Datenschutz HubEinzelthemenDatenschutz-Folgenabschätzung

Durchführung einer Datenschutz-Folgenabschätzung

Die sechs Schritte der DSFA nach Art. 35 Abs. 7 DSGVO: Beschreibung, Notwendigkeit und Verhältnismäßigkeit, Ermittlung und Bewertung der Risiken mit Schwere-, Wahrscheinlichkeits- und Risikomatrix, Abhilfemaßnahmen, Bericht, Überprüfung und Konsultation nach Art. 36 DSGVO.

View as Markdown

Steht fest, dass eine Datenschutz-Folgenabschätzung erforderlich ist (siehe Erforderlichkeit), folgt die eigentliche Durchführung. Art. 35 Abs. 7 DSGVO gibt vier inhaltliche Mindestbausteine vor. Diese lassen sich in einen sechsstufigen, praktisch handhabbaren Prozess überführen, der mit einem Bericht abschließt.

Das Wichtigste in Kürze

  • Mindestinhalt nach Art. 35 Abs. 7 DSGVO: Beschreibung der Verarbeitung (lit. a), Bewertung von Notwendigkeit und Verhältnismäßigkeit (lit. b), Risikobewertung (lit. c) und Abhilfemaßnahmen (lit. d).
  • Risiken werden aus der Sicht der betroffenen Personen ermittelt, nicht aus Sicht des Unternehmens.
  • Die Höhe eines Risikos ergibt sich aus der Schwere der Auswirkungen und der Eintrittswahrscheinlichkeit; eine Risikomatrix führt beide zusammen.
  • Der Prozess ist iterativ: Nach Festlegung der Abhilfemaßnahmen werden die Bewertungsschritte erneut durchlaufen, diesmal unter der Annahme ihrer Umsetzung.
  • Verbleibt ein hohes Restrisiko, ist vor der Verarbeitung die Aufsichtsbehörde zu konsultieren (Art. 36 DSGVO).

1. Die vier gesetzlichen Bausteine

Art. 35 Abs. 7 DSGVO verlangt mindestens:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und ihrer Zwecke, gegebenenfalls einschließlich der berechtigten Interessen (lit. a),
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in Bezug auf den Zweck (lit. b),
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen (lit. c),
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz der Daten sichergestellt und die Einhaltung der Verordnung nachgewiesen wird (lit. d).

Ein bestimmtes Verfahren schreibt die DSGVO nicht vor. Methodische Orientierung bieten das Standard-Datenschutzmodell der Datenschutzkonferenz und der Bitkom-Leitfaden zum Risk Assessment. Die folgenden sechs Schritte konkretisieren die vier Bausteine.

2. Schritt 1: Beschreibung der Verarbeitung

Zunächst beschreibt der Verantwortliche die geplante Verarbeitung systematisch, soweit zum Verständnis erforderlich. Dazu gehören:

  • Art, Umfang und Umstände der Verarbeitung sowie eine funktionale Beschreibung dessen, was tatsächlich geschieht,
  • die Zwecke der Verarbeitung, gegebenenfalls einschließlich der verfolgten berechtigten Interessen,
  • die verarbeiteten Daten, die Datenflüsse und die Empfänger,
  • die Speicherdauer,
  • die zugrunde liegende Hardware, Software und Netzwerke einschließlich der Systemgrenzen,
  • die beteiligten Personen, Stellen und externen Dienstleister sowie die zugrunde liegenden Geschäftsprozesse.

Auf das Verzeichnis von Verarbeitungstätigkeiten lässt sich dabei zurückgreifen. Die Beschreibung muss so konkret und zugleich kompakt sein, dass sich ein Außenstehender, etwa eine Aufsichtsbehörde oder ein Prüfer, mit vertretbarem Aufwand ein Bild von den risikorelevanten Aspekten machen kann. Sie bildet den Prüfgegenstand der weiteren Schritte.

3. Schritt 2: Notwendigkeit und Verhältnismäßigkeit

Im zweiten Schritt prüft der Verantwortliche, ob die konkrete Ausgestaltung der Verarbeitung mit Blick auf die Zwecke notwendig und verhältnismäßig ist. Geprüft wird eine angemessene Zweck-Mittel-Relation. An der Verhältnismäßigkeit fehlt es, wenn es mildere, weniger eingreifende Möglichkeiten gibt, mit denen der Zweck in gleichem Maße erreicht werden kann. Dieser Schritt greift den Grundsatz der Datenminimierung auf (Art. 5 Abs. 1 lit. c DSGVO).

