Unternehmensführung

Datenschutz-Folgenabschätzung richtig durchführen: So gehts

Ein modernes Zeiterfassungssystem, GPS-Tracking der Firmenfahrzeuge oder die Videoüberwachung der Produktionshalle – in diesen Fällen werden personenbezogene Daten verarbeitet, die mit einem gewissen Risiko für die betroffenen Personen verbunden sind. Für dich als Unternehmer bedeutet das: In den genannten oder auch in anderen, risikobehafteten Datenverarbeitungen musst du eine sogenannte Datenschutz-Folgenabschätzung (DSFA) durchführen. Damit du auf der sicheren Seite bist, erfährst du in unserem Artikel, wie du eine DSFA DSGVO-konform vorbereitest und durchführst.

Zuletzt aktualisiert am 03.03.2026
Von Michael Rohrlich
© Westend61 - gettyimages.com

Definition der Datenschutz-Folgenabschätzung: Prozesse müssen einer Risikoabschätzung unterzogen werden

Wenn du in deinem Unternehmen neue Prozesse, also neue Datenverarbeitungsvorgänge, einführen willst, dann bist du dazu verpflichtet, im Vorfeld zu prüfen, ob voraussichtlich eine sog. Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist. Das gilt gleichsam auch für existierende Prozesse und Formen der Datenverarbeitung, die du noch keiner DSFA-Prüfung unterzogen hast. Dabei handelt es sich um ein bestimmtes Vorgehen nach Maßgabe von Art. 35 EU-Datenschutz-Grundverordnung (DSGVO), mit dem das Risiko einer (geplanten) Verarbeitungstätigkeit für die davon betroffenen Personen eingeschätzt werden soll. Insbesondere sollen Umstände und Folgen für die Freiheiten und Rechte der Personen in Erfahrung gebracht werden, die sich durch die Überwachung ergeben. 

Um zu prüfen, ob eine Datenschutz-Folgenabschätzung notwendig ist, muss zunächst eine Vorabprüfung erfolgen – die sog. Schwellwertanalyse. Mittels dieser Analyse wird ermittelt, ob ein hohes Risiko zu befürchten ist und daher eine Datenschutz-Folgeabschätzung durchgeführt werden muss. Im besten Fall besteht kein hohes Risiko für dich als Unternehmer und die Datenverarbeitung kann wie geplant umgesetzt bzw. fortgeführt werden. Im „worst case“ musst du eine DSFA durchführen und – je nach Ergebnis – deine zuständige Datenschutzaufsichtsbehörde mit ins Boot holen.

Tipp

Bußgeld bei Pflichtverletzung

Wenn du der Pflicht zur Durchführung einer Schwellwertanalyse bzw. einer Datenschutz-Folgenabschätzung nicht nachkommst, droht im schlimmsten Fall ein Bußgeld von bis zu 10 Mio. Euro oder 2 % des gesamten Vorjahresumsatzes (Art. 83 Abs. 4 DSGVO).

Wer ist für die Datenschutz-Folgenabschätzung verantwortlich?

Verantwortlich für die Durchführung einer DSFA ist nicht ein evtl. benannter Datenschutzbeauftragter (DSB), sondern die Leitungsebene, also die Geschäfts-, Behörden- oder Vereinsführung (z. B. der GmbH-Geschäftsführer). Der DSB wird in Bezug auf eine Datenschutz-Folgenabschätzung lediglich beratend und unterstützend tätig. Selbstverständlich muss die Leitungsebene die DSFA nicht selbst durchführen, sie kann dies an Beschäftigte delegieren. Die Leitungsebene ist und bleibt jedoch dafür verantwortlich, dass die DSFA korrekt geprüft und ggf. durchgeführt wird. Sie kann also für etwaige Fehler haftbar gemacht werden. Genau wie für alle anderen Datenschutzmaßnahmen kann die generelle Verantwortung nicht auf Dritte übertragen werden, auch wenn ein DSB oder sogar ein ganzes Beraterteam bestehen sollte.

Datenschutz-Folgenabschätzung erfordert mehrstufige Prüfung

Schwellwertanalyse: Wann ist eine Datenschutz-Folgenabschätzung erforderlich?

Um für einen konkreten Fall zu prüfen, ob bzw. wann du eine Datenschutz-Folgenabschätzung durchführen musst, empfiehlt sich ein mehrstufiges Vorgehen. Im Kern dreht sich hierbei alles um die Frage, ob ein hohes Risiko für die Betroffenen besteht bzw. zu befürchten ist. Du solltest also die folgenden Prüfungsschritte einhalten:

  1. Findet sich die (geplante) Datenverarbeitung auf der sog. Positiv-Liste der Datenschutzaufsichtsbehörden?
  2. Liegt ein gesetzliches Regelbeispiel gemäß Art. 35 Abs. 3 DSGVO bezüglich einer Notwendigkeit einer Datenschutz-Folgenabschätzung vor?
  3. Besteht gemessen an den Kriterien der Art.-29-Gruppe ein sonstiges hohes Risiko?

