Zum Hauptinhalt springen
Regulatorik 3 min read

Datenschutz-Folgenabschätzung (DSFA): Praktischer Leitfaden

Wann ist eine DSFA Pflicht? Wie führen Sie sie durch? Ein praktischer Leitfaden mit Checkliste für deutsche Unternehmen nach Art. 35 DSGVO.

BrotCode
Datenschutz-Folgenabschätzung (DSFA): Praktischer Leitfaden

Sie planen ein neues IT-System. Brauchen Sie eine DSFA?

Wahrscheinlich ja. Artikel 35 der DSGVO schreibt eine Datenschutz-Folgenabschätzung vor, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte natürlicher Personen hat. Und “hohes Risiko” ist schneller erreicht, als viele denken.

Wer die DSFA unterlässt, obwohl sie Pflicht war, riskiert Bußgelder. Das ist keine Theorie. Aufsichtsbehörden prüfen aktiv.

Wann ist eine DSFA Pflicht?

Die DSGVO nennt drei klare Fälle:

Systematische Bewertung persönlicher Aspekte durch automatisierte Verarbeitung. Profiling, Scoring, automatisierte Entscheidungen. Wenn Ihre Software automatisch bewertet, ob ein Kunde kreditwürdig ist oder ein Bewerber geeignet, brauchen Sie eine DSFA.

Umfangreiche Verarbeitung besonderer Datenkategorien. Gesundheitsdaten, biometrische Daten, Daten über religiöse Überzeugungen oder Gewerkschaftszugehörigkeit. Auch Personalverwaltungssysteme mit Gesundheitsdaten fallen darunter.

Systematische Überwachung öffentlich zugänglicher Bereiche. Videoüberwachung, WLAN-Tracking, Standorterfassung.

Darüber hinaus hat die Datenschutzkonferenz (DSK) eine Positivliste veröffentlicht mit Verarbeitungen, die immer eine DSFA erfordern. Die zuständige Aufsichtsbehörde Ihres Bundeslandes stellt diese Liste bereit.

Der Prozess in sechs Schritten

Schritt 1: Verarbeitung beschreiben

Dokumentieren Sie, welche Daten Sie verarbeiten, warum, wie und wie lange. Klingt einfach. Ist in der Praxis oft der aufwändigste Schritt, weil niemand den kompletten Datenfluss kennt.

Schritt 2: Notwendigkeit und Verhältnismäßigkeit prüfen

Ist die Verarbeitung für den Zweck notwendig? Erheben Sie nur die Daten, die Sie tatsächlich brauchen? Datenminimierung ist ein Grundprinzip der DSGVO.

Wenn Sie für eine Terminbuchung den Geburtstag abfragen, ist das nicht verhältnismäßig. Wenn Sie für eine Altersprüfung den Geburtstag abfragen, schon.

Schritt 3: Risiken identifizieren

Was könnte schiefgehen? Datenleck, unbefugter Zugriff, falsche Entscheidungen durch fehlerhafte Algorithmen, Diskriminierung durch Bias in KI-Systemen.

Bewerten Sie jedes Risiko nach Eintrittswahrscheinlichkeit und Schwere der Auswirkungen. Nicht abstrakt, sondern für Ihre konkrete Verarbeitung.

Schritt 4: Maßnahmen zur Risikominderung

Verschlüsselung, Pseudonymisierung, Zugriffsbeschränkungen, automatische Löschfristen, Audit-Logs. Für jedes identifizierte Risiko eine oder mehrere Gegenmaßnahmen.

Schritt 5: Datenschutzbeauftragten einbinden

Artikel 35 Absatz 2 schreibt die Einholung des Rats des Datenschutzbeauftragten vor. Das ist Pflicht, keine Empfehlung.

Schritt 6: Dokumentieren und aktualisieren

Die DSFA ist kein einmaliges Dokument. Sie muss bei wesentlichen Änderungen der Verarbeitung aktualisiert werden. Neues Feature, neuer Datentyp, neuer Dienstleister: alles Anlässe für eine Aktualisierung.

Typische Fälle aus der Praxis

Ein Personalverwaltungssystem mit Gesundheitsdaten und automatisierter Schichtplanung. DSFA-Pflicht, weil besondere Datenkategorien und Profiling zusammenkommen.

Eine KI-gestützte Bewerbervorauswahl. DSFA-Pflicht, weil automatisierte Entscheidungsfindung mit erheblichen Konsequenzen für die Betroffenen.

Ein CRM-System mit Kundensegmentierung und Scoring. Grenzfall. Wenn das Scoring nur für Marketing-Personalisierung dient: wahrscheinlich keine DSFA-Pflicht. Wenn es Kreditentscheidungen beeinflusst: Pflicht.

Ein Online-Shop mit Standard-Zahlungsabwicklung und Cookie-Consent. In der Regel keine DSFA-Pflicht, sofern keine besonderen Datenkategorien verarbeitet werden.

Wie der Bitkom-Leitfaden hilft

Der Bitkom hat gemeinsam mit dem LfDI einen Praxisleitfaden zum Risk Assessment und zur DSFA veröffentlicht. Er enthält Vorlagen, Bewertungsmatrizen und Beispiele.

Das Dokument ist kostenlos verfügbar und bietet einen strukturierten Ansatz, der auch ohne Datenschutzjuristen umgesetzt werden kann. Nutzen Sie es als Ausgangspunkt.

DSFA und Softwareentwicklung

Wenn Sie Software entwickeln lassen, sollte die DSFA bereits in der Planungsphase beginnen. Nicht erst nach dem Launch.

Privacy by Design nach Artikel 25 DSGVO verlangt, dass Datenschutzmaßnahmen schon bei der Technikgestaltung berücksichtigt werden. Eine DSFA, die erst nach der Fertigstellung durchgeführt wird, kommt zu spät.

Unser Beitrag zu DSGVO-konformer Softwareentwicklung zeigt, wie Sie Privacy by Design von Anfang an einbauen. Den regulatorischen Gesamtkontext beschreibt unser EU-Compliance-Leitfaden.


Sie planen ein Datenverarbeitungsprojekt und sind unsicher, ob eine DSFA nötig ist? Vereinbaren Sie ein Erstgespräch. Wir bauen Datenschutz von Anfang an in die Architektur ein.

Artikel teilen
DSGVO Compliance Sicherheit Datenschutz

Verwandte Artikel

Brauchen Sie Hilfe beim Bauen?

Wir verwandeln komplexe technische Herausforderungen in produktionsreife Lösungen. Sprechen wir über Ihr Projekt.