Allgemein

Datenschutz-Folgenabschätzung: Wann ist sie Pflicht – und wie dokumentieren Sie sie richtig?

16. Juni 2026
Teaserbild DSFA

Eine Datenschutz-Folgenabschätzung, kurz DSFA, klingt nach viel Aufwand. Und ja: Sie ist kein Mini-Formular, das man mal nebenbei ausfüllt. Aber sie ist auch kein ‚Monster‘ – wenn man weiß, wann sie wirklich nötig ist und was hineingehört.

Wann ist eine DSFA Pflicht?

Eine DSFA ist immer dann erforderlich, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko“ für die Rechte und Freiheiten betroffener Personen mit sich bringt. Das klingt erst einmal sehr abstrakt.

Konkret bedeutet es: Wenn auf Ihre geplante Verarbeitung zwei oder mehr der folgenden Merkmale zutreffen, sollten Sie genauer hinschauen:

  • Sie verarbeiten vertrauliche oder höchstpersönliche Daten (z. B. Gesundheitsdaten, biometrische Daten, Gewerkschaftszugehörigkeit).
  • Sie bewerten oder klassifizieren Personen– zum Beispiel durch Scoring oder Profiling.
  • Sie überwachen Menschen systematisch (z.B. durch eine flächendeckende Videoüberwachung oder anlasslose Kontrolle sämtlicher Logdateien).
  • Sie verarbeiten Daten in großem Umfang, etwa bei sehr vielen Betroffenen oder über einen langen Zeitraum.
  • Sie führen Datensätzen aus verschiedenen Zusammenhängen zusammen oder gleichen diese ab.
  • Sie verarbeiten Daten über Personen, zu denen ein größeres Macht-Ungewicht besteht (z.B. Arbeitnehmer, Patienten, Kinder).
  • Das eingesetzte System trifft automatisierte Entscheidungen ohne menschliche Kontrolle, z.B. über Einladungen für Bewerbungsgespräche oder die Vergabe von Krediten.
  • Sie setzen neue Technologien ein, deren Auswirkungen auf die Privatsphäre noch nicht vollständig absehbar sind – zum Beispiel KI-gestützte Systeme.
  • Personen werden an der Ausübung ihrer Datenschutzrechte gehindert.

Außerdem veröffentlichen die Datenschutz-Aufsichtsbehörden sogenannte „Blacklists“ mit Verarbeitungsarten, für die eine DSFA immer Pflicht ist. Die bayerische Aufsichtsbehörde zum Beispiel listet dort unter anderem den Einsatz biometrischer Daten zur eindeutigen Identifikation oder umfangreiche Videoüberwachung auf. Lohnt sich, einmal nachzuschauen.

Was gehört in eine DSFA?

Die DSGVO macht klare Vorgaben, was eine DSFA enthalten muss:

  • Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge – also: Was passiert mit welchen Daten, warum und wie?
  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit – ist die Verarbeitung wirklich erforderlich, um den angestrebten Zweck zu erreichen?
  • Eine Beurteilung der Risiken für die Rechte und Freiheiten der betroffenen Personen.
  • Die geplanten Maßnahmen zur Risikobehandlung – also konkrete technische und organisatorische Maßnahmen (TOMs), die das Risiko auf ein akzeptables Niveau senken.

Klingt nach viel? Ist es manchmal auch.

Aber: Die meisten Grundlagen haben Sie bereits in Ihrer Datenschutz-Dokumentation (z.B. bei uns in foxondo). Die DSFA baut darauf auf, sie verdichtet und bewertet das Vorhandene. Und erleichtert den Nachweis, dass man sich darüber Gedanken gemacht hat.

Wo finde ich das Thema DSFA in foxondo? Und wie kann ich das dort dokumentieren?

In jedem Prozess/jeder Verarbeitung finden Sie eine separate Frage zum Thema Datenschutz-Folgenabschätzung. Wenn Sie diese beantworten, wissen Sie, ob Sie eine DSFA machen müssen oder nicht.

Im Modul „Formulare & Checklisten“ finden Sie einen Fragen-Katalog zum Thema DSFA. Damit können Sie eine DSFA erstellen oder zumindest vorbereiten, sodass ein DSB nochmal drauf schauen kann.

Das Ergebnis der DSFA legen Sie dann am besten als Dokument in dem jeweiligen Prozess ab.

Bitte beachten Sie: Wenn sich die Verarbeitung wesentlich ändert, müssen Sie die DSFA überprüfen und aktualisieren. Das kann z.B. der Fall sein, wenn neue Technologien eingesetzt werden oder sich der Umfang der Verarbeitung deutlich erhöht.

Und wenn das Risiko trotzdem zu hoch bleibt?

Dann kann man die zuständige Datenschutz-Aufsichtsbehörde zu konsultieren. Das nennt sich „vorherige Konsultation“ (Art. 36 DSGVO) und kommt in der Praxis selten vor – aber es ist gut zu wissen, dass dieser Schritt erforderlich sein kann.

Sie sind unsicher, ob für einen Ihrer Prozesse eine DSFA erforderlich ist? Schauen Sie sich die Blacklist Ihrer zuständigen Aufsichtsbehörde an – und sprechen Sie im Zweifel mit Ihrem Datenschutzbeauftragten. Lieber einmal zu viel geprüft als einmal zu wenig dokumentiert.