DSFA: Die Datenschutz-Folgenabschätzung in 9 Schritten

Die Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO ist verpflichtend, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. In diesem Leitfaden erklären wir, wann Sie eine DSFA durchführen müssen und wie Sie dabei vorgehen.

Wann ist eine DSFA Pflicht?

Die drei Kriterien des Artikels 35

Eine DSFA ist insbesondere erforderlich bei:

1. Systematische, umfassende Bewertung persönlicher Aspekte mittels automatisierter Verarbeitung einschließlich Profiling (z.B. Scoring, automatisierte Kreditentscheidungen)

2. Umfangreiche Verarbeitung besonderer Kategorien (Art. 9 DSGVO: Gesundheit, Biometrie, Religion, Gewerkschaftszugehörigkeit) oder strafrechtlicher Daten

3. Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (z.B. Videoüberwachung)

Blacklist der Datenschutzkonferenz (DSK)

Die deutschen Aufsichtsbehörden haben eine Positivliste veröffentlicht. Eine DSFA ist unter anderem erforderlich bei:

| Verarbeitung | Beispiel | |---|---| | Scoring und Profiling | Kreditwürdigkeitsprüfung, Nutzerprofile | | Umfangreiche Gesundheitsdaten | Krankenhausinformationssysteme | | Videoüberwachung | Öffentliche Bereiche, Arbeitsplatz | | Standortdaten | Flottenmanagement, Mitarbeiterortung | | Biometrische Daten | Zutrittskontrolle per Fingerabdruck | | Zusammenführung von Datenbeständen | Data-Warehouse mit Kundendaten aus verschiedenen Quellen | | KI-gestützte Entscheidungen | Automatisierte Bewerberauswahl |

Die „2-aus-9"-Regel

Die DSGVO-Leitlinien der Art.-29-Gruppe nennen 9 Kriterien. Treffen mindestens zwei zu, ist eine DSFA in der Regel erforderlich:

1. Bewertung oder Scoring
2. Automatisierte Entscheidungsfindung mit Rechtswirkung
3. Systematische Überwachung
4. Vertrauliche Daten oder Daten höchst persönlicher Natur
5. Datenverarbeitung im großen Umfang
6. Abgleich oder Zusammenführung von Datensätzen
7. Daten schutzbedürftiger Personen (Arbeitnehmer, Kinder, Patienten)
8. Innovative Nutzung oder Anwendung neuer Technologien
9. Verarbeitung, die Betroffene an der Ausübung ihrer Rechte hindert

Die 9 Schritte der DSFA

Schritt 1: Schwellwertanalyse

Prüfen Sie zunächst, ob eine DSFA tatsächlich erforderlich ist. Dokumentieren Sie das Ergebnis — auch ein negativer Bescheid sollte aktenkundig sein.

Schritt 2: Beschreibung der Verarbeitung

Dokumentieren Sie systematisch:

• Zweck der Verarbeitung
• Rechtsgrundlage (Art. 6, ggf. Art. 9 DSGVO)
• Art der Daten und betroffene Personen
• Datenflüsse — woher kommen die Daten, wohin gehen sie?
• Beteiligte Systeme und Dienstleister
• Speicherdauer und Löschkonzept

Schritt 3: Notwendigkeit und Verhältnismäßigkeit

Prüfen Sie:

• Ist die Verarbeitung erforderlich für den Zweck?
• Gibt es mildere Mittel (Datenminimierung)?
• Sind die Löschfristen angemessen?
• Sind die Betroffenen informiert (Art. 13/14)?
• Können Betroffene ihre Rechte ausüben?

Schritt 4: Risikoidentifikation

Identifizieren Sie potenzielle Risiken für die Betroffenen:

| Risikokategorie | Beispiele | |---|---| | Unbefugter Zugriff | Datenleck, Hackerangriff | | Unbeabsichtigte Änderung | Datenkorruption, fehlerhafte Algorithmen | | Datenverlust | Fehlende Backups, Ransomware | | Diskriminierung | Bias in KI-Entscheidungen | | Überwachung | Profilbildung, Standortverfolgung | | Identitätsdiebstahl | Phishing mit gestohlenen Daten |

Schritt 5: Risikobewertung

Bewerten Sie jedes Risiko nach Eintrittswahrscheinlichkeit und Schwere der Auswirkung:

| | Geringe Schwere | Mittlere Schwere | Hohe Schwere | Sehr hohe Schwere | |---|---|---|---|---| | Unwahrscheinlich | Akzeptabel | Gering | Mittel | Hoch | | Möglich | Gering | Mittel | Hoch | Sehr hoch | | Wahrscheinlich | Mittel | Hoch | Sehr hoch | Sehr hoch | | Sehr wahrscheinlich | Hoch | Sehr hoch | Sehr hoch | Sehr hoch |

