Jetzt durchstarten und Studienplatz sichern! Infomaterial anfordern

Fachstudienberatung : +49 861 21171503   Kammerer Str. 72 · 83278 Traunstein

HomeBlogRechtDatenschutz-Folgenabschätzungen (DSFA) – rechtliche Grundlagen, Methoden und Praxisbeispiele

Datenschutz-Folgenabschätzungen (DSFA) – rechtliche Grundlagen, Methoden und Praxisbeispiele

1. Einleitung Die Digitalisierung bringt neue Chancen, aber auch neue Risiken für […]

13.09.2025
Recht
4 min read

1. Einleitung

Die Digitalisierung bringt neue Chancen, aber auch neue Risiken für den Schutz personenbezogener Daten mit sich. Immer dann, wenn neue Technologien, umfangreiche Datenverarbeitungen oder sensible Datenkategorien im Spiel sind, stellt sich die Frage: Welche Auswirkungen hat die Verarbeitung auf die Rechte und Freiheiten der betroffenen Personen?

Die Datenschutz-Folgenabschätzung (DSFA) ist ein zentrales Instrument der Datenschutz-Grundverordnung (DSGVO), um genau diese Risiken zu identifizieren, zu bewerten und geeignete Gegenmaßnahmen zu entwickeln. Sie fungiert als eine Art „Frühwarnsystem“, das Organisationen hilft, Risiken systematisch zu analysieren und gleichzeitig Rechenschaft über ihre Datenschutzmaßnahmen abzulegen.

Diese Fachseite zeigt die rechtlichen Grundlagen, beschreibt den Ablauf einer DSFA, stellt Methoden und Best Practices vor und gibt anhand von Praxisbeispielen konkrete Handlungsempfehlungen.

2. Rechtliche Grundlagen

2.1 Art. 35 DSGVO

Nach Art. 35 DSGVO ist eine DSFA erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Die Norm nennt Beispiele:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (z. B. Scoring, Profiling)
  • umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO)
  • systematische Überwachung öffentlich zugänglicher Bereiche

2.2 Pflicht zur Durchführung

Eine DSFA ist nicht optional, sondern zwingend durchzuführen, wenn die Voraussetzungen erfüllt sind. Unterbleibt sie, drohen erhebliche Bußgelder (bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes).

2.3 Rolle der Aufsichtsbehörden

Die Datenschutzaufsichtsbehörden veröffentlichen Positiv- und Negativlisten:

  • Positivlisten: Beispiele von Verarbeitungstätigkeiten, bei denen eine DSFA verpflichtend ist (z. B. Videoüberwachung in großem Umfang).
  • Negativlisten: Verarbeitungstätigkeiten, bei denen keine DSFA erforderlich ist.

3. Ablauf einer Datenschutz-Folgenabschätzung

3.1 Schritt 1: Beschreibung der Verarbeitung

  • Art der Daten (z. B. Gesundheitsdaten, Standortdaten, biometrische Daten)
  • Zweck der Verarbeitung
  • Kategorien betroffener Personen (z. B. Kund:innen, Mitarbeitende, Bürger:innen)
  • eingesetzte Systeme und Technologien

3.2 Schritt 2: Analyse der Notwendigkeit und Verhältnismäßigkeit

  • Ist die Verarbeitung für den angegebenen Zweck erforderlich?
  • Gibt es weniger eingriffsintensive Alternativen?
  • Sind Zweck und Mittel im Einklang mit Grundrechten?

3.3 Schritt 3: Risikoanalyse

  • Identifizierung möglicher Risiken für Betroffene (z. B. unbefugter Zugriff, Datenverlust, Diskriminierung durch Algorithmen)
  • Eintrittswahrscheinlichkeit und Schadensschwere bewerten

3.4 Schritt 4: Festlegung von Gegenmaßnahmen

  • Technische Maßnahmen: Verschlüsselung, Pseudonymisierung, Zugriffsbeschränkungen
  • Organisatorische Maßnahmen: Schulungen, Datenschutzrichtlinien, regelmäßige Audits

3.5 Schritt 5: Dokumentation und Überprüfung

Die DSFA muss dokumentiert und regelmäßig überprüft werden. Bei besonders hohen Restrisiken ist die Konsultation der Aufsichtsbehörde (Art. 36 DSGVO) erforderlich.

4. Methoden und Best Practices

4.1 Risikobasierter Ansatz

Die DSGVO schreibt keinen festen Ablauf vor, sondern verlangt eine risikobasierte Bewertung. Organisationen können daher unterschiedliche Methoden einsetzen, solange sie systematisch und nachvollziehbar sind.

