Magazin
DSFA: Was ist das & wann muss eine Datenschutz-Folgenabschätzung erfolgen?

DSFA: Was ist das & wann muss eine Datenschutz-Folgenabschätzung erfolgen?

Letztes Update:
14
.
05
.
2025
Lesezeit:
0
Min
Bei der Verarbeitung von personenbezogenen Daten greifen seit dem Inkrafttreten der DSGVO verschärfte Anforderungen. Was früher im Rahmen des alten Bundesdatenschutzgesetzes noch als Vorabkontrolle bekannt war, wurde im Zuge der Datenschutz-Grundverordnung zur Datenschutz-Folgeabschätzung – kurz DSFA. Eine Datenschutz-Folgenabschätzung ist ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten.
DSFA: Was ist das & wann muss eine Datenschutz-Folgenabschätzung erfolgen?
Die wichtigsten Erkenntnisse
  • Zuständig für DSFA ist der Verantwortliche, nicht der Datenschutzbeauftragte.
  • DSFA muss systematische Bewertungen persönlicher Aspekte, Notwendigkeit und Verhältnismäßigkeit enthalten.
  • DSFA erforderlich bei hohem Risiko für Rechte und Freiheiten natürlicher Personen.
  • Aufsichtsbehörden erstellen und veröffentlichen Listen von Verarbeitungsvorgängen, die DSFA erfordern.
  • Positivliste der Datenschutzkonferenz umfasst 16 Verarbeitungstätigkeiten, die DSFA erfordern.

Die DSFA ist eine Anforderung der DSGVO. Komplett neu ist dieses Instrument allerdings nicht, denn bereits das frühere deutsche Datenschutzrecht sah eine sogenannte Vorabkontrolle vor (§ 4d Abs. 5BDSG). Im Prinzip handelt es sich bei der Datenschutz-Folgenabschätzung und der Vorabkontrolle um den gleichen Vorgang: In besonders sensiblen Fällen einer Datenverarbeitung soll im Vorfeld das Risiko dieser Verarbeitung evaluiert werden, um Abhilfemaßnahmen zu dessen Eindämmung zu schaffen.

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Viele Unternehmer sind sich unsicher, was eine Datenschutz-Folgenabschätzung genau ist und welche Inhalte sie umfasst. Gemäß Artikel 35 EU-DSGVO handelt es sich bei einer Datenschutz-Folgenabschätzung (DSFA) um eine erweiterte Risikoeinschätzung, die vor bestimmten Verarbeitungen personenbezogener Daten stattfindet. Eine Risikoanalyse sieht die DSGVO generell für alle Datenverarbeitungen vor. Die Datenschutz-Folgenabschätzung unterscheidet sich dadurch, dass sie deutlich umfangreicher und komplexer ist und nur bei kritischen Verarbeitungsprozessen notwendig wird.

Ein Blick ins Gesetz verdeutlicht diesen Umstand: Art. 35 Abs. 7 der DSGVO legt bestimmte Mindestanforderungen an den Inhalt einer DSFA fest. Eine solche Abschätzung muss demnach die folgenden Punkte enthalten:

  • Eine systematische und umfassende Bewertung der persönlichen Aspekte natürlicher Personen, welche in der geplanten Verarbeitung betroffen sind
  • Eine Bewertung der Notwendigkeit sowie der Verhältnismäßigkeit dieser Vorgänge
  • Eine Bewertung der Risiken in Bezug auf die Rechte und Freiheiten der Betroffenen
  • Die Abhilfemaßnahmen, die zur Bewältigung der oben genannten Risiken getroffen werden

Insgesamt dient die Datenschutz-Folgenabschätzung also der Vorsorge: Noch bevor es zu einer Datenpanne kommen kann, soll das Risiko einer solchen so gut wie möglich minimiert werden.

Zuständig für die Prüfung und gegebenenfalls Durchführung der DSFA nach DSGVO ist der Verantwortliche und nicht, wie vielfach angenommen, der Datenschutzbeauftragte des Unternehmens.

Wann ist eine DSFA erforderlich?

