Datenschutz-Folgenabschätzung (DSFA): Pflicht bei hohem Risiko

Manche Datenverarbeitungen bergen ein besonders hohes Risiko für die Rechte und Freiheiten der betroffenen Personen – etwa bei Scoring-Verfahren, der umfangreichen Verarbeitung von Gesundheitsdaten oder einer systematischen Videoüberwachung. In solchen Fällen reicht ein einfaches Verarbeitungsverzeichnis nicht mehr aus.
Kurz erklärt: Eine Datenschutz-Folgenabschätzung (DSFA) ist eine dokumentierte Risikoanalyse, die Unternehmen nach Art. 35 DSGVO vor Beginn einer voraussichtlich risikoreichen Verarbeitung durchführen müssen – etwa bei Scoring, umfangreicher Gesundheitsdatenverarbeitung oder Videoüberwachung. Betroffen sind alle Verantwortlichen, deren Verfahren auf den Muss-Listen der Aufsichtsbehörden stehen. Wird die DSFA unterlassen, drohen Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
Wer muss eine DSFA durchführen?
Verpflichtet ist jeder datenschutzrechtlich Verantwortliche, der eine Verarbeitung plant, die voraussichtlich ein hohes Risiko für die Rechte der betroffenen Personen mit sich bringt. Die Pflicht knüpft nicht an die Unternehmensgröße an, sondern an die Art der Verarbeitung: Auch mittelständische Betriebe setzen zunehmend Scoring-Modelle zur Bonitäts- oder Risikobewertung, umfangreiche Verarbeitungen von Gesundheitsdaten – etwa im Personalwesen oder bei Gesundheitsdienstleistern – oder Videoüberwachungssysteme in Filialen und Betriebsgeländen ein und lösen damit automatisch die Prüfpflicht aus. Entscheidend ist stets die vorherige Einschätzung, nicht erst eine nachträgliche Kontrolle, denn die DSFA muss nach Art. 35 DSGVO abgeschlossen sein, bevor die eigentliche Verarbeitung startet. Wer diesen Zeitpunkt verpasst, kann die Pflicht im Nachhinein nicht mehr rechtssicher heilen. Welche dieser Pflichten für Ihr Unternehmen konkret gelten, zeigt Ihnen ein Werkzeug wie Company Audit.
Welche Verarbeitungen gelten als hochriskant?
Art. 35 DSGVO nennt beispielhaft drei Fallgruppen. Erstens Scoring-Verfahren, bei denen Personen anhand automatisierter Bewertungen systematisch eingestuft werden, etwa zur Bonitäts- oder Verhaltensbewertung. Zweitens die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten wie Gesundheitsdaten, bei der eine große Zahl Betroffener oder eine große Datenmenge betroffen ist. Drittens die systematische Videoüberwachung öffentlich zugänglicher Bereiche, etwa auf Betriebsgeländen oder in Geschäftsräumen. Da diese Aufzählung nicht abschließend ist, veröffentlichen die Aufsichtsbehörden ergänzende Positivlisten der DSFA-pflichtigen Verarbeitungen. Diese Muss-Listen sollten als erste Orientierung genutzt werden, bevor eine eigene, verarbeitungsspezifische Risikoeinschätzung erfolgt.
Wie läuft eine DSFA ab?
Die DSFA folgt einem systematischen Prüfschema und baut direkt auf dem Verzeichnis der Verarbeitungstätigkeiten auf – dieses sollte deshalb vor Beginn der Folgenabschätzung vollständig und aktuell gepflegt sein. Erst auf dieser Grundlage lassen sich Zwecke, Umfang und Risiken einer Verarbeitung sauber beschreiben und bewerten. Der Ablauf umfasst folgende Schritte:
- Prüfen, ob eine Verarbeitung voraussichtlich hohes Risiko birgt (Muss-Liste der Aufsicht abgleichen).
- Verarbeitungsvorgang, Zwecke und Notwendigkeit systematisch beschreiben.
- Risiken für die Betroffenen bewerten und Abhilfemaßnahmen (TOM) festlegen.
- Ergebnis dokumentieren und ggf. den Datenschutzbeauftragten einbinden.
- Bei verbleibendem hohen Restrisiko vorab die Aufsichtsbehörde konsultieren.
