Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
Wann eine Datenschutz-Folgenabschätzung Pflicht ist, wie sie Schritt für Schritt durchgeführt wird und wie ein Unternehmen die Beteiligten organisiert. Überblick zu Art. 35, 36 DSGVO mit Prozess, Risikobewertung und Rollenmodell.
Die Datenschutz-Folgenabschätzung ist das gesetzlich vorgeschriebene Verfahren, mit dem ein Verantwortlicher die Risiken einer besonders eingriffsintensiven Verarbeitung für die betroffenen Personen vorab ermittelt, bewertet und durch Abhilfemaßnahmen reduziert (Art. 35 DSGVO). Sie ist Ausdruck des risikobasierten Ansatzes der DSGVO und zugleich ein Instrument, mit dem der Verantwortliche die Einhaltung der Verordnung herstellt und nachweist.
Das Wichtigste in Kürze
- Pflicht nur bei voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen (Art. 35 Abs. 1 DSGVO). Ob ein solches Risiko vorliegt, klärt vorab die Schwellenwertanalyse.
- Sie muss vor Beginn der Verarbeitung erfolgen, noch im Planungsstadium.
- Mindestinhalt sind vier Bausteine: Beschreibung, Bewertung von Notwendigkeit und Verhältnismäßigkeit, Risikobewertung und Abhilfemaßnahmen (Art. 35 Abs. 7 DSGVO).
- Verbleibt trotz Abhilfemaßnahmen ein hohes Risiko, ist vor der Verarbeitung die Aufsichtsbehörde zu konsultieren (Art. 36 DSGVO).
- Verantwortlich bleibt der Verantwortliche; der Datenschutzbeauftragte berät nur (Art. 35 Abs. 2 DSGVO). Eine Unterlassung oder fehlerhafte Durchführung ist bußgeldbewehrt (Art. 83 Abs. 4 lit. a DSGVO).
1. Was die Datenschutz-Folgenabschätzung leistet
1.1 Zweck und Rechtsnatur
Die Datenschutz-Folgenabschätzung richtet sich auf Verarbeitungen, die für die Rechte und Freiheiten natürlicher Personen besonders riskant sind. Für diese verlangt das Gesetz eine vorausschauende Prüfung der möglichen Folgen, an die sich die Auswahl und Umsetzung risikomindernder Abhilfemaßnahmen anschließt. Sie ist damit eine Pflicht zur Risikominimierung und ein Verfahren zur Sicherstellung und zum Nachweis der Einhaltung der DSGVO (Erwägungsgrund 84 DSGVO).
Adressat ist der Verantwortliche (Art. 4 Nr. 7 DSGVO). Die Pflicht lässt sich nicht auf den Datenschutzbeauftragten abwälzen: Dieser ist zu beteiligen und berät, trägt aber keine Verantwortung für Inhalt und Ergebnis (Art. 35 Abs. 2 DSGVO).
1.2 Risikobasierter Ansatz: nicht für jede Verarbeitung
Eine Datenschutz-Folgenabschätzung ist nicht für jede Verarbeitung durchzuführen, sondern nur, wenn diese voraussichtlich ein hohes Risiko zur Folge hat (Art. 35 Abs. 1 DSGVO). Ob diese Schwelle erreicht ist, klärt der Verantwortliche vorab in einer dokumentierten Schwellenwertanalyse. Die Einzelheiten der Erforderlichkeit, der Regelbeispiele und der von den Aufsichtsbehörden geführten Listen behandelt die Unterseite Erforderlichkeit.
1.3 Zeitpunkt: vor Beginn der Verarbeitung
Die Datenschutz-Folgenabschätzung ist vorab und damit vor Aufnahme der Verarbeitung durchzuführen. Weil mehrere Stellen mitwirken (Fachbereich, Datenschutz, Informationssicherheit, gegebenenfalls Mitarbeitervertretung und Aufsichtsbehörde), ist sie mit ausreichender Vorlaufzeit schon im Planungsstadium des Vorhabens zu beginnen. Sie ist kein einmaliger Akt, sondern begleitet das Projekt und kann die Wiederholung einzelner Schritte erfordern, wenn neue Abhilfemaßnahmen festgelegt werden.
2. Der Prozess im Überblick
Der Mindestinhalt des Art. 35 Abs. 7 DSGVO lässt sich in drei Phasen und einen abschließenden Bericht überführen. In der Praxis hat sich ein sechsstufiger Ablauf bewährt, der die gesetzlichen Bausteine operationalisiert.
Die Schritte 1 bis 6 sind nicht streng linear: Werden in Schritt 4 zu hohe Risiken festgestellt, sind nach Festlegung der Abhilfemaßnahmen die Schritte 2 bis 5 erneut zu durchlaufen, diesmal unter der Annahme, dass die Maßnahmen umgesetzt werden. Den vollständigen Ablauf samt Risikobewertung beschreibt die Unterseite Durchführung.
3. Folgen einer unterlassenen oder fehlerhaften Datenschutz-Folgenabschätzung
Ein Verstoß liegt sowohl vor, wenn eine erforderliche Datenschutz-Folgenabschätzung unterbleibt, als auch, wenn sie nicht ordnungsgemäß durchgeführt wird. Beides kann mit einer Geldbuße geahndet werden (Art. 83 Abs. 4 lit. a DSGVO) und einen Schadensersatzanspruch der betroffenen Person begründen (Art. 82 DSGVO). Weil die Dokumentation der Schwellenwertanalyse Teil der Rechenschaftspflicht ist (Art. 5 Abs. 2 DSGVO), ist auch das Ergebnis einer verneinten Prüfpflicht festzuhalten.
4. Aufbau dieses Kapitels
Erforderlichkeit
Schwellenwertanalyse, Regelbeispiele, Positiv- und Negativlisten der Aufsichtsbehörden, Ausnahmen.
Durchführung
Die sechs Schritte, Risikobewertung mit Matrix, Bericht, Überprüfung und Konsultation der Aufsichtsbehörde (Art. 36).
Unternehmensinterne Organisation
Rollen und Zuständigkeiten: Fachbereich, Datenschutzbeauftragter, mitwirkende Einheiten, Betroffene, Auftragsverarbeiter.
Art. 35 DSGVO
Gesetzestext der Datenschutz-Folgenabschätzung.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Haftung des Datenschutzbeauftragten
Haftung des Datenschutzbeauftragten: kein Schadensersatz nach Art. 82 DSGVO, deliktische Haftung gegenüber Betroffenen, Innenhaftung des internen und externen Datenschutzbeauftragten, straf- und bußgeldrechtliche Verantwortung sowie Haftungsbegrenzung und Dokumentation.
Erforderlichkeit einer Datenschutz-Folgenabschätzung
Wann ist eine DSFA Pflicht? Schwellenwertanalyse nach Art. 35 DSGVO mit Beispielen: Regelbeispiele des Abs. 3, die neun Kriterien der Risikoprognose, die Muss-Liste der Aufsichtsbehörden, Fallbeispiele sowie Ausnahmen nach Abs. 5 und Abs. 10.