Datenschutz-Folgenabschätzung (DSFA): So führen Sie eine durch, ohne den Überblick zu verlieren
Datenschutz-Folgenabschätzungen klingen nach bürokratischem Papierkram. Sind sie nicht. Richtig durchgeführt, ist die DSFA das praktischste Instrument, um Datenschutzrisiken zu identifizieren, bevor sie zu Compliance-Problemen werden.
DSGVO Artikel 35 verlangt eine DSFA, wenn die Verarbeitung “voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen” mit sich bringt. In der Praxis erfasst das mehr Verarbeitungstätigkeiten als die meisten Teams denken.
Ein neues KI-Feature für Kunden entwickeln? DSFA. Biometrische Daten verarbeiten? DSFA. Großangelegtes Profiling oder Monitoring? DSFA. Datensätze aus mehreren Quellen kombinieren? Wahrscheinlich auch DSFA.
Wann ist eine DSFA erforderlich?
Eine DSFA ist erforderlich, wenn Ihre Verarbeitung “voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen” nach DSGVO Artikel 35 mit sich bringt. Die praktische Faustregel: Trifft Ihre Verarbeitung zwei der neun Hochrisiko-Kriterien des EDPB, brauchen Sie mit hoher Sicherheit eine.
Der EDPB und die nationalen Datenschutzbehörden stellen Triggerlisten bereit. Wenn Ihre Verarbeitung zwei der folgenden neun Kriterien trifft, brauchen Sie wahrscheinlich eine DSFA:
- Bewertung oder Scoring (einschließlich Profiling und Vorhersagen)
- Automatisierte Entscheidungsfindung mit rechtlicher oder ähnlich erheblicher Wirkung
- Systematische Überwachung (öffentliche Bereiche, Mitarbeiterverfolgung)
- Verarbeitung sensibler Daten oder hochpersönlicher Daten
- Großangelegte Verarbeitung
- Abgleich oder Kombination von Datensätzen
- Daten betreffend schutzbedürftiger Personen (Kinder, Beschäftigte, Patienten)
- Innovative Nutzung von Technologie (KI, IoT, Biometrie)
- Verarbeitung, die Personen an der Ausübung eines Rechts hindert
Zwei von neun? Sie führen eine DSFA durch.
Eine DSFA-Vorlage, die Sie wirklich nutzen können
Die meisten DSFA-Vorlagen im Netz sind entweder leere Kästchen zum Abhaken oder eine Wand aus Juristensprache. Beides hilft einem Entwicklungsteam nicht weiter.
Hier ist eine Vorlage zum Ausfüllen, die abbildet, was eine Aufsichtsbehörde tatsächlich liest. Kopieren Sie sie in Ihr Projekt-Wiki und füllen Sie jeden Abschnitt aus.
- Verarbeitungsübersicht. Was Sie verarbeiten, für wen, warum. (Datentypen, Quellen, Zwecke, Empfänger, Aufbewahrungsfrist, beteiligte Systeme.)
- Notwendigkeit und Verhältnismäßigkeit. Rechtsgrundlage je Zweck. Warum diese Daten und nicht weniger. Was Sie geprüft und verworfen haben.
- Einbezogene Beteiligte. DSB, Rechtsabteilung, Engineering-Leads. Betroffene oder ihre Vertretung, wo machbar.
- Risikoregister. Eine Zeile je Risiko. Spalten: Risikobeschreibung, Eintrittswahrscheinlichkeit (gering/mittel/hoch), Schwere (gering/mittel/hoch), betroffene Personen.
- Minderungsmaßnahmen. Eine Zeile je Risiko. Technische und organisatorische Maßnahmen plus das Restrisiko nach jeder Maßnahme.
- Restrisiko und Freigabe. Finales Risikoniveau, Entscheidung zur vorherigen Konsultation, freigebende Person, Datum.
- Überprüfungszyklus. Nächstes Überprüfungsdatum und die Auslöser für eine frühere Prüfung (neues Feature, neue Datenquelle, Anbieterwechsel).
Eine kurze Selbstprüfung, bevor Sie die DSFA für fertig erklären: Jedes Risiko hat mindestens eine benannte Maßnahme, jede Maßnahme nennt eine konkrete Kontrolle (nicht “angemessene Maßnahmen”), und die Spalte Restrisiko ist für jede Zeile ausgefüllt. Liest sich eine Zelle wie Marketing-Prosa, schreiben Sie sie neu.
Der EDPB hat am 14. April 2026 seine erste EU-weite DSFA-Vorlage veröffentlicht und sie im Laufe des Jahres zur öffentlichen Konsultation gestellt.
Nach der Finalisierung wird sie zum Referenzformat in allen Mitgliedsstaaten. Richten Sie Ihre interne Vorlage schon jetzt an ihrer Struktur aus, dann kostet Sie der Übergang nichts.
Der DSFA-Prozess: Sieben Schritte
Schritt 1: Verarbeitung beschreiben
Seien Sie spezifisch. Nicht “wir erheben Nutzerdaten.” Stattdessen: “Wir erheben E-Mail-Adressen, Browserverlauf und Kaufhistorie registrierter Nutzer über unsere Webanwendung. Diese Daten werden in AWS eu-central-1 verarbeitet und an unseren E-Mail-Marketing-Anbieter für personalisierte Produktempfehlungen weitergegeben.”
Einbeziehen: Datentypen, Datenquellen, Verarbeitungszwecke, Datenempfänger, Aufbewahrungsfristen und beteiligte technische Systeme.
Schritt 2: Notwendigkeit und Verhältnismäßigkeit bewerten
Warum brauchen Sie diese Verarbeitung? Können Sie denselben Zweck mit weniger Daten erreichen?
