# Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

Wann eine Datenschutz-Folgenabschätzung Pflicht ist, wie sie Schritt für Schritt durchgeführt wird und wie ein Unternehmen die Beteiligten organisiert. Überblick zu Art. 35, 36 DSGVO mit Prozess, Risikobewertung und Rollenmodell.

> Quelle: https://www.thomashelbing.com/de/wissen/dsgvo-hub/einzelthemen/datenschutz-folgenabschaetzung
> Sprache: de



Die Datenschutz-Folgenabschätzung ist das gesetzlich vorgeschriebene Verfahren, mit dem ein Verantwortlicher die Risiken einer besonders eingriffsintensiven Verarbeitung für die betroffenen Personen vorab ermittelt, bewertet und durch Abhilfemaßnahmen reduziert (Art. 35 DSGVO). Sie ist Ausdruck des risikobasierten Ansatzes der DSGVO und zugleich ein Instrument, mit dem der Verantwortliche die Einhaltung der Verordnung herstellt und nachweist.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Pflicht nur bei **voraussichtlich hohem Risiko** für die Rechte und Freiheiten natürlicher Personen (Art. 35 Abs. 1 DSGVO). Ob ein solches Risiko vorliegt, klärt vorab die Schwellenwertanalyse.
  * Sie muss **vor Beginn** der Verarbeitung erfolgen, noch im Planungsstadium.
  * Mindestinhalt sind vier Bausteine: Beschreibung, Bewertung von Notwendigkeit und Verhältnismäßigkeit, Risikobewertung und Abhilfemaßnahmen (Art. 35 Abs. 7 DSGVO).
  * Verbleibt trotz Abhilfemaßnahmen ein hohes Risiko, ist vor der Verarbeitung die Aufsichtsbehörde zu konsultieren (Art. 36 DSGVO).
  * Verantwortlich bleibt der Verantwortliche; der Datenschutzbeauftragte berät nur (Art. 35 Abs. 2 DSGVO). Eine Unterlassung oder fehlerhafte Durchführung ist bußgeldbewehrt (Art. 83 Abs. 4 lit. a DSGVO).
</Callout>

## 1. Was die Datenschutz-Folgenabschätzung leistet [#1-was-die-datenschutz-folgenabschätzung-leistet]

### 1.1 Zweck und Rechtsnatur [#11-zweck-und-rechtsnatur]

Die Datenschutz-Folgenabschätzung richtet sich auf Verarbeitungen, die für die Rechte und Freiheiten natürlicher Personen besonders riskant sind. Für diese verlangt das Gesetz eine vorausschauende Prüfung der möglichen Folgen, an die sich die Auswahl und Umsetzung risikomindernder Abhilfemaßnahmen anschließt. Sie ist damit eine Pflicht zur Risikominimierung und ein Verfahren zur Sicherstellung und zum Nachweis der Einhaltung der DSGVO (Erwägungsgrund 84 DSGVO).

Adressat ist der [Verantwortliche](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.7-verantwortlicher) (Art. 4 Nr. 7 DSGVO). Die Pflicht lässt sich nicht auf den Datenschutzbeauftragten abwälzen: Dieser ist zu beteiligen und berät, trägt aber keine Verantwortung für Inhalt und Ergebnis (Art. 35 Abs. 2 DSGVO).

### 1.2 Risikobasierter Ansatz: nicht für jede Verarbeitung [#12-risikobasierter-ansatz-nicht-für-jede-verarbeitung]

Eine Datenschutz-Folgenabschätzung ist nicht für jede Verarbeitung durchzuführen, sondern nur, wenn diese voraussichtlich ein hohes Risiko zur Folge hat (Art. 35 Abs. 1 DSGVO). Ob diese Schwelle erreicht ist, klärt der Verantwortliche vorab in einer dokumentierten Schwellenwertanalyse. Die Einzelheiten der Erforderlichkeit, der Regelbeispiele und der von den Aufsichtsbehörden geführten Listen behandelt die Unterseite [Erforderlichkeit](/docs/dsgvo-hub/einzelthemen/datenschutz-folgenabschaetzung/1.3.10.1-erforderlichkeit).

