Eine DSFA Schritt für Schritt durchführen: Ein praxisnaher Leitfaden für Datenschutzteams
Eine Datenschutz-Folgenabschätzung sollte nicht jedes Mal von Neuem erfunden werden müssen. Ob Sie Ihre erste DSFA durchführen oder Folgenabschätzungen über 15 Tochtergesellschaften in verschiedenen Rechtsräumen vereinheitlichen wollen – dieser Leitfaden gliedert den Prozess in 7 klare Phasen, mit praktischen Entscheidungspunkten, Stakeholder-Checklisten und genau den Fragen, deren Beantwortung die Aufsichtsbehörden von Ihnen erwarten.
Entwickelt für Datenschutzbeauftragte, Compliance-Verantwortliche und Rechtsabteilungen, die den Datenschutz in komplexen Organisationen mit mehreren Gesellschaften steuern.
Warum die meisten DSFA scheitern – und worauf Aufsichtsbehörden tatsächlich achten
Diese drei strukturellen Probleme erklären, warum selbst gut gemeinte Datenschutzteams DSFA erstellen, die einer genauen Prüfung durch die Aufsichtsbehörde nicht standhalten würden.
Problem 01
Die Falle der Ad-hoc-Beurteilung
Die meisten Organisationen behandeln jede DSFA als einmalige Übung. Es gibt kein wiederholbares Rahmenwerk, sodass jede Beurteilung bei null beginnt. Die Qualität schwankt stark zwischen den Beurteilenden. Institutionelles Wissen geht verloren, sobald die Person, die die letzte Beurteilung geleitet hat, die Rolle wechselt, und das nächste Team erbt ein leeres Blatt statt einer Methodik.
Problem 02
Der blinde Fleck bei mehreren Gesellschaften
Für Organisationen mit Tochtergesellschaften, gemeinsam Verantwortlichen oder Aktivitäten in mehreren Rechtsräumen vervielfacht sich die Herausforderung. Verschiedene Gesellschaften legen den DSFA-Schwellenwert unterschiedlich aus. Eine Tochtergesellschaft führt Beurteilungen durch, die der irischen DPC genügen würden, nicht aber der französischen CNIL. Und niemand auf Konzernebene hat den Überblick darüber, welche Verarbeitungstätigkeiten beurteilt wurden und welche nicht.
Problem 03
Die Dokumentationslücke, die Millionen kostet
Aufsichtsbehörden wollen nicht nur sehen, dass Sie eine DSFA durchgeführt haben. Sie wollen sehen, wie Sie sie durchgeführt haben. Sie erwarten Nachweise einer systematischen Methodik, der Konsultation von Stakeholdern, dokumentierter Entscheidungen zur Risikominderung und einer laufenden Überprüfung. Eine DSFA, die als Word-Dokument auf dem Desktop einer Person liegt, besteht diese Prüfung jedes Mal nicht.
Die gute Nachricht: Ein gut strukturierter DSFA-Prozess ist nicht kompliziert. Er muss nur systematisch sein. Hier ist der 7-Phasen-Ansatz, den wir empfehlen – aufgebaut auf praktischer Erfahrung mit der Steuerung von Folgenabschätzungen über Dutzende Gesellschaften und Rechtsräume hinweg.
200+
Eingesparte Stunden bei der Verwaltung des Verarbeitungsverzeichnisses
Medtec verlagerte im ersten Jahr mit Priverion über 200 Stunden vom manuellen Pflegen des Verarbeitungsverzeichnisses auf die Vorbereitung der ISO 27001.
60%
Geringere Gesamtkosten gegenüber etablierten Plattformen
Basierend auf der gesellschaftsbasierten Preisgestaltung von Priverion im Vergleich zur Preisgestaltung pro Nutzer und pro Modul von OneTrust und ähnlichen Enterprise-Tools bei Bereitstellungen über mehrere Tochtergesellschaften.
3 Mt.
Dem Zeitplan voraus bei der ISO-27001-Zertifizierung
Medtec beschleunigte seine ISO-27001-Bereitschaft um drei Monate, dank der auditfertigen Nachweispakete und der automatisierten Dokumentation von Priverion.
