Magazin
Datenschutz-Folgenabschätzung: Ziele, Beispiele und Tipps für die Durchführung der DSFA

Datenschutz-Folgenabschätzung: Ziele, Beispiele und Tipps für die Durchführung der DSFA

Letztes Update:
18.02.2026
Lesezeit:
0
Min
Die Datenschutzgrundverordnung fordert von Unternehmen, sorgsam mit personenbezogenen Daten umzugehen. Ein wichtiges Instrument, um Risiken bei der Datenverarbeitung zu reduzieren, ist die Datenschutz-Folgenabschätzung (DSFA). Erfahren Sie, wann Ihr Unternehmen eine DSFA braucht, wer zuständig ist und was drinstehen sollte.
Datenschutz-Folgenabschätzung: Ziele, Beispiele und Tipps für die Durchführung der DSFA
Die wichtigsten Erkenntnisse
  • Die Datenschutz-Folgenabschätzung (DSFA) unterstützt Unternehmen dabei, Risiken bei der Verarbeitung personenbezogener Daten zu identifizieren.
  • Zuständig für die DSFA ist der für die Datenverarbeitung Verantwortliche – das ist nicht automatisch der Datenschutzbeauftragte.
  • Artikel 35 DSGVO legt Voraussetzungen, Beispiele und Mindestinhalte der DSFA fest.
  • Die Positivlisten der Aufsichtsbehörden geben Orientierung, bei welchen Verarbeitungstätigkeiten eine DSFA erforderlich sein kann.

Im Datenschutzalltag müssen Unternehmen ihre Datenverarbeitungen im Blick haben. Mit dem Verzeichnis von Verarbeitungstätigkeiten (VVT) lassen sich Prozesse dokumentieren, doch für besonders risikoreiche Datenverarbeitungen reicht das VVT nicht aus. Hierfür verlangt die DSGVO eine Datenschutz-Folgenabschätzung.

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Die Datenschutz-Folgenabschätzung (DSFA) ist eine erweiterte Risikoeinschätzung, die vor bestimmten Verarbeitungen personenbezogener Daten stattfindet.

Weitere Namen für die DSFA: 

  • DPIA: Data Protection Impact Assessment
  • PIA: Privacy Impact Assessment

Ist eine DSFA das gleiche wie eine Risikoanalyse?

Die DSGVO sieht generell eine Risikoanalyse für Datenverarbeitungen vor. Die Datenschutz-Folgenabschätzung ist allerdings deutlich umfangreicher und komplexer und nur bei kritischen Verarbeitungsprozessen notwendig. Die Risikoanalyse ist jedoch immer Teil der DSFA.

Risiken strukturiert bewerten

In der Compliance-Plattform von Proliance erleichtern vorgedachte Workflows und kontextbezogene Hilfestellungen die Risikobewertung im Rahmen einer DSFA.

Zur Risikobewertung

Welche Funktion hat die DSFA?

Die DSFA erfüllt im Datenschutzbereich mehrere Funktionen, zum Beispiel:

  • Vorbeugen von Datenpannen
  • Reduzieren von Risiken für die Rechte und Freiheiten betroffener Personen
  • Evaluieren des Risikos der Verarbeitung sensibler Daten
  • Planen und Ergreifen von Abhilfemaßnahmen zur Eindämmung der Risiken, zum Beispiel technische und organisatorische Maßnahmen (TOM).
  • Nachweis einer DSGVO-konformen Datenverarbeitung

Ist eine Datenschutz-Folgenabschätzung gesetzlich vorgeschrieben?

Unternehmen sind grundsätzlich dazu verpflichtet, den Schutz personenbezogener Daten zu gewährleisten. Ob dafür eine DSFA notwendig ist, hängt davon ab, wie riskant die Verarbeitung dieser Daten ist.

Bereits das frühere deutsche Datenschutzrecht sah eine Vorabkontrolle vor, die in § 4d Abs. 5 BDSG beschrieben war. Heute finden Unternehmen in Artikel 35 EU-DSGVO konkrete Vorschriften und Beispiele für die Durchführung einer DSFA.

