DSFA kompakt: Praxisleitfaden zur Datenschutz-Folgenabschätzung für Verantwortliche

Datenschutz-Folgenabschätzung (DSFA): Ein praxisorientierter Leitfaden für 2025

Die Datenschutz-Folgenabschätzung (DSFA) ist ein zentrales Instrument der Datenschutz-Grundverordnung (DSGVO), um Risiken für die Rechte und Freiheiten natürlicher Personen proaktiv zu identifizieren und zu minimieren. Sie ist kein bürokratisches Hindernis, sondern ein wesentlicher Prozess des Risikomanagements für verantwortungsbewusste Unternehmen. Dieser Leitfaden bietet eine praxisorientierte Anleitung zur systematischen Durchführung einer DSFA, mit besonderem Fokus auf messbare Kennzahlen, prozessuale Integration und konkrete Handlungsschritte für Datenschutzbeauftragte, Compliance-Manager sowie Rechts- und IT-Verantwortliche.

Inhaltsverzeichnis

• Kurzüberblick
• Wann ist eine DSFA erforderlich? (rechtliche Schwellen und Indikatoren)
• Scope und Verantwortlichkeiten (Verantwortlicher, DSB, IT, Recht)
• Datenkartierung: Erfassung und Klassifizierung der Datenflüsse
• Konkrete Bewertungsmethode: Wahrscheinlichkeits‑×‑Schwere‑Modell und Schwellenwerte
• Praktische Risikokategorien und Zuordnungsregeln
• Minderungsmaßnahmen: Technisch-organisatorische Optionen mit Priorisierung
• Konkretes Vorgehen (operative Schrittfolge mit Zeitplan)
• Vorlage: DSFA-Gliederung (Beschreibung im Text)
• Protokollblatt und Meldeformular an Aufsichtsbehörde (Musterbeschreibung)
• Branchenspezifische Fallbeispiele
• Tools und Integration: Hinweise zu Softwareunterstützung und SAP-Berechtigungsbezug
• Review, Freigabe und Überwachungsrhythmen (Revisionsintervall)
• Entscheidungsflowchart: Durchführung versus Genehmigungspflicht
• Metriken für Erfolgskontrolle (KPIs und Reporting)
• Fehlerquellen und Haftungsrisiken (präventive Prüfungen)
• Anhang: Checkliste, Glossar, weiterführende Quellen

Kurzüberblick

Eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO ist ein Prozess zur Beschreibung, Bewertung und Minderung von Risiken einer Datenverarbeitung für betroffene Personen. Sie ist zwingend erforderlich, wenn eine neue Verarbeitungstechnologie voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Der Prozess umfasst die systematische Beschreibung der Verarbeitung, die Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit, die Risikoanalyse sowie die Festlegung von Abhilfemaßnahmen. Eine sorgfältig durchgeführte DSFA dient nicht nur der Compliance, sondern auch dem Nachweis der Rechenschaftspflicht (Accountability) des Verantwortlichen.

Wann ist eine DSFA erforderlich? (rechtliche Schwellen und Indikatoren)

Die Pflicht zur Durchführung einer DSFA besteht nicht für jede Datenverarbeitung. Sie wird ausgelöst, wenn ein voraussichtlich hohes Risiko für die Betroffenen besteht. Die Datenschutzkonferenz (DSK) und die europäischen Aufsichtsbehörden haben Kriterienkataloge und Listen veröffentlicht, die als Orientierung dienen.

Gesetzliche Grundlage und Indikatoren

Art. 35 Abs. 3 DSGVO nennt beispielhafte Fälle, bei denen eine DSFA stets erforderlich ist:

• Systematische und umfassende Bewertung persönlicher Aspekte, die auf automatisierter Verarbeitung einschließlich Profiling beruht und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung für die betroffene Person entfalten (z. B. automatisierte Kreditwürdigkeitsprüfung).
• Umfangreiche Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 Abs. 1 DSGVO (z. B. Gesundheitsdaten in einem Krankenhausinformationssystem) oder von Daten über strafrechtliche Verurteilungen.
• Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (z. B. Videoüberwachung von Plätzen oder Einkaufszentren).