Die Frage, ab wann genau eine Folgenabschätzung notwendig ist, treibt wohl viele Datenschutz-Verantwortliche um. Die Einschätzung einer geplanten Datenverarbeitung im Hinblick auf den Datenschutz kann schließlich ausgesprochen komplex sein. Art. 35 Abs. 1 der DSGVO legt hier Folgendes fest:

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“ (Art. 35 Abs. 1 DSGVO)

Kurz gesagt: Sobald eine Verarbeitung aufgrund Ihrer Art, des Umfangs, der Umstände und der Zwecke ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist eine Datenschutz-Folgenabschätzung durchzuführen. In Art. 35 Abs. 3 DSGVO folgen dann Regelbeispiele, bei denen eine DSFA durchzuführen ist:

  1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche     Verurteilungen und Straftaten gemäß Artikel 10 oder
  3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

In Abs. 3 werden lediglich einige Beispiele genannt, die genauen Verarbeitungstätigkeiten sind nicht einheitlich definiert. Erschwerend kommt hinzu, dass sich die deutschen Aufsichtsbehörden der einzelnen Bundesländer bei der Regelung zur Notwendigkeit einer Datenschutz-Folgenabschätzung für einzelne Verarbeitungstätigkeiten bisher nicht einigen konnten. Ein Blick auf die Website der zuständigen Datenschutzaufsichtsbehörde Ihres Bundeslandes lohnt sich hier jedoch auf jeden Fall.

Neue Gesetzgebung erfordert häufiger Durchführung der DSFA

Die Beispiele im Gesetzestext machen deutlich: Eine Datenschutz-Folgenabschätzung nach DSGVO muss weitaus häufiger durchgeführt werden als die Vorabkontrolle nach dem BDSG-alt. Dies kann zunächst einmal für Verwirrung bei den Verantwortlichen sorgen, denn längst nicht in jedem Fall lässt sich sofort klar erkennen, ob eine DSFA nun erforderlich ist oder nicht.

Doch die DSGVO hat für diese Problematik eine Lösung parat: Art. 35 Abs. 4 legt fest, dass die Aufsichtsbehörden dafür zuständig sind, im Rahmen Ihres Zuständigkeitsbereichs eine Liste derjenigen Verarbeitungsvorgänge zu erstellen und zu veröffentlichen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist. - Die Positivliste der Datenschutzkonferenz - Hilfestellung für die Folgenabschätzung in Unternehmen

Die Positivliste der Datenschutzkonferenz – Hilfestellung für die Folgenabschätzung in Unternehmen

Im Juli 2018 hat die Datenschutzkonferenz¹eine Positivliste herausgegeben, auf welcher Verarbeitungstätigkeiten verzeichnet sind, die eine DSFA erfordern. Insgesamt umfasst die Positivliste16 Verarbeitungstätigkeiten, unter anderem etwa die beiden folgenden:

  • Umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von natürlichen Personen
  • Erstellung umfassender Nutzerprofile in sozialen Netzwerken oder Dating-Portalen

Die vollständige Positivliste der DSK finden Sie hier. Alles in allem ist sie weitgehend deckungsgleich mit den bereits veröffentlichten DSFA-Positivlisten der einzelnen Aufsichtsbehörden[1] der Länder. Vereinzelt stellen die Aufsichtsbehörden zudem sog. Blacklists (nach Abs. 4) und optional auch Whitelists (Abs. 5) zur Verfügung, denen zu entnehmen ist, wann eine Datenschutz-Folgenabschätzung notwendig ist bzw. wann nicht.

¹Bei der Datenschutzkonferenz (DSK) handelt es sich um einen Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie gilt als Empfehlungsorgan im Datenschutz. Die Tagungen der DSK finden zweimal im Jahr statt.

Wie kann die Datenschutz-Folgenabschätzung durchgeführt werden?

Vor der Durchführung der DSFA kann es ratsam sein, diese in 3 Phasen einzuteilen.

