empfiehlt zusätzlich, auch eine Stellungnahme betroffener Personen oder ihrer Vertreter einzuholen, wenn dies praktisch durchführbar ist (Art. 35 Abs. 9 DSGVO).

DSGVO Art. 35 | DSK-Liste | Risikoanalyse | DSB-Konsultation

DATENSCHUTZ-FOLGENABSCHÄTZUNG (DSFA)

gemäß Art. 35 der Datenschutz-Grundverordnung (DSGVO)

Verordnung (EU) 2016/679 i.V.m. BDSG und DSK-Leitlinien

§ 1 ANGABEN ZUM VERANTWORTLICHEN

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO: [Verantwortlicher]

Anschrift: [Adresse Verantwortlicher]

Datenschutzbeauftragter (DSB) gemäß Art. 37 DSGVO i.V.m. §38 BDSG: [DSB Name]

§ 2 BESCHREIBUNG DER VERARBEITUNGSVORGÄNGE (ART. 35 ABS. 7 LIT. A DSGVO)

Bezeichnung des Verarbeitungsvorgangs: [Verarbeitungsbezeichnung]

Zweck der Verarbeitung: [Verarbeitungszweck]

Rechtsgrundlage: [Rechtsgrundlage]

Kategorien personenbezogener Daten: [Datenkategorien]

Kategorien betroffener Personen: [Betroffene Personen]

Eingesetzte Technologien und Systeme: [Eingesetzte Technologien]

Vorgesehene Speicherdauer: [Speicherdauer]

§ 3 NOTWENDIGKEITS- UND VERHÄLTNISMÄSSIGKEITSPRÜFUNG (ART. 35 ABS. 7 LIT. B DSGVO)

Bewertung der Zweckerreichung: [Zweckerreichung]

Maßnahmen gemäß Art. 25 DSGVO (Privacy by Design / Privacy by Default): [Privacy by Design Maßnahmen]

§ 4 RISIKOBEWERTUNG (ART. 35 ABS. 7 LIT. C DSGVO)

Identifizierte Risiken und Gefährdungsszenarien für Rechte und Freiheiten betroffener Personen:

[Identifizierte Risiken]

Gesamtbewertung der Risikoklasse: [Risikoklasse]

§ 5 ABHILFEMASSNAHMEN UND TOMs (ART. 35 ABS. 7 LIT. D DSGVO i.V.m. ART. 32 DSGVO)

Technische Schutzmaßnahmen: [Technische Maßnahmen]

Organisatorische Schutzmaßnahmen: [Organisatorische Maßnahmen]

Verbleibendes Restrisiko nach Umsetzung der Maßnahmen: [Restrisiko]

§ 6 ERGEBNIS UND FREIGABE

Datum der Fertigstellung: [DSFA Datum]

Nächste Überprüfung gemäß Art. 35 Abs. 11 DSGVO: [Nächste Überprüfung]

Der Verantwortliche erklärt, dass die Datenschutz-Folgenabschätzung nach bestem Wissen und Gewissen erstellt wurde und alle identifizierten Risiken durch die genannten Maßnahmen auf ein vertretbares Maß reduziert wurden. Der Datenschutzbeauftragte wurde gemäß Art. 35 Abs. 2 DSGVO in die Erstellung einbezogen.

Verantwortlicher: [Verantwortlicher]

Unterschrift Verantwortlicher: _________________________ Datum: _________________________

Datenschutzbeauftragter: [DSB Name]

Unterschrift DSB: _________________________ Datum: _________________________

Stellungnahme DSB (ggf. abweichend): _________________________

Verantwortlicher (Data Controller)

________________

Signature

Datenschutzbeauftragter (Data Protection Officer)

________________

Signature

Betreut von Vladislav Sergienko, Gründer·Vorlage zuletzt geändert: 2026-06-23·Fehler melden

Was ist Datenschutz-Folgenabschätzung (DSFA) Deutschland?

