DSFA-Muster nach Art. 35 DSGVO: Vorlage, Schwellwert, Prüfpfad

Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 35 DSGVO immer dann Pflicht, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Datenschutzkonferenz (DSK) hat dazu eine Liste von Verarbeitungstätigkeiten veröffentlicht, für die zwingend eine DSFA durchzuführen ist, etwa Scoring, biometrische Identifikation oder umfassendes Mitarbeiter-Monitoring. Wer hier ohne dokumentierte Bewertung verarbeitet, riskiert nach Art. 83 Abs. 4 DSGVO Bußgelder von bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Konzernumsatzes des Vorjahres, je nachdem welcher Betrag höher ist.

Dieser Beitrag liefert die Struktur eines belastbaren DSFA-Musters, die Schwellwertanalyse als Vorstufe, die Pflicht zur Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO sowie eine Checkliste, wie Sie die Prüfung in der Compliance-Plattform und Officer-as-a-Service von CIVAC revisionssicher hinterlegen. Sie erfahren, welche neun Bestandteile ein vollständiges Muster mindestens umfasst, wie Sie die WP248-Kriterien der Europäischen Datenschutzaufsichtsbehörden in eine Schwellwertanalyse übersetzen und wie Sie den DSFA-Prozess mit dem Verarbeitungsverzeichnis nach Art. 30 DSGVO und dem Risikoregister Ihrer Organisation verzahnen. Ergänzend zeigen wir, wie sich KI-spezifische Anforderungen aus dem EU AI Act sauber integrieren lassen. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Die Pflicht zur Datenschutz-Folgenabschätzung ergibt sich direkt aus Art. 35 Abs. 1 DSGVO. Maßgeblich ist die Prognose, ob die geplante Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Art. 35 Abs. 3 DSGVO nennt drei Regelbeispiele: systematische und umfassende Bewertung persönlicher Aspekte wie Profiling oder Scoring, umfangreiche Verarbeitung besonderer Kategorien nach Art. 9 DSGVO oder strafrechtlicher Daten nach Art. 10 DSGVO, sowie systematische Überwachung öffentlich zugänglicher Bereiche. Diese drei Konstellationen lösen die DSFA-Pflicht zwingend aus, ohne dass es einer weiteren Bewertung bedarf.

Ergänzend hat die Datenschutzkonferenz eine sogenannte Muss-Liste veröffentlicht, die unter anderem KI-gestützte Bewerberauswahl, biometrische Zugangskontrollen, Standortdatenverarbeitung im Beschäftigtenkontext, umfangreiches Mitarbeiter-Monitoring und Bonitätsscoring umfasst. Die EU-Datenschutzaufsichtsbehörden haben mit den Leitlinien WP248 (EDSA, ehemals Art.-29-Gruppe) neun Kriterien entwickelt, von denen bereits zwei eine DSFA-Pflicht auslösen. Diese Kriterien sind in der Aufsichtspraxis verbindlicher Bewertungsmaßstab.

Für die Praxis bedeutet das: Jede neue Verarbeitung, jedes neue System und jeder Dienstleisterwechsel ist zunächst über eine Schwellwertanalyse zu prüfen. Diese Vorstufe ist selbst Dokumentationspflicht und gehört in das Verarbeitungsverzeichnis nach Art. 30 DSGVO. Der externe Datenschutzbeauftragte berät bei der Bewertung, die Verantwortung trägt nach Art. 24 DSGVO jedoch die Geschäftsleitung. Wer die Schwellwertanalyse überspringt, kann den später erforderlichen Nachweis der Risikoabwägung nicht erbringen und scheitert bereits an der formellen Hürde der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. In der Aufsichtspraxis führt allein die fehlende Schwellwertanalyse regelmäßig zu förmlichen Beanstandungen, weil sich daraus ableitet, dass der Verantwortliche keine systematische Risikobewertung seiner Verarbeitungslandschaft betreibt.

Die Schwellwertanalyse beantwortet eine einzige Frage: Liegt voraussichtlich ein hohes Risiko vor und muss damit eine vollständige DSFA folgen? Sie ist kein offizieller Begriff der DSGVO, hat sich in der Aufsichtspraxis aber als verbindlicher Zwischenschritt etabliert. Die Datenschutzkonferenz empfiehlt, die neun WP248-Kriterien strukturiert abzufragen: Bewertung oder Scoring, automatisierte Entscheidung mit Rechtsfolge, systematische Überwachung, sensible Daten oder höchstpersönliche Daten, umfangreiche Verarbeitung, Verknüpfung von Datensätzen, Daten schutzbedürftiger Personen wie Kinder oder Patienten, innovative Nutzung neuer Technologien sowie Verarbeitungen, die Betroffene an der Ausübung von Rechten hindern. Jedes Kriterium ist mit konkreten Beispielen zu unterlegen und nicht nur mit Ja oder Nein zu beantworten.

