Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 35 DSGVO verpflichtend, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" mit sich bringt. Die deutschen Aufsichtsbehörden — koordiniert durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) — haben „Schwarze Listen" mit DSFA-pflichtigen Verarbeitungen veröffentlicht (z. B. Mitarbeiter-Überwachung, Bonitätsbewertung, biometrische Erkennung, klinische KI-Anwendungen). Die DSFA ist mehr als ein Dokumentationsritual — sie ist die systematische Risikobewertung, die zu konkreten technischen und organisatorischen Maßnahmen führt. Bei fehlender oder mangelhafter DSFA drohen Bußgelder bis 10 Mio. EUR oder 2 % weltweiter Jahresumsatz sowie persönliche Haftung der Geschäftsleitung.
Kerntatsachen
DSFA-Pflicht entsteht bei „hohem Risiko" — drei DSGVO-Tatbestände + Schwarze Liste der BfDI ergänzt durch Landes-DPAs.
Acht Pflichtinhalte nach Art. 35 Abs. 7 DSGVO — von Verarbeitungsbeschreibung bis Maßnahmenkatalog.
Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO erforderlich, wenn Risiken nicht angemessen mitigiert werden können.
DSB-Beratung ist gesetzlich vorgeschrieben (Art. 35 Abs. 2 DSGVO) — der DSB berät, der Verantwortliche verantwortet.
Standard-Methoden: SDM (Standard-Datenschutzmodell der DSK), CNIL-Methodik, ISO 29134, BSI-Leitfaden.
Aktualisierungspflicht bei wesentlichen Änderungen der Verarbeitung — typischerweise mindestens alle 2 Jahre.
Die Datenschutz-Folgenabschätzung ist ein strukturierter Risikomanagement-Prozess für Verarbeitungen mit hohem Risiko für die Betroffenen. Sie verbindet drei Elemente:
Element
Inhalt
Verarbeitungsbeschreibung
Was wird verarbeitet, wie, durch wen, in welchem Kontext?
Risikobewertung
Welche Risiken bestehen für die Rechte und Freiheiten der Betroffenen?
Maßnahmenplanung
Wie werden die Risiken auf ein akzeptables Niveau reduziert?
Im Unterschied zu einer reinen IT-Sicherheits-Risikoanalyse fokussiert die DSFA auf die Betroffenen — nicht auf das Unternehmen. Bewertungsmaßstab: was bedeutet die Verarbeitung für die Rechte und Freiheiten der Personen, deren Daten verarbeitet werden?
Abgrenzung zu anderen Bewertungen
Methode
Fokus
Maßstab
DSFA
Betroffene
Risiko für Rechte und Freiheiten
IT-Sicherheits-Risikoanalyse
Unternehmen
Risiko für CIA-Triade (Confidentiality, Integrity, Availability)
Risiko-Inventar ISO 27001
ISMS
Risiko für Geschäftsprozesse
Privacy by Design Review
Konzept
Datenschutz-Designprinzipien
In der Praxis sollte die DSFA mit anderen Risikoanalysen koordiniert werden — Doppelarbeit vermeiden, gleiche Quelldaten nutzen.
Kennzahl
Über 60.000 DSFA-Konsultationen wurden zwischen 2018 und 2024 von deutschen Aufsichtsbehörden bearbeitet — der größte Teil aus dem Gesundheitswesen, der Finanzbranche und dem Marketing-Sektor.
Wann verpflichtend?
Die DSFA-Pflicht ergibt sich aus drei kombinierten Quellen:
Quelle 1 — Drei DSGVO-Tatbestände (Art. 35 Abs. 3)
Eine DSFA ist immer erforderlich bei:
Tatbestand
Beispiele
Systematische Bewertung mit automatisierten Entscheidungen oder Profiling
Der BfDI und die deutschen Landes-DPAs haben gemeinsam koordiniert eine „Schwarze Liste" veröffentlicht (Beschluss der DSK vom 17.10.2018, fortgeschrieben). Sie enthält Verarbeitungen, die immer DSFA-pflichtig sind.