  • Vorbereitungsphase: Im ersten Schritt werden der Prüfgegenstand definiert, die Rechtsgrundlagen bestimmt und die Akteure festgelegt. Dabei helfen folgende Fragen: Wo im Unternehmen werden personenbezogene Daten verarbeitet? Wie sieht das Verfahren der Verarbeitung aus und welchem Zweck dient diese?
  • Bewertungsphase: Das Risiko kann im zweiten Schritt nach dem Standard-Datenschutzmodell oder entsprechend einer Risikoanalyse bewertet werden. Dafür müssen Notwendigkeit und Verhältnismäßigkeit dieser konkreten Verarbeitung jeweils im Verhältnis zu dem Zweck der Verarbeitung ermittelt werden. Stellt diese Verarbeitung ein Risiko für die Rechte und Freiheiten einer betroffenen Person dar? Können etwaige Sicherheitsrisiken durch technische und organisatorische Maßnahmen (TOM) abgeschwächt werden?
  • Maßnahmenphase: Abschließend werden Schutzmaßnahmen zur Vermeidung oder Minderung von Beeinträchtigungen von Rechten und Freiheiten ergriffen. Zudem werden der Verantwortliche und Zeitplan der Umsetzung festgelegt.

Hierbei sind die Ergebnisse der Vorbereitungs-, Bewertungs- und Maßnahmenphase zu dokumentieren.

Risikominimierung durch die Datenschutz-Folgenabschätzung

Mit einer DSFA bzw. Datenschutz-Folgenabschätzung sollen die Risiken für die Rechte und Freiheiten betroffener Personen ermittelt werden. Das Ziel ist, die Ergebnisse zu bewerten und die erkannten Risiken mit entsprechenden technischen und organisatorischen Maßnahmen (TOM) einzudämmen. Allerdings findet nicht nur eine Risikominimierung für Betroffene statt. Auch der datenschutzrechtlich Verantwortliche schützt sich durch eine Datenschutz-Folgenabschätzung, da er so sicherstellt, dass er Daten DSGVO-konform verarbeitet und dies auch nachweisen kann, sollte es notwendig werden.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
Datenschutz-Folgenabschätzung
DSGVO
Technisch organisatorische Maßnahmen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Jetzt beraten lassen
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Datenschutz im Unternehmen: DSGVO für Firmen
27
.
03
.
2025
Datenschutz im Unternehmen: DSGVO für Firmen
Das Datenschutzrecht ist in Deutschland in einer Vielzahl von Gesetzen geregelt. Spricht man von betrieblich relevanten Datenschutzbestimmungen, ist in erster Linie die Rede von der Datenschutzgrundverordnung (DSGVO). Diese ist die zentrale Rechtsquelle für den umfassenden Schutz personenbezogener Daten. Ergänzt wird sie durch das Bundesdatenschutzgesetz (BDSG-neu) und die jeweiligen Landesdatenschutzgesetze. Aufgrund der Vielzahl von Datenschutzgesetzen ist es für Unternehmen von großer Bedeutung, die einzelnen Vorschriften und Verpflichtungen zur Datensicherheit genau zu kennen.
DSGVO-Zertifizierung: Kommt jetzt ein Europäisches Datenschutzsiegel?
13
.
01
.
2023
DSGVO-Zertifizierung: Kommt jetzt ein Europäisches Datenschutzsiegel?
Die DSGVO gilt jetzt schon seit einigen Jahren, es gibt jedoch noch keine DSGVO-Zertifizierung. Unternehmen stehen daher immer noch vor der Frage, wie sie Vertrauen schaffen können. Nun könnte ein europäisches Datenschutzsiegel kommen. Wir zeigen Ihnen in diesem Artikel, was sich getan hat.
Cookieless Tracking: DSGVO-konforme Tracking-Alternativen
19
.
01
.
2022
Cookieless Tracking: DSGVO-konforme Tracking-Alternativen
Third-Party-Cookies, die beim Aufrufen nahezu jeder Website gesetzt werden, sollen abgeschafft werden. Das stellt viele Werbetreibende vor ein Problem, ist Tracking via Cookies doch ein riesiger Absatzmarkt. Was ist nun die Alternative? Und ist diese datenschutzkonformer?
Bewerbung & Datenschutz: Das müssen Unternehmen beachten
24
.
07
.
2023
Bewerbung & Datenschutz: Das müssen Unternehmen beachten
In Personalabteilungen spielt der Datenschutz eine große Rolle: Neben Daten der Mitarbeitenden unterliegen auch Daten aus dem Lebenslauf und anderen Bewerbungsunterlagen dem Datenschutz und den Vorgaben der DSGVO.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

