Datenschutz-Folgenabschätzung (DSFA): Wann, Wie und Warum

Die Datenschutz-Folgenabschätzung (DSFA) ist eines der am häufigsten vergessenen DSGVO-Instrumente - und gleichzeitig eines der wertvollsten. Sie zwingt Unternehmen, vor dem Start einer risikoreichen Datenverarbeitung systematisch zu analysieren: Was kann schiefgehen? Wie schützen wir die Betroffenen?

„Wir führen keine DSFA durch - das wäre zu aufwändig.” Dieser Ansatz endet oft mit einem Bußgeldbescheid. Aufsichtsbehörden prüfen DSFAs aktiv, und eine fehlende DSFA kann selbst dann ein Bußgeld begründen, wenn keine eigentliche Datenpanne vorliegt.

Was ist eine Datenschutz-Folgenabschätzung?

Die DSFA (auch: Privacy Impact Assessment / PIA) ist eine verpflichtende Risikoanalyse, die vor risikoreichen Datenverarbeitungen durchgeführt werden muss. Die Rechtsgrundlage ist Art. 35 DSGVO. Pflicht des Verantwortlichen ist es, die DSFA durchzuführen - der Auftragsverarbeiter ist nicht verpflichtet. Der Datenschutzbeauftragte muss nach Art. 35 Abs. 2 einbezogen werden.

Wann ist keine DSFA nötig:

• Verarbeitung mit geringem Risiko für Betroffene
• Verarbeitung entsprechend einer bereits geprüften Vorabgenehmigung
• Verarbeitung für gesetzlich vorgeschriebene Aufgaben (mit Prüfung)
• Verarbeitung steht auf “Ausnahme-Liste” der zuständigen Aufsichtsbehörde
• Klar niedriges Risiko (Visitenkartenverwaltung, einfache Buchhaltung)

Wann ist eine DSFA Pflicht:

• Art. 35 Abs. 1: wahrscheinlich hohes Risiko für Betroffene
• Art. 35 Abs. 3: drei spezifische Szenarien (automatisierte Bewertung, umfangreich sensible Daten, öffentliche Überwachung)
• Verarbeitung auf der “Blacklist” der Aufsichtsbehörden (nationale Listen)

Wann ist eine DSFA Pflicht?

Art. 35 Abs. 3 - Drei zwingend geregelte Szenarien

1. Systematische und umfassende Bewertung persönlicher Aspekte auf Basis automatisierter Verarbeitung einschließlich Profiling. Beispiele: automatisierter Kredit-Score, KI-gestützte Einstellungsentscheidung, Mitarbeiter-Performance-Monitoring, Risikoscoring.

2. Umfangreiche Verarbeitung besonderer Kategorien nach Art. 9 oder Straftatendaten nach Art. 10. Besondere Kategorien umfassen Gesundheitsdaten, Biometrie, Religionsdaten, politische Meinungen, ethnische Herkunft und Gewerkschaftsmitgliedschaft. Beispiele: Krankenversicherungs-App, biometrische Zeiterfassung.

3. Systematische Überwachung öffentlich zugänglicher Bereiche. Beispiele: Videoüberwachung in öffentlichen Bereichen, systematisches Tracking auf Websites.

DSK-Blacklist - Pflicht-DSFAs in Deutschland

Die Konferenz der unabhängigen Datenschutzbehörden (DSK) hat Verarbeitungstypen veröffentlicht, die immer einer DSFA bedürfen:

1. Zentrale Verarbeitung besonderer Kategorien (Art. 9) in Krankenhäusern
2. Scoring und Kreditwürdigkeitsprüfung durch Auskunfteien
3. Austausch von Bonitätsdaten
4. Biometrische Zeiterfassung
5. Videoüberwachung (mit spezifischen Voraussetzungen)
6. Tracking auf Websites (mit hohem Risiko)
7. KI-gestützte Profiling-Systeme
8. Umfangreiche Datensammlung von Kindern
9. Verarbeitung großer Mengen von Gesundheitsdaten
10. Whistleblower-Systeme (wenn nicht anonym)
11. Fernwartung und Remote-Arbeitsplatz-Kontrolle
12. Scoring für Versicherungen oder Verträge

BfDI Muss-Liste (Bundesbeauftragter für Datenschutz)

1. KI-gestützte Verhaltensanalyse für Entscheidungen über Personen
2. Scoring-Systeme (Kredit, Versicherung, Eignung)
3. Mobile Health Apps mit Gesundheitsdaten
4. Verarbeitung von Patientendaten (außer direkte Behandlung)
5. Biometrische Systeme (Fingerabdruck, Gesichtserkennung)
6. Videoüberwachung öffentlicher Räume + KI-Analyse
7. Blacklisting und Auskunfteien
8. Beschäftigtenkontrolle und -überwachung (Keylogger, GPS!)
9. Genetische Daten
10. Personalisierte Werbung auf Basis umfangreicher Profile
11. Kinder-Apps mit personenbezogenen Daten
12. Internet of Things / Smart Home (Nutzungsprofile)
13. Social Media mit Echtzeitlokalisierung