4.2 Bewertungsmethoden

  • Qualitative Ansätze: Einschätzung nach Ampelsystemen oder Risikomatrizen
  • Quantitative Ansätze: Bewertung durch Eintrittswahrscheinlichkeiten und Schadenshöhen
  • Hybride Modelle: Kombination beider Verfahren

4.3 Checklisten und Tools

Aufsichtsbehörden und Institutionen stellen praxisnahe Hilfsmittel bereit, z. B.:

  • Vorlagen für DSFA-Dokumentationen
  • Online-Tools (z. B. vom französischen CNIL)
  • Risikokataloge zur Orientierung

4.4 Einbindung relevanter Akteure

Eine DSFA sollte interdisziplinär durchgeführt werden: Juristen, IT-Sicherheitsfachleute, Datenschutzbeauftragte und ggf. Vertreter der Fachabteilungen arbeiten zusammen.

5. Praxisbeispiele

5.1 Einführung einer Videoüberwachung in einer Kommune

Die Stadtverwaltung möchte öffentliche Plätze mit Kameras überwachen. Eine DSFA ist erforderlich, da:

  • eine systematische Überwachung stattfindet,
  • die Daten eine große Anzahl von Bürgern betreffen,
  • das Risiko von Fehlinterpretationen oder Missbrauch hoch ist.
    Ergebnis: Reduzierung der Speicherdauer, Einsatz von Verschlüsselung, klare Regelungen zur Auswertung.

5.2 Gesundheits-App in einem Krankenhaus

Eine Klinik plant eine App, die Patientendaten erfasst und Behandlungspläne bereitstellt. Hier liegen besonders sensible Daten vor (Art. 9 DSGVO).
Ergebnis: DSFA zwingend erforderlich. Maßnahmen: Pseudonymisierung, strenge Zugriffsrechte, regelmäßige Sicherheitsupdates.

5.3 Nutzung von KI im Personalwesen

Ein Unternehmen möchte Bewerbungen mit Hilfe einer KI vorselektieren. Risiken: Diskriminierung durch algorithmische Verzerrungen, mangelnde Transparenz.
Ergebnis: DSFA erforderlich, Maßnahmen: Transparenzberichte, menschliche Kontrollinstanz, Nachschulungen des Algorithmus.

6. Chancen und Risiken

6.1 Chancen

  • Frühzeitige Identifikation von Risiken
  • Stärkung des Vertrauens von Kund:innen und Mitarbeitenden
  • Vermeidung von Bußgeldern durch rechtssichere Prozesse
  • Beitrag zu „Privacy by Design“ und nachhaltiger Datenschutzkultur

6.2 Risiken

  • Bürokratischer Mehraufwand, insbesondere für kleine Unternehmen
  • Unsicherheit über den notwendigen Detaillierungsgrad
  • Risiko von Fehleinschätzungen, wenn DSFA nicht sorgfältig durchgeführt wird

7. Ausblick

Mit zunehmender Digitalisierung wird die Bedeutung der DSFA weiter steigen. Insbesondere bei Künstlicher Intelligenz, Big Data und Cloud-Services werden DSFA zu einem Standardinstrument der Risikoanalyse.
Auch die Aufsichtsbehörden werden künftig stärker kontrollieren, ob DSFA ordnungsgemäß durchgeführt werden. Unternehmen und Behörden sind daher gut beraten, interne Standards und Prozesse zu etablieren, um dieses Instrument regelmäßig und wirksam einzusetzen.

Die Datenschutz-Folgenabschätzung ist mehr als eine rechtliche Pflicht – sie ist ein strategisches Instrument für verantwortungsvolles Datenmanagement. Wer sie ernst nimmt, gewinnt nicht nur Rechtssicherheit, sondern auch das Vertrauen von Bürgerinnen, Kunden und Mitarbeitenden.

Das IfDD unterstützt Organisationen mit Schulungen, Vorlagen und individueller Beratung, um DSFA effizient, praxisnah und rechtssicher umzusetzen. Damit leisten wir einen Beitrag zu einer nachhaltigen Datenschutzkultur, die Innovation ermöglicht und zugleich die Grundrechte der Menschen schützt.

Als in Institutsform organisiertes Gremium liegen unsere Themenschwerpunkte in den Bereichen rund um das europäische sowie bundesdeutsche Datenschutzrecht und deren Bezüge zur Digitalisierung.

Rechtliches

Follow Us

© 2025 Institut für Datenschutzrecht in der Digitalisierung. Alle Rechte vorbehalten. Realisierung: Referat Presse- u. Öffentlichkeitsarbeit.

Infomaterial