Datenschutz HubEinzelthemenDatenschutz-Folgenabschätzung

Unternehmensinterne Organisation der Datenschutz-Folgenabschätzung

Wer macht im Unternehmen was bei einer DSFA? Rollen und Zuständigkeiten von Fachbereich, Datenschutzbeauftragtem, mitwirkenden Einheiten, Betroffenen und Auftragsverarbeitern, mit Vorschlag für ein internes Verfahren nach Art. 35 DSGVO.

Als Markdown ansehen

Die DSGVO weist die Datenschutz-Folgenabschätzung dem Verantwortlichen zu, schweigt aber dazu, wie ein Unternehmen die Aufgabe intern verteilt. Eine klare Zuordnung der Rollen ist dennoch entscheidend, weil an einer Datenschutz-Folgenabschätzung typischerweise mehrere Stellen mitwirken müssen. Diese Seite beschreibt ein bewährtes Rollenmodell und einen Vorschlag für ein internes Verfahren. Die gesetzlichen Bezugspunkte sind im Text genannt; die organisatorische Ausgestaltung ist eine Empfehlung, keine gesetzliche Vorgabe.

Das Wichtigste in Kürze

  • Verantwortlich bleibt der Verantwortliche; intern liegt die Federführung bei der fachlich zuständigen Stelle, die die Verarbeitung plant.
  • Der Datenschutzbeauftragte berät und begleitet, trägt aber keine Verantwortung für Inhalt und Ergebnis (Art. 35 Abs. 2 DSGVO).
  • Fachlich zuliefern müssen mitwirkende Einheiten wie IT-Sicherheit, IT-Betrieb und betroffene Fachbereiche.
  • Der Standpunkt der Betroffenen ist gegebenenfalls einzuholen (Art. 35 Abs. 9 DSGVO), bei Beschäftigten typischerweise über die Mitarbeitervertretung.
  • Auftragsverarbeiter sind bei Bedarf einzubinden; sie unterstützen die Folgenabschätzung vertraglich (Art. 28 Abs. 3 lit. f DSGVO).

1. Grundverteilung der Verantwortung

1.1 Der Verantwortliche trägt die Pflicht

Pflichtadressat nach außen ist der Verantwortliche (Art. 35 Abs. 1 DSGVO). Er kann die Durchführung intern organisieren, aber nicht aus der Verantwortung abgeben. Die Datenschutz-Folgenabschätzung lässt sich insbesondere nicht auf den Datenschutzbeauftragten delegieren: Dieser ist zu beteiligen, führt sie aber nicht selbst durch (Art. 35 Abs. 2 DSGVO).

1.2 Fachlich zuständige Stelle als Federführer

In der Praxis liegt die Federführung bei der Organisationseinheit, die die Verarbeitung fachlich verantwortet, also dem Fachbereich oder Prozessverantwortlichen, der das Vorhaben plant. Diese Stelle kennt Zweck, Datenflüsse und technische Ausgestaltung am besten und ist damit die richtige Adresse für die systematische Beschreibung und die Bewertung von Notwendigkeit und Verhältnismäßigkeit. Sinnvoll ist, dass ihre Leitung eine konkrete Person mit der Durchführung betraut. Sind mehrere Einheiten verantwortlich, übernimmt die gemeinsam übergeordnete Stelle die Federführung; lässt sich diese nicht eindeutig bestimmen, sollten sich die beteiligten Stellen frühzeitig auf eine federführende Einheit verständigen.

2. Die Beteiligten und ihre Rollen

2.1 Datenschutzbeauftragter: beratend, ohne Entscheidungsbefugnis

Ist ein Datenschutzbeauftragter benannt, holt der Verantwortliche dessen Rat ein und berücksichtigt ihn (Art. 35 Abs. 2 DSGVO). Die Beratung zur Datenschutz-Folgenabschätzung gehört zu seinen gesetzlichen Aufgaben (Art. 39 Abs. 1 lit. c DSGVO). Seine Rolle ist begleitend: Er trägt keine Verantwortung für Inhalt und Dokumentation und hat keine eigene Entscheidungsbefugnis über die Folgenabschätzung. Sein Rat ist nicht bindend; weicht der Verantwortliche von einem fachlich richtigen Hinweis ab, kann dies aber bei einer Prüfung durch die Aufsichtsbehörde zu seinen Lasten gewertet werden.

Rollentrennung wahren. Führt der Datenschutzbeauftragte die Folgenabschätzung faktisch selbst durch, gerät er in Konflikt mit seiner Aufgabe, die Einhaltung der Verordnung zu überwachen (Art. 39 Abs. 1 lit. b DSGVO): Er kontrollierte dann sein eigenes Werk. Die inhaltliche Verantwortung sollte deshalb beim Fachbereich liegen, die beratende Begleitung beim Datenschutzbeauftragten.

2.2 Mitwirkende Einheiten

Die federführende Stelle zieht weitere Einheiten hinzu, die fachliche Informationen oder Expertise zuliefern können, insbesondere Informationssicherheit, IT-Betrieb und die mit der Verarbeitung fachlich befassten Bereiche. Sie wirken vor allem bei der Ermittlung und Bewertung der Risiken, der Festlegung der Abhilfemaßnahmen und der Gesamtbewertung mit. Sinnvoll ist, dass jede mitwirkende Einheit einen fachlich kompetenten und entscheidungsbefugten Ansprechpartner benennt.

