In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
Datenschutz-Folgenabschätzung: So funktioniert das Risiko-Werkzeug

Datenschutz-Folgenabschätzung: So funktioniert das Risiko-Werkzeug

Niklas Hanitsch

Volljurist und Compliance-Experte

05 May 2026

10 min

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Key Takeaways

Eine Datenschutz-Folgenabschätzung ist immer dann Pflicht, wenn eine Datenverarbeitung ein voraussichtlich hohes Risiko für Betroffene erzeugt.

Die DSFA ersetzt die frühere Vorabkontrolle und verpflichtet Unternehmen zu einer umfassenderen Risikoanalyse.

Eine vollständige DSFA umfasst die Beschreibung der Verarbeitung, die Zweckprüfung, die Risikobewertung und konkrete Schutzmaßnahmen.

Unternehmen müssen ihre Verarbeitungsprozesse kontinuierlich prüfen, da die DSFA kein einmaliger, sondern ein fortlaufender Compliance-Prozess ist.

Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 sind Unternehmen dazu verpflichtet, den Schutz personenbezogener Daten ernst zu nehmen. Eine wichtige Neuerung, die im Rahmen der DSGVO eingeführt wurde, ist die Datenschutz-Folgenabschätzung (DSFA). Diese Maßnahme stellt Datenschutzbeauftragte vor neue Herausforderungen und fordert Unternehmen dazu auf, ihre Verantwortung bei der Verarbeitung personenbezogener Daten zu erkennen.

In diesem Artikel werden wir uns genauer mit der DSFA befassen und erläutern, wann sie benötigt wird sowie ihren Inhalt und Umfang.

Vorabkontrolle vs. Datenschutz-Folgenabschätzung

Bereits in der alten Fassung des Bundesdatenschutzgesetzes (BDSG) existierte eine ähnliche Pflichtmaßnahme, die als "Vorabkontrolle" bezeichnet wurde. Dabei prüfte der Datenschutzbeauftragte die Risiken und Folgen für die Rechte des Betroffenen im Falle der Verarbeitung sensibler Daten. Mit der DSFA wurden diese Maßnahmen erweitert und präzisiert, um Unternehmen stärker in die Pflicht zu nehmen, wenn sie personenbezogene Daten verarbeiten.

Wann wird eine Datenschutz-Folgenabschätzung benötigt?

Art. 35 Abs. 1 DSGVO beschreibt die Indikation wie folgt:

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“

Entscheidend ist also, ob durch die Verarbeitung seiner Daten ein „hohes Risiko“ für den Betroffenen entsteht. Gibt es im Unternehmen einen Datenschutzbeauftragten, ist er bei der Durchführung der Datenschutz-Folgeabschätzung hinzuzuziehen (Art. 35 Abs. 2 DSGVO).

Wann besteht ein besonders hohes Risiko?

Nach Art. 35 Abs. 3 DSGVO besteht dieses Risiko zum Beispiel bei systematischer Bewertung personenbezogener Daten und „automatisierte[r] Verarbeitung einschließlich Profiling“ und umfangreicher Verarbeitung einzelner Kategorien personenbezogener Daten, strafrechtlich relevante Informationen, sowie Überwachung öffentlicher Orte.

In ihrem „Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach-Art. 35 DSGVO“ empfiehlt die Datenschutzkonferenz die Datenschutz-Folgenabschätzung nicht als linearen oder abgeschlossenen Prozess zu sehen, sondern die Verarbeitungsprozesse stets auf Einhaltung der EU-Datenschutzverordnung hin zu überprüfen.

4 Punkte, die eine Datenschutz-Folgenabschätzung enthalten muss

Laut Art. 35 Abs. 7 DSGVO muss eine DSFA folgende vier verpflichtende Inhaltspunkte umfassen:

  • „eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen“
  • „eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck“
  • „eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen […]“ und
  • „die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird“.