Warum Mid-Market-Teams von OneTrust zu Priverion wechseln
OneTrust wurde für Compliance-Programme von Fortune-500-Konzernen mit Fortune-500-Budgets entwickelt. Wenn Sie den Datenschutz über 5–50 Gesellschaften steuern und keine ESG-Module oder Cookie-Einwilligung benötigen, sieht der Vergleich tatsächlich so aus.
Das typische Erlebnis mit einer Enterprise-Plattform
Preise, die mit Ihnen mitwachsen
Preise pro Nutzer und pro Modul bedeuten, dass Ihre Kosten jedes Mal steigen, wenn Sie eine neue Tochtergesellschaft anbinden oder ein Teammitglied hinzufügen. Budgetüberraschungen bei der Verlängerung werden zur Regel, nicht zur Ausnahme.
Komplexität, die Sie nicht verlangt haben
200+ Integrationen klingen beeindruckend, bis Sie merken, dass die meisten oberflächliche Konnektoren sind, die ständige Wartung erfordern. Gleichzeitig verlangt die Benutzeroberfläche ein dediziertes Admin-Team, nur damit der Betrieb läuft.
In den USA gehostete Dateninfrastruktur
In einer Welt nach Schrems II schafft das Hosting von Compliance-Daten auf US-Infrastruktur genau die Art von grenzüberschreitendem Übermittlungsrisiko, das Ihr Datenschutzprogramm eigentlich mindern soll.
Monate bis zur Betriebsbereitschaft
Mehrmonatige Einführungsprojekte mit dedizierten Beratern, bevor Sie überhaupt ein Compliance-Ergebnis sehen. Die Zeit bis zum Mehrwert wird in Quartalen gemessen, nicht in Wochen.
Das Priverion-Erlebnis
Planbare Preise, keine versteckten Kostenfallen
Bepreist nach Anzahl der Gesellschaften und Organisationsgrösse, nicht pro Nutzer oder pro Modul. Fügen Sie Teammitglieder über Tochtergesellschaften hinweg hinzu, ohne dass die Rechnung steigt. Ihr CFO wird die Planbarkeit zu schätzen wissen.
All-in-one-Plattform, einfachere Benutzeroberfläche
Verarbeitungsverzeichnis, DSFA, Lieferantenbeurteilungen, Bearbeitung von Betroffenenanfragen, Incident Management und Compliance mit dem AI Act in einer Plattform. Tiefe Integrationen mit HR, Beschaffung und IT-Asset-Management – den Systemen, die für Datenschutz-Workflows wirklich zählen.
In der Schweiz entwickelt, in der Schweiz gehostet, europäische Datenhaltung
Sämtliche Datenverarbeitung innerhalb der Schweizer Infrastruktur. Nicht bloss ein Häkchen zur Datenhaltung auf einer Einstellungsseite. Unsere gesamte Plattform ist von Grund auf für europäische Datensouveränität konzipiert. Ihre Compliance-Daten verlassen nie einen Rechtsraum, dem Sie vertrauen.
Betriebsbereit in Wochen, nicht in Monaten
Ein Flugzeughersteller gelangte vom Onboarding zur vollständig automatisierten Rezertifizierung des Verarbeitungsverzeichnisses über mehrere Tochtergesellschaften hinweg. Medtec sparte allein bei der ISO-27001-Vorbereitung über 200 Stunden. Sie erzeugen bereits Compliance-Ergebnisse, bevor ein etablierter Anbieter das Projekt überhaupt abgesteckt hat.
Flugzeughersteller: erste 6 Monate. Medtec: ISO-27001-Vorbereitungszyklus.
Eine DSFA durchführen: Der komplette 7-Phasen-Leitfaden
Jede Phase umfasst die zentralen Fragen, die es zu beantworten gilt, die einzubeziehenden Stakeholder und die Dokumentation, die Aufsichtsbehörden erwarten. Dieses Rahmenwerk funktioniert, ob Sie eine einzelne Verarbeitungstätigkeit beurteilen oder ein standardisiertes DSFA-Programm über 50 Gesellschaften ausrollen.
Phase 1
Vorprüfung & Schwellenwertanalyse
Bevor Sie Stunden in eine vollständige Beurteilung investieren, müssen Sie feststellen, ob überhaupt eine DSFA erforderlich ist. Nach Artikel 35 DSGVO ist eine DSFA verpflichtend, wenn eine Verarbeitung «voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat». Doch diese Formulierung ist bewusst weit gefasst, und verschiedene Aufsichtsbehörden legen sie unterschiedlich aus.