Schritt 6: Abhilfemaßnahmen definieren

Für jedes Risiko ab „Mittel" definieren Sie konkrete Maßnahmen:

| Risiko | Maßnahme | Restrisiko | |---|---|---| | Unbefugter Zugriff auf Kundendaten | Verschlüsselung at Rest + MFA + Zugriffsprotokoll | Gering | | KI-Bias bei Bewerberselektion | Regelmäßige Bias-Audits + menschliche Überprüfung | Mittel | | Datenverlust durch Ransomware | Tägliche Backups + Air-Gap + Wiederherstellungstest | Gering |

Schritt 7: Stellungnahme des DSB

Wenn ein Datenschutzbeauftragter benannt ist, muss dessen Stellungnahme eingeholt und dokumentiert werden (Art. 35 Abs. 2).

Schritt 8: Konsultation der Aufsichtsbehörde (bei Bedarf)

Wenn nach Umsetzung aller Maßnahmen das Restrisiko weiterhin hoch bleibt, müssen Sie die zuständige Datenschutzaufsichtsbehörde vorab konsultieren (Art. 36 DSGVO).

Schritt 9: Dokumentation und Review

• Dokumentation aller Ergebnisse — die DSFA selbst ist Ihr Nachweis der Compliance
• Review-Zyklus festlegen — mindestens jährlich oder bei wesentlichen Änderungen
• Versionierung — Änderungen nachvollziehbar dokumentieren

Praxisbeispiel: Online-Shop mit Kundenprofiling

Ausgangslage

Ein Online-Shop möchte personalisierte Produktempfehlungen auf Basis des Kaufverhaltens implementieren.

Schwellwertanalyse

• Scoring/Profiling: Ja (Kriterium 1)
• Umfangreiche Datenverarbeitung: Ja (Kriterium 5)
• 2 von 9 Kriterien erfüllt → DSFA erforderlich

Risiken und Maßnahmen

| Risiko | Schwere | Wahrscheinl. | Maßnahme | |---|---|---|---| | Profilbildung ohne Wissen | Hoch | Wahrscheinlich | Transparente Information, Opt-Out | | Diskriminierende Empfehlungen | Mittel | Möglich | Bias-Tests, manuelle Stichproben | | Datenleck Kaufhistorie | Hoch | Möglich | Pseudonymisierung, Verschlüsselung | | Missbrauch der Profile | Hoch | Unwahrscheinlich | Zweckbindung, Zugriffskontrolle |

Ergebnis

Nach Umsetzung aller Maßnahmen: Restrisiko mittel → Verarbeitung kann durchgeführt werden. Review in 12 Monaten.

Vereinfachte Vorlage

DATENSCHUTZ-FOLGENABSCHÄTZUNG

1. Allgemeines
   Datum: ___________
   Verantwortlicher: ___________
   Verarbeitung: ___________
   DSB-Stellungnahme: ___________

2. Beschreibung
   Zweck: ___________
   Rechtsgrundlage: Art. 6 Abs. 1 lit. ___
   Datenarten: ___________
   Betroffene: ___________
   Empfänger: ___________
   Speicherdauer: ___________

3. Notwendigkeit und Verhältnismäßigkeit
   Erforderlichkeit: □ Ja □ Nein
   Milderes Mittel: □ Nicht vorhanden □ Vorhanden: ___
   Löschkonzept: □ Dokumentiert □ Fehlt
   Information der Betroffenen: □ Ja □ Nein

4. Risiken (pro Risiko eine Zeile)
   Risiko | Schwere | Wahrsch. | Maßnahme | Restrisiko

5. Ergebnis
   □ Restrisiko akzeptabel → Verarbeitung zulässig
   □ Restrisiko hoch → Konsultation Aufsichtsbehörde
   □ Verarbeitung sollte nicht durchgeführt werden

6. Review
   Nächste Überprüfung: ___________
   Trigger für Neuprüfung: ___________

Fazit

Die DSFA ist kein Formalismus, sondern ein strukturiertes Risikomanagement-Werkzeug. Sie zwingt dazu, Datenverarbeitungen durchzudenken, Risiken zu bewerten und Maßnahmen zu ergreifen — bevor etwas schiefgeht. Dokumentieren Sie gründlich, denn die DSFA ist Ihr wichtigster Nachweis im Fall einer Prüfung.

Scannen Sie Ihre Website kostenlos mit WarDek — OWASP, NIS2, DSGVO, AI Act Compliance in einem Scan.