Die Datenschutz-Folgenabschätzung (DSFA) in Deutschland ist in DSGVO Art. 35 (Datenschutz-Folgenabschätzung bei hohem Risiko) geregelt. Das Grundprinzip der DSFA besteht darin, vor Beginn einer risikoreichen Datenverarbeitung systematisch die Notwendigkeit, die Verhältnismäßigkeit und die Risiken des Vorhabens zu bewerten sowie geeignete technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO festzulegen, um diese Risiken auf ein akzeptables Niveau zu senken. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) hat in Deutschland auf Grundlage von Art. 35 Abs. 4 DSGVO eine verbindliche Liste von Verarbeitungsvorgängen veröffentlicht, für die stets eine DSFA durchzuführen ist. Zu diesen obligatorischen DSFA-Kategorien gehören unter anderem: systematische und umfangreiche Bewertung persönlicher Aspekte natürlicher Personen mittels automatisierter Verarbeitung einschließlich Profiling; umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO (Gesundheitsdaten, biometrische Daten, Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, Daten zum Sexualleben); systematische weiträumige Überwachung öffentlich zugänglicher Bereiche mittels Videoüberwachung, Drohnen oder vergleichbaren Technologien; sowie die Verwendung neuer Technologien, deren Datenschutzrisiken noch nicht vollständig beurteilbar sind.

Neben der DSK-Liste sind nach der Leitlinie der Artikel-29-Datenschutzgruppe (WP248, übernommen vom Europäischen Datenschutzausschuss, EDSA) folgende Kriterien zu berücksichtigen, von denen bei Erfüllung von zwei oder mehr Kriterien in der Regel eine DSFA erforderlich ist: Bewertung oder Einstufung von Personen (Scoring, Credit Scoring, Profiling); automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich erheblicher Auswirkung; systematische Überwachung; Verarbeitung sensibler Daten; umfangreiche Datenverarbeitung; Abgleich oder Kombination von Datensätzen aus verschiedenen Quellen; Verarbeitung von Daten schutzbedürftiger Personen (Kinder, Patienten, ältere Menschen, Beschäftigte); innovative Nutzung neuer technischer Lösungen; sowie die Verarbeitung, die Betroffene an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung oder der Erfüllung eines Vertrags hindert.

Die DSFA als Dokument muss nach Art. 35 Abs. 7 DSGVO mindestens enthalten: eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung; eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen; sowie die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren. Die Einbeziehung des Datenschutzbeauftragten (DSB) gemäß Art. 35 Abs. 2 DSGVO ist zwingend, soweit ein DSB nach Art. 37 DSGVO i.V.m. §38 BDSG bestellt ist. Die DSK und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) haben in Orientierungshilfen klargestellt, dass die DSFA keine einmalige Maßnahme, sondern ein kontinuierlicher Prozess ist, der bei Änderung der Verarbeitungsvorgänge zu wiederholen ist.

Wann brauchen Sie Datenschutz-Folgenabschätzung (DSFA) Deutschland?

Eine Datenschutz-Folgenabschätzung in Deutschland ist nach Art. 35 Abs. 1 DSGVO immer dann zwingend erforderlich, wenn eine geplante Verarbeitungsart — insbesondere bei Verwendung neuer Technologien — aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen verursacht. Der Verantwortliche muss vor Beginn der Verarbeitung beurteilen, ob eine DSFA erforderlich ist — und diese Beurteilung dokumentieren.

Die DSK-Liste nach Art. 35 Abs. 4 DSGVO benennt für Deutschland folgende DSFA-pflichtige Kategorien:

Videoüberwachung öffentlich zugänglicher Räume im großen Maßstab: Jede Verarbeitungsmaßnahme, die zur Überwachung öffentlich zugänglicher Bereiche durch Kamerasysteme im größeren Umfang eingesetzt wird, z.B. City-CCTV-Systeme, Bahnhofs- oder Flughafenüberwachung, Drohnenaufnahmen im öffentlichen Raum, fällt unter die DSFA-Pflicht.