Die schriftliche Dokumentation ist dabei kein Selbstzweck: Sie dient als Nachweis gegenüber der Aufsichtsbehörde, dass die Risikoabwägung vor Beginn der Verarbeitung stattgefunden hat, und schafft die Grundlage, auf der der Datenschutzbeauftragte seine Einschätzung abgeben kann.
Was droht ohne DSFA?
Wird eine erforderliche Datenschutz-Folgenabschätzung nicht durchgeführt oder wird die risikoreiche Verarbeitung bereits vor Abschluss der DSFA begonnen, liegt ein Verstoß gegen Art. 35 DSGVO vor. Die Aufsichtsbehörden können dafür Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes verhängen. Da die Pflicht ausdrücklich vor Beginn der Verarbeitung greift, lässt sich dieses Risiko nur durch eine vorgelagerte, dokumentierte Prüfung vermeiden – eine nachträgliche Heilung ist nicht vorgesehen. Für Unternehmen lohnt sich die DSFA damit gleich doppelt: Sie erfüllt die gesetzliche Pflicht und schafft zugleich Klarheit über die tatsächlichen Risiken der eigenen Verarbeitung.
Häufige Fragen
Was ist eine Datenschutz-Folgenabschätzung?
Die DSFA ist eine nach Art. 35 DSGVO vorgeschriebene, dokumentierte Bewertung der Risiken einer geplanten Verarbeitung für die Rechte und Freiheiten der Betroffenen, inklusive der dafür vorgesehenen Abhilfemaßnahmen (TOM). Sie muss abgeschlossen sein, bevor die Verarbeitung tatsächlich startet, und schriftlich vorliegen.
Wann muss eine DSFA erstellt werden?
Immer dann, wenn eine Verarbeitung voraussichtlich ein hohes Risiko birgt – etwa bei Scoring, umfangreicher Verarbeitung von Gesundheitsdaten oder Videoüberwachung – und stets bevor die Verarbeitung tatsächlich beginnt.
Wie finde ich heraus, ob meine Verarbeitung DSFA-pflichtig ist?
Die Aufsichtsbehörden veröffentlichen Positivlisten der DSFA-pflichtigen Verarbeitungen. Diese Muss-Listen dienen als erste Orientierung, bevor eine eigene, auf die konkrete Verarbeitung zugeschnittene Risikobewertung vorgenommen wird.
Muss der Datenschutzbeauftragte eingebunden werden?
Das Ergebnis der DSFA ist zu dokumentieren, und der Datenschutzbeauftragte soll dabei eingebunden werden, sofern im Unternehmen ein Datenschutzbeauftragter bestellt ist. Seine fachliche Einschätzung fließt in die Bewertung der Risiken und der geplanten Abhilfemaßnahmen ein.
Was passiert bei verbleibendem hohem Restrisiko?
Bleibt nach Festlegung der Abhilfemaßnahmen ein hohes Risiko für die Betroffenen bestehen, muss vor Beginn der Verarbeitung die zuständige Aufsichtsbehörde konsultiert werden.
Quelle: Art. 35 DSGVO. Dieser Beitrag ist eine allgemeine Information und ersetzt keine Rechtsberatung im Einzelfall. Stand: Juli 2026.
Beitrag teilen
Bleiben Sie auf dem Laufenden
Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.
Ähnliche Beiträge
Weitere Artikel, die Sie interessieren könnten.
Zusammenfassende Meldung, OSS und Intrastat bei EU-Handel
ZM bis 25. des Folgemonats, OSS quartalsweise, Intrastat ab Schwellenwert: EU-Meldepflichten kompakt erklärt.
Verzeichnis von Verarbeitungstätigkeiten (VVT) führen
Fast jedes Unternehmen mit Kundendaten muss ein VVT nach Art. 30 DSGVO führen – sonst drohen Bußgelder bis 10 Mio. Euro.
Verpackungen im LUCID-Register anmelden und Mengen melden
Verpackte Ware verkaufen? Dann ist die Registrierung im Verpackungsregister LUCID vor Verkaufsbeginn Pflicht – ohne Bagatellgrenze.
Bereit für Ihr KI-Kompetenz-Zertifikat?
Sichern Sie sich das anerkannte KI-Zertifikat – flexibel, online und EU-AI-Act-konform.