Datenschutz-Folgenabschätzung (DSFA)

Eine Datenschutz-Folgenabschätzung im Sinne des Art. 35 DSGVO ist ein strukturiertes, dokumentiertes Verfahren zur Vorab-Bewertung der Risiken einer geplanten Verarbeitung personenbezogener Daten – und zur Festlegung von Maßnahmen zu deren Bewältigung. Sie ist verpflichtend, wenn die geplante Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Die DSFA ist Teil der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO): Sie ist nicht nur durchzuführen, sondern auch zu dokumentieren. Sie ist vor Beginn der Verarbeitung durchzuführen und bei wesentlichen Änderungen zu aktualisieren. Maßgebliche Beteiligung des Datenschutzbeauftragten ist Pflicht (Art. 35 Abs. 2 DSGVO); Ansichten der betroffenen Personen oder ihrer Vertreter sollen, soweit angemessen, eingeholt werden (Art. 35 Abs. 9 DSGVO).

Die DSFA ersetzt keine Rechtsgrundlage – sie ist ein zusätzliches Verfahren zur Risikokontrolle. Eine Verarbeitung, für die eine DSFA durchgeführt wurde, ist nicht automatisch zulässig.

Die Schwellwertprüfung beantwortet die Frage, ob im konkreten Fall eine DSFA durchzuführen ist. Sie selbst ist bereits dokumentationspflichtig – unabhängig vom Ergebnis. Die Prüfung erfolgt in vier Schritten:

Schritt 1 – Regelfälle des Art. 35 Abs. 3 DSGVO

Art. 35 Abs. 3 DSGVO listet drei Konstellationen auf, bei denen die DSFA in jedem Fall erforderlich ist:

1. Systematische und umfassende Bewertung persönlicher Aspekte Einschließlich Profiling und darauf beruhender automatisierter Entscheidungen mit Rechtswirkung oder ähnlich erheblicher Beeinträchtigung. Art. 35 Abs. 3 lit. a DSGVO
2. Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten Art. 9 DSGVO (Gesundheit, biometrische Daten, religiöse Überzeugung u. a.) oder strafrechtlich relevanter Daten (Art. 10 DSGVO). Art. 35 Abs. 3 lit. b DSGVO
3. Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche Z. B. großflächige Videoüberwachung, kontinuierliche Bewegungsanalyse auf Campus-Arealen. Art. 35 Abs. 3 lit. c DSGVO

Schritt 2 – Neun Kriterien der Art.-29-Datenschutzgruppe

Die Leitlinien WP 248 rev.01 der früheren Art.-29-Datenschutzgruppe – heute übernommen vom Europäischen Datenschutzausschuss (EDSA) und durch die DSK in deutsches Aufsichtsverständnis überführt – nennen neun Kriterien für ein hohes Risiko. Erfüllt eine Verarbeitung zwei oder mehr der Kriterien, ist regelmäßig von einem hohen Risiko auszugehen:

• Bewertung oder Einstufung (Profiling, Scoring)
• Automatisierte Entscheidungsfindung mit Rechtsfolge
• Systematische Überwachung
• Besondere Kategorien oder hochsensible Daten
• Umfangreiche Verarbeitung
• Abgleich oder Zusammenführung von Datensätzen
• Daten schutzbedürftiger Betroffener (Kinder, Beschäftigte, Patienten)
• Innovative Nutzung oder neue Technologien
• Zugangsausschluss oder Leistungsverweigerung

Schritt 3 – Muss-Liste der Aufsichtsbehörde

Nach Art. 35 Abs. 4 DSGVO erstellen die Aufsichtsbehörden eine Liste der Verarbeitungen, für die eine DSFA verpflichtend ist. Für öffentliche Stellen ist die Muss-Liste der jeweils zuständigen Landesaufsichtsbehörde maßgeblich (in Sachsen-Anhalt die Landesbeauftragte für den Datenschutz Sachsen-Anhalt). Sie ist auf der Behördenwebseite veröffentlicht und wird regelmäßig aktualisiert. Ergänzend hat die Datenschutzkonferenz (DSK) eine gemeinsame Muss-Liste verabschiedet, an der sich die Landesbehörden – einschließlich des LfD LSA – orientieren; sie deckt allerdings primär den nicht-öffentlichen Bereich ab.

Schritt 4 – Eigenständige Risikobewertung

Auch wenn keiner der genannten Auslöser greift, ist im Einzelfall zu prüfen, ob aus den konkreten Umständen ein hohes Risiko folgt. Maßstab sind insbesondere die Erwägungsgründe 75, 76 und 91 DSGVO. Die Bewertung sollte methodisch nach SDM v3.1a oder BSI-Standard 200-3 erfolgen.

