Datenschutz-Folgenabschätzung (DSFA) Vorlage Deutschland

Die Datenschutz-Folgenabschätzung (DSFA) in Deutschland ist in DSGVO Art. 35 (Datenschutz-Folgenabschätzung bei hohem Risiko) geregelt. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die deutschen Landesdatenschutzbehörden haben gemäß Art. 35 Abs. 4 DSGVO eine Liste von Verarbeitungsvorgängen veröffentlicht, für die eine DSFA in jedem Fall erforderlich ist (DSFA-Pflichtliste, zuletzt aktualisiert 2024). Diese Liste umfasst unter anderem: umfangreiches Profiling von Personen auf Basis von Daten aus verschiedenen Quellen (insbesondere im Online-Marketing und im Finanzbereich); automatisierte Entscheidungsfindung nach Art. 22 DSGVO, die erhebliche Auswirkungen auf Personen hat (z.B. Kreditwürdigkeitsprüfung, Personalentscheidungen); Verarbeitung genetischer Daten oder biometrischer Daten zur eindeutigen Identifizierung; systematische Überwachung öffentlich zugänglicher Bereiche durch Videoüberwachung (CCTV); Verarbeitung von Gesundheitsdaten im großen Umfang durch Krankenhäuser, Krankenkassen oder digitale Gesundheitsanwendungen (DiGA); Tracking des Nutzerverhaltens durch IoT-Geräte und Smart-Home-Systeme.

Art. 35 Abs. 7 DSGVO normiert den Mindestinhalt der DSFA: eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung (lit. a); eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge (lit. b); eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen (lit. c); die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen (lit. d). Der Europäische Datenschutzausschuss (EDSA, ehemals WP29) hat in den Leitlinien WP248 rev.01 (2017/2018) eine Methodik für die Risikobewertung vorgeschlagen, die von den deutschen Datenschutzbehörden und der Datenschutzkonferenz (DSK) anerkannt wird. Das DSFA-Muster auf forms-legal.com orientiert sich an dieser Methodik und den Anforderungen der deutschen Datenschutzbehörden.

Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist in Deutschland in allen Situationen erforderlich, in denen eine Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen darstellt. Art. 35 Abs. 3 DSGVO nennt drei Regelbeispiele, bei denen eine DSFA in jedem Fall durchzuführen ist.

Automatisierte Entscheidungsfindung und Profiling (Art. 35 Abs. 3 lit. a DSGVO): Eine DSFA ist erforderlich bei systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die auf automatisierter Verarbeitung einschließlich Profiling beruht und die Grundlage für Entscheidungen bildet, die gegenüber diesen Personen rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen. In Deutschland betrifft dies insbesondere: SCHUFA-Scoring und bankinternes Kreditwürdigkeits-Scoring; HR-Algorithmen für Bewerberauswahl (ATS-Systeme mit KI); personalisierte Preisgestaltung im Online-Handel; automatisierte Entscheidungen über Versicherungsprämien.

Besondere Datenkategorien im großen Umfang (Art. 35 Abs. 3 lit. b DSGVO): Eine DSFA ist obligatorisch bei umfangreicher Verarbeitung besonderer Datenkategorien nach Art. 9 Abs. 1 DSGVO (Gesundheitsdaten, genetische Daten, biometrische Daten, Daten über rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, gewerkschaftliche Zugehörigkeit, Daten zum Sexualleben oder zur sexuellen Orientierung) oder von Daten über strafrechtliche Verurteilungen nach Art. 10 DSGVO. In Deutschland betrifft dies insbesondere: Krankenhäuser und Gesundheits-Apps (digitale Gesundheitsanwendungen, DiGA nach §§ 139e SGB V); Versicherungsunternehmen, die Gesundheitsdaten verarbeiten; Personalabteilungen, die Krankschreibungsdaten erfassen.

Systematische Überwachung öffentlicher Bereiche (Art. 35 Abs. 3 lit. c DSGVO): Eine DSFA ist erforderlich bei der systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche — z.B. Videoüberwachung (CCTV) in Innenstädten, Einkaufszentren oder öffentlichen Verkehrsmitteln. Für Videoüberwachung durch öffentliche Stellen gelten zusätzlich die Anforderungen der Landesdatenschutzgesetze.

BfDI-DSFA-Pflichtliste 2024: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) haben weitere Verarbeitungstypen in eine DSFA-Pflichtliste aufgenommen, die über die drei Regelbeispiele des Art. 35 Abs. 3 DSGVO hinausgehen. Dazu gehören: Tracking-Technologien mit weitreichender Profilbildung; KI-Systeme, die Hoch-Risiko-Anwendungen nach dem EU AI Act (EU-Verordnung 2024/1689) darstellen; Cross-Device-Tracking; Einsatz von Gesichtserkennung; Verhaltensbasiertes Scoring in der Personalwirtschaft.