Fazit: Die Datenschutz-Folgenabschätzung gehört zum DSGVO-Werkzeugkasten

Die Datenschutz-Folgenabschätzung ist ein wichtiges Instrument im Rahmen der DSGVO, um den Schutz personenbezogener Daten zu gewährleisten. Unternehmen sind verpflichtet, diese Maßnahme durchzuführen, wenn eine Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.

Die DSFA erfordert eine systematische Beschreibung der Verarbeitungsvorgänge, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Risikobewertung und die Planung von Abhilfemaßnahmen. Als externer Datenschutzbeauftragter unterstützen wir Unternehmen dabei, diese Anforderungen zu erfüllen und den Datenschutz kontinuierlich zu gewährleisten.

Als externer Datenschutzbeauftragter übernehmen wir für Sie natürlich auch die Prozesse rund um die Datenschutz-Folgenabschätzung. Kontaktieren Sie uns noch heute für ein unverbindliches Angebot!

Mehr erfahren
Niklas Hanitsch

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Häufig gestellte Fragen

Die häufigsten Fragen zum Thema

Wann wird eine Datenschutz-Folgenabschätzung benötigt?

Hat eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung durch.

Wann besteht ein besonders hohes Risiko?

Dieses Risiko besteht z.B. bei systematischer Bewertung personenbezogener Daten, automatisierter Verarbeitung einschließlich Profiling und Überwachung öffentlicher Orte.

Weiterlesen

January 7, 2026
5 Minuten
EU AI Act: Wer haftet bei Schäden durch KI?

Der EU AI Act verändert grundlegend, wer bei KI-Schäden haftet. Durch Beweislastumkehr und neue Produkthaftungsregeln müssen Unternehmen nicht mehr nur funktionierende, sondern nachweislich sichere und faire KI liefern. Dieser Leitfaden zeigt, wie AI-Act-Compliance, saubere Dokumentation und Human-in-the-Loop zum wirksamsten Schutz vor Schadensersatzansprüchen werden – und warum Compliance heute zur besten Haftungsversicherung für KI-Systeme wird.

Lesen
September 25, 2023
10 min
Bitkom-Studie: Mittelstand im Visier der Cyberkriminalität

Laut einer aktuellen Bitkom-Studie erlitt die deutsche Wirtschaft einen Schaden von 206 Milliarden Euro durch Cyberkriminalität, wobei vor allem Angriffe aus dem Umfeld der Organisierten Kriminalität zugenommen haben. Sowohl Großunternehmen als auch kleine und mittelständische Unternehmen waren betroffen. Wie können Sie Ihr Unternehmen schützen?

Lesen
December 3, 2025
5 Minuten
EU AI Act: Datenqualität für Hochrisiko-KI

Viele Unternehmen fokussieren sich beim EU AI Act auf Algorithmen, doch die wahre Compliance-Herausforderung liegt in der Datenqualität. Erfahren Sie, welche fünf Säulen Artikel 10 für Hochrisiko-KI vorschreibt und wie Sie Verzerrungen, Haftungsrisiken und Zulassungsprobleme vermeiden. Dieser Praxisleitfaden zeigt, wie Sie Daten-Governance strategisch aufbauen und vertrauenswürdige, rechtskonforme KI entwickeln.

Lesen
Related Resources
Datenschutzgesetz Schweiz: Was Unternehmen jetzt tun müssen
August 25, 2023
12 min
ISO 27001: Der Komplett-Guide zu ISMS, Zertifizierung und Kosten
June 7, 2023
18 min
ISO 27001: Ausschlüsse im Geltungsbereich richtig begründen
November 12, 2025
5 Minuten
Marketing Tips for Niche Industries
EU AI Act: KI-Systeme richtig klassifizieren
October 28, 2025
4 Minuten
ISO 27001 Beratung
October 15, 2024
5 min
ISO 9001 und ISO 27001 Synergien: Ein integriertes Managementsystem (IMS)
March 23, 2026
6 Min. Lesezeit
TO TOP