Jetzt anfragen
DSGVO

Datenschutz-Folgenabschätzung (DSFA): Wann sie Pflicht ist und wie sie abläuft

Wann eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO Pflicht ist, wie der Ablauf in vier Schritten aussieht und welche Rolle KI-Systeme dabei spielen.

Thomas Kowoll Von Thomas Kowoll · 7. Mai 2026
Waage der Gerechtigkeit als Symbol für die Risikoabwägung einer DSFA

Die Datenschutz-Folgenabschätzung, kurz DSFA, gehört zu den Pflichten, die in vielen Unternehmen übersehen werden, weil sie nur in bestimmten Fällen greift. Wenn sie aber greift, ist sie verpflichtend, und ein Versäumnis kann teuer werden. Gleichzeitig sehe ich oft das Gegenteil: Unternehmen, die aus Unsicherheit für jede Verarbeitung eine DSFA durchführen wollen, obwohl das gar nicht nötig ist.

In diesem Beitrag kläre ich, was eine DSFA ist, wann sie wirklich Pflicht wird und wie der Prozess abläuft. Außerdem gehe ich auf die wachsende Bedeutung der DSFA bei KI-Systemen ein, weil das in der Praxis gerade der häufigste Auslöser ist. Eine knappe Definition des Begriffs finden Sie im Glossareintrag zur DSFA.

Was eine DSFA ist

Die Datenschutz-Folgenabschätzung ist in Art. 35 DSGVO geregelt. Sie ist eine vorab durchzuführende Risikobewertung für Datenverarbeitungen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen bedeuten. Das Ziel ist, dieses Risiko früh zu erkennen und durch geeignete Maßnahmen zu senken, bevor die Verarbeitung überhaupt startet.

Wichtig ist das Wort vorab. Die DSFA ist kein nachträglicher Bericht, sondern ein Planungsinstrument. Sie ist Ausdruck des Grundsatzes Privacy by Design: Datenschutz wird nicht nachgerüstet, sondern von Anfang an mitgedacht. Wer eine risikoreiche Verarbeitung erst startet und danach prüft, hat den Sinn der DSFA verfehlt.

Wann eine DSFA Pflicht ist

Eine DSFA ist nicht für jede Verarbeitung nötig, sondern nur bei voraussichtlich hohem Risiko. Art. 35 Abs. 3 DSGVO nennt drei Regelbeispiele, und die Aufsichtsbehörden führen zusätzlich Listen mit Verarbeitungen, die zwingend eine DSFA erfordern, oft als Blacklist bezeichnet. Die folgende Tabelle zeigt typische Auslöser.

AuslöserBeispiel
Systematische Bewertung / ProfilingScoring von Kunden, automatisierte Bonitätsprüfung
Umfangreiche Verarbeitung besonderer KategorienGroßflächige Verarbeitung von Gesundheitsdaten
Systematische Überwachung öffentlicher BereicheVideoüberwachung von Plätzen oder großen Verkaufsflächen
Neue TechnologienEinsatz von KI-Systemen zur Datenauswertung
Verknüpfung großer DatenbeständeZusammenführung von Datensätzen aus mehreren Quellen
Daten schutzbedürftiger PersonenVerarbeitung von Daten von Kindern oder Beschäftigten in großem Umfang

Beim Profiling geht es um die automatisierte Auswertung persönlicher Aspekte, etwa zur Vorhersage von Verhalten oder Leistung. Bei den besonderen Kategorien personenbezogener Daten handelt es sich um sensible Daten wie Gesundheit, ethnische Herkunft, religiöse Überzeugung oder sexuelle Orientierung. Werden solche Daten umfangreich verarbeitet, ist eine DSFA in aller Regel Pflicht.

Faustregel: Wenn zwei oder mehr der genannten Kriterien zusammentreffen, sollten Sie von einer DSFA-Pflicht ausgehen. Im Zweifel hilft ein Blick in die Liste der zuständigen Aufsichtsbehörde. Steht eine Verarbeitung dort, ist die Frage entschieden.

Der Ablauf in vier Schritten

Der Prozess einer DSFA folgt einer klaren Struktur. Art. 35 Abs. 7 DSGVO gibt die Mindestinhalte vor. In der Praxis arbeite ich diese vier Schritte ab.

Schritt 1: Beschreibung der Verarbeitung

Zuerst wird die geplante Verarbeitung systematisch beschrieben: welche Daten, welche Zwecke, welche Rechtsgrundlage, welche Empfänger, welche Speicherdauer und welche eingesetzte Technik. Diese Beschreibung greift idealerweise auf das vorhandene Verarbeitungsverzeichnis zurück. Ohne saubere Beschreibung lässt sich kein Risiko bewerten.

