SimpleAct Logo
DSGVO · Art. 35

Datenschutz-Folgenabschätzung (DSFA)

Wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen birgt, ist nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung Pflicht. SimpleAct führt Sie strukturiert durch Schwellenwertprüfung, Risikobewertung und Maßnahmen.

Kostenlos starten DSGVO-Compliance ansehen

Was ist eine DSFA?

Die Datenschutz-Folgenabschätzung (DSFA, englisch DPIA) ist eine vorab durchzuführende Risikoanalyse für besonders kritische Verarbeitungen. Sie ist verpflichtend, wenn eine Verarbeitung – etwa durch neue Technologien, umfangreiches Profiling oder die Verarbeitung sensibler Daten – voraussichtlich ein hohes Risiko für Betroffene mit sich bringt. Ziel ist es, Risiken frühzeitig zu erkennen und durch geeignete Maßnahmen zu minimieren, bevor die Verarbeitung startet.

Wann ist eine DSFA verpflichtend?

Systematische Bewertung
Umfangreiches Profiling oder Scoring mit erheblichen Auswirkungen auf Betroffene, z. B. automatisierte Entscheidungen.
Umfangreiche sensible Daten
Verarbeitung besonderer Datenkategorien (Art. 9) oder von Daten über Straftaten in großem Umfang.
Systematische Überwachung
Großflächige Beobachtung öffentlich zugänglicher Bereiche, etwa durch Videoüberwachung.
Neue Technologien
Einsatz neuer Technologien wie KI, deren Risiken für Betroffene noch nicht etabliert sind.

Ablauf einer DSFA

  • Schwellenwertprüfung: Ist eine DSFA überhaupt erforderlich?
  • Verarbeitung systematisch beschreiben (Zweck, Umfang, Kontext)
  • Notwendigkeit und Verhältnismäßigkeit bewerten
  • Risiken für die Rechte und Freiheiten der Betroffenen analysieren
  • Abhilfemaßnahmen und Garantien festlegen
  • Datenschutzbeauftragten einbeziehen und Ergebnis dokumentieren
  • Bei verbleibendem hohem Risiko: Aufsichtsbehörde konsultieren (Art. 36)

Häufige Fragen zur DSFA

Wer entscheidet, ob eine DSFA nötig ist?

Der Verantwortliche – unterstützt vom Datenschutzbeauftragten. Die Aufsichtsbehörden führen zudem Positivlisten mit Verarbeitungen, für die eine DSFA stets verpflichtend ist.

Was ist der Unterschied zwischen DSFA und TIA?

Die DSFA bewertet das Risiko einer Verarbeitung allgemein. Das Transfer Impact Assessment (TIA) bewertet speziell das Risiko bei Datenübermittlungen in Drittländer.

Muss die DSFA an die Behörde geschickt werden?

Nein – nur wenn nach den Maßnahmen ein hohes Restrisiko verbleibt, ist die Aufsichtsbehörde vorab zu konsultieren (Art. 36). Ansonsten wird die DSFA intern dokumentiert.

Wie oft muss eine DSFA überprüft werden?

Die DSFA ist zu überprüfen, wenn sich das Risiko der Verarbeitung ändert – mindestens aber, wenn sich Zweck, Umfang oder eingesetzte Technologien wesentlich ändern.

Datenschutz-Folgenabschätzung mit SimpleAct

Schwellenwertprüfung, Risikobewertung und Maßnahmen strukturiert durchführen – mit nachvollziehbarer Dokumentation für die Aufsichtsbehörde.

Jetzt kostenlos starten

Weiterführende Themen

DSGVO-ComplianceVerarbeitungsverzeichnisDrittlandtransferDSGVO-Modul
Yannick Heisler

Yannick Heisler

Vertrieb · Persönliche Beratung

Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO – Ablauf & Pflicht | SimpleAct | SimpleAct