Quelle 3 — Schwellenwerte und Risiko-Indikatoren
Auch ohne expliziten Schwarze-Liste-Eintrag kann eine DSFA-Pflicht bestehen, wenn mindestens zwei der neun WP248-Kriterien der Art-29-Datenschutzgruppe erfüllt sind:
Bewertende oder Punktebewertende Verarbeitung
Automatisierte Entscheidungen mit rechtlicher Wirkung
Systematische Überwachung
Besondere Kategorien oder höchstpersönliche Daten
Großflächige Datenverarbeitung
Datenmatching oder -kombination aus mehreren Quellen
Verarbeitung schutzbedürftiger Personen (Kinder, Mitarbeiter, ältere Menschen)
Innovative Technologien
Verarbeitung, die Betroffene an der Ausübung ihrer Rechte hindert
Schwarze und Weiße Liste
Die deutschen Aufsichtsbehörden haben die rechtliche Klarheit über zwei Listen geschaffen.
Schwarze Liste — DSFA verpflichtend
Auszug aus der DSK-Liste (vereinfachte Darstellung):
Verarbeitungstyp
Beispiel
Großflächige Verarbeitung von Patientendaten
Krankenhaus, Pflegedienst, Zentrallabor
Bonitätsprüfung großflächig
Schufa-artige Verarbeitungen, FinTech-Score
Mitarbeiter-Überwachung
systematisches Monitoring von E-Mail, Internetnutzung, Standortdaten
Biometrische Identifikation großflächig
Gesichtserkennung, Iris-Scan
Großflächige genetische Datenverarbeitung
DNA-Analyse-Dienste
Profiling für gezielte Werbung in sensiblen Bereichen
Profilbildung über sexuelle Ausrichtung, politische Meinung, Religion
Newsletter mit Standard-Tracking ohne Profilbildung
Die Weiße Liste ist nicht gesetzlich gebunden — sie zeigt Beispiele, in denen typischerweise keine DSFA erforderlich ist. Bei abweichenden Konstellationen kann auch dort eine DSFA notwendig werden.
Acht Pflichtinhalte
Art. 35 Abs. 7 DSGVO schreibt acht Pflichtinhalte für jede DSFA vor.
2. Bewertung der Notwendigkeit und Verhältnismäßigkeit
warum diese Daten, gibt es weniger eingreifende Alternativen?
3. Bewertung der Risiken für Rechte und Freiheiten
systematische Risiko-Identifikation und -Bewertung
4. Geplante Abhilfemaßnahmen
technische und organisatorische Maßnahmen zur Risiko-Reduktion
5. Garantien für den Datenschutz
spezifische Garantien (z. B. Pseudonymisierung, Zweckbindung)
6. Sicherheitsvorkehrungen
technische und organisatorische Maßnahmen Art. 32 DSGVO
7. Mechanismen zur Sicherstellung des Datenschutzes
Audit-Mechanismen, Wirksamkeitsmessung
8. Berücksichtigung der Rechte und berechtigten Interessen
Prüfung der Betroffenenrechte (Auskunft, Löschung, Widerspruch)
Gewichtung der Pflichtinhalte
In der Praxis liegt der Schwerpunkt auf den Pflichtinhalten 3, 4 und 5 — die Risikobewertung und die daraus abgeleiteten Maßnahmen. Aufsichtsbehörden bewerten primär, ob die identifizierten Risiken durch die Maßnahmen angemessen mitigiert werden.
DSFA-Methodiken
In Deutschland haben sich vier Methodiken etabliert. Die Wahl der Methodik ist optional — entscheidend ist die rechtliche Vollständigkeit.
Methode 1 — Standard-Datenschutzmodell (SDM)
Das SDM wurde von der Datenschutzkonferenz (DSK) entwickelt und ist der deutsche De-facto-Standard.