Wird eine DSFA durchgeführt, schreibt Art. 35 Abs. 7 DSGVO vier Pflichtinhalte vor, die jede DSFA mindestens enthalten muss:

1. Systematische Beschreibung der geplanten Verarbeitung und ihrer Zwecke Einschließlich des berechtigten Interesses, sofern Art. 6 Abs. 1 lit. f DSGVO einschlägig ist. Für die Verarbeitung durch Behörden in Erfüllung ihrer Aufgaben ist lit. f nach Art. 6 Abs. 1 UAbs. 2 DSGVO ausdrücklich nicht anwendbar. Art. 35 Abs. 7 lit. a DSGVO
2. Bewertung der Notwendigkeit und Verhältnismäßigkeit Erforderlichkeit für die Zweckerreichung; Prüfung milderer Mittel; Verhältnismäßigkeit im engeren Sinn (Eingriffstiefe vs. Nutzen). Art. 35 Abs. 7 lit. b DSGVO
3. Bewertung der Risiken für die Rechte der Betroffenen Strukturiert nach Eintrittswahrscheinlichkeit und Schwere möglicher Schäden. Maßstab in Deutschland: SDM v3.1a mit den sieben Schutzzielen. Art. 35 Abs. 7 lit. c DSGVO
4. Maßnahmen zur Bewältigung der Risiken Geplante Garantien, Sicherheitsvorkehrungen und Verfahren zum Schutz personenbezogener Daten und zum Nachweis der Einhaltung der DSGVO. Bezug zu den TOMs nach Art. 32 DSGVO. Art. 35 Abs. 7 lit. d DSGVO

Aus diesen vier Pflichtinhalten folgt eine vierschrittige Methodik: Beschreiben → Bewerten (Notwendigkeit) → Bewerten (Risiko) → Behandeln. Die ersten drei Schritte sind Analyseschritte; der vierte ist Gestaltungsschritt.

Das Standard-Datenschutzmodell (SDM) v3.1a der DSK ist die in Deutschland anerkannte Methodik für die Risikobewertung innerhalb einer DSFA. Es strukturiert die Prüfung entlang der sieben Schutzziele: Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit und Nichtverkettung.

Pro Schutzziel werden drei Schritte durchlaufen:

1. Anforderungsbestimmung: Welche konkreten Anforderungen ergeben sich aus dem Schutzziel für die geplante Verarbeitung?
2. Lückenanalyse: Welche Lücken bestehen zwischen Anforderung und Ist-Zustand?
3. Maßnahmenwahl: Welche TOMs schließen die Lücke risikoadäquat?

Ergänzend kann die quantitative Risikoanalyse nach BSI-Standard 200-3 herangezogen werden – insbesondere bei IT-nahen Verarbeitungen. An der Schnittstelle zur Informationssicherheit ist eine integrierte Bewertung effizient: Die Risikoanalyse aus dem ISMS und die DSFA sollten dieselbe methodische Basis nutzen.

Die zweidimensionale Bewertung – Eintrittswahrscheinlichkeit der konkreten Schadensfolge und Schwere ihrer Auswirkungen für die betroffenen Personen – wird typischerweise in einer Matrix visualisiert. Daraus folgen drei Risikoklassen, an die die DSGVO unterschiedliche Rechtsfolgen knüpft:

Die Skala ist beispielhaft – die Aufsichtsbehörde verlangt kein bestimmtes Modell, wohl aber Nachvollziehbarkeit und Konsistenz. Maßgeblich ist, dass das gewählte Bewertungsraster im Verarbeitungsverzeichnis transparent dokumentiert wird und über mehrere DSFAs hinweg einheitlich verwendet wird. Bei einem hohen Restrisiko nach Anwendung aller geplanten Maßnahmen ist die Aufsichtsbehörde vorab zu konsultieren (Art. 36 DSGVO).

Ergibt die DSFA, dass die Verarbeitung trotz der vorgesehenen Maßnahmen ein hohes Restrisiko bewirken würde, hat der Verantwortliche vor Beginn der Verarbeitung die zuständige Aufsichtsbehörde zu konsultieren (Art. 36 Abs. 1 DSGVO). Für öffentliche Stellen ist das die jeweils zuständige Landesaufsichtsbehörde (in Sachsen-Anhalt die Landesbeauftragte für den Datenschutz Sachsen-Anhalt).

Die Konsultation muss nach Art. 36 Abs. 3 DSGVO insbesondere folgende Informationen umfassen:

• gegebenenfalls die jeweilige Verantwortlichkeit von Verantwortlichem, gemeinsam Verantwortlichen und Auftragsverarbeitern,
• die Zwecke und Mittel der beabsichtigten Verarbeitung,
• die zum Schutz der Rechte und Freiheiten der betroffenen Personen vorgesehenen Maßnahmen und Garantien,
• gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten,
• die Datenschutz-Folgenabschätzung selbst sowie
• alle sonstigen Informationen, die die Aufsichtsbehörde anfordert.

Die Aufsichtsbehörde kann innerhalb von bis zu acht Wochen schriftliche Empfehlungen erteilen und ihre Befugnisse aus Art. 58 DSGVO ausüben – einschließlich einer vorübergehenden oder endgültigen Untersagung der Verarbeitung (Art. 36 Abs. 2 i. V. m. Art. 58 Abs. 2 lit. f DSGVO).