Die Aufsichtsbehörden führen sogenannte “Muss-Listen” (z. B. die DSFA-Muss-Liste des LfD Niedersachsen), die spezifische Verarbeitungstätigkeiten benennen, für die eine DSFA obligatorisch ist. In der Regel gilt: Treffen zwei oder mehr Kriterien aus den Leitlinien der Artikel-29-Datenschutzgruppe (jetzt EDSA) zu, ist eine DSFA durchzuführen. Dazu gehören u.a. Scoring, automatisierte Entscheidungen, systematische Überwachung, Verarbeitung sensibler Daten oder die Verarbeitung von Daten schutzbedürftiger Personen.

Scope und Verantwortlichkeiten (Verantwortlicher, DSB, IT, Recht)

Eine erfolgreiche DSFA ist ein interdisziplinärer Prozess, der klare Rollen und Verantwortlichkeiten erfordert.

• Verantwortlicher (Unternehmen / Organisation): Trägt die Gesamtverantwortung für die Durchführung und das Ergebnis der DSFA. Er muss sicherstellen, dass die Ergebnisse umgesetzt und die Risiken auf ein akzeptables Maß reduziert werden. Die Geschäftsführung trifft die finale Entscheidung über die Einführung der Verarbeitung.
• Datenschutzbeauftragter (DSB): Berät den Verantwortlichen bei der Durchführung der DSFA. Er prüft die Methodik, die Risikobewertung und die vorgeschlagenen Maßnahmen. Seine Einschätzung muss dokumentiert werden. Der DSB überwacht die Einhaltung, führt die DSFA aber nicht selbst durch.
• IT-Abteilung / CISO: Liefert den technischen Input zur geplanten Verarbeitung, beschreibt die Systemarchitektur, Datenflüsse und die implementierten sowie möglichen technisch-organisatorischen Maßnahmen (TOMs).
• Rechtsabteilung / Compliance: Prüft die Rechtsgrundlagen der Verarbeitung, die Notwendigkeit, die Verhältnismäßigkeit und die Einhaltung weiterer rechtlicher Rahmenbedingungen (z.B. BFSG).

Datenkartierung: Erfassung und Klassifizierung der Datenflüsse

Grundlage jeder DSFA ist eine präzise Beschreibung der Verarbeitung. Ohne zu wissen, welche Daten wie, wo und warum fließen, ist eine Risikobewertung unmöglich. Die Datenkartierung (Data Mapping) sollte folgende Aspekte umfassen:

• Art der Daten: Welche Datenkategorien werden verarbeitet (z.B. Kontaktdaten, Finanzdaten, Gesundheitsdaten)?
• Umfang der Daten: Wie viele Personen sind betroffen? Wie groß ist das Datenvolumen?
• Zweck der Verarbeitung: Was soll mit den Daten erreicht werden?
• Lebenszyklus der Daten: Woher stammen die Daten (Quelle)? Wo werden sie gespeichert (Systeme, Serverstandorte)? Wer hat Zugriff (intern/extern)? An wen werden sie übermittelt (Empfänger)? Wie lange werden sie gespeichert (Löschfristen)?
• Technologie: Welche Hard- und Software kommt zum Einsatz?

Die Klassifizierung der Daten (z. B. öffentlich, intern, vertraulich, streng vertraulich) hilft bei der späteren Risikobewertung.

Konkrete Bewertungsmethode: Wahrscheinlichkeits‑×‑Schwere‑Modell und Schwellenwerte

Eine etablierte Methode zur Risikobewertung ist das Modell, das die Eintrittswahrscheinlichkeit eines Schadens mit der potenziellen Schwere des Schadens für die betroffene Person multipliziert.

