DSFA DSGVO Datenschutz Art. 35 Folgenabschätzung

Datenschutz-Folgenabschätzung (DSFA): Wann sie Pflicht ist und wie Sie vorgehen

Nils Oehmichen
Von Nils Oehmichen Datenschutzberater & Geschäftsführer

Inhalt in Kürze

  • Eine DSFA (Datenschutz-Folgenabschätzung) ist nach Art. 35 DSGVO Pflicht, wenn eine Datenverarbeitung hohe Risiken für Betroffene birgt.
  • Die DSK hat 9 Kriterien definiert — ab 2 zutreffenden Kriterien wird die DSFA in der Regel erforderlich.
  • Jede Aufsichtsbehörde veröffentlicht eine Blacklist (Muss-Liste) mit Verarbeitungsvorgängen, die immer eine DSFA erfordern.
  • Ohne DSFA drohen Bußgelder bis 10 Mio. Euro oder 2 % des Jahresumsatzes.

Sie führen Videoüberwachung im Lager durch. Ihr CRM bewertet Kunden automatisch nach Bonität. Ihre neue Software analysiert Bewerbungsunterlagen per KI. Drei Verarbeitungen, drei Mal hohes Risiko — drei Mal DSFA-Pflicht.

Klingt aufwändig? Ist es nicht, wenn man weiß, wie es geht. Die meisten KMU scheitern nicht am Prozess, sondern daran, dass sie gar nicht wissen, dass sie eine DSFA brauchen.

Art. 35
DSGVO — Rechtsgrundlage
9 Kriterien
der DSK (ab 2 = Pflicht)
10 Mio. €
Bußgeld bei Verstoß

Was ist eine Datenschutz-Folgenabschätzung?

Eine DSFA ist eine strukturierte Risikoanalyse, die Sie vor Beginn einer Datenverarbeitung durchführen. Sie dokumentiert, welche Risiken für die Rechte und Freiheiten betroffener Personen bestehen und welche Schutzmaßnahmen diese Risiken mindern.

Der englische Begriff „Data Protection Impact Assessment" (DPIA) beschreibt dasselbe Verfahren. Die DSFA ist kein einmaliges Gutachten, sondern ein lebendiges Dokument, das bei Änderungen aktualisiert werden muss.

Wann ist eine DSFA Pflicht?

Art. 35 Abs. 3 DSGVO nennt drei Regelbeispiele:

  1. Automatisierte Einzelentscheidungen mit Rechtswirkung (z. B. Kreditscoring, automatisierte Bewerberselektion)
  2. Umfangreiche Verarbeitung besonderer Datenkategorien (Gesundheitsdaten, biometrische Daten, Gewerkschaftszugehörigkeit)
  3. Systematische Überwachung öffentlich zugänglicher Bereiche (Videoüberwachung)

Darüber hinaus hat die Datenschutzkonferenz (DSK) 9 Kriterien aus den WP-248-Leitlinien übernommen. Treffen mindestens 2 zu, ist die DSFA in der Regel erforderlich:

Nr. Kriterium Beispiel
1 Bewertung/Scoring Bonitätsprüfung, Mitarbeiter-Leistungsbewertung
2 Automatisierte Entscheidung KI-gestützte Vorauswahl von Bewerbern
3 Systematische Überwachung GPS-Tracking, Videoüberwachung am Arbeitsplatz
4 Sensible Daten Gesundheitsdaten, Religion, Biometrie
5 Umfangreiche Verarbeitung Kundendatenbank einer Versicherung
6 Abgleich/Zusammenführung CRM-Daten + Social-Media-Profile
7 Schutzbedürftige Personen Kinder, Patienten, Arbeitnehmer
8 Neue Technologien KI, IoT, Gesichtserkennung
9 Verweigerung einer Leistung Zugang nur mit biometrischer Identifikation
Blacklist prüfen:

Jede Aufsichtsbehörde veröffentlicht eine „Muss-Liste" nach Art. 35 Abs. 4. Der HmbBfDI listet dort konkrete Verarbeitungen auf, die immer eine DSFA erfordern. Prüfen Sie die Liste Ihrer zuständigen Behörde.