Erfüllt eine Verarbeitung mindestens zwei dieser Kriterien, gilt das hohe Risiko als indiziert und die DSFA wird Pflicht. Die Schwellwertanalyse selbst sollte als kurzes, datiertes Formular abgelegt werden, idealerweise mit Versionierung, Verfasser und Freigabe durch den Datenschutzbeauftragten. In der CIVAC-Plattform liegt dafür eine Vorlage im Workspace, die direkt mit dem Verarbeitungsverzeichnis verknüpft ist und automatisch einen Audit-Trail erzeugt. Jede Änderung wird protokolliert, jeder Bewerter identifiziert, jede Freigabe mit Zeitstempel hinterlegt.

Wichtig ist die Abgrenzung: Eine negative Schwellwertanalyse mit der Begründung Es handelt sich um Standardverarbeitung ist riskant, wenn die Verarbeitung auf der DSK-Muss-Liste steht. Hier gilt: Im Zweifel die DSFA durchführen. Der Aufwand für eine schlanke DSFA mit ausreichend dokumentierten Maßnahmen liegt typischerweise bei 8 bis 16 Personenstunden, der Nachweiswert in einer Aufsichtsprüfung ist demgegenüber hoch. Bestellurkunde, unterschrieben, abgelegt, belegbar gilt auch für die Schwellwertanalyse selbst, denn sie ist Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und kann von der Aufsichtsbehörde nach Art. 58 Abs. 1 lit. a DSGVO jederzeit angefordert werden.

Art. 35 Abs. 7 DSGVO definiert vier Mindestbestandteile, die jede DSFA enthalten muss. Erstens: eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Verarbeitungszwecke einschließlich der vom Verantwortlichen verfolgten berechtigten Interessen. Zweitens: eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck. Drittens: eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen. Viertens: die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis der Einhaltung der DSGVO erbracht wird.

Ein belastbares Muster gliedert sich daher in mindestens neun Abschnitte: Stammdaten der Verarbeitung mit Verantwortlichem und gemeinsamem Verantwortlichen nach Art. 26 DSGVO, Rechtsgrundlage nach Art. 6 oder Art. 9 DSGVO, Datenflussbeschreibung mit Quellsystemen und Empfängern, Betroffenenkreis und Datenkategorien, Empfänger und Drittlandtransfer mit Garantien nach Kapitel V DSGVO, technisch-organisatorische Maßnahmen nach Art. 32 DSGVO, Risikoanalyse mit Eintrittswahrscheinlichkeit und Schadenshöhe, Maßnahmenkatalog mit Restrisikobewertung sowie Freigabevermerk der Geschäftsleitung und des DSB.

Die Risikobewertung erfolgt typischerweise in einer Matrix mit den Dimensionen Eintrittswahrscheinlichkeit (gering, mittel, hoch) und Schwere des Schadens (gering, mittel, hoch, sehr hoch). Diese Methodik orientiert sich an ISO/IEC 29134:2017 (Guidelines for Privacy Impact Assessment), die als technische Referenz auch von der Aufsichtspraxis akzeptiert wird. Ergänzend liefert das Standard-Datenschutzmodell (SDM) der Datenschutzkonferenz mit seinen sieben Gewährleistungszielen Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit und Nichtverkettbarkeit einen strukturierten Bewertungsrahmen. Wer das DSFA-Muster sauber strukturiert und mit den 490 Audit-Vorlagen aus dem CIVAC-Workspace verknüpft, schafft die Grundlage für reproduzierbare Bewertungen und einen kohärenten Prüfpfad über alle Verarbeitungen hinweg.

Die DSFA ist Sache des Verantwortlichen, also der Geschäftsleitung. Art. 35 Abs. 2 DSGVO verpflichtet jedoch dazu, den Rat des Datenschutzbeauftragten einzuholen, sofern ein DSB benannt ist. Der DSB überwacht nach Art. 39 Abs. 1 lit. c DSGVO die Durchführung der DSFA, führt sie jedoch nicht selbst durch. Die Verantwortung verbleibt im Fachbereich, der die Verarbeitung plant und betreibt. Diese Rollentrennung ist wichtig: Würde der DSB selbst die DSFA erstellen, würde er sich selbst kontrollieren, was nach Art. 38 Abs. 6 DSGVO einen Interessenkonflikt darstellen kann.

