Skip to content
DSGVO-Pflichten calendar_today Aktualisiert: 7. April 2026 schedule 5 Min. Lesezeit

DSFA: Wann ist eine Datenschutz-Folgenabschätzung Pflicht?

verified Zuletzt überprüft 7. April 2026 · das GDPRWise Rechtsteam

Eine DSFA (Datenschutz-Folgenabschätzung) ist nur bei Verarbeitungen mit hohem Risiko vorgeschrieben. Dieser Artikel erklärt, wann Sie eine brauchen, wann nicht, und wie Sie sie durchführen.

summarize Kernaussagen
  • check_circle Eine DSFA ist nur bei Verarbeitungen mit hohem Risiko für die Rechte und Freiheiten von Personen vorgeschrieben
  • check_circle Die meisten KMU brauchen für ihre Standardverarbeitungen keine DSFA
  • check_circle Die Aufsichtsbehörde veröffentlicht eine Liste von Verarbeitungen, für die eine DSFA vorgeschrieben ist
  • check_circle Eine DSFA ist kein einmaliges Dokument, sondern muss bei Änderungen der Verarbeitung aktualisiert werden

Was ist eine DSFA?

Eine DSFA (Datenschutz-Folgenabschätzung), im Englischen “Data Protection Impact Assessment” (DPIA) genannt, ist eine Bewertung der Risiken, die eine bestimmte Verarbeitung personenbezogener Daten für die betroffenen Personen mit sich bringt. Die DSGVO schreibt dies in Artikel 35 für Verarbeitungen vor, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen.

Einfach gesagt: Sie prüfen vorab, ob eine Verarbeitung Probleme für die Personen verursachen kann, deren Daten Sie verarbeiten, und was Sie tun, um diese Risiken zu mindern.

Wann ist eine DSFA Pflicht?

Die DSGVO nennt drei Situationen, in denen eine DSFA immer erforderlich ist:

1. Systematisches und umfassendes Profiling mit erheblichen Auswirkungen Beispiele: Eine Bank, die automatisch über Kreditanträge auf Basis von Profildaten entscheidet, oder ein Versicherer, der Prämien auf Grundlage umfassender Verhaltensanalysen berechnet.

2. Umfangreiche Verarbeitung besonderer Datenkategorien Besondere Kategorien umfassen unter anderem Gesundheitsdaten, biometrische Daten, Daten über Rasse oder Religion und strafrechtliche Daten. Ein Krankenhaus, das Patientenakten verwaltet, fällt darunter. Ein KMU, das zufällig weiß, dass ein Mitarbeiter Diabetiker ist, nicht.

3. Großflächige, systematische Überwachung öffentlich zugänglicher Bereiche Das klassische Beispiel ist ein umfangreiches Videoüberwachungssystem in einem Einkaufszentrum oder Stadtzentrum.

Darüber hinaus veröffentlichen die Aufsichtsbehörden Listen mit Verarbeitungen, für die eine DSFA vorgeschrieben ist. Diese umfassen typischerweise:

  • Einsatz biometrischer Daten zur Identifikation
  • Zusammenführung von Datenbanken aus verschiedenen Quellen
  • Systematische Überwachung von Arbeitnehmern
  • Großangelegte Verarbeitung von Daten schutzbedürftiger Personen (Kinder, Ältere, Patienten)

Wann brauchen Sie KEINE DSFA?

Die meisten KMU führen Standardverarbeitungen durch, die kein hohes Risiko darstellen. Einige Beispiele:

  • Kundenverwaltung in einem CRM - Sie speichern Kontaktdaten und Bestellhistorie. Keine besonderen Kategorien, kein Profiling. Keine DSFA nötig.
  • Personalverwaltung - Name, Adresse, Gehaltsdaten, Verträge. Standardverarbeitung. Keine DSFA nötig.
  • Newsletter-Versand - E-Mail-Adressen mit Einwilligung. Keine DSFA nötig.
  • Buchhaltung und Rechnungsstellung - Rechnungsdaten von Kunden und Lieferanten. Keine DSFA nötig.
  • Einige Sicherheitskameras auf Ihrem Betriebsgelände, solange es nicht großflächig und systematisch ist. Meist keine DSFA nötig (bei größeren Installationen aber schon, siehe unseren Leitfaden zur Videoüberwachung).