Die Prüfung bezieht sich nicht nur auf die Verarbeitung als Ganzes, sondern auf die einzelnen Ausgestaltungsaspekte, insbesondere:

  • die Speicherdauer (frühere Löschung einzelner Datenarten möglich?),
  • den Umfang der Daten (Reduzierung der Datenfelder oder der Zahl der Betroffenen möglich?),
  • die Intensität der Verarbeitung (geringerer Umfang von Auswertungen möglich?).

Zu berücksichtigen und zu beschreiben sind dabei die bereits getroffenen Maßnahmen zur Einhaltung der DSGVO, etwa zur Wahrung der Datenschutzgrundsätze und der Betroffenenrechte, die erteilten Informationen, Vereinbarungen mit Auftragsverarbeitern sowie Maßnahmen bei Drittlandübermittlungen.

4. Schritt 3: Ermittlung der Risiken

Anschließend werden die mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten der betroffenen Personen ermittelt und beschrieben. Maßgeblich ist die Sicht der Betroffenen, nicht die des Unternehmens; drohende Bußgelder, Reputations- oder Geschäftsschäden des Verantwortlichen sind hier nicht relevant. Die Risiken können in physischen, materiellen und immateriellen Schäden bestehen, etwa Diskriminierung, Identitätsdiebstahl, finanzieller Verlust, Verlust der Kontrolle über die eigenen Daten oder unzulässige Profilbildung (Erwägungsgrund 75 DSGVO).

Bei der Ermittlung sind die datenschutzrechtlichen Schutzziele in den Blick zu nehmen. Aus Art. 5 Abs. 1 lit. f DSGVO folgen unmittelbar Integrität und Vertraulichkeit; das Standard-Datenschutzmodell ergänzt Verfügbarkeit, Datenminimierung, Nichtverkettbarkeit, Transparenz und Intervenierbarkeit.

SchutzzielTypisches Risiko bei Verletzung
Vertraulichkeitunbefugter Zugriff auf Daten
Integritätungewollte oder unbefugte Veränderung
Verfügbarkeitungewollter Verlust oder Löschung
IntervenierbarkeitBetroffene können ihre Rechte nicht mehr ausüben
NichtverkettbarkeitDaten werden für inkompatible Zwecke zusammengeführt
Transparenzdie Verarbeitung ist für Betroffene nicht nachvollziehbar

Bei der späteren Wahrscheinlichkeitsbetrachtung sind die verschiedenen Risikoquellen einzubeziehen, also interne und externe Angreifer sowie Vorsatz und Fahrlässigkeit.

5. Schritt 4: Bewertung der Risiken

Für jedes Risiko sind zwei Größen zu bewerten: wie schwer die Auswirkung für die betroffene Person im Schadensfall wäre (Schwere der Auswirkungen) und wie wahrscheinlich der Eintritt ist (Eintrittswahrscheinlichkeit). Die folgenden Skalen dienen als Orientierung und stützen sich auf die methodischen Vorgaben des Bitkom-Leitfadens und des Standard-Datenschutzmodells.

5.1 Schwere der Auswirkungen

StufeBedeutung aus Sicht der Betroffenen
Vernachlässigbaretwaige Unannehmlichkeiten lassen sich problemlos überwinden
Eingeschränktspürbare Unannehmlichkeiten, mit einigen Schwierigkeiten überwindbar
Wesentlicherhebliche Konsequenzen, nur mit ernsthaften Schwierigkeiten überwindbar
Maximalerhebliche, gegebenenfalls nicht umkehrbare Konsequenzen, nicht überwindbar

5.2 Eintrittswahrscheinlichkeit

StufeRealisierbarkeit der Bedrohung
Vernachlässigbarscheinbar unmöglich
Begrenztschwierig, nur mit gewissem Aufwand machbar
Wesentlichmöglich, auch mit geringem Aufwand machbar
Maximaleinfach

5.3 Risikomatrix

Aus Schwere und Wahrscheinlichkeit ergibt sich der Risikobereich. Die Zeilen stehen für die Schwere der Auswirkungen, die Spalten für die Eintrittswahrscheinlichkeit.

