Datenschutz-Folgenabschätzung
Strukturierte Risikoanalyse nach Art. 35 DSGVO, die vor Verarbeitungen mit voraussichtlich hohem Risiko für Betroffene durchgeführt werden muss.
Die Datenschutz-Folgenabschätzung (DSFA, englisch DPIA — Data Protection Impact Assessment) ist das zentrale Risikoinstrument der DSGVO. Artikel 35 verpflichtet Verantwortliche, vor Beginn einer Verarbeitung eine strukturierte Folgenabschätzung vorzunehmen, wenn diese voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Anders als das Verarbeitungsverzeichnis, das jede Verarbeitung dokumentiert, betrifft die DSFA nur risikoreiche Konstellationen — sie ist tiefer, aber selektiver.
Wann eine DSFA Pflicht ist
Artikel 35 Absatz 3 nennt drei Regelbeispiele: systematische und umfassende Bewertung persönlicher Aspekte einschließlich Profiling, umfangreiche Verarbeitung besonderer Kategorien (Art. 9) oder strafrechtlicher Daten und die systematische Überwachung öffentlich zugänglicher Bereiche. Die deutschen Aufsichtsbehörden haben dies in der sogenannten Muss-Liste der Datenschutzkonferenz (DSK) konkretisiert — eine Positivliste mit Verarbeitungsarten, für die zwingend eine DSFA erforderlich ist. Dazu zählen unter anderem Verarbeitungen mit umfassendem Tracking, biometrische Erkennungsverfahren, KI-gestützte Bonitätsbewertungen und der Einsatz von LLM-Systemen für Personalentscheidungen.
Methodische Grundlagen
In der Praxis haben sich drei methodische Rahmenwerke etabliert. Der BSI-Standard 200-3 liefert eine an BSI Grundschutz anschlussfähige Risikoanalyse, die sich gut mit bestehenden Informationssicherheitsprozessen verzahnen lässt. ISO 29134 beschreibt einen herstellerneutralen, international anerkannten Prozess für Privacy Impact Assessments. Die französische Datenschutzaufsicht CNIL stellt mit ihrer PIA-Methodik samt frei verfügbarem Tool den am weitesten verbreiteten praktischen Leitfaden bereit. Welches Rahmenwerk genutzt wird, ist rechtlich offen — die Aufsichtsbehörden erwarten lediglich, dass die Methodik nachvollziehbar dokumentiert ist.
Prozessschritte
Eine vollständige DSFA durchläuft fünf Phasen. Zunächst wird die Verarbeitung systematisch beschrieben: Datenkategorien, Datenflüsse, Empfänger, Speicherorte und Aufbewahrungsfristen. Anschließend prüft das DSFA-Team die Notwendigkeit und Verhältnismäßigkeit — ob die Verarbeitung wirklich erforderlich ist und ob mildere Mittel ausscheiden. Die eigentliche Risikoanalyse identifiziert dann mögliche Schäden für Betroffene (etwa Diskriminierung, finanzielle Verluste, Identitätsdiebstahl) und bewertet Eintrittswahrscheinlichkeit und Schwere. Auf dieser Grundlage werden Schutzmaßnahmen festgelegt — technische wie Pseudonymisierung und Verschlüsselung, organisatorische wie Zugriffsbeschränkungen und Schulungen. Im letzten Schritt erfolgt die Bewertung des Restrisikos.
Konsultation der Aufsichtsbehörde
Bleibt nach allen Maßnahmen ein hohes Restrisiko bestehen, muss der Verantwortliche nach Artikel 36 die zuständige Aufsichtsbehörde konsultieren — bevor die Verarbeitung beginnt. Diese vorherige Konsultation ist in der Praxis selten, signalisiert aber, dass die DSFA nicht abgeschlossen ist, solange ein hohes Restrisiko ungelöst bleibt. Die Behörde antwortet innerhalb von acht Wochen, in komplexen Fällen verlängerbar auf vierzehn Wochen.
Zusammenspiel mit VVT und AVV
Die DSFA steht nicht isoliert. Sie baut auf dem Verzeichnis der Verarbeitungstätigkeiten auf — ohne sauberes VVT lässt sich gar nicht feststellen, welche Verarbeitungen DSFA-pflichtig sind. Werden externe Dienstleister einbezogen, fließen die Risiken der Auftragsverarbeitung über den AVV in die Bewertung ein. Bei KI-Verarbeitungen verzahnt sich die DSFA zudem mit der Konformitätsbewertung nach EU AI Act und bei kritischen Sektoren mit den Risikomanagementpflichten der NIS2-Richtlinie. Eine integrierte Betrachtung erspart Doppelarbeit und liefert konsistente Ergebnisse gegenüber unterschiedlichen Aufsichten.
Fortlaufende Pflicht
Eine DSFA ist kein Einmaldokument. Ändern sich Verarbeitungsumfang, eingesetzte Technologien oder die Risikolage, ist die Folgenabschätzung zu aktualisieren. Insbesondere der Einsatz neuer KI-Modelle, der Wechsel auf Cloud-Dienste in Drittstaaten oder die Erweiterung um neue Datenquellen sind klassische Auslöser für eine erneute Prüfung. Wer die DSFA-Anforderungen für eine Windows-11-Flotte mit aktivierten KI-Funktionen wie Recall oder Copilot konkret strukturieren möchte, findet im Leitfaden zur datenschutzkonformen Windows-11-Konfiguration eine Vorlage für die Plattform-spezifischen Risiken.