➡️ Lesen Sie, was Artikel 35 EU-DSGVO im Detail zur DSFA sagt.

Was passiert, wenn Unternehmen keine DSFA durchführen?

Sofern Art. 35 DSGVO anwendbar ist, sind Unternehmen formell zur Durchführung einer DSFA verpflichtet. Verstoßen sie gegen diese Pflicht, kann das nicht nur ihrem Image schaden, sondern auch Bußgelder von bis zu 10 Millionen Euro oder bis zu zwei Prozent des gesamten weltweiten Jahresumsatzes nach sich ziehen.

Wann benötige ich eine Datenschutz-Folgenabschätzung konkret?

Die Frage, wann genau eine Folgenabschätzung notwendig ist, treibt viele Datenschutzverantwortliche um. Art. 35 Abs. 1 DSGVO legt Folgendes fest:

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“

Die DSFA ist vereinfacht gesagt notwendig, sobald abzusehen ist, dass eine Verarbeitung aufgrund ihrer Art, des Umfangs, der Umstände und der Zwecke ein hohes Risiko für Betroffene zur Folge hat.  

Welche Beispiele gibt es für Datenschutz-Folgenabschätzungen?

In der Praxis kann es verschiedene Situationen geben, in denen die Durchführung einer DSFA notwendig wird. Ein typischer Anwendungsfall ist der geplante Einsatz neuer Technologien wie KI – vor allem, wenn die Auswirkungen auf den Datenschutz unklar sind.

Art. 35 Abs. 3 DSGVO beschreibt drei Beispiele für Situationen, in denen Unternehmen eine Datenschutz-Folgenabschätzung durchführen müssen:

| Geplante Datenverarbeitung | 👉 Beispiele | | :--- | :--- | | 🕵️♂️ Persönliche Aspekte sollen systematisch und umfassend bewertet werden und die Bewertung beruht auf automatisierter Verarbeitung | Profiling, Kreditwürdigkeitsprüfung, automatisierte Bewerbervorauswahl | | 🤫 Besonders sensible Datenkategorien, wie gesundheitsbezogene, biometrische oder strafrechtliche relevante Daten, sollen in großem Umfang verarbeitet werden | Krankenhausinformationssysteme, landesweite Patientenakten, biometrische Zugangskontrollen | | 📸 Die Überwachung öffentlich zugänglicher Bereiche ist geplant | Videoüberwachung öffentlich zugänglicher Räume wie Einkaufszentren oder Bahnhöfe |

Die DSGVO beschreibt allerdings nur einige Beispiele. Außerdem herrscht Uneinigkeit unter den deutschen Aufsichtsbehörden über die Notwendigkeit einer Datenschutz-Folgenabschätzung für einzelne Verarbeitungstätigkeiten.  

Hilfestellung für Unternehmen: Die Positivliste der Datenschutzkonferenz

Unternehmen erhalten auf der Website der zuständigen Datenschutzaufsichtsbehörde ihres Bundeslandes Listen über Verarbeitungsvorgänge, die DSFA-relevant sind.  

Eine hilfreiche Informationsquelle ist auch die Positivliste der Datenschutzkonferenz. Sie enthält Verarbeitungstätigkeiten, die eine DSFA erfordern, darunter:

  • Umfangreiche Verarbeitung von Aufenthaltsdaten natürlicher Personen
  • Erstellung umfassender Nutzerprofile in sozialen Netzwerken oder Dating-Portalen

Wann ist keine Datenschutz-Folgenabschätzung notwendig?

Gemäß der DSGVO ist eine DSFA nicht erforderlich, wenn nach einer risikobasierten Prüfung zu erwarten ist, dass die geplante Verarbeitung voraussichtlich kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Das kann zum Beispiel bei Routineverarbeitungen mit geringem Risiko der Fall sein.

