Magazin
Datenschutz-Folgenabschätzung: Wann brauchen Unternehmen die DSFA?

Datenschutz-Folgenabschätzung: Wann brauchen Unternehmen die DSFA?

Letztes Update:
12
.
11
.
2025
Lesezeit:
0
Min
Die Datenschutzgrundverordnung fordert von Unternehmen, sorgsam mit personenbezogenen Daten umzugehen. Ein wichtiges Instrument, um Risiken bei der Datenverarbeitung zu reduzieren, ist die Datenschutz-Folgenabschätzung (DSFA). Erfahren Sie, wann Ihr Unternehmen eine DSFA braucht, wer zuständig ist und was drinstehen sollte.
Datenschutz-Folgenabschätzung: Wann brauchen Unternehmen die DSFA?
Die wichtigsten Erkenntnisse
  • Die Datenschutz-Folgenabschätzung (DSFA) unterstützt Unternehmen dabei, Risiken bei der Verarbeitung personenbezogener Daten zu identifizieren.
  • Zuständig für die DSFA ist der Verantwortliche, nicht der Datenschutzbeauftragte.
  • Artikel 35 DSGVO legt Voraussetzungen, Beispiele und Mindestinhalte der DSFA fest.
  • Die Positivliste der Datenschutzkonferenz umfasst 16 Verarbeitungstätigkeiten, bei denen eine DSFA erforderlich ist.

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Die Datenschutz-Folgenabschätzung (DSFA) ist eine Anforderung der DSGVO. Demnach ist die DSFA eine erweiterte Risikoeinschätzung, die vor bestimmten Verarbeitungen personenbezogener Daten stattfindet.

Weitere Namen für die DSFA: 

  • DPIA: Data Protection Impact Assessment
  • PIA: Privacy Impact Assessment

Ist eine DSFA das gleiche wie eine Risikoanalyse?

Die DSGVO sieht generell eine Risikoanalyse für Datenverarbeitungen vor. Die Datenschutz-Folgenabschätzung ist allerdings deutlich umfangreicher und komplexer und nur bei kritischen Verarbeitungsprozessen notwendig. Die Risikoanalyse ist jedoch immer Teil der DSFA.

Welche Funktion hat die DSFA?

Die DSFA erfüllt im Datenschutzbereich mehrere Funktionen:

  • Sie hilft, Datenpannen vorzubeugen
  • Eine DSFA soll Risiken für die Rechte und Freiheiten betroffener Personen reduzieren.
  • Die DSFA ermöglicht es Unternehmen, das Risiko der Verarbeitung sensibler Daten zu evaluieren.
  • Die Ergebnisse der DSFA sind wichtig, um Abhilfemaßnahmen zur Eindämmung der Risiken zu ergreifen, zum Beispiel technische und organisatorische Maßnahmen (TOM).
  • Die DSFA schützt auch datenschutzrechtlich Verantwortliche, indem sie eine DSGVO-konforme Datenverarbeitung ermöglicht und hilft, diese nachzuweisen.

Ist eine Datenschutz-Folgenabschätzung gesetzlich vorgeschrieben?

Unternehmen sind grundsätzlich dazu verpflichtet, den Schutz personenbezogener Daten zu gewährleisten. Ob dafür eine DSFA notwendig ist, hängt davon ab, wie riskant die Verarbeitung dieser Daten ist.  

Bereits das frühere deutsche Datenschutzrecht sah eine Vorabkontrolle vor, die in § 4d Abs. 5 BDSG beschrieben war. Heute finden Unternehmen in Artikel 35 EU-DSGVO konkrete Vorschriften und Beispiele für die Durchführung einer DSFA.

Wann benötige ich eine Datenschutz-Folgenabschätzung konkret?

Die Frage, wann genau eine Folgenabschätzung notwendig ist, treibt viele Datenschutzverantwortliche um. Art. 35 Abs. 1 DSGVO legt Folgendes fest:

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“

Die DSFA ist vereinfacht gesagt notwendig, sobald abzusehen ist, dass eine Verarbeitung aufgrund ihrer Art, des Umfangs, der Umstände und der Zwecke ein hohes Risiko für Betroffene zur Folge hat.  

Welche Beispiele gibt es für Datenschutz-Folgenabschätzungen?

In der Praxis kann es verschiedene Situationen geben, in denen die Durchführung einer DSFA notwendig wird. Ein typischer Anwendungsfall ist der geplante Einsatz neuer Technologien wie KI – vor allem, wenn die Auswirkungen auf den Datenschutz unklar sind.