Die Faustregel: Wenn Sie Daten auf eine Weise verarbeiten, die vergleichbar mit dem ist, was Tausende anderer KMU auch tun, ist eine DSFA wahrscheinlich nicht erforderlich.

Wie führen Sie eine DSFA durch?

Wenn Sie eine DSFA durchführen müssen, folgen Sie diesen Schritten:

Schritt 1: Verarbeitung beschreiben

Dokumentieren Sie:

  • Welche personenbezogenen Daten Sie verarbeiten
  • Den Zweck
  • Die Rechtsgrundlage (z. B. berechtigtes Interesse, Einwilligung)
  • Wer Zugang hat
  • Wie lange Sie die Daten aufbewahren
  • Welche Technologie Sie verwenden

Schritt 2: Notwendigkeit und Verhältnismäßigkeit beurteilen

Stellen Sie sich diese Fragen:

  • Ist diese Verarbeitung wirklich für den Zweck erforderlich?
  • Kann ich den Zweck mit weniger Daten oder einer weniger eingreifenden Methode erreichen?
  • Ist die Aufbewahrungsfrist nicht länger als nötig?

Schritt 3: Risiken identifizieren

Betrachten Sie die Risiken aus der Perspektive der betroffenen Person, nicht Ihrer Organisation. Bedenken Sie:

  • Was passiert, wenn die Daten durchsickern? Wie schlimm ist das für die betroffene Person?
  • Was passiert, wenn die Daten ungenau sind? Welche Folgen hat das?
  • Haben Betroffene ausreichend Kontrolle über ihre Daten?

Schritt 4: Maßnahmen festlegen

Für jedes Risiko legen Sie fest, welche Maßnahmen Sie zu seiner Minderung ergreifen:

  • Technische Maßnahmen (Verschlüsselung, Zugangskontrolle, Pseudonymisierung)
  • Organisatorische Maßnahmen (Schulungen, Verfahren, Verträge)
  • Einschränkungen der Verarbeitung selbst (weniger Daten, kürzere Aufbewahrungsfrist)

Schritt 5: Dokumentieren und pflegen

Halten Sie alles in einem Dokument fest. Eine DSFA ist keine einmalige Übung; Sie müssen sie aktualisieren, wenn sich die Verarbeitung ändert, neue Risiken entstehen oder sich die Technologie ändert.

Praktische Tipps für KMU

  • Prüfen Sie die Liste der Aufsichtsbehörde - schauen Sie, ob Ihre Verarbeitungen auf der DSFA-Pflichtliste stehen
  • Beginnen Sie mit Ihrem Verarbeitungsverzeichnis - wenn das in Ordnung ist, können Sie schnell erkennen, welche Verarbeitungen möglicherweise eine DSFA erfordern
  • Verwenden Sie eine Vorlage - Sie müssen das Rad nicht neu erfinden. Die Aufsichtsbehörden stellen Vorlagen bereit
  • Holen Sie im Zweifelsfall Rat ein - wenn Sie nicht sicher sind, ob Sie eine DSFA brauchen, ist es klüger, eine durchzuführen, als es zu ignorieren
auto_awesome Wissen Sie, ob Sie eine DSFA brauchen?

GDPRWise analysiert Ihre Verarbeitungstätigkeiten und gibt Ihnen eine klare Antwort: DSFA nötig oder nicht. Und wenn ja, helfen wir Ihnen beim Start.

Teilen share LinkedIn mail E-Mail
GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.