Biometrische Identifikationssysteme: Der Einsatz von Systemen zur Gesichtserkennung, Fingerabdruckerkennung, Irisscan oder anderen biometrischen Verfahren zur eindeutigen Identifizierung natürlicher Personen — sowohl im Zugangskontrollbereich als auch zu kommerziellen Zwecken — löst die DSFA-Pflicht aus.

Genauere Standortdaten und Bewegungsprofile: Die systematische Erfassung präziser Standortdaten über das Mobilfunknetz, GPS-Tracker, WLAN-Tracking oder Beacon-Technologien, die zur Erstellung von Bewegungsprofilen natürlicher Personen verwendet werden, erfordern eine DSFA.

Scoring und Profiling in Kreditwirtschaft und Versicherung: Die automatisierte Bonitätsbewertung durch Kreditinstitute unter Einbeziehung von SCHUFA-Daten oder anderen Datenquellen sowie die risikoorientierte Tarifierung durch Versicherungsunternehmen auf Basis persönlicher Verhaltens- oder Gesundheitsdaten fallen unter die DSFA-Pflicht.

Verarbeitung sensibler Daten durch Krankenhäuser, Arztpraxen, Apotheken: Die umfangreiche Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO durch Heilbehandler, Krankenhäuser, Pharmaunternehmen und Krankenversicherungen erfordert eine DSFA, insbesondere beim Einsatz digitaler Gesundheitsplattformen, Patientenportale oder Telemedizin-Systeme.

KI-gestützte Personalentscheidungen: Der Einsatz algorithmischer Systeme zur automatisierten Bewerbungsauswahl, Mitarbeiterperformancebewertung oder Potenzialanalyse im Beschäftigungsverhältnis — ein Bereich, in dem §26 BDSG und Art. 9 DSGVO zusammen zu berücksichtigen sind — löst die DSFA-Pflicht aus.

Telemedizin und digitale Gesundheits-Apps: Nach der Digitale-Versorgung-Gesetz (DVG) zugelassene digitale Gesundheitsanwendungen (DiGA) sowie Telemedizin-Plattformen, die Gesundheitsdaten der Patienten verarbeiten, müssen vor Inbetriebnahme eine DSFA durchführen.

SmartCity-Anwendungen und IoT-Infrastrukturen: Der Einsatz von Internet-of-Things-Technologien, Smart Meter, Smart-Home-Anwendungen und städtischen Sensornetzwerken, die das Verhalten oder die Gewohnheiten natürlicher Personen erfassen, erfordert eine DSFA, wenn die Verarbeitung einen größeren Personenkreis oder besonders sensible Lebensbereiche betrifft.

Was gehört in Ihr Datenschutz-Folgenabschätzung (DSFA) Deutschland?

Eine rechtssichere Datenschutz-Folgenabschätzung in Deutschland nach Art. 35 DSGVO und den Orientierungshilfen der DSK und des EDSA muss folgende Kernbestandteile dokumentiert enthalten:

Beschreibung der Verarbeitungsvorgänge und Zwecke (Art. 35 Abs. 7 lit. a DSGVO): Die DSFA beginnt mit einer präzisen systematischen Beschreibung des geplanten Verarbeitungsvorhabens. Diese umfasst: Namen und Kontaktdaten des Verantwortlichen sowie ggf. des gemeinsam Verantwortlichen (Art. 26 DSGVO) und des Auftragsverarbeiters (Art. 28 DSGVO); die konkreten Verarbeitungszwecke und die jeweilige Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO (Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse, berechtigte Interessen); die Kategorien personenbezogener Daten; die Kategorien betroffener Personen; die Empfänger oder Empfängerkategorien; die geplante Speicherdauer; sowie die eingesetzten Technologien und Systeme.