Art. 35 Abs. 3 DSGVO beschreibt drei Beispiele für Situationen, in denen Unternehmen eine Datenschutz-Folgenabschätzung durchführen müssen:

🕵️♂️ Persönliche Aspekte sollen systematisch und umfassend bewertet werden und die Bewertung beruht auf automatisierter Verarbeitung  

👉 Beispiele: Profiling, Kreditwürdigkeitsprüfung, automatisierte Bewerbervorauswahl  

🤫 Besonders sensible Datenkategorien, wie gesundheitsbezogene, biometrische oder strafrechtliche relevante Daten, sollen in großem Umfang verarbeitet werden

👉 Beispiele: Krankenhausinformationssysteme, landesweite Patientenakten, biometrische Zugangskontrollen

📸 Die Überwachung öffentlich zugänglicher Bereiche ist geplant  

👉 Beispiel: Videoüberwachung öffentlich zugänglicher Räume wie Einkaufszentren oder Bahnhöfe  

Die DSGVO beschreibt allerdings nur einige Beispiele. Außerdem herrscht Uneinigkeit unter den deutschen Aufsichtsbehörden über die Notwendigkeit einer Datenschutz-Folgenabschätzung für einzelne Verarbeitungstätigkeiten.  

Hilfestellung für Unternehmen: Die Positivliste der Datenschutzkonferenz

Unternehmen erhalten auf der Website der zuständigen Datenschutzaufsichtsbehörde ihres Bundeslandes Listen über Verarbeitungsvorgänge, die DSFA-relevant sind.  

Eine hilfreiche Informationsquelle ist auch die Positivliste der Datenschutzkonferenz. Sie enthält Verarbeitungstätigkeiten, die eine DSFA erfordern, darunter:

  • Umfangreiche Verarbeitung von Aufenthaltsdaten natürlicher Personen
  • Erstellung umfassender Nutzerprofile in sozialen Netzwerken oder Dating-Portalen

Wann ist keine Datenschutz-Folgenabschätzung notwendig?

Gemäß der DSGVO ist eine DSFA nicht erforderlich, wenn nach einer risikobasierten Prüfung zu erwarten ist, dass die geplante Verarbeitung voraussichtlich kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Das kann zum Beispiel bei Routineverarbeitungen mit geringem Risiko der Fall sein.

Weitere Beispiele:

  • Einfache Adressverarbeitungen ohne besondere Kategorien personenbezogener Daten und ohne Profiling oder umfangreiche Auswertung  
  • Bei Verarbeitungen, bei denen keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung oder ähnlich erheblichen Auswirkungen auf Personen stattfindet
  • Gleichartige Verarbeitungsvorgänge sind bereits einer DSFA unterzogen worden, und Umfang, Zweck, Umstände und Risiken haben sich nicht wesentlich verändert

Bei der Frage, ob eine DSFA notwendig ist oder nicht, können Unternehmen sich von einer PIA-Software unterstützen lassen.

Was ist PIA-Software?

Unter PIA-Software versteht man eine Datenschutzsoftware, die bei der strukturierten Durchführung und Dokumentation des Privacy Impact Assessments unterstützen kann.

DSFA-Fragen effizient klären

Mit der Datenschutzsoftware von Proliance finden Sie mit wenigen Klicks heraus, ob Ihr Unternehmen für bestimmte Verarbeitungstätigkeiten eine DSFA braucht.

Mehr zur Datenschutzsoftware

Wer führt eine Datenschutz-Folgenabschätzung durch?

Eine DSFA wird in der Regel von dem für die Datenverarbeitung Verantwortlichen erstellt. Im Unternehmen ist das die Person, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.  

Datenschutzbeauftragte sind nicht wie oft angenommen zuständig für die Prüfung und Durchführung der DSFA. Sie können Verantwortliche allerdings mit ihrem Fachwissen unterstützen. Gegebenenfalls sind weitere Fachleute hinzuzuziehen, zum Beispiel IT-Sicherheitsexperten.  

Bei besonders hohen Risiken sollten Verantwortliche außerdem die zuständige Datenschutzaufsichtsbehörde konsultieren.

Wie mache ich eine Datenschutz-Folgenabschätzung?

