Zum Hauptinhalt springen
Regulatorik 6 min read

Datenschutz-Folgenabschätzung (DSFA): Vorlage und Anleitung

Wann ist eine Datenschutz-Folgenabschätzung erforderlich und wie führen Sie eine durch? Praktischer DSFA-Leitfaden mit Vorlage und Beispielen unter der DSGVO.

BrotCode
Aktualisiert 29. Mai 2026
Datenschutz-Folgenabschätzung (DSFA): Vorlage und Anleitung

Datenschutz-Folgenabschätzung (DSFA): So führen Sie eine durch, ohne den Überblick zu verlieren

Datenschutz-Folgenabschätzungen klingen nach bürokratischem Papierkram. Sind sie nicht. Richtig durchgeführt, ist die DSFA das praktischste Instrument, um Datenschutzrisiken zu identifizieren, bevor sie zu Compliance-Problemen werden.

DSGVO Artikel 35 verlangt eine DSFA, wenn die Verarbeitung “voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen” mit sich bringt. In der Praxis erfasst das mehr Verarbeitungstätigkeiten als die meisten Teams denken.

Ein neues KI-Feature für Kunden entwickeln? DSFA. Biometrische Daten verarbeiten? DSFA. Großangelegtes Profiling oder Monitoring? DSFA. Datensätze aus mehreren Quellen kombinieren? Wahrscheinlich auch DSFA.

Wann ist eine DSFA erforderlich?

Eine DSFA ist erforderlich, wenn Ihre Verarbeitung “voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen” nach DSGVO Artikel 35 mit sich bringt. Die praktische Faustregel: Trifft Ihre Verarbeitung zwei der neun Hochrisiko-Kriterien des EDPB, brauchen Sie mit hoher Sicherheit eine.

Der EDPB und die nationalen Datenschutzbehörden stellen Triggerlisten bereit. Wenn Ihre Verarbeitung zwei der folgenden neun Kriterien trifft, brauchen Sie wahrscheinlich eine DSFA:

  1. Bewertung oder Scoring (einschließlich Profiling und Vorhersagen)
  2. Automatisierte Entscheidungsfindung mit rechtlicher oder ähnlich erheblicher Wirkung
  3. Systematische Überwachung (öffentliche Bereiche, Mitarbeiterverfolgung)
  4. Verarbeitung sensibler Daten oder hochpersönlicher Daten
  5. Großangelegte Verarbeitung
  6. Abgleich oder Kombination von Datensätzen
  7. Daten betreffend schutzbedürftiger Personen (Kinder, Beschäftigte, Patienten)
  8. Innovative Nutzung von Technologie (KI, IoT, Biometrie)
  9. Verarbeitung, die Personen an der Ausübung eines Rechts hindert

Zwei von neun? Sie führen eine DSFA durch.

Eine DSFA-Vorlage, die Sie wirklich nutzen können

Die meisten DSFA-Vorlagen im Netz sind entweder leere Kästchen zum Abhaken oder eine Wand aus Juristensprache. Beides hilft einem Entwicklungsteam nicht weiter.

Hier ist eine Vorlage zum Ausfüllen, die abbildet, was eine Aufsichtsbehörde tatsächlich liest. Kopieren Sie sie in Ihr Projekt-Wiki und füllen Sie jeden Abschnitt aus.

  1. Verarbeitungsübersicht. Was Sie verarbeiten, für wen, warum. (Datentypen, Quellen, Zwecke, Empfänger, Aufbewahrungsfrist, beteiligte Systeme.)
  2. Notwendigkeit und Verhältnismäßigkeit. Rechtsgrundlage je Zweck. Warum diese Daten und nicht weniger. Was Sie geprüft und verworfen haben.
  3. Einbezogene Beteiligte. DSB, Rechtsabteilung, Engineering-Leads. Betroffene oder ihre Vertretung, wo machbar.
  4. Risikoregister. Eine Zeile je Risiko. Spalten: Risikobeschreibung, Eintrittswahrscheinlichkeit (gering/mittel/hoch), Schwere (gering/mittel/hoch), betroffene Personen.
  5. Minderungsmaßnahmen. Eine Zeile je Risiko. Technische und organisatorische Maßnahmen plus das Restrisiko nach jeder Maßnahme.
  6. Restrisiko und Freigabe. Finales Risikoniveau, Entscheidung zur vorherigen Konsultation, freigebende Person, Datum.
  7. Überprüfungszyklus. Nächstes Überprüfungsdatum und die Auslöser für eine frühere Prüfung (neues Feature, neue Datenquelle, Anbieterwechsel).

Eine kurze Selbstprüfung, bevor Sie die DSFA für fertig erklären: Jedes Risiko hat mindestens eine benannte Maßnahme, jede Maßnahme nennt eine konkrete Kontrolle (nicht “angemessene Maßnahmen”), und die Spalte Restrisiko ist für jede Zeile ausgefüllt. Liest sich eine Zelle wie Marketing-Prosa, schreiben Sie sie neu.

