Startseite › DSFA Vorlage

DSFA Vorlage — Datenschutz-Folgenabschätzung nach Art. 35 DSGVO

Pflichtinhalte, Ablauf und Praxisbeispiele für Ihre Datenschutz-Folgenabschätzung. Kostenloser Leitfaden für Datenschutzbeauftragte, Arztpraxen und KMU.

Was ist eine DSFA?

Die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist eine strukturierte Risikoanalyse, die vor der Einführung besonders risikoreicher Datenverarbeitungen durchgeführt werden muss. Sie bewertet systematisch, welche Auswirkungen eine geplante Verarbeitung auf die Rechte und Freiheiten betroffener Personen hat, und definiert Schutzmaßnahmen zur Risikominimierung.

Die DSFA ist kein einmaliges Dokument, sondern ein fortlaufender Prozess: Bei wesentlichen Änderungen an der Verarbeitung muss sie aktualisiert werden. Aufsichtsbehörden sehen die DSFA als zentralen Nachweis dafür, dass Risiken erkannt und adressiert wurden.

Wann ist eine DSFA Pflicht?

Art. 35 Abs. 1 DSGVO verlangt eine DSFA, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Die DSGVO nennt drei Regelbeispiele:

  1. Systematische Bewertung — automatisierte Verarbeitung einschließlich Profiling, auf deren Grundlage Entscheidungen mit rechtlicher Wirkung getroffen werden
  2. Umfangreiche Verarbeitung besonderer Kategorien — z. B. Gesundheitsdaten, biometrische Daten, strafrechtliche Verurteilungen
  3. Systematische Überwachung — umfangreiche Videoüberwachung öffentlich zugänglicher Bereiche

Zusätzlich veröffentlicht jede Aufsichtsbehörde eine Blacklist (Positivliste) nach Art. 35 Abs. 4 DSGVO. Steht eine Verarbeitung auf dieser Liste, ist die DSFA zwingend erforderlich. Die DSK-Liste enthält u. a.: Scoring, umfangreiche Profilerstellung, KI-gestützte Entscheidungssysteme und den Einsatz biometrischer Verfahren zur Identifikation.

Pflichtinhalte einer DSFA

Art. 35 Abs. 7 DSGVO schreibt vier Mindestinhalte vor:

#PflichtinhaltBeschreibung
1Systematische Beschreibung der VerarbeitungZweck, Rechtsgrundlage, Art der Daten, Betroffene, Empfänger, Speicherdauer
2Notwendigkeit und VerhältnismäßigkeitWarum ist die Verarbeitung erforderlich? Gibt es mildere Mittel?
3RisikobewertungEintrittswahrscheinlichkeit und Schwere der Risiken für Betroffene
4AbhilfemaßnahmenTechnische und organisatorische Maßnahmen zur Risikominderung

Ablauf einer DSFA in 4 Schritten

  1. Schwellwertanalyse (Vorprüfung) — Prüfen Sie anhand der Blacklist und der Kriterien in Art. 35 Abs. 3, ob eine DSFA erforderlich ist. Dokumentieren Sie das Ergebnis in jedem Fall.
  2. Beschreibung der Verarbeitung — Erfassen Sie systematisch Zweck, Rechtsgrundlage, Datenflüsse, beteiligte Systeme und Empfänger. Visualisieren Sie den Datenfluss, wenn möglich.
  3. Risikobewertung — Identifizieren Sie Risiken für Betroffene (z. B. Diskriminierung, Identitätsdiebstahl, finanzielle Schäden) und bewerten Sie Eintrittswahrscheinlichkeit und Schwere auf einer Skala.
  4. Maßnahmen und Ergebnis — Definieren Sie Abhilfemaßnahmen (Verschlüsselung, Pseudonymisierung, Zugriffskonzepte), bewerten Sie das Restrisiko und dokumentieren Sie die Freigabeentscheidung.

Bleibt das Restrisiko nach allen Maßnahmen hoch, muss vor Beginn der Verarbeitung die Aufsichtsbehörde konsultiert werden (Art. 36 DSGVO).

Typische DSFA-Fälle

DSFA mit Word vs. DSFA-Software

KriteriumWord / ExcelCustodio
EinstiegKostenlosAb 49 EUR/Monat
VorlagenManuell erstellen oder aus dem InternetBranchenspezifische DSFA-Vorlagen vorbefüllt
SchwellwertanalyseManuelle ChecklisteGeführter Assistent mit Blacklist-Abgleich
RisikobewertungFreitext oder eigene MatrixStandardisierte Risikomatrix mit Scoring
MaßnahmentrackingManuell nachverfolgenAutomatische Aufgaben mit Fristen und Status
VersionierungDateiname_v3_final.docxAutomatisch mit Audit-Log
VerknüpfungIsoliertVerknüpft mit VVT, TOM und AVV
KonsultationManueller ExportBehörden-Export nach DSK-Standard

DSFA professionell erstellen und verwalten

Mit Custodio erstellen Sie Ihre Datenschutz-Folgenabschätzung strukturiert — mit geführter Schwellwertanalyse, Risikomatrix und automatischem Maßnahmentracking.

Kostenlos beraten lassen Kostenlos DSE erstellen

Häufige Fragen zur DSFA

Was ist eine DSFA (Datenschutz-Folgenabschätzung)?

Die DSFA nach Art. 35 DSGVO ist eine strukturierte Risikoanalyse, die vor der Einführung von Verarbeitungen mit voraussichtlich hohem Risiko für die Rechte und Freiheiten betroffener Personen durchgeführt werden muss.

Wann ist eine DSFA Pflicht?

Eine DSFA ist Pflicht, wenn eine Verarbeitung voraussichtlich ein hohes Risiko birgt — insbesondere bei systematischer Überwachung, umfangreicher Verarbeitung besonderer Datenkategorien, Profiling mit rechtlicher Wirkung oder wenn die Verarbeitung auf der Blacklist der zuständigen Aufsichtsbehörde steht.

Was muss eine DSFA enthalten?

Systematische Beschreibung der Verarbeitung und ihrer Zwecke, Bewertung der Notwendigkeit und Verhältnismäßigkeit, Bewertung der Risiken für Betroffene sowie geplante Abhilfemaßnahmen und Sicherheitsvorkehrungen.

Wer führt die DSFA durch?

Der Verantwortliche (z. B. Geschäftsführung) ist für die Durchführung verantwortlich. Der Datenschutzbeauftragte muss beratend einbezogen werden (Art. 35 Abs. 2 DSGVO). In der Praxis wird die DSFA häufig vom DSB koordiniert und von den Fachabteilungen inhaltlich zugeliefert.

Weiterführende Themen