Weitere Beispiele:

  • Einfache Adressverarbeitungen ohne besondere Kategorien personenbezogener Daten und ohne Profiling oder umfangreiche Auswertung  
  • Bei Verarbeitungen, bei denen keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung oder ähnlich erheblichen Auswirkungen auf Personen stattfindet
  • Gleichartige Verarbeitungsvorgänge sind bereits einer DSFA unterzogen worden, und Umfang, Zweck, Umstände und Risiken haben sich nicht wesentlich verändert

➡️ Tipp: Bei der Frage, ob eine DSFA notwendig ist oder nicht, können Unternehmen sich von einer PIA-Software unterstützen lassen.

Was ist PIA-Software?

Unter PIA-Software versteht man eine Datenschutzmanagementsoftware, die bei der strukturierten Durchführung und Dokumentation des Privacy Impact Assessments unterstützen kann.

DSFA-Fragen effizient klären

Mit der Datenschutzsoftware von Proliance finden Sie mit wenigen Klicks heraus, ob Ihr Unternehmen für bestimmte Verarbeitungstätigkeiten eine DSFA braucht.

Mehr zur Datenschutzsoftware

Anleitung DSFA: Wie mache ich eine Datenschutz-Folgenabschätzung Schritt-für-Schritt?

Um den Prozess der DSFA zu vereinfachen, ist es für Unternehmen ratsam, ihn in drei Phasen zu unterteilen:

  • ‍In der Vorbereitungsphase werden der Prüfgegenstand definiert, die Rechtsgrundlagen bestimmt und die Akteure festgelegt. Dabei helfen folgende Fragen: Wo im Unternehmen werden personenbezogene Daten verarbeitet? Wie sieht das Verfahren der Verarbeitung aus und welchem Zweck dient sie?
  • In der Bewertungsphase wird das Risiko nach dem Standard-Datenschutzmodell oder entsprechend einer Risikoanalyse bewertet. Dafür müssen Notwendigkeit und Verhältnismäßigkeit der geplanten Verarbeitung jeweils im Verhältnis zu dem Zweck der Verarbeitung ermittelt werden. Stellt diese Verarbeitung ein Risiko für die Rechte und Freiheiten einer betroffenen Person dar? Können etwaige Sicherheitsrisiken durch TOM abgeschwächt werden?
  • In der Maßnahmenphase werden Schutzmaßnahmen zur Vermeidung oder Minderung von Beeinträchtigungen von Rechten und Freiheiten ergriffen. Zudem werden der Verantwortliche und Zeitplan der Umsetzung festgelegt.

Die Ergebnisse der Vorbereitungs-, Bewertungs- und Maßnahmenphase müssen Unternehmen dokumentieren.

Die vier Phasen der DSFA

➡️ Tipp: Nutzen Sie eine Software für die Dokumentation, um stets den Überblick über Ihre DSFAs zu behalten.

Inhalt einer DSFA: Was muss drinstehen?

Art. 35 Abs. 7 der DSGVO legt bestimmte Mindestanforderungen an den Inhalt einer DSFA fest. Folgende Punkte muss die DSFA demnach enthalten:

  • systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung
  • Bewertung der Risiken in Bezug auf die Rechte und Freiheiten der betroffenen Personen
  • Abhilfemaßnahmen, die zur Bewältigung der Risiken getroffen werden, einschließlich Nachweisen der Einhaltung der DSGVO und der Rechte der Betroffenen

Eine DSFA sollte darüber hinaus eine Beschreibung der geplanten Verarbeitungsvorgänge, der Zwecke der Verarbeitung und der betroffenen Daten enthalten und Verantwortlichkeiten klären.

Wer führt eine Datenschutz-Folgenabschätzung durch?

Eine DSFA wird in der Regel von dem für die Datenverarbeitung Verantwortlichen erstellt. Im Unternehmen ist das die Person, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.  