”Zwei-Kriterienliste” (EDPB Guidelines 09/2022)

DSFA erforderlich wenn 2+ der folgenden Kriterien erfüllt sind:

• Bewertung/Scoring von Personen
• Automatisierte Entscheidungen mit Rechtswirkung
• Systematische Überwachung
• Sensible Daten (Art. 9, Art. 10 oder Finanzdaten)
• Großmaßstäbliche Verarbeitung
• Verknüpfung von Datensätzen (cross-referencing)
• Vulnerable Personen (Kinder, Patienten, Mitarbeiter)
• Neue Technologie (KI, Biometrie, IoT)
• Grenzüberschreitende Übermittlung mit Übermittlungshemmnissen
• Verarbeitung verhindert Betroffenen die Ausübung von Rechten

Schritt-für-Schritt: DSFA durchführen

Schritt 1: Notwendigkeit prüfen

Der Entscheidungsbaum hilft bei der schnellen Prüfung:

• Frage 1: Ist es eine neue oder wesentlich geänderte Verarbeitung? Wenn nein: Die DSFA aus der Ersteinführung reicht (jährlich überprüfen). Wenn ja: weiter.
• Frage 2: Fällt die Verarbeitung in Art. 35 Abs. 3? Wenn ja: DSFA Pflicht. Wenn nein: weiter.
• Frage 3: Steht die Verarbeitung auf der Blacklist der Aufsichtsbehörde? Wenn ja: DSFA Pflicht. Wenn nein: weiter.
• Frage 4: Wahrscheinlich hohes Risiko für Betroffene? (Zwei oder mehr Kriterien nach EDPB WP 248rev01 erfüllt?) Wenn ja: DSFA Pflicht. Wenn nein: keine DSFA erforderlich (empfohlen trotzdem für Dokumentation).

Schritt 2: Verarbeitung beschreiben

Art. 35 Abs. 7 definiert 9 Pflichtinhalte:

1. Systematische Beschreibung der geplanten Verarbeitungsvorgänge:

• Zweck der Verarbeitung
• Art der verarbeiteten Daten (Kategorien)
• Betroffene Personen (wer?)
• Empfänger der Daten (wer bekommt die Daten?)
• Übermittlungen in Drittländer
• Eingesetzte Technik und Systeme
• Verarbeitungsvolumen (Anzahl Datensätze/Personen)

2. Bewertung der Notwendigkeit und Verhältnismäßigkeit:

• Zweck legitim und konkret genug?
• Rechtsgrundlage vorhanden (Art. 6, Art. 9)?
• Datenminimierung: werden nur notwendige Daten verarbeitet?
• Speicherbegrenzung: Löschkonzept definiert?

3. Bewertung der Risiken für Betroffene: Welche Risiken entstehen für die Rechte und Freiheiten der Betroffenen? Eintrittswahrscheinlichkeit multipliziert mit Schwere. Konkrete Szenarien durchdenken.

4. Maßnahmen zur Risikobehandlung: Technisch-organisatorische Maßnahmen (TOMs), Vertragsklauseln (AVVs), Gewährleistung der Betroffenenrechte, Restrisiko nach Maßnahmen.

Schritt 3: DSFA-Phasen im Prozess

Phase 1: Screening - DSFA erforderlich? Wer ist zuständig? VVT-Vermerk.

Phase 2: Analyse - Workshop mit Projektteam (Entwickler, Fachabteilung, IT, Datenschutz). Datenflüsse kartieren. Alle Systeme und Dienstleister dokumentieren. Übermittlungen in Drittländer identifizieren.

Phase 3: Risikobewertung - Bedrohungen identifizieren und bewerten (siehe nächster Abschnitt).

Phase 4: Maßnahmen definieren - TOMs für identifizierte Risiken. Restrisiko: kann es akzeptiert werden? Wenn Restrisiko hoch: Aufsichtsbehörde konsultieren! (Art. 36)

Phase 5: Genehmigung und Dokumentation - Geschäftsführer oder Vorstand genehmigt. DSB prüft und zeichnet ab. Dokumentation aufbewahren (mindestens Dauer der Verarbeitung + 3 Jahre). Regelmäßige Überprüfung (bei Änderungen oder mind. alle 3 Jahre!).