Um den Prozess der DSFA zu vereinfachen, ist es für Unternehmen ratsam, ihn in drei Phasen zu unterteilen:

  • ‍In der Vorbereitungsphase werden der Prüfgegenstand definiert, die Rechtsgrundlagen bestimmt und die Akteure festgelegt. Dabei helfen folgende Fragen: Wo im Unternehmen werden personenbezogene Daten verarbeitet? Wie sieht das Verfahren der Verarbeitung aus und welchem Zweck dient sie?
  • In der Bewertungsphase wird das Risiko nach dem Standard-Datenschutzmodell oder entsprechend einer Risikoanalyse bewertet. Dafür müssen Notwendigkeit und Verhältnismäßigkeit der geplanten Verarbeitung jeweils im Verhältnis zu dem Zweck der Verarbeitung ermittelt werden. Stellt diese Verarbeitung ein Risiko für die Rechte und Freiheiten einer betroffenen Person dar? Können etwaige Sicherheitsrisiken durch TOM abgeschwächt werden?
  • In der Maßnahmenphase werden Schutzmaßnahmen zur Vermeidung oder Minderung von Beeinträchtigungen von Rechten und Freiheiten ergriffen. Zudem werden der Verantwortliche und Zeitplan der Umsetzung festgelegt.

Die Ergebnisse der Vorbereitungs-, Bewertungs- und Maßnahmenphase müssen Unternehmen dokumentieren.

Inhalt einer DSFA: Was muss drinstehen?

Art. 35 Abs. 7 der DSGVO legt bestimmte Mindestanforderungen an den Inhalt einer DSFA fest. Folgende Punkte muss die DSFA demnach enthalten:

  • systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung
  • Bewertung der Risiken in Bezug auf die Rechte und Freiheiten der betroffenen Personen
  • Abhilfemaßnahmen, die zur Bewältigung der Risiken getroffen werden, einschließlich Nachweisen der Einhaltung der DSGVO und der Rechte der Betroffenen

Eine DSFA sollte darüber hinaus eine Beschreibung der geplanten Verarbeitungsvorgänge, der Zwecke der Verarbeitung und der betroffenen Daten enthalten und Verantwortlichkeiten klären.

Sie benötigen Unterstützung oder eine Software, um Datenschutz-Folgenabschätzungen korrekt und effizient durchzuführen? Wir beraten Sie gern zu Ihren Möglichkeiten.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
Datenschutz-Folgenabschätzung
DSGVO
Technisch organisatorische Maßnahmen
Redaktion
Sabrina Schaub
Freie Redakteurin
Mit ihrer Content-Erfahrung unterstützt Sabrina das Team von Proliance dabei, komplexe Themen verständlich zu kommunizieren. Als freie Autorin kennt sie die Datenschutzbedürfnisse unterschiedlicher Branchen und übersetzt selbst anspruchsvolle Informationen in zielgruppengerechte Inhalte.
Zum Autorenprofil
Zum Expertenprofil
Über Proliance
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Jetzt beraten lassen
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

