Datenschutz-Folgenabschätzung

Datenschutz-Folgenabschätzung

Kaltstart-Rückfragen

1. Welche konkrete Verarbeitungstätigkeit wird geplant — Zweck, Datenkategorien, Empfänger, Drittlandsbezug?
2. Werden besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO oder Daten zu strafrechtlichen Verurteilungen Art. 10 DSGVO verarbeitet?
3. Erfolgt automatisierte Entscheidung, Profiling oder systematische Überwachung öffentlich zugänglicher Bereiche?
4. Liegt die Verarbeitung auf der Muss-Liste der Datenschutzkonferenz oder der zuständigen Landesaufsicht?
5. Wer ist Verantwortlicher und wer Auftragsverarbeiter — liegt AVV nach Art. 28 DSGVO vor?

Anspruchsgrundlagen und Pflichten

• DSFA-Pflicht bei voraussichtlich hohem Risiko Art. 35 Abs. 1 DSGVO; Beispielfälle Art. 35 Abs. 3 DSGVO.
• Vorherige Konsultation der Aufsichtsbehörde Art. 36 DSGVO bei verbleibendem hohem Risiko trotz Schutzmaßnahmen.
• Einbeziehung des Datenschutzbeauftragten Art. 35 Abs. 2 DSGVO.
• Verzeichnis von Verarbeitungstätigkeiten Art. 30 DSGVO.
• Rechtmäßigkeit der Verarbeitung Art. 6 DSGVO bzw. Art. 9 DSGVO.
• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Beweislast und Frist

• Verantwortlicher trägt die Rechenschaftspflicht Art. 5 Abs. 2 DSGVO und muss DSFA dokumentieren.
• Konsultation Art. 36 DSGVO: Aufsichtsbehörde antwortet innerhalb von acht Wochen, verlängerbar um sechs Wochen.
• Sanktionen bei Pflichtverstoß bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes Art. 83 Abs. 4 DSGVO.

Prüfschema DSFA

1. Schwellwertanalyse — DSFA-Pflicht ja/nein
2. Systematische Beschreibung der Verarbeitung
3. Notwendigkeit und Verhaeltnismaessigkeit Art. 35 Abs. 7 lit. b DSGVO
4. Risikobewertung fuer Betroffene (Eintrittswahrscheinlichkeit x Schwere)
5. Geplante Abhilfemassnahmen TOM Art. 32 DSGVO
6. Restrisiko hoch — Konsultation Art. 36 DSGVO
7. Dokumentation in Verarbeitungsverzeichnis Art. 30 DSGVO
8. Periodische Ueberpruefung

Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen; Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff.

Schreibvorlage Konsultationsanfrage Art. 36 DSGVO

An die Aufsichtsbehoerde fuer den Datenschutz [Land]

Konsultation nach Art. 36 DSGVO — Az. (intern) [...]

Sehr geehrte Damen und Herren,

als Verantwortlicher zeigen wir gemaess Art. 36 Abs. 1 DSGVO an dass die
geplante Verarbeitungstaetigkeit [Bezeichnung] trotz der getroffenen
Abhilfemassnahmen ein verbleibendes hohes Risiko fuer die Rechte und
Freiheiten natuerlicher Personen aufweist.

Beigefuegt sind nach Art. 36 Abs. 3 DSGVO:
- Verantwortlichkeiten (Verantwortlicher Auftragsverarbeiter DSB)
- Zwecke und Mittel der Verarbeitung
- Schutzmassnahmen Art. 32 DSGVO
- Ergebnisse der DSFA nach Art. 35 Abs. 7 DSGVO
- Verzeichnis nach Art. 30 DSGVO

Wir bitten um schriftliche Empfehlung innerhalb der Frist des Art. 36
Abs. 2 DSGVO.

Mit freundlichen Gruessen

Übergabe

• Bei Konsultationspflicht: Versand an Aufsicht und Eintrag der Achtwochen-Frist.
• DSFA in Datenschutzakte ablegen und an DSB übergeben.
• Bei Verstoß-Erkennung Meldung Art. 33 DSGVO innerhalb 72 Stunden prüfen.

Aktuelle Rechtsprechung (v14.2)

• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Faktische Updates (Stand 05/2026)

• FRIA (Art. 27 KI-VO) — ab 02.08.2026: Bei Hochrisiko-KI-Systemen muessen bestimmte Betreiber (oeffentliche Stellen, oeffentlich-finanzierte Dienste, Kreditscoring, Krankenversicherungs-Risikobewertung) eine Grundrechte-Folgenabschaetzung durchfuehren. Integriert mit DSFA moeglich, rechtlich aber eigenstaendig.
• EDSA-Stellungnahme 28/2024 zu KI-Modellen: Bei KI-Modellen, die mit personenbezogenen Daten trainiert wurden, sind Anonymitaet, Pseudonymisierung, Modellausgaben mit Personenbezug und Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) zu pruefen. Quelle: edpb.europa.eu.
• Aktualisierte BfDI/LfDI-Blacklists Art. 35 Abs. 4 DSGVO: vor jeder DSFA aktuelle Listen live pruefen.
• NIS-2 / DORA Schnittstelle: Bei Hochrisiko-Verarbeitungen mit IT-Sicherheits-Bezug parallele Cyber-Risikobewertung dokumentieren.

Triage zu Beginn

1. Welche EDSA-Kriterien sind erfüllt? (Mindestens 2 für DSFA-Pflicht)
2. Steht die Verarbeitung auf der BfDI- oder DSK-Blacklist?
3. Liegt ein KI-System vor? (FRIA nach Art. 27 KI-VO parallel zur DSGVO-DSFA)
4. Ergebnis: DSFA PFLICHT / DSFA EMPFOHLEN / KEINE DSFA?

Output-Template — DSFA-Kurzprotokoll

Adressat: DSB / Aufsichtsbehörde — Tonfall: sachlich-juristisch

DSFA-Kurzprotokoll [DATUM]
Verarbeitungsvorgang: [BEZEICHNUNG]
Verantwortlicher: [NAME]
DSFA-Pflicht: JA (EDSA-Kriterien: [LISTE]) / NEIN

Risikobewertung (Vor Maßnahmen):
- Wahrscheinlichkeit: hoch / mittel / gering
- Schwere: hoch / mittel / gering

Maßnahmen: [LISTE]

Restrisiko: AKZEPTABEL / VORAB-KONSULTATION Art. 36 DSGVO erforderlich

Genehmigt von: [FUNKTION, NAME]