Hier wird es für die meisten Teams unbequem. Ihre Marketingabteilung will alles tracken. Die DSFA erzwingt die Frage: Brauchen Sie das wirklich alles? Oft lautet die Antwort nein.
Dokumentieren Sie Ihre Rechtsgrundlage für jeden Verarbeitungszweck. Einwilligung, berechtigtes Interesse oder Vertragserfüllung.
Schritt 3: Risiken identifizieren
Was könnte für die Personen schiefgehen, deren Daten Sie verarbeiten? Denken Sie über Datenpannen hinaus.
Unbefugter Zugriff auf personenbezogene Daten. Datennutzung für unerwartete Zwecke. Ungenaue Daten, die zu falschen Entscheidungen führen. Personen, die ihre Daten nicht abrufen, korrigieren oder löschen können. Diskriminierung durch automatisiertes Profiling.
Jedes Risiko nach Wahrscheinlichkeit und Schwere bewerten.
Schritt 4: Maßnahmen zur Risikominderung identifizieren
Für jedes Risiko konkrete Maßnahmen definieren. Technische Maßnahmen: Verschlüsselung, Zugriffskontrollen, Anonymisierung, Datenminimierung. Organisatorische Maßnahmen: Schulungen, Richtlinien, Zugriffsüberprüfungen.
Schritt 5: DSB konsultieren
Wenn Sie einen Datenschutzbeauftragten haben, beziehen Sie ihn durchgehend ein. Nicht nur für die Freigabe am Ende.
Schritt 6: Dokumentieren und aufbewahren
Das DSFA-Dokument sollte enthalten: Verarbeitungsbeschreibung, Notwendigkeitsbewertung, Risikobewertung, Minderungsmaßnahmen, DSB-Konsultationsergebnis und Genehmigungsentscheidung.
Als lebendes Dokument führen. Aktualisieren, wenn sich die Verarbeitung ändert oder mindestens alle drei Jahre.
Schritt 7: Vorherige Konsultation (falls erforderlich)
Wenn Ihre DSFA ein hohes Restrisiko trotz Minderungsmaßnahmen feststellt, müssen Sie Ihre Aufsichtsbehörde konsultieren. In Deutschland ist das die zuständige Landesdatenschutzbehörde.
Häufige DSFA-Auslöser für Softwareteams
KI und Machine Learning. Jedes KI-System, das personenbezogene Daten für Vorhersagen, Empfehlungen oder automatisierte Entscheidungen verarbeitet. Besonders relevant mit der Überschneidung von KI-Gesetz und DSGVO.
Kundenanalyse-Plattformen. Kombination von Kaufhistorie, Browserverhalten, Demografie und Engagement-Daten. Das trifft Bewertung, Scoring und Datensatzabgleich. Drei Kriterien.
Mitarbeitendenüberwachungs-Tools. Bildschirmaufzeichnung, Standortverfolgung, Produktivitätsbewertung. Systematische Überwachung schutzbedürftiger Personen.
IoT und vernetzte Produkte. Smart Devices, die kontinuierlich Daten in privaten Räumen erheben.
Wie eine gute DSFA aussieht
Kurzantwort: spezifisch, ehrlich und umsetzbar.
Eine schlechte DSFA liest sich wie eine Vorlage mit ausgefüllten Lücken. “Wir haben angemessene Sicherheitsmaßnahmen implementiert.” Das sagt einer Aufsichtsbehörde nichts.
Eine gute DSFA liest sich wie ein Engineering-Dokument.
“Personenbezogene Nutzerdaten werden im Ruhezustand mit AES-256 und kundenverwalteten Schlüsseln in AWS KMS verschlüsselt. Der Zugriff ist auf drei namentlich benannte Administratoren über IAM-Rollen mit MFA beschränkt.”
Konkret. Benannte Technologie. Quantifizierte Aufbewahrung. Das wollen Regulierungsbehörden sehen.
Seien Sie konkret. Benennen Sie die Technologie. Beschreiben Sie die Architektur.
Die Digital-Omnibus-Änderungen
Der vorgeschlagene Digital Omnibus würde DSFA-Anforderungen EU-weit harmonisieren. Der EDPB würde einheitliche Listen erstellen, welche Verarbeitungstätigkeiten eine DSFA erfordern und welche nicht, plus eine Standard-Vorlage und -Methodik. Eine erste Entwurfsvorlage hat der EDPB bereits veröffentlicht.
Nach Genehmigung würden diese EU-weiten Listen nationale Listen ersetzen.
Das ist eine gute Nachricht. Derzeit hat jeder EU-Mitgliedsstaat seine eigene Triggerliste. Harmonisierung bedeutet ein einheitliches Regelwerk.
Die Kommission hat den Digital Omnibus am 19. November 2025 vorgeschlagen. Der EDPB und der EDPS haben am 10. Februar 2026 ihre gemeinsame Stellungnahme abgegeben: Sie unterstützen die Vereinfachung, warnen aber davor, der Kommission die einseitige Änderung der Listen zu überlassen.
Der Vorschlag durchläuft noch Parlament und Rat. In Kraft ist nichts. Warten Sie nicht darauf. Führen Sie DSFAs nach aktuellen Anforderungen durch.
Für den breiteren Regulierungskontext siehe unseren Pillar-Guide zur EU-Compliance für Softwareteams. Für Architekturmuster: DSGVO-konforme Softwarearchitektur. Und wenn KI-Systeme Ihre DSFA auslösen: unser EU-KI-Gesetz-Guide.
Brauchen Sie Hilfe bei einer DSFA für Ihr Softwareprojekt? Lassen Sie uns sie gemeinsam durcharbeiten. Wir helfen Teams, Datenschutzrisiken früh zu identifizieren und Systeme zu entwerfen, die standardmäßig konform sind.