Eine vollständige und wirksame Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO in Deutschland muss folgende Kerninhalte umfassen, um den Anforderungen der deutschen Datenschutzbehörden und der Datenschutzkonferenz (DSK) zu entsprechen.

Systematische Beschreibung der Verarbeitung (Art. 35 Abs. 7 lit. a DSGVO): Die DSFA beginnt mit einer präzisen Beschreibung der geplanten Verarbeitungstätigkeit: Was wird verarbeitet? (Datenkategorien, Datenmenge, Sensitivität); Wer ist betroffen? (Kategorien und Anzahl der betroffenen Personen, ggf. besonders schutzbedürftige Gruppen wie Kinder, Arbeitnehmer, Patienten); Wie wird verarbeitet? (manuelle oder automatisierte Verarbeitung, Einsatz von KI oder ML); Wer ist beteiligt? (interne Stellen, externe Auftragsverarbeiter, Subauftragsverarbeiter); Wo wird verarbeitet? (EU-intern oder Drittlandtransfer nach Art. 44 ff. DSGVO).

Notwendigkeit und Verhältnismäßigkeit (Art. 35 Abs. 7 lit. b DSGVO): Die DSFA muss nachweisen, dass die Verarbeitung das mildeste Mittel zur Erreichung des Zwecks ist (Verhältnismäßigkeitsprinzip). Dabei sind die Grundsätze des Art. 5 DSGVO zu berücksichtigen: Zweckbindung (lit. b), Datenminimierung (lit. c), Richtigkeit (lit. d), Speicherbegrenzung (lit. e), Integrität und Vertraulichkeit (lit. f). Die Rechtsgrundlage der Verarbeitung muss klar benannt und ihre Angemessenheit für den konkreten Zweck begründet werden.

Risikobewertung (Art. 35 Abs. 7 lit. c DSGVO): Für jede identifizierte Bedrohung (Datenpanne, unbefugter Zugriff, Zweckentfremdung, Diskriminierung durch algorithmische Entscheidungen) muss die DSFA bewerten: Wahrscheinlichkeit des Eintretens (gering/mittel/hoch); Schwere der potenziellen Auswirkungen auf die betroffenen Personen (gering/mittel/hoch). Das Risikoniveau (gering × Schwere = Gesamtrisiko) bestimmt, ob Schutzmaßnahmen ausreichen oder ob eine Vorabkonsultation nach Art. 36 DSGVO erforderlich ist.

Schutzmaßnahmen und Restrisiko (Art. 35 Abs. 7 lit. d DSGVO): Die DSFA dokumentiert alle geplanten technischen und organisatorischen Maßnahmen (TOMs) zur Risikominderung. Nach Implementierung der Maßnahmen ist das Restrisiko zu bewerten: Ist das Restrisiko vertretbar niedrig, kann die Verarbeitung beginnen. Besteht ein hohes Restrisiko, ist eine Vorabkonsultation der zuständigen Datenschutzbehörde nach Art. 36 DSGVO obligatorisch. Das Muster auf forms-legal.com sowie der verwandte Auftragsverarbeitungsvertrag (AVV) unterstützen Unternehmen bei der vollständigen DSFA-Dokumentation nach deutschen und europäischen Standards.

Das Ausfüllen der DSFA-Vorlage in Deutschland erfordert eine strukturierte Vorgehensweise und die Einbeziehung des Datenschutzbeauftragten (DSB). Die folgenden Schritte orientieren sich an den Leitlinien des Europäischen Datenschutzausschusses (EDSA, WP248 rev.01) und der deutschen Datenschutzkonferenz (DSK).

Erster Schritt: Prüfung der DSFA-Pflicht. Bevor Sie die Vorlage ausfüllen, prüfen Sie, ob eine DSFA tatsächlich erforderlich ist. Art. 35 Abs. 3 DSGVO und die DSFA-Pflichtliste des BfDI (2024) sind die Ausgangspunkte. Im Zweifel empfiehlt sich die Durchführung einer DSFA — sie schadet nicht und kann im Haftungsfall entlastend wirken.

Zweiter Schritt: DSB einbeziehen (Art. 35 Abs. 2 DSGVO). Der Datenschutzbeauftragte (DSB) muss in den DSFA-Prozess einbezogen werden. Er berät bei der Risikoidentifikation und -bewertung, prüft die Verhältnismäßigkeit und dokumentiert seine Stellungnahme. Die DSFA ohne DSB-Einbindung ist bei Unternehmen mit bestelltem DSB unvollständig.

Dritter Schritt: Verarbeitungsbeschreibung. Füllen Sie alle Felder zur Beschreibung der Verarbeitungstätigkeit präzise und vollständig aus. Unvollständige Beschreibungen werden von den deutschen Datenschutzbehörden beanstandet.

Vierter Schritt: Risikobewertung. Identifizieren Sie alle relevanten Risiken für die betroffenen Personen. Nutzen Sie die anerkannte Risikoanalyse-Methodik: Bedrohung → Wahrscheinlichkeit (1-3) × Schwere (1-3) = Risikoniveau (1-9). Hohes Risikoniveau (7-9) = Vorabkonsultation nach Art. 36 DSGVO erforderlich.