Notwendigkeits- und Verhältnismäßigkeitsprüfung (Art. 35 Abs. 7 lit. b DSGVO): Zu bewerten ist, ob die Verarbeitungszwecke legitim und die Mittel notwendig und verhältnismäßig sind. Dabei fließen ein: die Geeignetheit der Verarbeitung zur Zweckerreichung; die Erforderlichkeit (kein milderes, gleich geeignetes Mittel vorhanden); die Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO; die Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO; sowie die Anforderungen an Qualität und Richtigkeit der Daten nach Art. 5 Abs. 1 lit. d DSGVO.

Risikobewertung (Art. 35 Abs. 7 lit. c DSGVO): Die Risikobewertung gliedert sich in die Identifikation der Bedrohungen und Gefährdungen (z.B. unbefugter Zugriff, Datenverlust, Manipulation, unbeabsichtigte Offenbarung), die Bewertung der Eintrittswahrscheinlichkeit und Schwere möglicher Schäden sowie die Einordnung in Risikoklassen (niedrig, mittel, hoch, sehr hoch). Relevante Schutzgüter sind nach BSI-Grundschutz und EDSA-Leitlinie: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme nach Art. 32 Abs. 1 lit. b DSGVO.

Abhilfemaßnahmen und TOMs (Art. 35 Abs. 7 lit. d DSGVO): Für jedes identifizierte Risiko sind konkrete technische und organisatorische Maßnahmen nach Art. 32 DSGVO festzulegen, zum Beispiel: Pseudonymisierung und Verschlüsselung nach Art. 32 Abs. 1 lit. a DSGVO; Zugangskontrollkonzepte (Role-Based Access Control, RBAC); Datenschutz-durch-Technik (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) nach Art. 25 DSGVO; Lösch- und Archivierungskonzepte nach Art. 5 Abs. 1 lit. e DSGVO; Verfahren zur regelmäßigen Überprüfung und Evaluierung (ISMS nach ISO 27001).

Konsultation des Datenschutzbeauftragten (DSB) gemäß Art. 35 Abs. 2 DSGVO: Wurde beim Verantwortlichen oder beim Auftragsverarbeiter ein DSB nach Art. 37 DSGVO i.V.m. §38 BDSG bestellt, ist dieser zwingend in die Erstellung der DSFA einzubeziehen. Der DSB prüft die Durchführung der DSFA, bewertet Methodik und Ergebnis und gibt eine schriftliche Stellungnahme ab, die als Anlage zur DSFA zu dokumentieren ist. Die Fachinformationen des BfDI und der Landesdatenschutzbehörden (z.B. Bayerisches Landesamt für Datenschutzaufsicht, BayLDA; Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, HmbBfDI) bieten hierzu praxisnahe Checklisten.

Ergebnis und Restrisikobewertung: Nach Festlegung der Abhilfemaßnahmen ist das verbleibende Restrisiko zu bewerten. Kann das Risiko nicht auf ein akzeptables Maß gesenkt werden, ist nach Art. 36 DSGVO eine vorherige Konsultation der zuständigen Datenschutzaufsichtsbehörde (Landesbeauftragte für Datenschutz, z.B. LfDI Baden-Württemberg, Berliner Beauftragte für Datenschutz und Informationsfreiheit, LfD Niedersachsen) durchzuführen, bevor die Verarbeitung aufgenommen wird. Das Portal forms-legal.com stellt dieses DSFA-Muster als Ausgangspunkt bereit. Verwandte Dokumente: Verzeichnis der Verarbeitungstätigkeiten nach DSGVO Art. 30 und Datenschutzerklärung für Websites nach DSGVO Art. 13.

So füllen Sie Ihr Datenschutz-Folgenabschätzung (DSFA) Deutschland aus

Das Ausfüllen der Datenschutz-Folgenabschätzung in Deutschland erfordert eine strukturierte Vorgehensweise in mehreren Phasen, die dem Risikomanagementansatz der DSGVO und den Empfehlungen der DSK folgt.