Auswirkungen \ WahrscheinlichkeitVernachlässigbarBegrenztWesentlichMaximal
Maximalmittelmittelhochhoch
Wesentlichmittelmittelmittelhoch
Eingeschränktgeringmittelmittelmittel
Vernachlässigbargeringgeringmittelmittel

Das Ergebnis ist nicht das Endurteil, sondern die Grundlage für die Risikobehandlung im nächsten Schritt. Eine absolute Sicherheit ist in der Daten- und IT-Sicherheit nicht zu erreichen; am Ende steht stets die Bewertung eines verbleibenden Restrisikos.

6. Schritt 5: Abhilfemaßnahmen festlegen

Für jedes bewertete Risiko ist die Risikobehandlung festzulegen. Es gibt vier Optionen:

  • Risikominimierung durch Abhilfemaßnahmen,
  • Risikoakzeptanz als bewusste Entscheidung, das Risiko ohne weitere Maßnahmen hinzunehmen,
  • Risikovermeidung durch Unterlassen der risikobehafteten Tätigkeit,
  • Risikotransfer durch Auslagerung der Risikofolgen auf Dritte, etwa eine Versicherung.

Genügen die bereits vorgesehenen Maßnahmen nicht, um das Risiko auf ein hinnehmbares Restrisiko zu senken, sind zusätzliche Abhilfemaßnahmen festzulegen. Das ist insbesondere geboten, wenn ein hohes Risiko oder viele mittlere Risiken verbleiben. Abhilfemaßnahmen können technischer, organisatorischer oder rechtlicher Natur sein.

Abhilfemaßnahmen dürfen nicht abstrakt bleiben. Jede Maßnahme ist einem konkreten Risiko und Schutzziel zuzuordnen und so genau wie möglich zu beschreiben. Der Hinweis „Einsatz von Verschlüsselung" genügt nicht; anzugeben sind der Gegenstand der Verschlüsselung, das Verfahren und die Schlüssellänge. Eine bloße Liste aller Sicherheitsmaßnahmen ohne Bezug zum jeweiligen Risiko reicht nicht aus.

Nach Festlegung der Abhilfemaßnahmen sind die Schritte 2 bis 5 erneut zu durchlaufen, diesmal unter der Annahme, dass die Maßnahmen umgesetzt werden. So zeigt sich, ob das Restrisiko hinnehmbar wird.

7. Schritt 6: Gesamtbewertung und Bericht

Abschließend wird festgestellt, ob die Risiken durch die Abhilfemaßnahmen ausreichend reduziert wurden. Die Inhalte und Ergebnisse aller Schritte werden in einem Bericht zusammengeführt und dokumentiert. Dieser Bericht ist Beleg für die Erfüllung der Pflicht aus Art. 35 DSGVO und Teil der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO). Es empfiehlt sich, den Bericht über alle Schritte hinweg fortlaufend zu führen statt erst am Ende zu erstellen.

Fällt die Gesamtbewertung positiv aus, darf die Verarbeitung erfolgen, sobald die festgelegten Abhilfemaßnahmen umgesetzt sind. Fällt sie negativ aus, verbleibt also trotz Maßnahmen ein hohes Risiko, darf die Verarbeitung nicht aufgenommen werden, bevor die Aufsichtsbehörde konsultiert wurde (siehe 9.).

Vorlagen nutzen. Für den Bericht müssen Sie keine eigene Struktur entwickeln. Der Europäische Datenschutzausschuss hat ein einheitliches Muster vorgelegt, das die Behörden künftig übernehmen oder als Grundlage nationaler Vorlagen verwenden wollen (EDPB DPIA Template). Ergänzend bieten das Standard-Datenschutzmodell und der Bitkom-Leitfaden ausgearbeitete Methoden und Mustertabellen.

8. Überprüfung und Aktualisierung (Abs. 11)

Die Datenschutz-Folgenabschätzung ist kein einmaliger Akt. Der Verantwortliche überprüft erforderlichenfalls, ob die Verarbeitung weiterhin im Einklang mit der Folgenabschätzung durchgeführt wird; das gilt zumindest, wenn sich das Risiko der Verarbeitung geändert hat (Art. 35 Abs. 11 DSGVO). Solche Änderungen ergeben sich etwa aus neuen Schnittstellen, neuer Technik, neuen Sicherheitsrisiken oder einer veränderten Rechtslage. Es besteht kein Bestandsschutz für Verarbeitungen, die bereits vor Geltung der DSGVO liefen.