Wenn du eine dieser Fragen mit „Ja“ beantwortest, dann lautet das Ergebnis deiner Schwellwertanalyse, dass du voraussichtlich eine Datenschutz-Folgenabschätzung (DSFA) durchführen musst. Daher lohnt es sich, einen näheren Blick auf die Details der drei Punkte zu werfen.

DSK-Positiv-Liste: Datenverarbeitungsvorgänge mit hohem Risiko

In den Positiv-Listen der Aufsichtsbehörden sind diverse Datenverarbeitungsvorgänge enthalten, die regelmäßig mit einem hohen Risiko verbunden sind. So hat beispielsweise die Datenschutzkonferenz (DSK), ein Zusammenschluss der deutschen Datenschutzaufsichtsbehörden, jeweils eine Positiv-Liste zur Datenschutz-Folgenabschätzung für den öffentlichen Bereich (also für Behörden und andere öffentliche Stellen) und für den nicht-öffentlichen Bereich (also für Unternehmen) veröffentlicht. Auf der DSK-Positiv-Liste für den nicht-öffentlichen Bereich finden sich z. B. folgende Verarbeitungsvorgänge, für die eine Datenschutz-Folgenbestimmung erforderlich ist:

  • Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung natürlicher Personen (z. B. Fingerabdrucksensoren zur Zutrittskontrolle)
  • umfangreiche Verarbeitung von Daten über den Aufenthalt von Betroffenen (z. B. GPS-Verfolgung von Dienstfahrzeugen)
  • umfangreiche Verarbeitung von Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese in sonstiger Weise erheblich beeinträchtigt werden (z. B. zentrale Aufzeichnung der Aktivitäten, wie etwa E-Mail-Verkehr am Arbeitsplatz mit dem Ziel, unerwünschtes Verhalten von Beschäftigten zu erkennen)
  • Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der Betroffenen (z. B. Betrieb eines Online-Datingportals)
  • Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und der Verarbeitung der so zusammengeführten Daten (z. B. Analyse von Kauf- und Bonitätsdaten)
  • Einsatz von Künstlicher Intelligenz (KI) zur Verarbeitung von Daten zur Steuerung der Interaktion mit Betroffenen oder zur Bewertung persönlicher Aspekte (z. B. Kundensupport mittels künstlicher Intelligenz)
  • Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von Betroffenen (z. B. Betrieb eines Treue- / Bonuspunkte-Programms für Kunden)

Tipp

DSK-Positiv-Liste

Die DSK-Positiv-Liste zur Datenschutz-Folgenabschätzung findet sich online u. a. auf der Website des Bayerischen Landesamtes für Datenschutzaufsicht und kann dort kostenfrei heruntergeladen werden.

Datenschutz-Folgenabschätzung: Pflicht für Prozesse gemäß DSK-Positiv-Liste oder Art. 35 Abs. 3 DSGVO

Sofern du also planst, eine der auf der DSK-Liste enthaltenen Prozesse ein- bzw. fortzuführen, dann musst du auf jeden Fall eine Datenschutz-Folgenabschätzung durchführen. Wenn du hier nicht fündig wirst, bedeutet das allerdings nicht, dass du von der DSFA-Pflicht befreit bist. Denn dann könnte eine solche auch noch deshalb bestehen, weil deine (geplante) Datenverarbeitung einem gesetzlichen Regelbeispiel aus Art. 35 Abs. 3 DSGVO entspricht. Danach ist eine DSFA durchzuführen für:

  • systematische und umfassende Bewertungen persönlicher Aspekte natürlicher Personen, die sich auf eine automatisierte Verarbeitung (einschließlich Profiling) gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber den Betroffenen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen (z. B. Detektiv-Dienstleistungen, Betrieb eines Online-Werbenetzwerkes oder KI-gestützte Analyse von Bewerbungsgesprächen),
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 9, 10 DSGVO (z. B. Durchführung medizinischer Studien durch eine Klinik bzw. einen Dienstleister) oder für
  • systematische umfangreiche Überwachungen öffentlich zugänglicher Bereiche (z. B. Videoüberwachung an Bahnhöfen oder Flugplätzen).

Auch hier lassen die einzelnen Beispiel-Szenarien mit Pflicht zur Datenschutz-Folgenabschätzung schon erahnen, dass es um sehr riskante Datenverarbeitungsvorgänge geht. Alltägliche Prozesse wie Personalaktenführung, Versand von Werbung oder Datenübermittlung an den Steuerberater werden hier offenkundig nicht erfasst. Allerdings kann bereits die (geplante) Anbringung einer Überwachungskamera auf dem Parkplatz vor dem Bürogebäude dazu führen, dass du zumindest eine Schwellwertanalyse durchführen und dokumentieren musst.

