DSFA (Datenschutz-Folgenabschätzung)

Datenschutz-Folgenabschätzung nach Art. 35 DSGVO — Pflicht bei voraussichtlich hohem Risiko

· Kategorie: DSGVO · Compliance-Kit
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 35 DSGVO Pflicht, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt — z. B. systematische Bewertung, Verarbeitung sensibler Daten in großem Umfang, systematische Überwachung öffentlich zugänglicher Bereiche.

Was ist DSFA (Datenschutz-Folgenabschätzung)?

Die DSFA ist nicht für jede Verarbeitung Pflicht. Sie greift erst, wenn eine Schwellwertanalyse 'voraussichtlich hohes Risiko' indiziert. Die Aufsichtsbehörden veröffentlichen Muss-Listen (z. B. DSK 'Liste der Verarbeitungsvorgänge mit zwingender DSFA' 10/2018), die folgende Indikatoren nennen: systematische Bewertung, große Mengen sensibler Daten (Art. 9), systematische Überwachung, neue Technologien (KI, Biometrie), Vulnerable Personen (Kinder, Patienten), Datenübermittlung in Drittländer ohne Angemessenheitsbeschluss.

Inhalt einer DSFA (Art. 35 Abs. 7): Beschreibung der Verarbeitung, Notwendigkeitsprüfung, Risikobewertung, Maßnahmen zur Risikominderung.

Praxisbeispiel

Ein E-Commerce-Unternehmen führt ein KI-basiertes Empfehlungssystem ein, das Nutzungsmuster analysiert. Vor Inbetriebnahme wird eine DSFA durchgeführt:

  1. Systematische Beschreibung: welche Daten, woher, wofür, wie lange
  2. Notwendigkeitsprüfung: wäre weniger eingreifender Ansatz möglich?
  3. Risikobewertung: Profiling, Diskriminierungsrisiko, Zweckentfremdung
  4. Mitigation: Pseudonymisierung, Opt-out, Bias-Test, Aufbewahrungsfrist 90 Tage
  5. DSB-Konsultation, BR-Information

Häufig gestellte Fragen

Wann ist eine DSFA für KI-Systeme zwingend?
Bei Hochrisiko-KI nach Anhang III EU AI Act ist seit 02.02.2025 eine FRIA (Art. 27) Pflicht. Für die DSGVO-Seite ergänzt die DSFA nach Art. 35 — beide Assessments können miteinander integriert werden (Art. 26 Abs. 9 KI-VO).
Reicht eine einmalige DSFA?
Nein. Die DSFA ist ein lebendes Dokument. Bei wesentlichen Änderungen der Verarbeitung muss sie neu durchgeführt werden. Praxisstandard: 12-Monats-Review.
Muss die Aufsichtsbehörde konsultiert werden?
Nur wenn die DSFA ein hohes Restrisiko ergibt, das nicht beherrschbar ist (Art. 36). Konsultationsdauer: 8 Wochen, verlängerbar.

Siehe auch