Reales Beispiel - Mitarbeiter-App mit GPS-Tracking:

• Beschreibung: Mobile App für Außendienstmitarbeiter erfasst GPS-Position alle 5 Minuten während der Arbeitszeit.
• Zweck: Einsatzplanung, Zeiterfassung, Fahrtenbuch.
• Betroffene: 50 Außendienstmitarbeiter.
• Risiken: Überwachung über die Arbeitszeit hinaus (private Routen erkennbar), Diskriminierung durch Auswertung des Arbeitstempos, Datenpanne mit Zugriff Dritter auf GPS-Daten.
• Maßnahmen: Tracking nur während der Arbeitszeit (per App-Einstellung), Protokollierung nur bis 72 Stunden (dann Anonymisierung), Betriebsratszustimmung (§ 87 BetrVG), AVV mit App-Anbieter, EU-Hosting.

Schritt 4: Risiken bewerten

Die CNIL-Methodik bietet eine bewährte Risikomatrix: Risiko = Eintrittswahrscheinlichkeit × Schwere.

Bedrohungskatalog:

• Datenpanne durch externen Angriff
• Datenpanne durch Insiderfehler
• Unbefugter Zugriff durch Mitarbeiter
• Datenverlust (fehlende Backups)
• Fehlerhafte Verarbeitung (falscher Datensatz, falsche Entscheidung)
• Profilierung/Diskriminierung (ungewollte Auswirkungen)
• Verlust der Kontrolle durch Betroffene
• Drittland-Transfer ohne Schutz
• Reidentifizierung pseudonymisierter Daten

Schwere der Auswirkung auf Betroffene:

Schwere	Beschreibung
Niedrig	Unannehmlichkeiten (Zeit/Aufwand für Betroffene)
Mittel	Physische, materielle oder immaterielle Beeinträchtigung
Hoch	Schwerwiegende Folgen (Diskriminierung, Identitätsdiebstahl)
Sehr hoch	Irreversibler Schaden (Tod, Freiheitsverlust)

Risikoscore = Schwere × Wahrscheinlichkeit:

• Niedrig × Niedrig = 1 (vernachlässigbar)
• Mittel × Mittel = 4 (bedeutsam)
• Hoch × Hoch = 9 (kritisch - Maßnahmen zwingend!)
• Sehr hoch × Hoch = 12 (Aufsichtsbehörde konsultieren!)

Maßnahmen-Tabelle (Beispiel):

Risiko	Score	Maßnahme	Restrisiko
Datenpanne durch Angriff	6	Verschlüsselung + MFA + EDR	2 (niedrig)
Unbefugter Mitarbeiterzugriff	4	RBAC + Audit-Logging	1 (niedrig)
Drittlandtransfer ohne Schutz	9	SCC abschließen + TIA	3 (mittel)
Fehlerhafte Entscheidung	6	Menschliche Überprüfung	2 (niedrig)

Schritt 5: Restrisiken und Aufsichtsbehörde

Nach Umsetzung der Maßnahmen werden die verbleibenden Restrisiken bewertet: Sind sie auf ein akzeptables Maß reduziert? Kein Restrisiko ist illusorisch - das Ziel ist Risikominimierung.

Wenn ein hohes Restrisiko bestehen bleibt, schreibt Art. 36 DSGVO eine Vorabkonsultation mit der Aufsichtsbehörde vor (Pflicht). Die Aufsichtsbehörde hat acht Wochen Bearbeitungszeit und kann die Verarbeitung untersagen oder Bedingungen auferlegen. In der Praxis ist das selten, aber bei medizinischen oder biometrischen Daten relevant.

Dokumentation: Es gibt keine gesetzliche Frist, aber die DSFA sollte mindestens für die Dauer der Verarbeitung plus drei Jahre aufbewahrt werden. Regelmäßige Überprüfung ist empfohlen, mindestens alle drei Jahre oder bei Änderungen. Die Stellungnahme des Datenschutzbeauftragten muss dokumentiert sein.

Praktische DSFA-Fallstudien

Beispiel 1: KI-gestützte Personalauswahl

DSFA Pflicht? JA!

• Automatisierte Entscheidung mit erheblicher Wirkung (Art. 35 Abs. 3 a)
• Bewertung/Scoring von Personen (Zwei-Kriterienliste: Kriterium 1)
• Vulnerable Personen (Bewerber in Abhängigkeit: Kriterium 7)
• Neue Technologie (KI: Kriterium 8)

Risiken: Diskriminierung (KI lernt historische Bias), Falsch-Negative (geeignete Kandidaten abgelehnt), Transparenzmangel (Bewerber wissen nicht warum abgelehnt).