Datenschutz-Folgenabschätzung: Artikel-29-Datenschutzgruppe

Sofern du weder auf der DSK-Liste noch in Art. 35 Abs. 3 DSGVO einen Prozess findest, der auf deinen passt, kann gleichwohl ein hohes Risiko vorliegen. Um ein solches in der Praxis besser einschätzen bzw. abwägen zu können, hat die Art.-29-Gruppe – der Vorläufer des jetzigen Europäischen Datenschutzausschusses (EDSA) – in ihrem „Working Paper 248“ neun verschiedene Kriterien aufgestellt. Wenn mindestens zwei davon vorliegen, ist ein hohes Risiko für die betreffende Datenverarbeitung anzunehmen:

  • Evaluierung- bzw. Scoring-Maßnahmen
  • automatisierte Entscheidung mit rechtlicher Relevanz o. ä. Wirkung für den Betroffenen (z. B. Profiling)
  • systematische Beobachtung von Betroffenen
  • Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9, 10 DSGVO)
  • in großem Umfang verarbeitete personenbezogene Daten
  • Abgleich bzw. Kombination verschiedener Datensätze
  • personenbezogene Daten verletzlicher Datensubjekte (z. B. von Prominenten oder Kindern)
  • Einsatz neuartiger Lösungen / Technologien
  • Übermittlung von personenbezogenen Daten in unsichere Drittstaaten
  • Datenverarbeitungen, die Betroffene davon abhalten, ihre Rechte geltend zu machen oder einen Dienst bzw. Vertrag zu nutzen

Wenn du also beispielsweise planst, ein neuartiges KI-System zur automatisierten Auswahl von Bewerbern einzusetzen und dabei Kriterien, wie etwa das Tragen einer Brille, eine Rolle spielen, erfüllst du jedenfalls zwei der genannten Kriterien und wärst voll in der DSFA-Pflicht.

Tipp

Working Paper 248 zum Download

Das „Working Paper 248“ der Art.-29-Gruppe kann beispielsweise auf der Website des Bayerischen Landesbeauftragen für Datenschutz kostenfrei heruntergeladen werden.

So funktioniert eine Datenschutz-Folgenabschätzung

Wenn du zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet bist, musst du zunächst deinen DSB – sofern vorhanden und noch nicht geschehen – hinzuziehen und die DSFA durchführen. Hierbei handelt es sich um ein mehr oder weniger umfangreiches Dokument mit bestimmten Pflichtinhalten. Nach Maßgabe von Art. 35 Abs. 7 Datenschutz-Grundverordnung (DSGVO) sind für eine Datenschutz-Folgenabschätzung folgende Angaben zu leisten:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, ggf. einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen,
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der entsprechende Nachweis dafür erbracht wird.

Tipp

PIA-Tool für die erleichterte Umsetzung

Um dir die Umsetzung einer Datenschutz-Folgenabschätzung in der Praxis zu erleichtern, empfiehlt es sich, das sog. PIA-Tool der französischen Aufsichtsbehörde CNIL zu verwenden. Dieses liegt u. a. in einer deutschen Sprachfassung vor, ist kostenfrei nutzbar und führt dich schrittweise durch eine DSFA. Zudem enthält es eine Beispiel-Datenschutz-Folgenabschätzung sowie ergänzende Informationen zum Thema.

Info

Schutz hinweisgebender Personen durch das Hinweisgeberschutzgesetz (HinSchG): Datenschutz-Folgenabschätzung

Bei Informationen, die durch ein Hinweisgebersystem von hinweisgebenden Personen zur Verfügung gestellt werden, ist Vorsicht geboten. Insbesondere beschäftigt sich das Hinweisgeberschutzgesetz (HinSchG) mit dem Schutz personenbezogener Daten der Hinweisgeber. Somit kann auch eine Datenschutz-Folgenabschätzung eines Hinweisgebersystems erforderlich werden.

Datenschutz-Folgenabschätzung: Wann ist die Aufsichtsbehörde zu informieren?

Ergibt die Schwellwertanalyse, dass ein hohes Risiko besteht, und ergibt die anschließende Datenschutz-Folgenabschätzung, dass keine Maßnahmen getroffen werden können, um ein solches zu senken, dann musst du die für dich zuständige Aufsichtsbehörde darüber informieren. Diese hat dann zu entscheiden, ob ggf. doch geeignete Maßnahmen getroffen werden können, um die (geplante) Datenverarbeitung ein- bzw. durchzuführen. Zu diesem Zweck musst du der Behörde bestimmte Mindestinformationen zur Verfügung stellen (Art. 36 Abs. 3 DSGVO), wie etwa die Zwecke der Verarbeitung, die dokumentierte DSFA oder auch ggf. die Kontaktdaten des Datenschutzbeauftragten. Die Aufsichtsbehörde kann dir dann die Ein- bzw. Durchführung des Verarbeitungsvorgangs gestatten, falls Sie deine Risikoeinschätzung nicht teilt. Oder sie kann dir bestimmte Maßnahmen auferlegen, mit denen das Risiko gesenkt werden kann. Letztlich kann die Aufsichtsbehörde dir aber auch gänzlich untersagen, den geprüften Prozess ein- bzw. weiter durchzuführen.

Tipp

DFSA: Weiterführende Informationen

Weiterführende Informationen rund um das Thema Datenschutz-Folgenabschätzung finden sich u. a. auf der Website der IHK München.