Auftragsverarbeiter nach Art. 28 DSGVO sind nach Art. 28 Abs. 3 lit. f DSGVO verpflichtet, den Verantwortlichen bei der DSFA zu unterstützen, insbesondere durch Bereitstellung technischer Informationen, Audit-Berichten und vollständigen Sub-Auftragsverarbeiter-Listen. Diese Unterstützungspflicht muss im Auftragsverarbeitungsvertrag konkret geregelt sein, sonst kann der Verantwortliche die DSFA nicht vollständig durchführen. In der Praxis empfiehlt sich eine Klausel, die SLAs für die Bereitstellung dieser Informationen festlegt, etwa 10 Werktage nach schriftlicher Anforderung.

Bei Verarbeitungen mit Bezug zu Beschäftigtendaten ist außerdem der Betriebsrat einzubinden. Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die zur Überwachung des Verhaltens oder der Leistung der Arbeitnehmer bestimmt sind. Die DSFA bildet hier eine zentrale Argumentationsgrundlage in den Verhandlungen zur Betriebsvereinbarung und schützt vor späteren Einigungsstellenverfahren. Wer als Compliance-Beauftragter oder DSB die DSFA als Brückendokument zwischen Datenschutz, IT, Personal und Mitbestimmung nutzt, reduziert Reibung und beschleunigt Freigaben spürbar. In Konzernstrukturen kommt ergänzend der Konzernbetriebsrat ins Spiel, sobald die Verarbeitung mehrere Standorte oder Gesellschaften umfasst.

Ergibt die DSFA, dass die Verarbeitung trotz aller Abhilfemaßnahmen ein hohes Restrisiko aufweist, ist nach Art. 36 Abs. 1 DSGVO die zuständige Aufsichtsbehörde vor Aufnahme der Verarbeitung zu konsultieren. Diese Konsultationspflicht ist kein theoretisches Konstrukt: Die Aufsichtsbehörden in Deutschland berichten regelmäßig in ihren Tätigkeitsberichten über Konsultationsverfahren, in denen sie nach Art. 36 Abs. 2 DSGVO innerhalb von acht Wochen schriftliche Empfehlungen aussprechen. Die Frist kann unter Berücksichtigung der Komplexität der beabsichtigten Verarbeitung um sechs Wochen verlängert werden. Während der Konsultationsfrist darf die Verarbeitung nicht starten.

Die Konsultation erfordert nach Art. 36 Abs. 3 DSGVO konkrete Unterlagen: Beschreibung der Zuständigkeitsverteilung zwischen Verantwortlichem, gemeinsamen Verantwortlichen und Auftragsverarbeitern, Zwecke und Mittel der Verarbeitung, vorgesehene Maßnahmen und Garantien zum Schutz der Rechte und Freiheiten betroffener Personen, Kontaktdaten des DSB, die DSFA selbst und alle weiteren Informationen, die die Aufsichtsbehörde anfordert. Wer hier ohne strukturierte Vorlage in die Konsultation geht, verliert Zeit und signalisiert mangelnde Reife.

In der Praxis zeigt sich: Eine sauber dokumentierte DSFA reduziert die Wahrscheinlichkeit einer Konsultationspflicht deutlich, weil sie Restrisiken durch konkrete Maßnahmen herunterbricht. Die Konsultation ist Eskalationspfad, nicht Standardweg. Frist läuft ab Kenntnis der Risikoeinschätzung, also ab dem Tag, an dem die DSFA das hohe Restrisiko dokumentiert. Wer die Konsultation auslässt und die Verarbeitung trotzdem startet, verstößt gegen Art. 36 DSGVO und exponiert sich gegenüber Bußgeldern nach Art. 83 Abs. 4 DSGVO sowie Untersagungsverfügungen nach Art. 58 Abs. 2 lit. f DSGVO. Hinzu kommt das Reputationsrisiko: Untersagungsverfügungen sind nach landesrechtlichen Vorgaben teilweise öffentlich, was den Imageschaden über das reine Bußgeld hinaus erheblich vergrößert.

Die Aufsichtsbehörden veröffentlichen jährlich Tätigkeitsberichte, in denen typische DSFA-Schwächen genannt werden. Erstens: die fehlende Schwellwertanalyse. Viele Verantwortliche springen direkt in die DSFA, ohne den Auslöser zu dokumentieren. Folge: Bei Nachfrage lässt sich die Risikoprognose nicht reproduzieren, der Prüfpfad bricht ab. Zweitens: Copy-Paste-DSFAs aus dem Internet, die nicht auf die konkrete Verarbeitung zugeschnitten sind. Die Datenflussbeschreibung bleibt generisch, die Maßnahmen lesen sich wie ein TOM-Glossar, die Risikobewertung wirkt austauschbar.