Phase 1: Schwellenwertanalyse (Screening). Bevor die DSFA erstellt wird, ist zu prüfen, ob sie überhaupt erforderlich ist. Halten Sie fest: Ist die Verarbeitung auf der DSK-Liste nach Art. 35 Abs. 4 DSGVO gelistet? Erfüllt die Verarbeitung zwei oder mehr der EDSA-Kriterien aus WP248? Handelt es sich um eine neue Technologie oder ein neuartiges Verarbeitungsverfahren? Wenn ja, ist die DSFA verpflichtend; das Screening-Ergebnis ist schriftlich festzuhalten und dem Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO als Vermerk beizufügen.

Phase 2: Systembeschreibung und Scope-Definition. Beschreiben Sie das geplante Verarbeitungsvorhaben vollständig: Welche Daten werden von wem auf welcher Rechtsgrundlage zu welchen Zwecken verarbeitet? Welche Systeme, Dienstleister (Auftragsverarbeiter nach Art. 28 DSGVO) und Datenflüsse sind beteiligt? Erstellen Sie ggf. ein Datenflussdiagramm. Berücksichtigen Sie auch Drittstaatentransfers nach Art. 44–49 DSGVO; ist ein Drittlandtransfer geplant, sind die Standardvertragsklauseln (SCC) der Europäischen Kommission und ggf. ergänzende Transfer Impact Assessments (TIA) zu berücksichtigen.

Phase 3: Notwendigkeits- und Verhältnismäßigkeitsprüfung. Prüfen Sie Schritt für Schritt: Ist der Verarbeitungszweck legitim? Ist die Verarbeitung zur Zweckerreichung geeignet? Gibt es ein milderes, gleich geeignetes Mittel (Erforderlichkeit)? Stehen Eingriff in das Recht auf informationelle Selbstbestimmung und verfolgte Zwecke in einem angemessenen Verhältnis (Verhältnismäßigkeit i.e.S.)? Sind Datenminimierung, Zweckbindung und Speicherbegrenzung gewährleistet?

Phase 4: Risikoidentifikation und -bewertung. Identifizieren Sie systematisch alle Risiken für die Rechte und Freiheiten der betroffenen Personen. Nutzen Sie das BSI-IT-Grundschutz-Kompendium oder die ISO 27005 als methodische Grundlage. Bewerten Sie für jedes Risiko die Eintrittswahrscheinlichkeit (unwahrscheinlich / möglich / wahrscheinlich / sehr wahrscheinlich) und die Schwere der möglichen Konsequenzen (geringfügig / erheblich / schwerwiegend / sehr schwerwiegend). Erstellen Sie eine Risikomatrix und ordnen Sie jedes Risiko einer Klasse zu.

Phase 5: Maßnahmenplanung und TOMs. Definieren Sie für jedes Risiko geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO. Prüfen Sie insbesondere: Verschlüsselungsstandards (AES-256 für ruhende Daten, TLS 1.3 für Daten in Übertragung); Pseudonymisierungstechniken; Zugriffsberechtigungskonzepte; Protokollierungs- und Monitoringverfahren; Datenschutz-Folgenabschätzung bei Softwareänderungen (SDLC-Integration); sowie Mitarbeiterschulungen und Awareness-Maßnahmen.

Phase 6: Konsultation des DSB und Genehmigung. Legen Sie den DSFA-Entwurf dem Datenschutzbeauftragten vor (Art. 35 Abs. 2 DSGVO). Dokumentieren Sie dessen Stellungnahme — auch eine abweichende Meinung — als Anlage. Liegt nach Umsetzung der Maßnahmen noch ein hohes Restrisiko vor, konsultieren Sie die zuständige Datenschutzaufsichtsbehörde nach Art. 36 DSGVO. Die Konsultationsfrist beträgt gemäß Art. 36 Abs. 2 DSGVO acht Wochen, verlängerbar um weitere sechs Wochen bei komplexen Vorhaben.