### 1.3 Zeitpunkt: vor Beginn der Verarbeitung [#13-zeitpunkt-vor-beginn-der-verarbeitung]

Die Datenschutz-Folgenabschätzung ist vorab und damit vor Aufnahme der Verarbeitung durchzuführen. Weil mehrere Stellen mitwirken (Fachbereich, Datenschutz, Informationssicherheit, gegebenenfalls Mitarbeitervertretung und Aufsichtsbehörde), ist sie mit ausreichender Vorlaufzeit schon im Planungsstadium des Vorhabens zu beginnen. Sie ist kein einmaliger Akt, sondern begleitet das Projekt und kann die Wiederholung einzelner Schritte erfordern, wenn neue Abhilfemaßnahmen festgelegt werden.

## 2. Der Prozess im Überblick [#2-der-prozess-im-überblick]

Der Mindestinhalt des Art. 35 Abs. 7 DSGVO lässt sich in drei Phasen und einen abschließenden Bericht überführen. In der Praxis hat sich ein sechsstufiger Ablauf bewährt, der die gesetzlichen Bausteine operationalisiert.

<Mermaid
  chart="flowchart TD
  S[Schwellenwertanalyse:<br/>hohes Risiko?] -->|Nein| K[Keine DSFA-Pflicht,<br/>Prüfung dokumentieren]
  S -->|Ja| B1[1. Verarbeitung beschreiben]
  B1 --> B2[2. Notwendigkeit und<br/>Verhältnismäßigkeit bewerten]
  B2 --> B3[3. Risiken ermitteln]
  B3 --> B4[4. Risiken bewerten]
  B4 --> B5[5. Abhilfemaßnahmen festlegen]
  B5 --> B6[6. Gesamtbewertung und Bericht]
  B6 -->|Risiko hinnehmbar| V[Verarbeitung zulässig,<br/>Maßnahmen umsetzen]
  B6 -->|Hohes Restrisiko| C[Konsultation der<br/>Aufsichtsbehörde, Art. 36]"
/>

Die Schritte 1 bis 6 sind nicht streng linear: Werden in Schritt 4 zu hohe Risiken festgestellt, sind nach Festlegung der Abhilfemaßnahmen die Schritte 2 bis 5 erneut zu durchlaufen, diesmal unter der Annahme, dass die Maßnahmen umgesetzt werden. Den vollständigen Ablauf samt Risikobewertung beschreibt die Unterseite [Durchführung](/docs/dsgvo-hub/einzelthemen/datenschutz-folgenabschaetzung/1.3.10.2-durchfuehrung).

## 3. Folgen einer unterlassenen oder fehlerhaften Datenschutz-Folgenabschätzung [#3-folgen-einer-unterlassenen-oder-fehlerhaften-datenschutz-folgenabschätzung]

Ein Verstoß liegt sowohl vor, wenn eine erforderliche Datenschutz-Folgenabschätzung unterbleibt, als auch, wenn sie nicht ordnungsgemäß durchgeführt wird. Beides kann mit einer Geldbuße geahndet werden (Art. 83 Abs. 4 lit. a DSGVO) und einen Schadensersatzanspruch der betroffenen Person begründen (Art. 82 DSGVO). Weil die Dokumentation der Schwellenwertanalyse Teil der [Rechenschaftspflicht](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.9-rechenschaftspflicht) ist (Art. 5 Abs. 2 DSGVO), ist auch das Ergebnis einer verneinten Prüfpflicht festzuhalten.

## 4. Aufbau dieses Kapitels [#4-aufbau-dieses-kapitels]

<Cards>
  <Card title="Erforderlichkeit" href="/docs/dsgvo-hub/einzelthemen/datenschutz-folgenabschaetzung/1.3.10.1-erforderlichkeit" description="Schwellenwertanalyse, Regelbeispiele, Positiv- und Negativlisten der Aufsichtsbehörden, Ausnahmen." />

  <Card title="Durchführung" href="/docs/dsgvo-hub/einzelthemen/datenschutz-folgenabschaetzung/1.3.10.2-durchfuehrung" description="Die sechs Schritte, Risikobewertung mit Matrix, Bericht, Überprüfung und Konsultation der Aufsichtsbehörde (Art. 36)." />

  <Card title="Unternehmensinterne Organisation" href="/docs/dsgvo-hub/einzelthemen/datenschutz-folgenabschaetzung/1.3.10.3-unternehmensinterne-organisation" description="Rollen und Zuständigkeiten: Fachbereich, Datenschutzbeauftragter, mitwirkende Einheiten, Betroffene, Auftragsverarbeiter." />

  <Card title="Art. 35 DSGVO" href="https://dsgvo-gesetz.de/art-35-dsgvo/" description="Gesetzestext der Datenschutz-Folgenabschätzung." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/de) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/de#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/de#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/de#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.