Zentrale Fragen, die es zu beantworten gilt:
- Umfasst die Verarbeitung systematisches, umfangreiches Profiling mit erheblichen Auswirkungen?
- Umfasst sie die umfangreiche Verarbeitung besonderer Kategorien von Daten (Artikel 9) oder von Daten über strafrechtliche Verurteilungen (Artikel 10)?
- Umfasst sie die systematische, umfangreiche Überwachung eines öffentlich zugänglichen Bereichs?
- Erscheint die Verarbeitung auf der Liste verpflichtender DSFA Ihrer zuständigen Aufsichtsbehörde?
- Kombiniert die Verarbeitung zwei oder mehr Kriterien aus den Leitlinien des EDSA (WP248)?
Ein häufiger Fehler: die Vorprüfung als binäres Tor zu behandeln. Selbst wenn eine DSFA nicht zwingend erforderlich ist, belegt eine schlanke Beurteilung die Rechenschaftspflicht nach Artikel 5 Abs. 2 und liefert Ihnen den dokumentierten Nachweis, dass Sie die Risiken berücksichtigt haben.
Aspekt bei mehreren Gesellschaften
Wenn Ihre Tochtergesellschaften in verschiedenen EU-Mitgliedstaaten tätig sind, kann jede unterschiedliche Listen verpflichtender DSFA haben. Eine zentralisierte Vorprüfungsmethodik muss den jeweils strengsten anwendbaren Schwellenwert berücksichtigen; andernfalls überspringen Gesellschaften unbeabsichtigt erforderliche Beurteilungen. Die KI-gestützte Vorprüfung von Priverion gleicht Verarbeitungstätigkeiten automatisch mit den rechtsraumspezifischen DSFA-Auslösern ab.
Phase 2
Die Verarbeitung beschreiben
In dieser Phase laufen die meisten DSFA schief – nicht, weil Teams sie überspringen, sondern weil sie die Verarbeitung im falschen Detaillierungsgrad beschreiben. Aufsichtsbehörden erwarten eine systematische Beschreibung von Art, Umfang, Umständen und Zwecken der Verarbeitung.
Dokumentieren Sie diese Elemente:
- Welche Personendaten werden erhoben und von welchen betroffenen Personen?
- Was ist die Rechtsgrundlage der Verarbeitung (und wie wurde sie bestimmt)?
- Wie fliessen die Daten durch Ihre Systeme – von der Erhebung über die Speicherung bis zur Löschung?
- Welche Dritten oder Auftragsverarbeiter erhalten die Daten?
- Wie lauten die Aufbewahrungsfristen und wie werden sie durchgesetzt?
- Gibt es grenzüberschreitende Übermittlungen? Falls ja, welche Übermittlungsmechanismen sind vorhanden?
Das entscheidende Detail hier ist das Mapping der Datenflüsse. Sie müssen Personendaten vom Zeitpunkt der Erhebung durch jedes System, jeden Auftragsverarbeiter und jeden Rechtsraum verfolgen, den sie berühren. In Konzernstrukturen offenbart dies häufig Datenflüsse, derer sich keine einzelne Gesellschaft vollständig bewusst war – darunter Daten, die zwischen Tochtergesellschaften geteilt werden, zentralisierte HR-Systeme, die Mitarbeiterdaten grenzüberschreitend verarbeiten, oder konzernweite Analyseplattformen, die Kundendaten aus mehreren Märkten aggregieren.
Praktischer Tipp
Verknüpfen Sie Ihre Verarbeitungsbeschreibungen in der DSFA direkt mit Ihren Einträgen im Verarbeitungsverzeichnis. Wenn Ihr Verarbeitungsverzeichnis gut gepflegt ist, existiert ein Grossteil dieser Dokumentation bereits. Priverion verbindet DSFA-Beurteilungen mit Ihren bestehenden Einträgen im Verarbeitungsverzeichnis, sodass Sie auf dokumentierten Verarbeitungstätigkeiten aufbauen, statt sie jedes Mal von Grund auf zu beschreiben.