Output: Maßnahmenkatalog mit Verantwortlichen und Fristen
Phase 5 — DSB-Bewertung (1–3 Tage)
Datenschutzbeauftragter prüft die DSFA
Stellungnahme zur Vollständigkeit und Plausibilität
Empfehlungen für Verbesserungen oder Konsultation
Output: DSB-Stellungnahme
Phase 6 — Entscheidung und Konsultation (1–10 Tage)
Geschäftsleitungs-Entscheidung über die DSFA
bei Restrisiken: Konsultation der Aufsichtsbehörde
Freigabe der Verarbeitung
Aktualisierungs-Zyklus festlegen
Output: Freigegebene DSFA mit Aktualisierungsplan
Risikobewertung
Die Risikobewertung ist das fachliche Kernstück der DSFA.
Risiko-Matrix nach SDM
Eintrittswahrscheinlichkeit
Vernachlässigbar
Begrenzt
Wesentlich
Maximum
Sehr wahrscheinlich
mittel
hoch
sehr hoch
sehr hoch
Wahrscheinlich
gering
mittel
hoch
sehr hoch
Unwahrscheinlich
gering
gering
mittel
hoch
Sehr unwahrscheinlich
gering
gering
gering
mittel
Beispielkatalog typischer Risiken
Risiko
Bewertungsdimension
Ungewollte Veröffentlichung sensibler Daten
hoch
Identitätsdiebstahl
hoch
Diskriminierung bei automatisierten Entscheidungen
hoch
Fehlerhafte Bewertung mit rechtlichen Folgen
hoch
Stigmatisierung sensibler Gruppen
sehr hoch
Verlust der informationellen Selbstbestimmung
hoch
Wirtschaftliche Nachteile (z. B. Kreditverweigerung)
hoch
Berufliche Nachteile bei Mitarbeiter-Überwachung
hoch
Maßnahmen-Wirksamkeit
Die Maßnahmen werden bewertet nach:
Risiko-Reduktion: wie viel reduziert die Maßnahme das Risiko?
Aufwand: wie aufwändig ist die Implementierung?
Wirksamkeit: wie zuverlässig wirkt die Maßnahme?
Akzeptanz: akzeptieren Betroffene und Mitarbeiter die Maßnahme?
Konsultation
Art. 36 DSGVO verpflichtet den Verantwortlichen zur Konsultation der Aufsichtsbehörde, wenn die DSFA ergibt, dass „die Verarbeitung ein hohes Risiko ergeben würde, sofern der Verantwortliche keine Maßnahmen zu seiner Eindämmung trifft".
Wann ist Konsultation erforderlich?
Situation
Konsultation erforderlich?
DSFA zeigt: Maßnahmen reduzieren Risiko auf akzeptables Niveau
Die Aufsichtsbehörde hat 8 Wochen (verlängerbar um weitere 6 Wochen bei Komplexität) zur schriftlichen Beratung. Ergebnisse:
Empfehlungen zur Anpassung
Verbot der Verarbeitung im Extremfall
Auflagen für die Verarbeitung
Die Konsultation ist kein Genehmigungsverfahren — die Behörde berät, der Verantwortliche entscheidet eigenverantwortlich.
Rolle des DSB
Der Datenschutzbeauftragte spielt in jeder DSFA eine zentrale, gesetzlich vorgeschriebene Rolle.
Pflichten des DSB nach Art. 35 Abs. 2 DSGVO
Aufgabe
Detail
Beratung
bei Methodikfragen, Risikobewertung, Maßnahmenplanung
Stellungnahme
dokumentierte Stellungnahme zur DSFA
Überwachung
der korrekten Durchführung
Schnittstelle zur Aufsichtsbehörde
bei Konsultation nach Art. 36
Was der DSB NICHT tut
Falsche Erwartung
Realität
„Der DSB führt die DSFA durch."
Der DSB berät — Fachbereiche und IT führen die DSFA durch.
„Der DSB entscheidet über die Maßnahmen."
Der DSB empfiehlt — die Geschäftsleitung entscheidet.
„Der DSB haftet bei mangelhafter DSFA."
Verantwortlich bleibt das Unternehmen. DSB haftet nur bei eigenem Pflichtverstoß.
Häufige Fehler
Aus der Praxis von über 200 DSFA-Begleitungen — die zehn typischen Fehler.