Fünfter Schritt: Schutzmaßnahmen und Genehmigung. Definieren Sie für jedes Risiko mindestens eine konkrete Schutzmaßnahme. Bewerten Sie das Restrisiko nach Maßnahmenumsetzung. Holen Sie die Genehmigung der Unternehmensleitung und die Stellungnahme des DSB ein. Dokumentieren Sie Datum und Version der DSFA für die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Die rechtlichen Anforderungen an die Datenschutz-Folgenabschätzung (DSFA) in Deutschland ergeben sich aus Art. 35 und 36 DSGVO, den Leitlinien des Europäischen Datenschutzausschusses (EDSA) und den Vorgaben der deutschen Datenschutzkonferenz (DSK).

DSFA-Pflicht nach Art. 35 DSGVO: Art. 35 Abs. 1 DSGVO verpflichtet Verantwortliche zur DSFA bei voraussichtlich hohem Risiko. Art. 35 Abs. 3 DSGVO nennt drei verbindliche Fallgruppen (Profiling/automatisierte Entscheidungen; besondere Datenkategorien im großen Umfang; systematische Überwachung). Art. 35 Abs. 4 DSGVO ermächtigt die nationalen Datenschutzbehörden, DSFA-Pflichtlisten zu erstellen (DSFA-Positivlisten des BfDI und der Landesdatenschutzbehörden).

Vorabkonsultation nach Art. 36 DSGVO: Ergibt die DSFA, dass die Verarbeitung trotz Schutzmaßnahmen ein hohes Risiko aufweist, muss der Verantwortliche vor Beginn der Verarbeitung die zuständige Aufsichtsbehörde konsultieren. In Deutschland ist die zuständige Behörde je nach Unternehmensstandort eine der 16 Landesdatenschutzbehörden (z.B. der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, LfDI BW; der Berliner Beauftragte für Datenschutz und Informationsfreiheit, BlnBDI) oder — bei bundesbehördlichen Verantwortlichen — der BfDI. Die Behörde hat nach Art. 36 Abs. 2 DSGVO eine Beratungsfrist von acht Wochen, die um sechs weitere Wochen verlängerbar ist.

Bußgelder: Das Unterlassen einer erforderlichen DSFA ist nach Art. 83 Abs. 4 DSGVO mit Geldbußen bis zu 10.000.000 Euro oder 2 % des weltweiten Jahresumsatzes bewehrt. Die deutschen Datenschutzbehörden haben in mehreren Fällen Bußgelder wegen fehlender oder unzureichender DSFA verhängt, insbesondere im Gesundheitsbereich (Verarbeitung von Patientendaten ohne DSFA) und bei KI-basierten HR-Systemen.

Bei der Datenschutz-Folgenabschätzung (DSFA) in Deutschland treten in der Praxis regelmäßig Fehler auf, die zur Unvollständigkeit oder Unwirksamkeit der DSFA führen.

Nachträgliche DSFA: Die häufigste und schwerwiegendste Fehler ist die Durchführung der DSFA erst nach Beginn der Verarbeitung — also wenn das System bereits läuft oder die Kampagne bereits gestartet ist. Art. 35 Abs. 1 DSGVO schreibt ausdrücklich vor, dass die DSFA vor Beginn der Verarbeitung durchgeführt werden muss. Eine nachträgliche DSFA kann den Datenschutzverstoß nicht heilen.

Kein DSB eingebunden: Art. 35 Abs. 2 DSGVO schreibt die Einbindung des Datenschutzbeauftragten (DSB) in die DSFA vor, sofern ein solcher bestellt wurde. Viele Unternehmen lassen die DSFA allein durch die IT- oder Marketing-Abteilung erstellen, ohne den DSB zu konsultieren. Dies macht die DSFA formell unvollständig.

Unvollständige Risikobewertung: Eine häufige Schwäche ist die Beschränkung der Risikobewertung auf technische Datensicherheitsrisiken (Hackerangriff, Datenpanne), ohne die spezifischen Risiken für Rechte und Freiheiten der betroffenen Personen zu berücksichtigen — z.B. Diskriminierungsrisiken durch algorithmische Entscheidungen, Risiken für die informationelle Selbstbestimmung, Risiken der Profilbildung und Überwachung.

Keine Überprüfung und Aktualisierung: Art. 35 Abs. 11 DSGVO verpflichtet den Verantwortlichen, die DSFA zu überprüfen, wenn sich das Risiko der Verarbeitungsvorgänge ändern kann. In der Praxis wird die DSFA oft als einmaliges Ereignis betrachtet — dabei erfordert jede wesentliche Änderung der Verarbeitung (neuer Dienstleister, neue Datenkategorie, neue Verarbeitungsumgebung) eine Überprüfung oder Aktualisierung.