Risiko = Eintrittswahrscheinlichkeit × Schwere des Schadens

Die Skalen können wie folgt definiert werden:

Stufe	Eintrittswahrscheinlichkeit	Schwere des Schadens
1 (Niedrig)	Sehr unwahrscheinlich	Geringfügige Beeinträchtigung (z.B. Ärger, Zeitverlust)
2 (Mittel)	Möglich	Erhebliche Beeinträchtigung (z.B. finanzielle Nachteile, Diskriminierung)
3 (Hoch)	Wahrscheinlich	Sehr schwerwiegende Beeinträchtigung (z.B. Identitätsdiebstahl, Existenzgefährdung)

Ein hohes Risiko liegt vor, wenn das Produkt aus Wahrscheinlichkeit und Schwere einen definierten Schwellenwert überschreitet (z.B. ein Ergebnis von 4 oder mehr auf einer 3×3-Matrix). Diese Bewertung muss für jedes identifizierte Risiko (z.B. unbefugter Zugriff, Datenverlust) separat erfolgen.

Praktische Risikokategorien und Zuordnungsregeln

Die abstrakten “Risiken für Rechte und Freiheiten” müssen in konkrete Schadensszenarien übersetzt werden. Typische Risikokategorien sind:

• Verlust der Vertraulichkeit: Unbefugter Zugriff auf oder Offenlegung von Daten.
• Verlust der Integrität: Unbemerkte Veränderung oder Verfälschung von Daten.
• Verlust der Verfügbarkeit: Daten sind nicht zugänglich, wenn sie benötigt werden.
• Diskriminierung und Stigmatisierung: Benachteiligung aufgrund von Profiling oder sensiblen Daten.
• Identitätsdiebstahl oder Betrug: Missbrauch von Daten zur Schädigung der Person.
• Finanzieller Schaden: Direkter oder indirekter finanzieller Verlust.
• Verlust der Kontrolle über die eigenen Daten: Betroffene können ihre Rechte nicht mehr wirksam ausüben.

Minderungsmaßnahmen: Technisch-organisatorische Optionen mit Priorisierung

Ziel der DSFA ist es, identifizierte hohe Risiken durch geeignete Maßnahmen zu reduzieren. Diese Maßnahmen müssen dokumentiert und ihre Wirksamkeit bewertet werden.

Typen von Maßnahmen

• Technische Maßnahmen (Beispiele): Pseudonymisierung, Verschlüsselung (at-rest und in-transit), Zugriffskontrollsysteme (z.B. Need-to-know-Prinzip), Zwei-Faktor-Authentifizierung, Logging und Monitoring.
• Organisatorische Maßnahmen (Beispiele): Erlass von Datenschutzrichtlinien, Schulung von Mitarbeitern, klare Definition von Rollen und Verantwortlichkeiten, Abschluss von Auftragsverarbeitungsverträgen (AVV), Regelungen für den Umgang mit Datenschutzvorfällen.

Die Priorisierung erfolgt anhand der Risikobewertung: Risiken mit der höchsten Bewertung (hohe Wahrscheinlichkeit und hohe Schwere) müssen zuerst adressiert werden. Nach Anwendung der Maßnahmen wird das Restrisiko neu bewertet.

Konkretes Vorgehen (operative Schrittfolge mit Zeitplan)

Eine Datenschutz-Folgenabschätzung sollte einem strukturierten Projektablauf folgen:

1. Phase 1: Vorbereitung (Woche 1)
   • Feststellung der Notwendigkeit einer DSFA.
   • Zusammenstellung des interdisziplinären Teams.
   • Definition des Scopes und der Systemgrenzen.
2. Phase 2: Beschreibung & Analyse (Woche 2-3)
   • Systematische Beschreibung der Verarbeitung (Datenkartierung).
   • Prüfung von Notwendigkeit und Verhältnismäßigkeit.
   • Einholung des Rats des DSB.
3. Phase 3: Risikobewertung (Woche 4)
   • Identifikation der Risiken für Betroffene.
   • Bewertung der Risiken (Wahrscheinlichkeit × Schwere).
4. Phase 4: Maßnahmen & Restrisiko (Woche 5-6)
   • Identifikation und Planung von Abhilfemaßnahmen.
   • Bewertung des Restrisikos nach Umsetzung der Maßnahmen.
5. Phase 5: Dokumentation & Freigabe (Woche 7)
   • Erstellung des DSFA-Berichts inkl. Votum des DSB.
   • Entscheidung durch den Verantwortlichen.
   • Ggf. Konsultation der Aufsichtsbehörde bei hohem Restrisiko.
6. Phase 6: Umsetzung & Überwachung (laufend ab Woche 8)
   • Implementierung der beschlossenen Maßnahmen.
   • Festlegung von Revisionsintervallen.

Vorlage: DSFA-Gliederung (Beschreibung im Text)

Ein vollständiger DSFA-Bericht sollte mindestens die folgenden Abschnitte enthalten, wie sie auch im Kurzpapier Nr. 5 der DSK beschrieben sind:

• Zusammenfassung (Management Summary): Kurze Übersicht über Ergebnis und Entscheidung.
• Anlass und Beschreibung der Verarbeitungstätigkeit: Warum wird die DSFA durchgeführt? Detaillierte Beschreibung des Vorhabens (Datenkategorien, Zwecke, Rechtsgrundlagen, Datenflüsse, Speicherfristen, Empfänger).
• Bewertung der Notwendigkeit und Verhältnismäßigkeit: Begründung, warum die Verarbeitung zur Erreichung des Zwecks erforderlich und angemessen ist.
• Rechenschaftslegung und Betroffenenrechte: Wie werden die Grundsätze aus Art. 5 DSGVO und die Rechte der Betroffenen (Auskunft, Löschung etc.) gewährleistet?
• Risikoanalyse: Detaillierte Darstellung der identifizierten Risiken, ihrer Quelle, ihrer Eintrittswahrscheinlichkeit und Schwere.
• Geplante Abhilfemaßnahmen: Konkrete Beschreibung der geplanten TOMs zur Risikominderung.
• Bewertung des Restrisikos: Analyse und Bewertung der verbleibenden Risiken nach Umsetzung der Maßnahmen.
• Stellungnahme des Datenschutzbeauftragten: Dokumentierter Rat des DSB.
• Ergebnis und Freigabe: Finale Entscheidung des Verantwortlichen und Begründung.

Protokollblatt und Meldeformular an Aufsichtsbehörde (Musterbeschreibung)

Jeder Schritt der DSFA sollte auf einem Protokollblatt dokumentiert werden, das den Prozess nachvollziehbar macht. Verbleibt nach der Bewertung ein hohes Restrisiko, ist der Verantwortliche gemäß Art. 36 DSGVO verpflichtet, die zuständige Aufsichtsbehörde vor Beginn der Verarbeitung zu konsultieren. Die Meldung erfolgt über standardisierte Formulare der jeweiligen Landesdatenschutzbehörde (z.B. beim LDA Bayern) und muss mindestens die Inhalte des DSFA-Berichts sowie die Gründe für das hohe Restrisiko umfassen. Die Behörde kann die Verarbeitung daraufhin untersagen oder Auflagen erteilen.

Branchenspezifische Fallbeispiele

• Gesundheitswesen: Einführung einer neuen elektronischen Patientenakte (ePA), die Gesundheitsdaten umfangreich vernetzt und für Forschungszwecke zugänglich macht. Hohes Risiko aufgrund sensibler Daten (Art. 9 DSGVO).
• Personalwesen: Implementierung eines KI-gestützten Bewerbermanagementsystems, das Bewerberprofile automatisiert analysiert und vor sortiert (Profiling). Hohes Risiko durch automatisierte Einzelentscheidung.
• Videoüberwachung: Installation einer intelligenten Videoüberwachung mit Gesichtserkennung in einem Einzelhandelsgeschäft zur Diebstahlprävention und Kundenanalyse. Hohes Risiko durch systematische Überwachung.
• Marketing-Profiling: Zusammenführung von Kundendaten aus CRM, Online-Shop und Social Media zu einem 360-Grad-Kundenprofil für personalisierte Werbung. Hohes Risiko bei umfangreicher und detaillierter Profilbildung.