DSFA in 6 Schritten

  1. Verarbeitungsvorgang beschreiben: Was wird verarbeitet? Welche Daten? Von wem? Zu welchem Zweck? Welche Rechtsgrundlage? Halten Sie das systematisch fest.
  2. Notwendigkeit und Verhältnismäßigkeit prüfen: Ist die Verarbeitung für den Zweck wirklich erforderlich? Gibt es mildere Mittel? Art. 35 Abs. 7 lit. b verlangt diese Bewertung.
  3. Risiken identifizieren: Welche Risiken bestehen für die betroffenen Personen? Denken Sie an Datenverlust, unbefugten Zugriff, Diskriminierung, finanzielle Schäden.
  4. Risiken bewerten: Eintrittswahrscheinlichkeit × Schwere des Schadens. Nutzen Sie eine Matrix (gering/mittel/hoch).
  5. Abhilfemaßnahmen festlegen: Verschlüsselung, Pseudonymisierung, Zugriffskontrollen, Löschkonzepte, technisch-organisatorische Maßnahmen.
  6. Dokumentieren und prüfen lassen: Der Datenschutzbeauftragte muss nach Art. 35 Abs. 2 einbezogen werden. Restrisiken dokumentieren.

Aus der Praxis

Viele Unternehmer denken, ich bin doch zu klein für eine DSFA. Aber sobald Sie Gesundheitsdaten verarbeiten — und das tut jede Arztpraxis, jedes Fitnessstudio, jeder Betrieb mit Krankmeldungen — ist die Schwelle schnell erreicht. Die gute Nachricht: Eine DSFA für ein konkretes Verfahren ist an einem Tag machbar.

Nils Oehmichen Nils OehmichenDatenschutzberater bei frag.hugo

Typische Fehler bei der DSFA

Diese Fehler sehen wir regelmäßig:

1. DSFA erst nach Start der Verarbeitung durchgeführt (muss vorher passieren). 2. Datenschutzbeauftragten nicht einbezogen. 3. Risiken nur aus Unternehmenssicht bewertet statt aus Sicht der Betroffenen. 4. Maßnahmen zu allgemein formuliert („angemessene Sicherheit" reicht nicht). 5. DSFA nie aktualisiert.

DSFA-Beratung für Hamburger Unternehmen

Der HmbBfDI hat eine eigene Muss-Liste für Hamburg veröffentlicht und berät Unternehmen bei der Durchführung. Als Datenschutzberatung in Hamburg übernehmen wir die DSFA für Ihre Verarbeitungsvorgänge — von der Schwellwertanalyse bis zur fertigen Dokumentation.

Das Wichtigste: Prüfen Sie für jede Datenverarbeitung, ob 2 der 9 DSK-Kriterien zutreffen oder die Verarbeitung auf der Blacklist Ihrer Aufsichtsbehörde steht. Wenn ja: DSFA durchführen, Datenschutzbeauftragten einbeziehen, Ergebnis dokumentieren. Lieber eine DSFA zu viel als eine Datenpanne ohne Risikoabwägung.

DSFA-Pflicht unklar?

Wir prüfen Ihre Verarbeitungsvorgänge und erstellen die Datenschutz-Folgenabschätzung — rechtssicher und praxistauglich.

Kostenloses Erstgespräch buchen →

Häufige Fragen (FAQ)

Wann muss ich eine Datenschutz-Folgenabschätzung durchführen?

Immer wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für Betroffene birgt. Die DSK hat 9 Kriterien definiert — ab 2 zutreffenden ist die DSFA Pflicht. Zusätzlich gibt es Blacklists der Aufsichtsbehörden.

Was passiert, wenn ich keine DSFA durchführe?

Bußgelder bis 10 Mio. Euro oder 2 % des Jahresumsatzes nach Art. 83 Abs. 4 DSGVO. Zudem fehlt die dokumentierte Risikoabwägung, die bei einer Datenpanne entlastend wirken kann.

Wer führt die DSFA durch?

Verantwortlich ist das Unternehmen. Der Datenschutzbeauftragte muss einbezogen werden (Art. 35 Abs. 2). Die operative Arbeit können interne Teams oder externe Berater übernehmen.

Wie lange dauert eine DSFA?

Je nach Komplexität zwischen einem Tag und mehreren Wochen. Eine Videoüberwachung ist schneller bewertet als ein KI-gestütztes Scoring-System.

Muss die DSFA wiederholt werden?

Ja. Art. 35 Abs. 11 DSGVO verlangt eine Überprüfung bei wesentlichen Änderungen — neue Technologien, geänderte Datenflüsse oder Gesetzesänderungen.

Artikel teilen

Weiterlesen

Ähnliche Artikel

Nils Oehmichen

Über den Autor

Nils Oehmichen

Datenschutzberater & Geschäftsführer

Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.

Nächster Schritt

Haben Sie Fragen?

Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.

Erstgespräch buchen Weitere Artikel