Top-10 DSFA-Fehler
Fehler
Häufigkeit
DSFA-Pflicht nicht erkannt
40 %
DSFA als reine Compliance-Übung ohne Fachtiefe
35 %
Risikobewertung aus Unternehmenssicht statt aus Betroffenensicht
30 %
Maßnahmen ohne konkrete Wirksamkeitsmessung
30 %
Keine DSB-Stellungnahme dokumentiert
25 %
Konsultation der Aufsichtsbehörde versäumt
20 %
Statische DSFA ohne Aktualisierung bei Änderungen
25 %
Verarbeitungsbeschreibung unvollständig
30 %
Garantien und Sicherheitsvorkehrungen nicht differenziert
20 %
Betroffenenrechte nicht systematisch geprüft
25 %
Vermeidung durch Vorlagen und Methodik
Die meisten Fehler sind durch standardisierte Vorlagen und klare Methodik vermeidbar. Vision Compliance stellt seinen Mandanten DSFA-Vorlagen mit allen acht Pflichtinhalten und vorbefüllten typischen Risikokatalogen zur Verfügung.
Bußgeldpraxis
Die deutschen Aufsichtsbehörden haben in den vergangenen Jahren mehrere prominente Bußgelder ausgesprochen, in denen die fehlende oder mangelhafte DSFA wesentlicher Sanktionsgrund war.
Beispielfälle
Jahr
Behörde
Sektor
Bußgeld
Hauptgrund
2024
BlnBDI
E-Commerce
525.000 EUR
fehlende DSFA bei großflächiger Tracking-Verarbeitung
2023
BayLDA
Krankenhaus
105.000 EUR
mangelhafte DSFA für KI-gestütztes Diagnose-System
2022
LDI NRW
Logistik
145.000 EUR
fehlende DSFA bei Mitarbeiter-Telematik
2022
LfDI BW
E-Commerce
405.000 EUR
mehrere Verstöße inkl. fehlender DSFA
Höhe nach Art. 83 DSGVO
Verstoß
Maximalbußgeld
Fehlende DSFA trotz Pflicht
10 Mio. EUR oder 2 % weltweiter Jahresumsatz
Mangelhafte DSFA-Durchführung
10 Mio. EUR oder 2 % weltweiter Jahresumsatz
Versäumnis der Konsultation
10 Mio. EUR oder 2 % weltweiter Jahresumsatz
Dazu kommen mögliche Schadensersatzansprüche der Betroffenen nach Art. 82 DSGVO.
DSFA-Lebenszyklus
Eine DSFA ist kein einmaliges Dokument, sondern ein lebender Prozess.
Aktualisierungs-Auslöser
Eine DSFA muss aktualisiert werden bei:
wesentlichen Änderungen der Verarbeitungszwecke
neuen Datenkategorien oder Datenquellen
neuen Auftragsverarbeitern oder Empfängern
geänderten Speicherfristen
neuen technischen Verarbeitungsmitteln (z. B. Cloud-Migration)
Bei großen Verarbeitungen mit hohem Veränderungstempo: halbjährlich
Bei stabilen großen Verarbeitungen: jährlich
Bei stabilen mittleren Verarbeitungen: alle 2 Jahre
Mindestens: alle 3 Jahre vollständige Überprüfung
Aktualisierungs-Prozess
Gap-Analyse: was hat sich seit der letzten DSFA geändert?
Risiko-Bewertung: ändern sich Risiken?
Maßnahmen-Bewertung: sind Maßnahmen noch wirksam?
DSB-Stellungnahme aktualisieren
ggf. Aufsichtsbehörden-Konsultation, wenn neue hohe Restrisiken
Geschäftsleitungs-Freigabe
FAQ
Wann ist eine Datenschutz-Folgenabschätzung verpflichtend?
Bei Verarbeitungen mit „hohem Risiko" für die Betroffenen — definiert durch drei DSGVO-Tatbestände (systematische Bewertung mit automatisierter Entscheidung, großflächige besondere Kategorien, systematische Überwachung) plus die deutsche Schwarze Liste der Aufsichtsbehörden.