Tools und Integration: Hinweise zu Softwareunterstützung und SAP-Berechtigungsbezug

Für die Durchführung einer DSFA können spezialisierte Softwarelösungen hilfreich sein. Sie bieten strukturierte Erfassungsmasken, Risikokataloge und Workflow-Unterstützung. Ein bekanntes Open-Source-Beispiel ist die Software der französischen Aufsichtsbehörde CNIL.

Integration in bestehende Landschaften

Eine DSFA darf kein isolierter Prozess sein. Sie muss in bestehende Governance-, Risk- und Compliance-Strukturen integriert werden.

• SAP-Systeme: Bei der Verarbeitung personenbezogener Daten in SAP (z. B. SAP HCM, S/4HANA) muss die DSFA das komplexe SAP-Berechtigungskonzept als zentrale Minderungsmaßnahme berücksichtigen. Die Analyse muss sicherstellen, dass Zugriffe nach dem Need-to-know-Prinzip streng reglementiert sind und kritische Berechtigungen protokolliert werden.
• Kontext Barrierefreiheitsstärkungsgesetz (BFSG): Ab 2025 müssen viele digitale Produkte und Dienstleistungen barrierefrei sein. Werden hierfür Daten über die Beeinträchtigungen von Nutzern verarbeitet (z. B. zur Anpassung der Benutzeroberfläche), handelt es sich um Gesundheitsdaten nach Art. 9 DSGVO. Eine solche Verarbeitung erfordert zwingend eine Datenschutz-Folgenabschätzung.

Review, Freigabe und Überwachungsrhythmen (Revisionsintervall)

Eine DSFA ist kein einmaliges Projekt. Sie ist ein lebendes Dokument. Der Verantwortliche muss den Prozess regelmäßig überprüfen und bei Bedarf aktualisieren. Ein Revisionsintervall von ein bis drei Jahren ist je nach Risiko empfehlenswert. Eine erneute Durchführung ist zwingend erforderlich, wenn sich das Risiko der Verarbeitung ändert, z.B. durch:

• Änderung des Verarbeitungszwecks.
• Einführung neuer Technologien.
• Änderung der Systemarchitektur oder der Datenflüsse.

Der Freigabeprozess muss klar definiert sein und die finale Entscheidung der Geschäftsführung dokumentieren.

Entscheidungsflowchart: Durchführung versus Genehmigungspflicht

Der Entscheidungsprozess lässt sich wie folgt skizzieren:

1. Prüfung: Handelt es sich um eine Verarbeitung, die ein voraussichtlich hohes Risiko für Betroffene darstellt (z.B. anhand der Muss-Listen oder Kriterien der DSK)?
2. -> Nein: Keine DSFA erforderlich. Dokumentation der Entscheidung im Verzeichnis von Verarbeitungstätigkeiten (VVT).
3. -> Ja: Durchführung einer vollständigen DSFA.
4. Prüfung nach DSFA: Verbleibt nach Anwendung aller geplanten Abhilfemaßnahmen ein hohes Restrisiko?
5. -> Nein: Verarbeitung kann nach Freigabe durch den Verantwortlichen begonnen werden.
6. -> Ja: Konsultation der zuständigen Aufsichtsbehörde vor Beginn der Verarbeitung ist zwingend erforderlich (Art. 36 DSGVO). Die Verarbeitung darf erst nach Genehmigung oder Ablauf der Prüffrist ohne Einwand erfolgen.