Datenschutzbeauftragte sind nicht wie oft angenommen zuständig für die Prüfung und Durchführung der DSFA. Sie können Verantwortliche allerdings mit ihrem Fachwissen unterstützen. Gegebenenfalls sind weitere Fachleute hinzuzuziehen, zum Beispiel IT-Sicherheitsexperten.  

Bei besonders hohen Risiken sollten Verantwortliche außerdem die zuständige Datenschutzaufsichtsbehörde konsultieren.

Fazit zur Datenschutz-Folgenabschätzung und wie Proliance unterstützen kann

Für Unternehmen jeder Größe, die Compliance sicherstellen möchten, sind Risikobewertungen und das Durchführen von Datenschutz-Folgenabschätzungen unverzichtbar. Das gilt insbesondere für Organisationen, die in Zukunft verstärkt Künstliche Intelligenz nutzen möchten. Sie benötigen Unterstützung bei einer Datenschutz-Folgenabschätzung für KI-Anwendungen oder Videoüberwachung? Proliance berät Sie gern zu Ihren Möglichkeiten und bietet geeignete Mitarbeiterschulungen.

Häufige Fragen

Sie haben noch Fragen? Wir haben die Antworten

Was ist eine Datenschutzfolgenabschätzung?

Bei einer Datenschutz-Folgenabschätzung nach DSGVO handelt es sich um eine erweiterte Risikoeinschätzung, die Unternehmen laut DSGVO vor bestimmten Verarbeitungen personenbezogener Daten  durchführen müssen. Eine DSFA dient dabei, personenbezogene Daten sowie die Rechte und Freiheiten von Menschen zu schützen. Zum anderen sichern Unternehmen selbst sich damit ab: Sollte es zu einer Prüfung durch die Aufsichtsbehörden kommen, kann die DSFA als Nachweis der Erfüllung der datenschutzrechtlichen Pflichten erbracht werden. Proliance unterstützt Sie bei der nahtlosen DSFA-Dokumentation.

Wann ist eine DSFA notwendig?

Eine DSFA ist laut DSGVO immer dann notwendig, wenn eine geplante Daten-Verarbeitung aufgrund ihrer Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Allerdings existiert keine gültige Definition darüber, wann dies genau der Fall ist. Beispiele, bei der eine DSFA notwendig werden, sind das Profiling oder die Verarbeitung von systematischer umfangreicher Videoüberwachung. Gemeinsam mit den Experten von Proliance finden Sie heraus, ob für Ihre Datenverarbeitungspläne eine DSFA notwendig ist.

Wer muss eine Datenschutz Folgenabschätzung durchführen?

Unternehmen, die eine automatisierte Datenverarbeitung planen, die besondere Risiken für Recht und Freiheiten der Betroffenen darstellen könnte, sollten prüfen, ob sie zu einer DSFA verpflichtet sind. Zuständig für die Durchführung der DSFA ist die für die Datenverarbeitung verantwortliche Person. Unterstützung erhalten sie durch Datenschutzbeauftragte oder externe Experten wie Proliance.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
Datenschutz-Folgenabschätzung
DSGVO
Technisch organisatorische Maßnahmen
KI
Künstliche Intelligenz
Redaktion
Sabrina Schaub
Freie Redakteurin
Mit ihrer Content-Erfahrung unterstützt Sabrina das Team von Proliance dabei, komplexe Themen verständlich zu kommunizieren. Als freie Autorin kennt sie die Datenschutzbedürfnisse unterschiedlicher Branchen und übersetzt selbst anspruchsvolle Informationen in zielgruppengerechte Inhalte.
Zum Autorenprofil
Zum Expertenprofil
Hischam El-Danasouri
Privacy Manager
Hischam El-Danasouri ist Privacy Manager bei Proliance und zertifizierter AI Governance Professional. Als Datenschutz- und KI-Experte unterstützt er Unternehmen bei der Umsetzung datenschutzkonformer KI-Strategien und der sicheren Nutzung moderner Technologien im Einklang mit der DSGVO.
Zum Autorenprofil
Zum Expertenprofil
Über Proliance
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Jetzt beraten lassen
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