HubSpot & DSGVO: Ist das CRM datenschutzkonform?
05
.
04
.
2023
HubSpot & DSGVO: Ist das CRM datenschutzkonform?
Das CRM-Tool HubSpot leistet Unternehmen bei der Kundenakquise und im Vertrieb nützliche Dienste. Die Speicherung zahlreicher personenbezogener Daten wirft jedoch auch datenschutzrechtliche Fragen auf. Lesen Sie, welche Regelungen gelten.
Zeiterfassung und Datenschutz in Unternehmen
18
.
10
.
2023
Zeiterfassung und Datenschutz in Unternehmen
Stundenzettel, Stechuhr, Chip – es gibt viele Möglichkeiten, um die Arbeitszeit von Arbeitnehmer:innen festzuhalten. Die wichtigsten Fakten zum Thema Zeiterfassung und Datenschutz fassen wir in diesem Artikel für Sie zusammen.
Verträge zur Auftragsverarbeitung (AV-Verträge)
14
.
10
.
2024
Verträge zur Auftragsverarbeitung (AV-Verträge)
Wenn Daten im Auftrag und unter Weisung eines Unternehmens von externen Dienstleistern verarbeitet werden, müssen Auftraggeber und Auftragnehmer einen gesonderten Vertrag abschließen, der die Vorgaben bei der Verarbeitung von personenbezogenen Daten umsetzt. Was im Rahmen des alten Bundesdatenschutzgesetzes (BDSG-alt) noch als Auftragsdatenverarbeitungsvertrag oder ADV-Vertrag bekannt war, wird in der Datenschutzgrundverordnung (DSGVO) durch den Auftragsverarbeitungsvertrag – kurz AV-Vertrag – ersetzt. Hierbei handelt es sich um einen Vertrag, den jedes Unternehmen abschließen muss, das personenbezogene Daten von einem anderen Anbieter oder Dienstleister verarbeiten lässt.
Datenschutz Grundlagen 2025 - Was ist Datenschutz?
14
.
10
.
2024
Datenschutz Grundlagen 2025 - Was ist Datenschutz?
Der Datenschutz stellt sicher, dass personenbezogene Daten eines jeden Einzelnen vor unerlaubter Erhebung, Verarbeitung und Weitergabe geschützt sind. Zum Datenschutz gehören außerdem alle Gesetze, die auf den Schutz dieser Daten abzielen und den Datenmissbrauch durch Dritte verhindern sollen.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Berechtigungskonzept: Effektiver Datenschutz durch gezielte Zugriffssteuerung
12
.
11
.
2025
Berechtigungskonzept: Effektiver Datenschutz durch gezielte Zugriffssteuerung
Wer darf im Unternehmen auf welche Daten zugreifen? Ein Berechtigungskonzept liefert klare Antworten. Warum ein solches Konzept für Unternehmen erforderlich ist, was darin geregelt sein muss und wie Sie es effektiv umsetzen.
ChatGPT & Datenschutz: Welche Folgen hat die Nutzung des Chatbots?
07
.
11
.
2025
ChatGPT & Datenschutz: Welche Folgen hat die Nutzung des Chatbots?
ChatGPT weckt weltweit die Neugierde auf Künstliche Intelligenz. Wöchentlich tauschen sich rund 500 Millionen Menschen mit dem Chatbot aus. Doch mit dem Hype wächst auch die Sorge von Datenschützern. Wie sicher ist ChatGPT hinsichtlich des Datenschutzes und müssen Unternehmen auf das KI-Tool verzichten?
AI Act: Was die KI-Verordnung für Unternehmen bedeutet
05
.
11
.
2025
AI Act: Was die KI-Verordnung für Unternehmen bedeutet
Mit dem zunehmenden Einsatz von künstlicher Intelligenz (KI) in Unternehmen wächst auch der Bedarf an klaren gesetzlichen Regeln. Der AI Act der Europäischen Union bietet seit August 2024 einen rechtlichen Rahmen für den regulierten und sicheren Einsatz von KI-Systemen in der EU. Die KI-Verordnung (KI-VO) trat am 1. August 2024 in Kraft – mit gestaffelten Übergangsfristen bis 2027. In diesem Artikel erfahren Sie, welche konkreten Anforderungen auf Ihr Unternehmen zukommen und wie Sie Compliance-Risiken minimieren.
it-sa 2025: KI-Governance für den Mittelstand – Erkenntnisse und Handlungsempfehlungen
04
.
11
.
2025
it-sa 2025: KI-Governance für den Mittelstand – Erkenntnisse und Handlungsempfehlungen
Die it-sa 2025 in Nürnberg hat eindrucksvoll gezeigt: Informationssicherheit ist keine theoretische Übung mehr – sie ist geschäftskritische Realität für den deutschen Mittelstand. Zwischen vollgepackten Messegängen und intensiven Gesprächen kristallisierte sich ein klares Bild heraus: Unternehmen suchen nicht nach der perfekten Lösung, sondern nach pragmatischen Antworten auf drängende Compliance-Fragen. Von NIS2 über digitale Souveränität bis hin zu KI-Governance – die regulatorischen Anforderungen wachsen rasant, während interne Ressourcen begrenzt bleiben. Dieser Bericht fasst die wichtigsten Erkenntnisse unserer Panel-Diskussion "Risk Exposure – Was ändert KI wirklich?" zusammen und liefert konkrete Handlungsempfehlungen für KMU.
datenschutz-Muster

Kostenlose Materialien zum Thema

Datenschutzerklärung für Kunden
Erfüllen Sie mit unserer Vorlage die DSGVO-Datenschutzinformationspflicht für Ihre Kunden.
Datenschutzerklärung für Bewerber
Erfüllen Sie die DSGVO-Datenschutzpflicht für Bewerber mit unserer Vorlage einfach & sicher.
Bestellung eines Datenschutz­beauftragten nach DSGVO
Berufen Sie jetzt einfach und schnell Proliance mit unserer Bestellurkunde.
Auftrags­verarbeitungsvertrag (AV-Vertrag)
Erstellen Sie mit unserem kostenlosen Muster einen DSGVO-konformen Auftragsverarbeitungsvertrag.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!