2.3 Optionales Gremium zur Abstimmung

Bei komplexen Vorhaben mit vielen Beteiligten kann ein eigenes Abstimmungsgremium den Prozess bündeln. Ein solches Gremium besteht typischerweise aus der Leitung der federführenden Stelle und je einem Vertreter der mitwirkenden Einheiten. Der Austausch kann je nach Anlass im Umlaufverfahren, telefonisch oder in Sitzungen erfolgen; über Sitzungen empfiehlt sich ein schriftliches Protokoll. Pflicht ist ein solches Gremium nicht; bei kleineren Vorhaben genügt eine direkte Abstimmung zwischen Fachbereich und Datenschutzbeauftragtem.

2.4 Betroffene und Mitarbeitervertretung

Soweit sinnvoll und möglich, holt der Verantwortliche den Standpunkt der betroffenen Personen oder ihrer Vertreter zur geplanten Verarbeitung ein und setzt sich mit ihm auseinander (Art. 35 Abs. 9 DSGVO). Sind primär Beschäftigte betroffen, ist dies regelmäßig der Personal- oder Betriebsrat. Die Einholung ist nicht in jedem Fall zwingend; sie kommt vor allem in Betracht, wenn sich der Kreis der Betroffenen konkret benennen lässt. Wird der Standpunkt nicht eingeholt, etwa wegen entgegenstehender Geheimhaltungsinteressen oder weil sich der Betroffenenkreis nicht eingrenzen lässt, sind die Gründe zu dokumentieren. Gleiches gilt, wenn sich der Verantwortliche über den eingeholten Standpunkt hinwegsetzt.

2.5 Auftragsverarbeiter und externe Experten

Erfolgt die Verarbeitung auch durch einen Auftragsverarbeiter, bindet die federführende Stelle ihn bei Bedarf ein, etwa um Risiken und Schutzmaßnahmen auf seiner Seite zu klären. Der Auftragsverarbeiter ist vertraglich verpflichtet, den Verantwortlichen bei der Datenschutz-Folgenabschätzung zu unterstützen (Art. 28 Abs. 3 lit. f DSGVO). Darüber hinaus kann der Verantwortliche auf eigene Kosten externe Experten hinzuziehen, etwa für Fragen der IT-Sicherheit.

3. Vorschlag für ein internes Verfahren

Ein geordnetes internes Verfahren stellt sicher, dass die Datenschutz-Folgenabschätzung rechtzeitig beginnt und alle Beteiligten eingebunden werden.

Schwellenwertanalyse im Planungsstadium. Die fachlich zuständige Stelle prüft frühzeitig, ob ein hohes Risiko besteht, und dokumentiert das Ergebnis (siehe Erforderlichkeit). Bei Unsicherheit zieht sie den Datenschutzbeauftragten hinzu.
Datenschutzbeauftragten informieren und Beteiligte bestimmen. Ist eine Datenschutz-Folgenabschätzung erforderlich, wird der Datenschutzbeauftragte unverzüglich informiert; die mitwirkenden Einheiten und gegebenenfalls ein Abstimmungsgremium werden festgelegt.
Folgenabschätzung durchführen. Die federführende Stelle durchläuft die sechs Schritte (siehe Durchführung) und schreibt den Bericht fortlaufend mit.
Gesamtbewertung und Entscheidung. Das Ergebnis wird festgestellt und dokumentiert. Bei verbleibendem hohem Risiko ist vor der Verarbeitung die Aufsichtsbehörde zu konsultieren (Art. 36 DSGVO).
Umsetzung und Überwachung. Die federführende Stelle stellt sicher, dass die festgelegten Abhilfemaßnahmen tatsächlich umgesetzt werden, und überprüft dies erforderlichenfalls. Umsetzung und Überprüfung werden dokumentiert.

Praxistipp Aufgabentrennung. Halten Sie schriftlich fest, wer für Inhalt und Vollständigkeit verantwortlich ist (Fachbereich) und wer berät und auf Plausibilität prüft (Datenschutzbeauftragter). Diese Trennung beugt dem Rollenkonflikt vor und macht die Zuständigkeiten im Streitfall nachweisbar.

4. Aufbewahrung und Anbindung an die Dokumentation

Der abgeschlossene Bericht wird der internen Dokumentation zugeordnet und mit dem Verzeichnis von Verarbeitungstätigkeiten verknüpft. So ist die Datenschutz-Folgenabschätzung jederzeit auffindbar und belegt zusammen mit der dokumentierten Schwellenwertanalyse die Erfüllung der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Durchführung einer Datenschutz-Folgenabschätzung

Die sechs Schritte der DSFA nach Art. 35 Abs. 7 DSGVO: Beschreibung, Notwendigkeit und Verhältnismäßigkeit, Ermittlung und Bewertung der Risiken mit Schwere-, Wahrscheinlichkeits- und Risikomatrix, Abhilfemaßnahmen, Bericht, Überprüfung und Konsultation nach Art. 36 DSGVO.

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Grundlagen, Verbot der Verarbeitung und Systematik der Ausnahmen für sensible Daten nach Art. 9 DSGVO; Verhältnis zu Art. 6 DSGVO.

Auf dieser Seite

1. Grundverteilung der Verantwortung1.1 Der Verantwortliche trägt die Pflicht1.2 Fachlich zuständige Stelle als Federführer2. Die Beteiligten und ihre Rollen2.1 Datenschutzbeauftragter: beratend, ohne Entscheidungsbefugnis2.2 Mitwirkende Einheiten2.3 Optionales Gremium zur Abstimmung2.4 Betroffene und Mitarbeitervertretung2.5 Auftragsverarbeiter und externe Experten3. Vorschlag für ein internes Verfahren4. Aufbewahrung und Anbindung an die Dokumentation