Praxisempfehlung Überprüfungsintervall. Über die anlassbezogene Überprüfung hinaus empfiehlt sich eine regelmäßige Überprüfung in festen Abständen, etwa alle zwölf Monate. Dabei wird zunächst summarisch geprüft, ob eine Neubewertung der Risiken nötig ist; ist sie es, wird der Prozess entsprechend erneut durchlaufen. Die Überprüfung ist zu dokumentieren.

9. Konsultation der Aufsichtsbehörde (Art. 36 DSGVO)

Ergibt die Datenschutz-Folgenabschätzung, dass die Verarbeitung trotz der geplanten Abhilfemaßnahmen ein hohes Risiko zur Folge hätte, konsultiert der Verantwortliche vor der Verarbeitung die Aufsichtsbehörde (Art. 36 Abs. 1 DSGVO). Die Konsultation ist also die Folge eines verbleibenden hohen Restrisikos.

Bei der Konsultation legt der Verantwortliche der Aufsichtsbehörde insbesondere vor (Art. 36 Abs. 3 DSGVO):

  • die Zuständigkeiten bei gemeinsamer Verantwortlichkeit,
  • die Zwecke und Mittel der beabsichtigten Verarbeitung,
  • die vorgesehenen Schutzmaßnahmen und Garantien für die Betroffenen,
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten,
  • die Datenschutz-Folgenabschätzung selbst sowie
  • jede weitere angeforderte Information.

Die Aufsichtsbehörde gibt binnen acht Wochen nach Eingang des Ersuchens eine schriftliche Empfehlung ab. Bei komplexen Verarbeitungen kann sie diese Frist um sechs Wochen verlängern. Hält sie die geplante Verarbeitung für nicht im Einklang mit der Verordnung, kann sie ihre Befugnisse nach Art. 58 DSGVO ausüben, bis hin zur Untersagung der Verarbeitung (Art. 36 Abs. 2 DSGVO).

Art. 35 DSGVO

Datenschutz-Folgenabschätzung.

Art. 36 DSGVO

Vorherige Konsultation der Aufsichtsbehörde.

Standard-Datenschutzmodell

Methode zur Auswahl und Bewertung technischer und organisatorischer Maßnahmen.

Bitkom-Leitfaden Risk Assessment

Methodik für Risikobewertung und Datenschutz-Folgenabschätzung.

EDPB DPIA Template

Einheitliches Muster des Europäischen Datenschutzausschusses für den DSFA-Bericht.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Erforderlichkeit einer Datenschutz-Folgenabschätzung

Wann ist eine DSFA Pflicht? Schwellenwertanalyse nach Art. 35 DSGVO mit Beispielen: Regelbeispiele des Abs. 3, die neun Kriterien der Risikoprognose, die Muss-Liste der Aufsichtsbehörden, Fallbeispiele sowie Ausnahmen nach Abs. 5 und Abs. 10.

Unternehmensinterne Organisation der Datenschutz-Folgenabschätzung

Wer macht im Unternehmen was bei einer DSFA? Rollen und Zuständigkeiten von Fachbereich, Datenschutzbeauftragtem, mitwirkenden Einheiten, Betroffenen und Auftragsverarbeitern, mit Vorschlag für ein internes Verfahren nach Art. 35 DSGVO.

On this page

1. Die vier gesetzlichen Bausteine2. Schritt 1: Beschreibung der Verarbeitung3. Schritt 2: Notwendigkeit und Verhältnismäßigkeit4. Schritt 3: Ermittlung der Risiken5. Schritt 4: Bewertung der Risiken5.1 Schwere der Auswirkungen5.2 Eintrittswahrscheinlichkeit5.3 Risikomatrix6. Schritt 5: Abhilfemaßnahmen festlegen7. Schritt 6: Gesamtbewertung und Bericht8. Überprüfung und Aktualisierung (Abs. 11)9. Konsultation der Aufsichtsbehörde (Art. 36 DSGVO)