Schritt 2: Notwendigkeit und Verhältnismäßigkeit

Im zweiten Schritt wird geprüft, ob die Verarbeitung überhaupt erforderlich ist und ob das Ziel nicht mit weniger eingriffsintensiven Mitteln erreicht werden könnte. Hier kommen die Grundsätze der Datenminimierung und Zweckbindung ins Spiel. Oft zeigt sich schon an dieser Stelle, dass weniger Daten ausreichen würden, als ursprünglich geplant.

Schritt 3: Risikobewertung

Nun werden die Risiken für die betroffenen Personen bewertet: Welche Schäden können entstehen, wie wahrscheinlich sind sie und wie schwer würden sie wiegen? Bewertet werden etwa Risiken durch unbefugten Zugriff, Datenverlust oder unzulässige Weiterverarbeitung. Aus Eintrittswahrscheinlichkeit und Schadenshöhe ergibt sich ein Risikoniveau.

Schritt 4: Abhilfemaßnahmen

Im letzten Schritt werden Maßnahmen festgelegt, die das Risiko auf ein vertretbares Maß senken. Das sind in der Regel technische und organisatorische Maßnahmen wie Verschlüsselung, Zugriffsbeschränkungen, Pseudonymisierung oder zusätzliche Kontrollen. Bleibt nach allen Maßnahmen ein hohes Restrisiko bestehen, müssen Sie die Aufsichtsbehörde vorab konsultieren. Das ist allerdings die Ausnahme, nicht die Regel.

Das Ergebnis der DSFA wird dokumentiert und ist Teil der Rechenschaftspflicht. Die Dokumentation fügt sich in das übergeordnete Datenschutzkonzept ein, das alle Bausteine des Datenschutzes zusammenführt.

DSFA und KI-Systeme

In den letzten Jahren ist der häufigste Anlass für eine DSFA der Einsatz von KI-Systemen geworden. KI gilt als neue Technologie im Sinne von Art. 35, und sie verbindet oft mehrere Risikofaktoren auf einmal: große Datenmengen, automatisierte Entscheidungen, Profiling und manchmal besondere Kategorien personenbezogener Daten.

Ein typisches Beispiel ist ein KI-gestütztes Bewerbermanagement, das Lebensläufe automatisch vorsortiert. Hier treffen Profiling, Beschäftigtendaten und eine neue Technologie zusammen. In solchen Fällen ist eine DSFA praktisch immer erforderlich. Gleiches gilt für KI-Systeme, die Kundenverhalten analysieren oder Texte und Bilder von Personen auswerten.

Mit dem AI Act kommt eine weitere Ebene hinzu, die die Datenschutzanforderungen ergänzt, aber nicht ersetzt. Wer KI im Unternehmen einsetzt, sollte Datenschutz und KI-Regulierung gemeinsam betrachten. Genau darauf ist meine Leistung zum KI-Datenschutz zugeschnitten. Mehr Kontext zu diesem Themenfeld bündele ich im Themen-Hub KI-Datenschutz.

Was passiert, wenn eine DSFA fehlt

Eine versäumte DSFA ist kein Kavaliersdelikt. Wer eine Verarbeitung mit hohem Risiko ohne die vorgeschriebene Folgenabschätzung startet, verstößt direkt gegen Art. 35 DSGVO. Die Aufsichtsbehörden können das mit einem Bußgeld ahnden, und sie tun es auch. Die ausgebliebene DSFA ist dabei oft nur die Spitze: Wer die Risikobewertung überspringt, hat meist auch die nötigen Schutzmaßnahmen nicht umgesetzt, was den eigentlichen Schaden anrichtet.

Zur Größenordnung möglicher Sanktionen habe ich im Ratgeber zum DSGVO-Bußgeld das Wichtigste zusammengestellt. Entscheidend ist hier weniger die theoretische Höchstgrenze als die Tatsache, dass eine fehlende DSFA bei einer Prüfung sofort erkennbar ist. Die Behörde muss nicht lange suchen: Entweder das Dokument existiert, oder es existiert nicht.

Der umgekehrte Fall ist genauso wichtig. Eine sauber durchgeführte DSFA wirkt im Ernstfall entlastend. Sie zeigt, dass sich das Unternehmen mit den Risiken auseinandergesetzt und Maßnahmen ergriffen hat. Das berücksichtigen Aufsichtsbehörden bei der Bemessung von Sanktionen. Eine DSFA ist insofern nicht nur Pflicht, sondern auch Schutz.

Wer die DSFA durchführt

Verantwortlich für die DSFA ist das Unternehmen, nicht der Datenschutzbeauftragte. Art. 35 Abs. 2 DSGVO schreibt aber vor, dass der Rat des Datenschutzbeauftragten einzuholen ist, sofern einer bestellt wurde. In der Praxis begleite ich den gesamten Prozess: Ich helfe bei der Einschätzung, ob überhaupt eine DSFA nötig ist, strukturiere die Bewertung und sorge für eine prüffeste Dokumentation. Welche Aufgaben ein Datenschutzbeauftragter sonst noch hat, habe ich im Ratgeber zu den Aufgaben des Datenschutzbeauftragten zusammengefasst.