Drittens: das Vergessen der Restrisikobewertung. Eine DSFA, die nur Risiken und Maßnahmen benennt, aber nicht beurteilt, ob die Maßnahmen ausreichen, ist unvollständig. Genau diese Bewertung ist der Anker für Art. 36 DSGVO. Viertens: keine Versionierung. Verarbeitungen ändern sich, Anbieter wechseln, neue Sub-Auftragsverarbeiter kommen hinzu. Eine DSFA ist ein lebendes Dokument, das mindestens jährlich zu reviewen ist, bei wesentlichen Änderungen sofort. Ohne Versionsverlauf ist nicht nachvollziehbar, welche Bewertungsversion zu welcher Verarbeitungsversion gehört.

Fünftens: die fehlende Verknüpfung mit dem Verarbeitungsverzeichnis nach Art. 30 DSGVO. DSFA und VVT gehören organisatorisch zusammen. Wer beide Register getrennt führt, riskiert Inkonsistenzen, die in jeder Prüfung sofort auffallen. Die CIVAC-Plattform verlinkt DSFA, VVT, Risikoregister und TOM-Dokumentation in einem System. Der Prüfer ruft an, der Nachweis liegt bereit. Eine sechste, oft unterschätzte Schwäche: keine Freigabe durch die Geschäftsleitung. Die DSFA ist eine Entscheidungsgrundlage, keine reine DSB-Übung. Ohne dokumentierte Freigabe fehlt der formelle Abschluss des Verfahrens, und im Bußgeldverfahren kann die Geschäftsleitung sich nicht mehr auf eine bewusste Risikoentscheidung berufen, was bei der Bemessung nach Art. 83 Abs. 2 DSGVO erschwerend wirkt.

Die DSGVO selbst nennt keine konkrete Aufbewahrungsfrist für DSFAs. Aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO leitet sich jedoch ab, dass die DSFA so lange aufzubewahren ist, wie die zugrundeliegende Verarbeitung andauert, plus ein angemessener Zeitraum für mögliche Nachforderungen der Aufsichtsbehörde. In der Praxis empfiehlt sich eine Aufbewahrungsfrist von mindestens drei Jahren nach Ende der Verarbeitung, in regulierten Branchen wie Finanzdienstleistung oder Gesundheitswesen auch fünf bis zehn Jahre, abgestimmt mit den jeweiligen sektorspezifischen Aufbewahrungsvorgaben aus HGB, AO und sektoralen Spezialgesetzen.

Entscheidend ist die Form der Ablage. Eine DSFA als Word-Datei auf einem persönlichen Laufwerk genügt der Rechenschaftspflicht nicht. Erforderlich sind: zentrale Ablage mit Zugriffskontrolle nach dem Need-to-know-Prinzip, Versionsverlauf, Änderungsprotokoll, Verknüpfung zum betroffenen Verarbeitungsvorgang und Freigabe-Workflow mit dokumentierten Entscheidungen. Der Workspace der CIVAC-Plattform erfüllt diese Anforderungen out of the box, inklusive EU-Datenresidenz und ISO/IEC 27001:2022-konformer Zugriffskontrolle mit den 93 Controls des aktuellen Standards.

Ein belastbarer Audit-Trail dokumentiert: Wer hat wann welche Version erstellt, wer hat freigegeben, welche Änderungen wurden vorgenommen, wann wurde die DSFA zuletzt reviewt, welche Folgemaßnahmen wurden abgeleitet. Diese Daten sind im Prüfungsfall der Unterschied zwischen einer ordnungsgemäßen Dokumentation und einer formellen Beanstandung. Bei Konzernstrukturen mit gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO ist zudem die Rollenverteilung in jeder DSFA-Version zu hinterlegen, damit nachvollziehbar bleibt, welcher Verantwortliche welchen Verarbeitungsschritt bewertet hat. Ergänzend empfiehlt sich eine Querverlinkung zu Vorfällen aus dem Datenpannen-Register nach Art. 33 DSGVO, damit Lessons Learned strukturiert in die nächste DSFA-Iteration einfließen können und sich Risikobewertungen sukzessive konkretisieren.