ISO 27001 Gap Analyse – Der erste Schritt zur erfolgreichen ISMS-Zertifizierung
27
.
05
.
2025
ISO 27001 Gap Analyse – Der erste Schritt zur erfolgreichen ISMS-Zertifizierung
Der internationale Standard ISO 27001 hat sich als verlässlicher Rahmen für Informationssicherheit in Unternehmen etabliert: Er definiert klare Anforderungen an ein Managementsystem für Informationssicherheit (ISMS) und bietet Unternehmen die Möglichkeit, ihre Sicherheitsprozesse zertifizieren zu lassen. Vor der Umsetzung eines ISMS und der erfolgreichen Zertifizierung ist jedoch eine gründliche Analyse des Ist-Zustands notwendig. Dabei können Organisationen die ISO 27001 Gap Analyse nutzen: Sie deckt Lücken zwischen dem aktuellen Sicherheitsniveau und den Anforderungen der ISO-Norm auf. Diese Erkenntnisse sind eine wichtige Grundlage für gezielte Optimierungsmaßnahmen und zum Schutz vor Informationssicherheitsvorfällen.
E-Rechnung und Datenschutz: So bleibt Ihr Rechnungsversand per Mail DSGVO-konform
22
.
05
.
2025
E-Rechnung und Datenschutz: So bleibt Ihr Rechnungsversand per Mail DSGVO-konform
Die Digitalisierung administrativer Prozesse bringt enorme Effizienzgewinne mit sich – insbesondere in mittelständischen Unternehmen der IT- und Softwarebranche. Doch gerade beim Rechnungsversand per E-Mail lauern erhebliche Datenschutzrisiken. Der rechtssichere Umgang mit E-Rechnungen wird durch die wachsenden regulatorischen Anforderungen zur Compliance-Herausforderung. Dieser Beitrag beleuchtet die rechtlichen und technischen Grundlagen rund um die E-Rechnung im Kontext der DSGVO. Ziel ist es, Verantwortlichen aus Compliance, IT und Datenschutz die notwendigen Werkzeuge an die Hand zu geben, um datenschutzkonform und zukunftssicher aufgestellt zu sein.
Betriebsvereinbarung & DSGVO
21
.
05
.
2025
Betriebsvereinbarung & DSGVO
Sobald am Arbeitsplatz personenbezogene Daten verarbeitet werden – etwa durch Zeiterfassung, E-Mail-Systeme oder Videoüberwachung – braucht es klare, rechtssichere Regelungen. Betriebsvereinbarungen bieten hierfür den passenden Rahmen. Doch seit Inkrafttreten der DSGVO gelten strengere Anforderungen. In diesem Beitrag erfahren Sie, wann eine Betriebsvereinbarung notwendig ist, welche Datenschutzvorgaben sie erfüllen muss und warum Standardvorlagen oft nicht ausreichen. Plus: praktische Tipps für die Erstellung individueller, DSGVO-konformer Vereinbarungen.
Der Datenschutzkoordinator: Was macht er und wann ist er nötig?
12
.
05
.
2025
Der Datenschutzkoordinator: Was macht er und wann ist er nötig?
Die Aufgaben eines Datenschutzbeauftragten sind klar definiert – doch was macht ein Datenschutzkoordinator? Erfahren Sie, was ein Datenschutzkoordinator ist und welche wichtige Rolle er bei der Einhaltung der DSGVO spielt.
datenschutz-Muster

Kostenlose Materialien zum Thema

Verschwiegenheits­erklärung für Mitarbeiter
Stellen Sie mit unserer Verschwiegenheits­erklärung sicher, dass sensible Informationen im Unternehmen bleiben und reduzieren Sie das Risiko von Datenschutzverstößen und Abmahnungen.
Einwilligungserklärung: Kostenloses Muster
Nutzen Sie unsere kostenlose Vorlage für eine Einwilligungserklärung zur Erhebung personenbezogener Daten.
Bestellung eines Datenschutz­beauftragten nach DSGVO
Berufen Sie jetzt einfach und schnell einen Datenschutzexperten mit unserer Bestellurkunde.
Datenschutzerklärung für Mitarbeiter
Erstellen Sie mit unserem kostenlosen Muster eine DSGVO-konforme Datenschutzinformation für Ihre Mitarbeiter.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!