Der EDPB hat am 14. April 2026 seine erste EU-weite DSFA-Vorlage veröffentlicht und sie im Laufe des Jahres zur öffentlichen Konsultation gestellt.

Nach der Finalisierung wird sie zum Referenzformat in allen Mitgliedsstaaten. Richten Sie Ihre interne Vorlage schon jetzt an ihrer Struktur aus, dann kostet Sie der Übergang nichts.

Der DSFA-Prozess: Sieben Schritte

Schritt 1: Verarbeitung beschreiben

Seien Sie spezifisch. Nicht “wir erheben Nutzerdaten.” Stattdessen: “Wir erheben E-Mail-Adressen, Browserverlauf und Kaufhistorie registrierter Nutzer über unsere Webanwendung. Diese Daten werden in AWS eu-central-1 verarbeitet und an unseren E-Mail-Marketing-Anbieter für personalisierte Produktempfehlungen weitergegeben.”

Einbeziehen: Datentypen, Datenquellen, Verarbeitungszwecke, Datenempfänger, Aufbewahrungsfristen und beteiligte technische Systeme.

Schritt 2: Notwendigkeit und Verhältnismäßigkeit bewerten

Warum brauchen Sie diese Verarbeitung? Können Sie denselben Zweck mit weniger Daten erreichen?

Hier wird es für die meisten Teams unbequem. Ihre Marketingabteilung will alles tracken. Die DSFA erzwingt die Frage: Brauchen Sie das wirklich alles? Oft lautet die Antwort nein.

Dokumentieren Sie Ihre Rechtsgrundlage für jeden Verarbeitungszweck. Einwilligung, berechtigtes Interesse oder Vertragserfüllung.

Schritt 3: Risiken identifizieren

Was könnte für die Personen schiefgehen, deren Daten Sie verarbeiten? Denken Sie über Datenpannen hinaus.

Unbefugter Zugriff auf personenbezogene Daten. Datennutzung für unerwartete Zwecke. Ungenaue Daten, die zu falschen Entscheidungen führen. Personen, die ihre Daten nicht abrufen, korrigieren oder löschen können. Diskriminierung durch automatisiertes Profiling.

Jedes Risiko nach Wahrscheinlichkeit und Schwere bewerten.

Schritt 4: Maßnahmen zur Risikominderung identifizieren

Für jedes Risiko konkrete Maßnahmen definieren. Technische Maßnahmen: Verschlüsselung, Zugriffskontrollen, Anonymisierung, Datenminimierung. Organisatorische Maßnahmen: Schulungen, Richtlinien, Zugriffsüberprüfungen.

Schritt 5: DSB konsultieren

Wenn Sie einen Datenschutzbeauftragten haben, beziehen Sie ihn durchgehend ein. Nicht nur für die Freigabe am Ende.

Schritt 6: Dokumentieren und aufbewahren

Das DSFA-Dokument sollte enthalten: Verarbeitungsbeschreibung, Notwendigkeitsbewertung, Risikobewertung, Minderungsmaßnahmen, DSB-Konsultationsergebnis und Genehmigungsentscheidung.

Als lebendes Dokument führen. Aktualisieren, wenn sich die Verarbeitung ändert oder mindestens alle drei Jahre.

Schritt 7: Vorherige Konsultation (falls erforderlich)

Wenn Ihre DSFA ein hohes Restrisiko trotz Minderungsmaßnahmen feststellt, müssen Sie Ihre Aufsichtsbehörde konsultieren. In Deutschland ist das die zuständige Landesdatenschutzbehörde.

Häufige DSFA-Auslöser für Softwareteams

KI und Machine Learning. Jedes KI-System, das personenbezogene Daten für Vorhersagen, Empfehlungen oder automatisierte Entscheidungen verarbeitet. Besonders relevant mit der Überschneidung von KI-Gesetz und DSGVO.

Kundenanalyse-Plattformen. Kombination von Kaufhistorie, Browserverhalten, Demografie und Engagement-Daten. Das trifft Bewertung, Scoring und Datensatzabgleich. Drei Kriterien.

Mitarbeitendenüberwachungs-Tools. Bildschirmaufzeichnung, Standortverfolgung, Produktivitätsbewertung. Systematische Überwachung schutzbedürftiger Personen.

IoT und vernetzte Produkte. Smart Devices, die kontinuierlich Daten in privaten Räumen erheben.

Wie eine gute DSFA aussieht

Kurzantwort: spezifisch, ehrlich und umsetzbar.

Eine schlechte DSFA liest sich wie eine Vorlage mit ausgefüllten Lücken. “Wir haben angemessene Sicherheitsmaßnahmen implementiert.” Das sagt einer Aufsichtsbehörde nichts.