Phase 7: Dokumentation und Fortschreibung. Die fertige DSFA ist zu unterzeichnen (Verantwortlicher und DSB), mit Datum zu versehen und sicher aufzubewahren. Nach Art. 35 Abs. 11 DSGVO ist die DSFA bei Bedarf — insbesondere bei Änderungen der Verarbeitung oder neuen Risiken — zu überprüfen und zu aktualisieren. Empfehlenswert ist ein Review-Zyklus von jährlich oder bei wesentlichen Systemänderungen.

Rechtliche Anforderungen für Datenschutz-Folgenabschätzung (DSFA) Deutschland

Die rechtlichen Anforderungen an die Datenschutz-Folgenabschätzung in Deutschland ergeben sich aus der DSGVO, dem BDSG sowie den verbindlichen Leitlinien der DSK und des Europäischen Datenschutzausschusses (EDSA).

Pflicht zur Durchführung (Art. 35 Abs. 1–4 DSGVO): Die DSFA ist vor Aufnahme der Verarbeitung durchzuführen. Ein nachträgliches Nachholen befreit zwar von der Pflicht, nicht aber von möglichen Sanktionen für den Zeitraum pflichtwidriger Verarbeitung. Verantwortlich für die Durchführung ist nach Art. 4 Nr. 7 DSGVO der Verantwortliche, nicht der Auftragsverarbeiter — obwohl letzterer zur Unterstützung verpflichtet ist (Art. 28 Abs. 3 lit. f DSGVO).

Verbindliche DSK-Liste (Art. 35 Abs. 4 DSGVO): Die auf Grundlage von Art. 35 Abs. 4 DSGVO von der DSK veröffentlichte und von der Europäischen Kommission gebilligte Liste ist für alle in Deutschland tätigen Verantwortlichen verbindlich. Für Verarbeitungen auf dieser Liste entfällt die Prüfungspflicht nicht — sie besteht automatisch.

Sanktionen bei Nichtdurchführung (Art. 83 Abs. 4 lit. a DSGVO): Verstöße gegen Art. 35 DSGVO werden als Verstöße gegen Art. 83 Abs. 4 DSGVO eingestuft: Geldbußen bis zu 10.000.000,00 Euro oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres — je nachdem, welcher Betrag höher ist. Die deutschen Datenschutzaufsichtsbehörden haben in der Vergangenheit Bußgelder wegen fehlender DSFA verhängt; so verhängte der LfDI Baden-Württemberg 2020 ein Bußgeld gegen ein Unternehmen, das biometrische Zeiterfassungssysteme ohne vorherige DSFA eingeführt hatte.

Pflicht zur vorherigen Konsultation (Art. 36 DSGVO): Ergibt die DSFA, dass das Risiko auch nach Umsetzung aller vertretbaren Maßnahmen noch hoch ist, darf die Verarbeitung nicht aufgenommen werden, bevor die zuständige Datenschutzaufsichtsbehörde konsultiert wurde. In Deutschland sind je nach Bundesland zuständig: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) für Bundesbehörden und Unternehmen aus bestimmten regulierten Sektoren; die 16 Landesdatenschutzbeauftragten für die übrigen nicht-öffentlichen Stellen (z.B. LfDI Rheinland-Pfalz, Bayerisches Landesamt für Datenschutzaufsicht BayLDA).

Aufbewahrungspflicht und Nachweispflicht (Art. 5 Abs. 2, Art. 24 DSGVO): Die DSFA ist Teil der Rechenschaftspflicht (Accountability) des Verantwortlichen. Sie ist mindestens für die Dauer der Verarbeitung und eine angemessene Zeit danach aufzubewahren und der Aufsichtsbehörde auf Anfrage vorzulegen (Art. 58 Abs. 1 lit. a DSGVO). Empfohlen wird eine Aufbewahrungsdauer von mindestens 10 Jahren.

