DatenschutzCheck Logo DatenschutzCheck Kontakt aufnehmen
Kontakt aufnehmen

Datenschutzfolgenabschätzung durchführen

Du brauchst eine DSFA? Wir zeigen dir, wann sie erforderlich ist, wie du sie strukturierst, und welche Risiken du dokumentieren musst. Mit praktischen Beispielen für häufige Szenarien.

12 min Lesezeit Fortgeschrittene März 2026
Person füllt Datenschutzfolgenabschätzungs-Formular am Laptop aus

Was ist eine DSFA eigentlich?

Die Datenschutzfolgenabschätzung (DSFA) — im Englischen Data Protection Impact Assessment (DPIA) — ist ein systematischer Prozess, um Risiken bei der Datenverarbeitung zu identifizieren und zu dokumentieren. Sie ist nicht einfach ein Formular, das du abhakst. Es geht darum, wirklich zu verstehen, was du mit Daten tust und wo Probleme entstehen können.

Seit der DSGVO 2018 ist die DSFA ein wichtiges Werkzeug. Aber hier’s das Ding: Viele Unternehmen machen sie zu kompliziert. Die gute Nachricht? Du kannst das auch einfacher angehen — wenn du weißt, worauf es ankommt.

Teamdiskussion zu Datenschutzmaßnahmen in modernem Büroumfeld

Wann brauchst du eine DSFA wirklich?

Das ist die Frage, die viele falsch beantworten. Die DSGVO sagt: Du musst eine DSFA durchführen, wenn eine Verarbeitung ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringt. Das klingt vage, ist es aber nicht.

1
Systematische Überwachung

Wenn du Personen systematisch überwachst — ob am Arbeitsplatz, mit Kameras oder Tracking-Tools — ist eine DSFA erforderlich.

2
Automatisierte Entscheidungen

Algorithmen, die über Kreditwürdigkeit, Bewerbungen oder Versicherungen entscheiden — das erfordert eine DSFA.

3
Große Datenmengen von vielen Menschen

Wenn du sensible Daten von Tausenden von Personen verarbeitest — besonders Gesundheit, Finanzen oder Biometrie.

4
Neue oder innovative Verfahren

KI-gestützte Analyse, Gesichtserkennung oder neue Datenquellen — das ist neu und braucht eine DSFA.

Wenn du dir unsicher bist: Lieber eine DSFA machen als nicht. Eine zu viel schadet nicht. Aber eine zu wenig kann dich in Probleme bringen.

Compliance-Checkliste und Risikoanalyse-Dokumente auf Schreibtisch
Strukturierter Aufbau einer Datenschutzfolgenabschätzung mit mehreren Ebenen

Die DSFA-Struktur: So baust du sie auf

Eine gute DSFA folgt einer klaren Struktur. Das macht sie nicht nur verständlicher — es hilft auch bei der Datenschutzbehörde, wenn es Fragen gibt.

Schritt 1: Beschreibung der Verarbeitung

Erkläre, was du mit den Daten tust. Sei konkret: Welche Daten? Von wem? Wie lange speicherst du sie? Wer hat Zugriff? Schreib auf, als würdest du es einem Anfänger erklären — nicht mit technischem Jargon, sondern verständlich.

Schritt 2: Zweck und Rechtfertigung

Warum machst du das? Was ist der geschäftliche oder rechtliche Grund? Welche Rechtsgrundlage hast du (Vertrag, Zustimmung, Gesetz)? Hier wird es ernst — die Behörde schaut genau hin, ob dein Zweck legitim ist.

Schritt 3: Identifizierung der Risiken

Das ist der Kern einer DSFA. Frag dich: Was könnte schiefgehen? Unbefugter Zugriff? Datenlecks? Falsche Entscheidungen durch Algorithmen? Schreib auf, welche Risiken du siehst — und für wen (die betroffenen Personen). Je konkreter, desto besser.

Schritt 4: Maßnahmen zur Risikominderung

Jetzt greifst du an: Was tust du gegen diese Risiken? Verschlüsselung? Zugriffskontrolle? Schulungen für Mitarbeiter? Dokumentiere jede Maßnahme und wann du sie umgesetzt hast.

Schritt 5: Bewertung und Fazit

Resümiere: Sind die Risiken nach deinen Maßnahmen akzeptabel? Brauchst du noch mehr tun? Gibt es noch Restrisiken, die du dulden musst? Schreib es auf.

Risiken dokumentieren: Praktische Beispiele

Hier sind Szenarien, die du häufig siehst. Und wie du die Risiken dokumentierst.

Beispiel 1: Kundenkundendatenbank mit Analytics

Das Szenario: Du speicherst E-Mails, Namen, Kaufhistorie von 50.000 Kunden und analysierst ihr Verhalten mit einem Tool von dritter Stelle.

Risiken: Unbefugter Zugriff auf die Kundenliste? Datenleck beim Drittanbieter? Falsche Profilbildung durch den Algorithmus?

Maßnahmen: Verschlüsslung der Kundendaten in deinem System. Datenschutzvereinbarung (Vertrag) mit dem Analytics-Anbieter. Verschlüsselung bei Übertragung. Zugriffskontrolle — nur Marketing-Team darf die Kundenliste sehen.

Beispiel 2: Mitarbeiter-Überwachung per GPS

Das Szenario: Du trackst die Standorte von 200 Außendienstmitarbeitern in Echtzeit.

Risiken: Daten könnten gehackt werden. Manager könnten Standorte missbrauchen (Überwachung außerhalb der Arbeitszeit). Psychische Belastung der Mitarbeiter durch ständige Kontrolle.