Mit dem EU AI Act sind seit August 2026 zusätzliche Pflichten für KI-Systeme zu beachten. Für Hochrisiko-KI-Systeme im Sinne von Anhang III des AI Act ist neben der DSFA nach Art. 35 DSGVO eine Grundrechte-Folgenabschätzung (FRIA) nach Art. 27 AI Act erforderlich, sobald der Bereitsteller eine Einrichtung des öffentlichen Rechts ist oder private Stellen öffentliche Aufgaben wahrnehmen. Beide Bewertungen überschneiden sich inhaltlich, sind aber rechtlich getrennt zu führen, weil sie unterschiedliche Schutzgüter adressieren: Die DSFA fokussiert auf personenbezogene Daten, die FRIA auf das gesamte Grundrechtebündel der Betroffenen.

Bei automatisierten Einzelentscheidungen nach Art. 22 DSGVO, etwa Scoring, Bonitätsbewertung oder algorithmische Bewerberauswahl, ist die DSFA besonders sorgfältig zu gestalten. Erforderlich sind: Beschreibung der Logik der automatisierten Entscheidung, Trainings- und Testdaten mit Herkunftsnachweis, Bias-Bewertung mit Metriken zu protected attributes, menschliche Aufsicht mit dokumentiertem Eingriffsverfahren, Anfechtungsrechte der betroffenen Person nach Art. 22 Abs. 3 DSGVO und Verfahren zur Korrektur fehlerhafter Entscheidungen. Die EDSA-Leitlinie zu automatisierten Entscheidungen (WP251) liefert hier die methodische Grundlage und ist Pflichtlektüre für jeden DSB, der KI-Verarbeitungen begleitet.

Wer als Verantwortlicher KI-gestützte Verarbeitungen einsetzt, sollte die DSFA frühzeitig im Lebenszyklus beginnen, idealerweise vor der Modellauswahl. Eine nachträgliche DSFA, die ein bereits produktives System rechtfertigen soll, ist methodisch fragwürdig und in der Aufsichtspraxis selten erfolgreich. Die CIVAC-Compliance-Plattform liefert für KI-Systeme eine erweiterte DSFA-Vorlage, die FRIA-Bausteine, Modellkarte, Risikoklassifikation nach AI Act und DSGVO-Bewertung in einem Dokument zusammenführt. So entsteht aus zwei Pflichten ein integrierter Prüfpfad, der zudem die Anforderungen aus Art. 9 AI Act zum Risikomanagementsystem bedient und gegenüber benannten Stellen, Marktüberwachungsbehörden und Datenschutzaufsicht konsistent vorgelegt werden kann.

Eine DSFA ist kein einmaliges Dokument, sondern ein laufender Prozess: Schwellwertanalyse, Risikobewertung, Freigabe, Review, Aktualisierung. Wer diesen Prozess in einer fragmentierten Werkzeuglandschaft betreibt, verliert Zeit und Nachweisqualität. CIVAC ist Compliance-Plattform und Officer-as-a-Service in einem System: 490 einsatzbereite Audit-Vorlagen, ein verknüpftes Verarbeitungsverzeichnis, ein revisionssicherer Workspace mit EU-Datenresidenz und ein ISO/IEC 27001:2022-konformes ISMS mit 93 Controls. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Im ersten Modell bekommen Ihr Datenschutzbeauftragter und der Fachbereich die DSFA-Vorlagen, die Schwellwertanalyse-Logik, die Risikomatrix und den Audit-Trail in einer Oberfläche, integriert in das Verarbeitungsverzeichnis und das Risikoregister. Im zweiten Modell übernimmt CIVAC die Bestellung als externer Datenschutzbeauftragter inklusive Bestellurkunde, Berichtslinie an die Geschäftsleitung und SLA von 2 Werktagen statt der branchenüblichen 2 bis 6 Wochen. Die Auswahl hängt von Ihrer internen Kapazität, der Komplexität Ihrer Verarbeitungen und der gewünschten Eskalationsgeschwindigkeit ab.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Wir antworten innerhalb von zwei Werktagen mit einer konkreten Empfehlung, ob Workspace-Lizenz oder externe Bestellung der schnellere Weg zu einer prüfungsfesten DSFA-Praxis in Ihrem Unternehmen ist. Mitgesendet wird eine kurze Bedarfsanalyse mit drei Fragen zur Verarbeitungslandschaft, damit das erste Gespräch unmittelbar substantiell wird und nicht in Discovery-Phasen versandet. Wenn Sie bereits eine DSFA in Arbeit haben, prüfen wir diese gerne als zweite Meinung und liefern eine strukturierte Lückenliste mit Verweis auf Art. 35 Abs. 7 DSGVO, die DSK-Kurzpapiere und die einschlägigen EDSA-Leitlinien. So entsteht aus einer formellen Pflicht ein belastbares Steuerungsinstrument für Ihre gesamte Verarbeitungslandschaft.