In Deutschland am häufigsten das Standard-Datenschutzmodell (SDM) der Datenschutzkonferenz. Alternative: CNIL-Methodik (mit kostenloser Software), ISO 29134 (international), BSI-Leitfaden (für KRITIS).
Wann muss ich die Aufsichtsbehörde konsultieren?
Wenn die DSFA zeigt, dass trotz geplanter Maßnahmen ein hohes Restrisiko verbleibt. Die Behörde berät innerhalb 8 Wochen (verlängerbar um 6 Wochen).
Welche Rolle hat der DSB in der DSFA?
Der DSB berät zur DSFA-Durchführung, gibt eine dokumentierte Stellungnahme ab und ist Schnittstelle zur Aufsichtsbehörde bei Konsultation. Die Verantwortung trägt das Unternehmen.
Wie lange dauert eine DSFA?
Einfache DSFA: 8–20 Personentage. Komplexe DSFA mit Konsultation: 30–80 Personentage. Plus Bearbeitungszeit der Aufsichtsbehörde (8–14 Wochen).
Muss die DSFA aktualisiert werden?
Ja — bei wesentlichen Änderungen der Verarbeitung. Empfohlene Mindest-Aktualisierungs-Frequenz: alle 2 Jahre. Bei stark veränderlichen Verarbeitungen halbjährlich.
Was kostet eine DSFA durch externe Berater?
KMU mit einfacher DSFA: 8.000–25.000 EUR. Mittelstand mit komplexer DSFA: 25.000–80.000 EUR. Konzern mit DSFA-Programm: individuell, mehrere Hunderttausend EUR.
Welche Tools eignen sich für die DSFA-Durchführung?
CNIL PIA Software (kostenlos), HiScout, otris compliance, Avocadosec, BIC Process Design, BvD-DSFA-Vorlage. Reine Office-Tools (Word + Excel) sind für einfache DSFAs ausreichend.
Wer haftet bei einer mangelhaften DSFA?
Das Unternehmen (Verantwortlicher) — gegenüber Aufsichtsbehörde (Bußgeld bis 10 Mio. EUR / 2 % Umsatz) und gegenüber Betroffenen (Schadensersatz nach Art. 82). Persönliche Haftung der Geschäftsleitung möglich. Der DSB haftet nur bei eigenem Pflichtverstoß.
Die Datenschutz-Folgenabschätzung ist eines der anspruchsvollsten DSGVO-Instrumente — und gleichzeitig das wirksamste Werkzeug für rechtskonforme Hochrisiko-Verarbeitungen. Drei strategische Empfehlungen:
Erstens, die DSFA-Pflicht früh erkennen. Über 40 % aller fehlenden DSFAs entstehen, weil die Pflicht zu spät erkannt wurde. Eine systematische Vorprüfung jedes neuen Verarbeitungsprojekts ist Pflicht.
Zweitens, eine Methodik wählen und konsequent anwenden. SDM, CNIL oder ISO 29134 — wichtig ist, dass die Methodik konsistent dokumentiert und durchgängig angewendet wird.
Drittens, die DSFA als lebenden Prozess verstehen. Eine DSFA, die nach der Erstellung im Dokumenten-Archiv verschwindet, ist eine vermeidbare Schwachstelle bei der nächsten Aufsichtsprüfung.
Vision Compliance unterstützt Unternehmen bei der DSFA-Durchführung als Teil unserer Datenschutz-Beratung und durch externe DSB-Beauftragung — von der Vorprüfung über die methodische Risikoanalyse bis zur Aufsichtsbehörden-Konsultation. Wir nutzen erprobte Vorlagen aus über 200 begleiteten DSFA-Projekten und kombinieren Datenschutzrecht mit Cyber-Security-Expertise. Sprechen Sie uns an für ein kostenloses DSFA-Erstgespräch mit individueller Aufwandsschätzung.
Robert Lozo, mag. iur., is a Partner at Vision Compliance specializing in EU regulatory compliance. He advises organizations on GDPR, NIS2, AI Act, and financial regulation, delivering audit-ready documentation and compliance roadmaps across regulated industries.