Metriken für Erfolgskontrolle (KPIs und Reporting)

Um den DSFA-Prozess steuerbar und messbar zu machen, sollten ab 2025 Key Performance Indicators (KPIs) etabliert werden:

• Anzahl durchgeführter DSFAs pro Geschäftsfeld/Jahr: Misst die proaktive Auseinandersetzung mit Risiken.
• Durchschnittliche Bearbeitungszeit einer DSFA: Indikator für die Prozesseffizienz.
• Risk Reduction Rate: Prozentsatz der Risiken, die durch Maßnahmen von “hoch” auf “mittel” oder “niedrig” reduziert wurden.
• Anzahl der Konsultationen der Aufsichtsbehörde: Ein hoher Wert kann auf systemische Probleme im Risikomanagement hindeuten.
• Umsetzungsgrad der Maßnahmen: Prozentualer Anteil der geplanten Maßnahmen, die innerhalb des Zeitplans umgesetzt wurden.

Diese KPIs sollten in regelmäßigen Datenschutz- oder Compliance-Berichten an die Geschäftsführung gemeldet werden.

Fehlerquellen und Haftungsrisiken (präventive Prüfungen)

Fehler bei der DSFA können zu Bußgeldern von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes führen. Typische Fehler sind:

• Nichtdurchführung: Eine DSFA wird trotz Pflicht nicht durchgeführt.
• Unvollständigkeit: Der Bericht ist oberflächlich, Risiken werden nicht tiefgehend analysiert.
• Fehlende Einbindung des DSB: Der Rat des DSB wird nicht oder zu spät eingeholt.
• Ignorieren des Ergebnisses: Die identifizierten Maßnahmen werden nicht umgesetzt.
• Fehlende Konsultation: Die Aufsichtsbehörde wird bei hohem Restrisiko nicht kontaktiert.

Präventive Prüfungen durch interne oder externe Auditoren können helfen, diese Fehler zu vermeiden und die Qualität des DSFA-Prozesses zu sichern.

Anhang: Checkliste, Glossar, weiterführende Quellen

Checkliste zur DSFA

• [ ] Notwendigkeit der DSFA geprüft?
• [ ] Verantwortliches Team definiert?
• [ ] Verarbeitung systematisch beschrieben (Daten, Zwecke, Flüsse)?
• [ ] Notwendigkeit und Verhältnismäßigkeit bewertet?
• [ ] Rat des DSB eingeholt und dokumentiert?
• [ ] Risiken für Betroffene identifiziert und bewertet?
• [ ] Abhilfemaßnahmen geplant und bewertet?
• [ ] Restrisiko analysiert und dokumentiert?
• [ ] DSFA-Bericht vollständig erstellt?
• [ ] Entscheidung des Verantwortlichen dokumentiert?
• [ ] Ggf. Konsultation der Aufsichtsbehörde eingeleitet?
• [ ] Überprüfungszyklus festgelegt?

Glossar

• Verantwortlicher: Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
• Hohes Risiko: Eine hohe Wahrscheinlichkeit für das Eintreten eines Schadens für die Rechte und Freiheiten natürlicher Personen, der von erheblichem Ausmaß ist.
• Technisch-organisatorische Maßnahmen (TOMs): Konkrete technische (z.B. Verschlüsselung) und organisatorische (z.B. Richtlinien) Maßnahmen zum Schutz personenbezogener Daten.

Weiterführende Quellen

• • DSK Kurzpapier Nr. 5: Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
  • DSK Kurzpapier Nr. 18: Risiko für die Rechte und Freiheiten natürlicher Personen
  • Article 29 WP 248: Guidelines on Data Protection Impact Assessment (DPIA)

Thematisch passende Beiträge

• Sicherer Umgang mit Patientendaten: Praxisleitfaden von MUNAS Consulting
• DSGVO und Gesundheitsdaten: Regeln, DSFA und Praxischeck
• Bonitätsprüfung und Datenschutz: Praxisleitfaden für Verantwortliche
• Patientendaten-Sicherheit: Praktischer Leitfaden für Gesundheitsdaten
• Bonitätsprüfung und DSGVO: Leitfaden für Händler