Eine gute DSFA liest sich wie ein Engineering-Dokument.

“Personenbezogene Nutzerdaten werden im Ruhezustand mit AES-256 und kundenverwalteten Schlüsseln in AWS KMS verschlüsselt. Der Zugriff ist auf drei namentlich benannte Administratoren über IAM-Rollen mit MFA beschränkt.”

Konkret. Benannte Technologie. Quantifizierte Aufbewahrung. Das wollen Regulierungsbehörden sehen.

Seien Sie konkret. Benennen Sie die Technologie. Beschreiben Sie die Architektur.

Die Digital-Omnibus-Änderungen

Der vorgeschlagene Digital Omnibus würde DSFA-Anforderungen EU-weit harmonisieren. Der EDPB würde einheitliche Listen erstellen, welche Verarbeitungstätigkeiten eine DSFA erfordern und welche nicht, plus eine Standard-Vorlage und -Methodik. Eine erste Entwurfsvorlage hat der EDPB bereits veröffentlicht.

Nach Genehmigung würden diese EU-weiten Listen nationale Listen ersetzen.

Das ist eine gute Nachricht. Derzeit hat jeder EU-Mitgliedsstaat seine eigene Triggerliste. Harmonisierung bedeutet ein einheitliches Regelwerk.

Die Kommission hat den Digital Omnibus am 19. November 2025 vorgeschlagen. Der EDPB und der EDPS haben am 10. Februar 2026 ihre gemeinsame Stellungnahme abgegeben: Sie unterstützen die Vereinfachung, warnen aber davor, der Kommission die einseitige Änderung der Listen zu überlassen.

Der Vorschlag durchläuft noch Parlament und Rat. In Kraft ist nichts. Warten Sie nicht darauf. Führen Sie DSFAs nach aktuellen Anforderungen durch.

Für den breiteren Regulierungskontext siehe unseren Pillar-Guide zur EU-Compliance für Softwareteams. Für Architekturmuster: DSGVO-konforme Softwarearchitektur. Und wenn KI-Systeme Ihre DSFA auslösen: unser EU-KI-Gesetz-Guide.


Brauchen Sie Hilfe bei einer DSFA für Ihr Softwareprojekt? Lassen Sie uns sie gemeinsam durcharbeiten. Wir helfen Teams, Datenschutzrisiken früh zu identifizieren und Systeme zu entwerfen, die standardmäßig konform sind.

FAQ

Wann ist eine DSFA erforderlich?
Faustregel "zwei von neun": Trifft Ihre Verarbeitung zwei der Hochrisiko-Kriterien des EDPB (Profiling, automatisierte Entscheidungen, systematische Überwachung, sensible Daten, großer Umfang, Datensatzabgleich, schutzbedürftige Personen, innovative Technik oder Hinderung an einem Recht), brauchen Sie mit hoher Sicherheit eine. Rechtlicher Auslöser dahinter ist DSGVO Artikel 35: eine Verarbeitung mit "voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen."
Was ist eine DSFA-Vorlage?
Eine DSFA-Vorlage ist eine wiederverwendbare Struktur, die Sie durch die Pflichtabschnitte führt: Verarbeitungsübersicht, Notwendigkeit und Verhältnismäßigkeit, Risikoregister, Minderungsmaßnahmen, Restrisiko und Freigabe. Der EDPB hat am 14. April 2026 seine erste EU-weite Vorlage veröffentlicht und im Laufe des Jahres zur Konsultation gestellt. Eine gute Vorlage erzwingt konkrete Antworten, keine "angemessene Maßnahmen"-Floskeln.
Wer ist für die Durchführung einer DSFA verantwortlich?
Der Verantwortliche (Data Controller) trägt die Verantwortung für die DSFA. Artikel 35 verlangt, den Rat des Datenschutzbeauftragten einzuholen, sofern einer benannt ist. Der DSB berät jedoch, er gibt nicht frei. In der Praxis arbeiten Engineering, Rechtsabteilung und DSB zusammen, und eine benannte Person zeichnet die finale Bewertung ab.
Was passiert bei einem hohen Restrisiko in der DSFA?
Bleibt das Restrisiko trotz Maßnahmen hoch, verlangt Artikel 36 eine vorherige Konsultation Ihrer Aufsichtsbehörde, bevor Sie mit der Verarbeitung beginnen. In Deutschland ist das die zuständige Landesdatenschutzbehörde. Das ist selten. Gründliche Maßnahmen senken das Restrisiko meist auf ein akzeptables Niveau, aber der Mechanismus existiert für notwendige Verarbeitung mit erheblichem Risiko.
Artikel teilen
DSGVO Compliance Sicherheit Architektur

Verwandte Artikel

Brauchen Sie Hilfe beim Bauen?

Wir verwandeln komplexe technische Herausforderungen in produktionsreife Lösungen. Sprechen wir über Ihr Projekt.