Maßnahmen: Klare Betriebsrat-Vereinbarung. Daten löschen nach 24 Stunden. Nur Manager, nicht CEO, hat Zugriff. Mitarbeiter können sich bei Bedarf abmelden. Transparente Kommunikation darüber, warum das nötig ist.

Beispiel 3: KI für Bewerbungsauswahl

Das Szenario: Du nutzt einen KI-Algorithmus, um CVs zu filtern — 1.000 Bewerbungen pro Monat.

Risiken: Der Algorithmus könnte diskriminieren (zu viele männliche Kandidaten auswählen wegen historischer Trainingsdaten). Bewerber haben keine Chance zu verstehen, warum sie abgelehnt wurden. Daten könnten gehackt werden.

Maßnahmen: Regelmäßige Tests auf Bias im Modell. Menschliches Review aller Topkandidaten. Transparenzbericht für Bewerber (was ist dein Rechtsgrundlage). Daten nach 6 Monaten löschen.

Risikoanalyse-Matrix mit verschiedenen Schweregradfaktoren

Best Practices für deine DSFA

Das macht den Unterschied zwischen einer mittelmäßigen und einer wirklich guten DSFA.

Beteilige die richtigen Leute

Nicht nur der Datenschutzbeauftragte. Hol den IT-Chef, den Business-Owner und einen Jurist an den Tisch. Je mehr Perspektiven, desto bessere Risiken identifizierst du.

Sei spezifisch, nicht allgemein

“Sicherheitsrisiko” ist zu vage. Besser: “Risiko eines SQL-Injection-Angriffs durch nicht validierte Eingabefelder in der Kundenregistrierung”. Konkrete Risiken konkrete Lösungen.

Update regelmäßig

Eine DSFA ist kein einmaliger Prozess. Wenn sich die Verarbeitung ändert (neue Datenquelle, neuer Partner), aktualisiere deine DSFA. Behörden schauen, ob deine DSFA noch aktuell ist.

Dokumentiere alles

Datum, wer war dabei, welche Entscheidungen, welche Maßnahmen, wer ist verantwortlich. Das ist dein Nachweis, dass du es ernst nimmst.

Konsultiere die Behörde, wenn nötig

Wenn die Risiken wirklich hoch sind (besonders bei neuen KI-Anwendungen), schreib der Datenschutzbehörde deines Bundeslandes und frag: “Sollte ich das so machen?” Frühe Rückmeldung hilft.

Schulungen für Mitarbeiter

Deine beste Maßnahme ist oft der Mensch. Wenn dein Team weiß, wie man mit Daten umgeht, sinkt das Risiko von Lecks dramatisch. Schule dein Team mindestens einmal pro Jahr.

Werkzeuge und Vorlagen

Du musst die Arbeit nicht von Grund auf machen. Es gibt bewährte Vorlagen und Tools.

Offizielle Vorlagen der Behörden

Viele Datenschutzbehörden bieten Vorlagen kostenlos an — z.B. Bayern-LDA oder BfDI. Diese folgen genau dem Standard und sind anerkannt.

DSFA-Software

Tools wie Compliance-Manager oder DataGuidance helfen, den Prozess zu strukturieren. Sie kosten Geld, aber sparen Zeit bei großen Organisationen.

Excel-Template

Für kleinere Unternehmen reicht oft ein gut strukturiertes Excel-Sheet. Tabellen für Beschreibung, Risiken, Maßnahmen, Status.

Fazit: Eine DSFA ist keine Pflicht-Übung

Eine gute DSFA schützt dein Unternehmen. Sie zeigt Datenschutzbehörden, dass du es ernst nimmst. Und sie hilft deinem Team, Datenlecks zu vermeiden, bevor sie passieren.

Fang damit an, die Verarbeitung zu verstehen — wirklich verstehen. Identifiziere konkrete Risiken, nicht allgemeine. Ergreife Maßnahmen und dokumentiere alles. Dann hast du eine DSFA, auf die du stolz sein kannst.

Und wenn du unsicher bist: Der Datenschutzbefragte (Datenschutzbeauftragte oder externer Berater) ist dein Freund. Es ist besser, früh Fragen zu stellen als später Probleme zu bekommen.

Brauchst du Unterstützung?

Wenn du Fragen zur DSFA oder zur Compliance hast, wir sind hier um zu helfen.

Nachricht schreiben

Rechtlicher Hinweis

Dieser Artikel bietet allgemeine Informationen zur Datenschutzfolgenabschätzung nach der DSGVO. Es ist keine Rechtsberatung. Jede Organisation hat unterschiedliche Anforderungen. Wenn du unsicher bist, ob eine DSFA erforderlich ist oder wie du sie durchführst, konsultiere einen Datenschutzexperten oder deine zuständige Datenschutzbehörde. Die Anforderungen können zwischen Bundesländern und Branchen unterschiedlich sein.

Verwandte Artikel

Dokumentenüberprüfung bei der Datenschutz-Audit-Durchführung

Datenschutz-Audit verstehen

Schritt für Schritt erklären wir, wie interne und externe Audits ablaufen, welche Dokumentation du brauchst und was die Prüfer wirklich überprüfen.

Mehr erfahren
Organisiertes Verarbeitungsverzeichnis mit strukturierten Dateien

Verarbeitungsverzeichnis richtig anlegen

Das Verarbeitungsverzeichnis ist das Herzstück deiner Dokumentation. Erfahre, welche Informationen du erfassen musst und wie du es aktuell hältst.

Mehr erfahren
Compliance-Checkliste auf Tablet-Bildschirm zur Selbstüberprüfung

Compliance-Überprüfung selbst durchführen

Überprüfe deine Compliance proaktiv, bevor ein externer Audit kommt. Hier findest du eine praktische Checkliste für deine eigene Bewertung.

Mehr erfahren