Häufige Fehler bei Ihrem Datenschutz-Folgenabschätzung (DSFA) Deutschland

Fehler bei der Datenschutz-Folgenabschätzung in Deutschland können zu Bußgeldern, Verarbeitungsverboten durch die Datenschutzaufsichtsbehörde und Reputationsschäden führen.

Fehlendes Screening oder fehlerhafte Schwellenwertanalyse: Viele Verantwortliche unterlassen die Prüfung, ob eine DSFA erforderlich ist, oder führen sie unvollständig durch. Besonders häufig wird unterschätzt, dass bereits das Vorliegen von zwei EDSA-Kriterien nach WP248 eine DSFA auslösen kann — und nicht erst eine Verarbeitung auf der DSK-Liste.

Durchführung nach statt vor Verarbeitungsbeginn: Art. 35 Abs. 1 DSGVO verlangt die DSFA vor Aufnahme der Verarbeitung. Eine nachträgliche DSFA kommt — verglichen mit einer ordnungsgemäßen Vorab-DSFA — einer Pflichtverletzung für den Zeitraum zwischen Verarbeitungsbeginn und Abschluss der DSFA gleich und kann von Aufsichtsbehörden gebußt werden.

Unzureichende Risikobewertung ohne Methodik: Viele DSFA-Dokumente enthalten nur pauschale Risikoaussagen ohne methodische Grundlage. Art. 35 Abs. 7 lit. c DSGVO verlangt eine Bewertung der Risiken, die konkrete Schadensszenarien für betroffene Personen benennt und quantifiziert — und nicht bloß allgemeine Datenschutzrisiken für das Unternehmen.

Fehlende oder rein formale Einbeziehung des DSB: Gemäß Art. 35 Abs. 2 DSGVO muss der Datenschutzbeauftragte einbezogen werden. Viele Unternehmen beschränken diese Einbeziehung auf eine Unterzeichnung ohne inhaltliche Befassung. Die Aufsichtsbehörden prüfen im Rahmen von Kontrollen, ob der DSB tatsächlich beraten wurde.

Unterlassene Fortschreibung bei Systemänderungen: Art. 35 Abs. 11 DSGVO schreibt vor, dass die DSFA bei Bedarf zu überprüfen und zu aktualisieren ist. Technologische Änderungen, neue Datenquellen, neue Empfänger oder veränderte Risikobedingungen (z.B. neue Cyberangriffsmuster) erfordern eine Aktualisierung der DSFA — was in der Praxis häufig versäumt wird.

Diese Seite zitieren

Verweisen Sie auf diese kostenlose Vorlage in einem Artikel, Lehrplan oder Forschungsbericht:

APA

Forms Legal. (2026). Datenschutz-Folgenabschätzung (DSFA) Deutschland (Deutschland) [Legal document template]. Forms Legal. https://forms-legal.com/de/deutschland/business/policies/datenschutz-folgenabschaetzung-deutschland

MLA

"Datenschutz-Folgenabschätzung (DSFA) Deutschland (Deutschland)." Forms Legal, 2026, https://forms-legal.com/de/deutschland/business/policies/datenschutz-folgenabschaetzung-deutschland.

BibTeX

@misc{formslegal-datenschutz-folgenabschaetzung-deutschland,
  author       = {{Forms Legal}},
  title        = {Datenschutz-Folgenabschätzung (DSFA) Deutschland (Deutschland)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/de/deutschland/business/policies/datenschutz-folgenabschaetzung-deutschland}},
  note         = {Free legal document template}
}

Auch verfügbar für diese Jurisdiktionen:

Norwegen

Häufig gestellte Fragen

Gesetzesreferenzierte Vorlage — Vorlage zuletzt geändert Juni 2026

Diese Vorlage dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Gesetze sind je nach Rechtsordnung unterschiedlich und ändern sich im Laufe der Zeit. Konsultieren Sie für Ihren konkreten Fall einen qualifizierten Rechtsanwalt.Vollständiger Haftungsausschluss

Fehler gefunden? Sagen Sie uns Bescheid