ISO/IEC 42001: Der internationale Standard für KI-Managementsysteme – Was Sie jetzt wissen müssen
16.02.2026
ISO/IEC 42001: Der internationale Standard für KI-Managementsysteme – Was Sie jetzt wissen müssen
Die ISO/IEC 42001:2023 markiert einen Wendepunkt im Umgang mit Künstlicher Intelligenz: Sie ist die weltweit erste internationale Norm, die verbindliche Anforderungen an Managementsysteme für KI-Anwendungen definiert. Für Unternehmen, die KI entwickeln, einsetzen oder kontrollieren, schafft sie Klarheit – gerade in einer Zeit, in der regulatorische Anforderungen wie der EU AI Act zunehmend Druck auf Organisationen ausüben. Doch was genau steckt hinter der ISO 42001? Welche Branchen profitieren besonders? Und wie können mittelständische Unternehmen die Norm pragmatisch umsetzen – ohne sich in bürokratischen Prozessen zu verlieren? In diesem Beitrag erfahren Sie, warum die ISO/IEC 42001 für Compliance-Verantwortliche, Datenschutz- und IT-Teams zum strategischen Enabler wird – und wie Sie strukturiert den Einstieg meistern.
Digitale Souveränität: Basis für NIS2- und DSGVO-Compliance im Mittelstand
10.02.2026
Digitale Souveränität: Basis für NIS2- und DSGVO-Compliance im Mittelstand
NIS2 verlangt Lieferkettensicherheit, die DSGVO fordert transparente Datenverarbeitungen und DORA zielt auf IKT-Sicherheit im Finanzsektor ab. Wer seine IT-Systeme und Daten nicht vollständig beherrscht, scheitert an diesen Vorgaben. Digitale Souveränität ist deshalb nicht länger ein Nice-to-Have, sondern Voraussetzung für nachweisbare Compliance.
DSGVO-Zertifizierung: So erhalten Sie das Europäische Datenschutzsiegel
09.02.2026
DSGVO-Zertifizierung: So erhalten Sie das Europäische Datenschutzsiegel
Das Europäische Datenschutzsiegel nach Art. 42 DSGVO ist seit Ende 2023 verfügbar. Mit Europrivacy (Luxemburg) und EuroPriSe (Deutschland) existieren zwei vom Europäischen Datenschutzausschuss (EDSA) anerkannte Zertifizierungen. Die EuroPriSe Cert GmbH vergibt seit Dezember 2023 als erste akkreditierte Stelle in Deutschland offizielle DSGVO-Zertifikate. Unternehmen können ihre Datenschutz-Konformität damit erstmals EU-weit transparent und rechtssicher nachweisen.
SOC 2 oder ISO 27001: Welcher Sicherheitsstandard passt zu meinem Unternehmen?
06.02.2026
SOC 2 oder ISO 27001: Welcher Sicherheitsstandard passt zu meinem Unternehmen?
Sie möchten Ihre Informationssicherheit auf das nächste Level bringen und suchen einen Sicherheitsstandard, der Ihnen dabei hilft? Wir beleuchten Gemeinsamkeiten und Unterschiede zwischen SOC 2 und ISO 27001, damit Ihnen die Entscheidung leichter fällt.
datenschutz-Muster

Kostenlose Materialien zum Thema

Verschwiegenheits­erklärung für Mitarbeiter
Stellen Sie mit unserer Verschwiegenheits­erklärung sicher, dass sensible Informationen im Unternehmen bleiben und reduzieren Sie das Risiko von Datenschutzverstößen und Abmahnungen.
Home-Office Vereinbarung für Mitarbeiter
Jetzt Datenschutz-Vorlage downloaden und eine Zusatzvereinbarung Home-Office erstellen
Datenschutzerklärung für Kunden
Erfüllen Sie mit unserer Vorlage die DSGVO-Datenschutzinformationspflicht für Ihre Kunden.
Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!