Eine DSFA ist kein bürokratischer Selbstzweck. Richtig durchgeführt, schützt sie betroffene Personen und gleichzeitig Ihr Unternehmen vor teuren Fehlentscheidungen. Sie zwingt dazu, ein riskantes Vorhaben vor dem Start durchzudenken, und genau das verhindert die Probleme, die sonst erst im Betrieb auffallen.

Wenn Sie planen, ein neues System einzuführen, und unsicher sind, ob eine Datenschutz-Folgenabschätzung nötig ist, klären wir das am besten frühzeitig. Schreiben Sie mir über das Kontaktformular, und ich sage Ihnen, ob eine DSFA Pflicht ist und wie wir sie effizient umsetzen.

FAQ

Häufige Fragen zu diesem Thema

Ab wann ist eine Datenschutz-Folgenabschätzung Pflicht?
Eine DSFA ist Pflicht, sobald eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen bedeutet. Art. 35 Abs. 3 DSGVO nennt drei Regelbeispiele, ergänzt durch die Blacklists der Aufsichtsbehörden. Als Faustregel gilt: Treffen zwei oder mehr Risikokriterien zusammen, sollten Sie von einer Pflicht ausgehen.
Wer muss die DSFA durchführen, der Datenschutzbeauftragte oder das Unternehmen?
Verantwortlich ist das Unternehmen als datenverarbeitende Stelle, nicht der Datenschutzbeauftragte. Nach Art. 35 Abs. 2 DSGVO muss dessen Rat aber eingeholt werden, sofern einer bestellt ist. In der Praxis begleite ich den Prozess, strukturiere die Bewertung und sorge für eine prüffeste Dokumentation, die Entscheidung selbst trägt jedoch das Unternehmen.
Was passiert, wenn keine DSFA durchgeführt wird?
Wer eine risikoreiche Verarbeitung ohne vorgeschriebene DSFA startet, verstößt direkt gegen Art. 35 DSGVO und riskiert ein Bußgeld. Eine fehlende DSFA ist bei einer Prüfung sofort erkennbar, da das Dokument entweder existiert oder nicht. Meist fehlen dann auch die nötigen Schutzmaßnahmen, was den eigentlichen Schaden anrichtet.
Wie lange dauert die Durchführung einer DSFA?
Die Dauer hängt von Umfang und Komplexität der Verarbeitung ab und reicht von wenigen Tagen bis zu mehreren Wochen. Liegt ein gepflegtes Verarbeitungsverzeichnis vor, beschleunigt das den ersten Schritt erheblich. Aufwendiger wird es bei neuen Technologien oder wenn nach der Risikobewertung umfangreiche Abhilfemaßnahmen festgelegt und abgestimmt werden müssen.
Brauche ich für eine Videoüberwachung eine Datenschutz-Folgenabschätzung?
Für die systematische Überwachung öffentlich zugänglicher Bereiche ist in der Regel eine DSFA erforderlich, etwa bei Plätzen oder großen Verkaufsflächen. Art. 35 Abs. 3 DSGVO führt diesen Fall ausdrücklich als Regelbeispiel auf. Eine kleine Kamera am privaten Eingang fällt meist nicht darunter, entscheidend sind Umfang und Systematik der Überwachung.

Weitere Artikel

DSGVO

Datenschutzkonzept: Aufbau, Inhalt und Nutzen

Was ein Datenschutzkonzept enthält, aus welchen Bausteinen es besteht und warum es der zentrale Nachweis der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ist.

 DSGVO

Datenschutzerklärung erstellen: Pflichtangaben und häufige Fehler

Was in eine rechtssichere Datenschutzerklärung gehört: Pflichtangaben nach Art. 13/14 DSGVO, Cookies, Analytics, typische Fehler und warum Generatoren nicht reichen.

 DSGVO

Auftragsverarbeitung nach Art. 28 DSGVO: AV-Verträge richtig schließen

Wann brauchen Sie einen AV-Vertrag, was muss er enthalten und wo ist die Grenze zur gemeinsamen Verantwortlichkeit? Auftragsverarbeitung nach Art. 28 DSGVO erklärt.

Datenschutz, der zu Ihrem Betrieb passt?

Verständlich erklärt ist die halbe Miete – umgesetzt wird der Rest. Ich unterstütze Sie als externer Datenschutzbeauftragter.

Kostenloses Erstgespräch
Anrufen E-Mail Anfrage Erstgespräch anfragen