Das folgende Prüfraster fasst die drei Regelfälle des Art. 35 Abs. 3 DSGVO, die neun Kriterien der Art.-29-Datenschutzgruppe (WP 248 rev.01) und die typischen Fälle der Muss-Listen der Aufsichtsbehörden zusammen. Es kann zur strukturierten Dokumentation der Schwellwertprüfung im Sinne von Art. 5 Abs. 2 DSGVO genutzt werden.

Methodische Originalquellen

• DSGVO – Art. 35, 36 (eur-lex)
• Standard-Datenschutzmodell (SDM) – Version 3.1 (DSK 14.05.2024), aktuell als redaktionelle Fassung v3.1a
• LfD LSA – Liste DSFA-pflichtiger Verarbeitungen (Muss-Liste, öffentlicher Bereich)
• Art.-29-Datenschutzgruppe – WP 248 rev.01 (DSFA-Leitlinien)

Sieben Punkte, die in DSFA-Prüfungen häufig zu Diskussionen mit der Aufsichtsbehörde führen:

1. Schwellwertprüfung wird übersprungen: Eine Entscheidung gegen die DSFA ohne dokumentierte Prüfung dürfte mit der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht vereinbar sein. Es wird empfohlen, das Ergebnis der Schwellwertprüfung in jedem Fall schriftlich festzuhalten.
2. DSFA als Formalpapier: Wird die DSFA erst nach Inbetriebnahme der Verarbeitung erstellt, verfehlt sie ihren Zweck als Vorab-Verfahren. Empfohlen wird die Erstellung vor Verarbeitungsbeginn.
3. Fehlende Beteiligung der/des Datenschutzbeauftragten: Eine DSFA ohne Einbindung der oder des Datenschutzbeauftragten dürfte den Anforderungen des Art. 35 Abs. 2 DSGVO nicht gerecht werden. Es wird empfohlen, die fachliche Stellungnahme schriftlich zu dokumentieren.
4. Standardisierte Risikobewertung ohne Bezug zum Einzelfall: Pauschale Aussagen wie „mittleres Risiko" ohne Bezug zu den spezifischen Umständen entsprechen der DSFA-Methodik häufig nicht. Empfohlen wird eine strukturierte Bewertung nach SDM v3.1a.
5. Maßnahmen ohne Wirksamkeitsnachweis: Reine Auflistungen von Risikobewältigungsmaßnahmen ohne periodische Überprüfung dürften die Anforderungen des Art. 32 Abs. 1 lit. d DSGVO nicht erfüllen. Empfohlen wird eine regelmäßige Wirksamkeitskontrolle.
6. Vorherige Konsultation übergangen: Wird trotz hohem Restrisiko die Verarbeitung gestartet, ohne die Aufsichtsbehörde nach Art. 36 DSGVO zu konsultieren, dürfte dies einen eigenständigen Pflichtverstoß auslösen.
7. Keine Aktualisierung: Verbleibt die DSFA dauerhaft in der Erstfassung, obwohl sich Verarbeitung, Technik oder Rechtslage geändert haben, verliert sie ihren praktischen Nutzen. Empfohlen wird eine periodische Wiederaufnahme.

Rechtsquellen

• Verordnung (EU) 2016/679 (DSGVO) – insb. Art. 25 (Datenschutz durch Technikgestaltung); Art. 35 (Datenschutz-Folgenabschätzung); Art. 36 (Vorherige Konsultation).

Rechtsprechung

• EuGH, Urteil v. 26.01.2023 – C-205/21 (V.S.) – Verhältnismäßigkeit bei eingriffsintensiver Verarbeitung; Maßstab für Erforderlichkeit und Risikoanalyse.

Aufsichtspraxis und Mustervorlagen

• Art.-29-Datenschutzgruppe, WP 248 rev.01 – Leitlinien zur Datenschutz-Folgenabschätzung – methodische Kriterien, ab wann eine DSFA erforderlich ist.
• DSK, Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DSGVO – Muss-Liste (PDF, Version 1.1) – Positivliste DSFA-pflichtiger Verarbeitungen für den nicht-öffentlichen Bereich; für den öffentlichen Bereich gilt vorrangig die LfD-LSA-Liste.
• DSK, Standard-Datenschutzmodell (SDM) v3.1a – methodisches Rahmenwerk zur Risikoanalyse und DSFA-Strukturierung.
• LfD Sachsen-Anhalt, Orientierungshilfen und Hinweisdokumente – aufsichtsbehördliche Praxis im Land Sachsen-Anhalt.

Querverweise auf eigene Themenseiten

• Technisch-organisatorische Maßnahmen (TOMs) – Risikominderungsmaßnahmen als Ergebnis der DSFA.
• Datenpannen und Meldepflicht – Risikobewertung in der DSFA und im Schadensfall.
• KI-Governance – DSFA-Pflicht bei eingriffsintensiven KI-Systemen.
• Generative KI in Standard-Software (Schatten-KI) – DSFA-Bedarf bei nachträglich aktivierten KI-Features.