Maßnahmen: Menschliche Überprüfung jeder KI-Entscheidung (Art. 22 DSGVO!), Bias-Testing des KI-Systems vor Einsatz, Transparenzinformation an Bewerber, Widerspruchsrecht implementieren (Art. 22 Abs. 3).

Beispiel 2: Videoüberwachung mit KI-Gesichtserkennung

DSFA Pflicht? JA! (mehrfach!)

• Biometrische Daten (Art. 35 Abs. 3 b)
• Systematische Überwachung öffentlicher Räume (Art. 35 Abs. 3 c)
• Neue Technologie + Profiling + besondere Datenkategorien

Risiken: Drittlandtransfer USA (kein angemessenes Schutzniveau ohne SCC + TIA), Profiling ohne Einwilligung (Rechtsgrundlage fraglich), Fehler-Rate KI (Unschuldige als “Täter” markiert).

Ergebnis: Aufsichtsbehörde konsultieren! (Art. 36) - Wenn Restrisiko nach allen Maßnahmen hoch bleibt, BfDI/LfDI konsultieren VOR Inbetriebnahme. 8-12 Wochen Bearbeitungszeit einplanen.

Beispiel 3: Mitarbeiter-App mit GPS-Tracking

DSFA Pflicht? JA!

• Systematische Überwachung von Beschäftigten
• Verknüpfung: GPS + Arbeitszeiten + CRM-Daten
• BfDI Muss-Liste Nr. 8: Beschäftigtenkontrolle

Besonderheit: §26 BDSG (Beschäftigtendatenschutz)

• Rechtsgrundlage: §26 Abs. 1 BDSG (Durchführung Arbeitsverhältnis)
• Betriebsrat-Beteiligung ist Pflicht (§87 BetrVG) - Betriebsvereinbarung!
• Transparenz: Mitarbeiter informiert über Tracking
• Einschränkung: kein 24/7-Tracking (nur Arbeitszeit!)

Schnellübersicht: DSFA ja oder nein?

Szenario	Begründung	Ergebnis
Videoüberwachung im Supermarkt	Art. 35 Abs. 3c (öffentlich zugänglicher Bereich)	DSFA: JA (Pflicht)
Personalbogen mit Kontaktdaten	Normale Personalverwaltung, kein hohes Risiko	DSFA: NEIN
KI-Tool zur Bewerberauswahl	Automatisierte Bewertung → Art. 35 Abs. 3a	DSFA: JA (Pflicht)
Dienstplan-Software (Namen, Schichten)	Standardmäßige Personalverwaltung, kein hohes Risiko	DSFA: NEIN (empfohlen aber nicht Pflicht)
Kundendaten in US-CRM (Salesforce)	Drittlandübermittlung + Profiling = mehrere Kriterien erfüllt	DSFA: In vielen Konstellationen Pflicht
Mitarbeiter-Monitoring-Software	Tastenanschläge, Screenshots, Website-Besuche → umfangreiche Überwachung	DSFA: JA (plus Mitbestimmung BR nach § 87 BetrVG)

Häufige Fehler bei der DSFA

Fehler 1: DSFA nach statt vor Implementierung. Art. 35 schreibt ausdrücklich “vor der Verarbeitung” vor. Eine DSFA im Nachhinein ist nutzlos, weil die Verarbeitung bereits läuft. Das Bußgeldrisiko besteht nicht nur wegen schlechter Dokumentation, sondern wegen des fehlenden Instruments.

Fehler 2: Zu allgemein (“Risiko: Datenpanne”). Keine konkreten Szenarien, keine Bewertung. Aufsichtsbehörden erkennen eine “Pro-forma-DSFA” sofort.

Fehler 3: Datenschutzbeauftragter nicht einbezogen. Art. 35 Abs. 2 macht die Stellungnahme des DSB zur Pflicht. Fehlende Einbeziehung ist ein eigenständiger Verstoß.

Fehler 4: Keine Aktualisierung bei Änderungen. Wenn die Verarbeitung sich ändert, muss die DSFA angepasst werden. Empfohlen wird eine jährliche Überprüfung aller DSFAs.

Fehler 5: DSFA als bürokratische Hürde behandeln. Die DSFA ist ein Risikoanalyse-Tool - wer sie ernstnimmt, verbessert tatsächlich den Datenschutz. Eine gut gemachte DSFA schützt vor Bußgeldern und verbessert gleichzeitig den Schutz der Betroffenen.

---

Sie benötigen Unterstützung bei der Datenschutz-Folgenabschätzung? AWARE7 berät bei DSFA-Pflicht-Prüfung, Durchführung und Dokumentation - und verknüpft Datenschutz mit technischen Schutzmaßnahmen (TOMs).

Datenschutz-Beratung anfragen | ISO 27001 Beratung