Phase 3
Erforderlichkeit & Verhältnismässigkeit beurteilen
Dies ist die Phase, die Aufsichtsbehörden am genauesten prüfen. Es genügt nicht, zu zeigen, dass eine Verarbeitung eine Rechtsgrundlage hat. Sie müssen nachweisen, dass die Verarbeitung für den angegebenen Zweck erforderlich und im Verhältnis zum Eingriff in die Privatsphäre verhältnismässig ist.
Die Erforderlichkeitsprüfung fragt:
- Liesse sich derselbe Zweck mit weniger Daten oder weniger eingriffsintensiver Verarbeitung erreichen?
- Ist jedes erhobene Datenelement tatsächlich für den angegebenen Zweck erforderlich?
- Sind die Aufbewahrungsfristen auf das notwendige Minimum beschränkt?
- Haben Sie Datenminimierung und Zweckbindung wirksam angewandt?
Die Verhältnismässigkeitsprüfung fragt:
- Rechtfertigt der Nutzen der Verarbeitung die Auswirkungen auf die Privatsphäre der betroffenen Personen?
- Haben Sie die berechtigten Erwartungen der betroffenen Personen berücksichtigt?
- Gibt es angemessene Schutzvorkehrungen, um den Eingriff auszugleichen?
Dokumentieren Sie Ihre Überlegungen ausdrücklich. Ein häufiger Audit-Befund sind DSFA, die eine Rechtsgrundlage angeben, aber nicht erklären, warum die spezifischen Verarbeitungstätigkeiten erforderlich und verhältnismässig sind. Die CNIL hat dies ausdrücklich als häufigen Mangel in ihren DSFA-Prüfungen markiert.
Phase 4
Risiken identifizieren & beurteilen
Die Risikobeurteilung ist der Kern jeder DSFA. Die DSGVO verlangt, dass Sie Risiken für die Rechte und Freiheiten der betroffenen Personen beurteilen, nicht Risiken für Ihre Organisation. Dies ist eine entscheidende Unterscheidung, die viele Teams falsch machen, indem sie auf Rahmenwerke der Informationssicherheit zurückgreifen, die sich auf organisatorische Auswirkungen statt auf Auswirkungen auf Einzelpersonen konzentrieren.
Beurteilen Sie Risiken über drei Dimensionen:
- Vertraulichkeitsrisiken: unbefugter Zugriff auf Personendaten (z. B. Datenpanne, Innentäter)
- Integritätsrisiken: unbefugte Veränderung von Personendaten (z. B. Datenbeschädigung, fehlerhafte Profiling-Entscheidungen)
- Verfügbarkeitsrisiken: Verlust des Zugriffs auf Personendaten (z. B. Ransomware, Systemausfall, der den Zugang der betroffenen Person verhindert)
Dokumentieren Sie für jedes Risiko:
- Die Quelle des Risikos (Bedrohungsakteur oder Systemschwachstelle)
- Die Eintrittswahrscheinlichkeit des Risikos (mit Begründung, nicht nur einer Zahl)
- Die Schwere der Auswirkungen auf die betroffenen Personen im Eintrittsfall
- Das Gesamtrisikoniveau (vor und nach den Abhilfemassnahmen)
KI-gestütztes Risk-Scoring
Das KI-gestützte Risk-Scoring von Priverion analysiert die Verarbeitungsbeschreibung und schlägt anwendbare Risiken auf Basis ähnlicher Beurteilungen in Ihrer Organisation vor, während die endgültige Risikobestimmung bei Ihrem Datenschutzteam bleibt. Dies ist besonders wertvoll in Konzernstrukturen, in denen die DSFA einer Tochtergesellschaft die Risikoidentifikation für ähnliche Verarbeitungen bei einer anderen Gesellschaft unterstützen kann. Die KI unterstützt, der Mensch entscheidet.
Phase 5
Abhilfemassnahmen festlegen
Für jedes oben identifizierte Risiko oberhalb der akzeptablen Schwelle müssen Sie konkrete, umsetzbare Abhilfemassnahmen festlegen. Der EDSA betont, dass Massnahmen die Ursache des Risikos angehen sollten, nicht bloss dessen Symptome verringern.
Kategorien von Abhilfemassnahmen:
- Technische Massnahmen: Verschlüsselung, Pseudonymisierung, Zugriffskontrollen, automatisierte Löschung, Audit-Protokollierung
- Organisatorische Massnahmen: Schulung der Mitarbeitenden, Zugriffsrichtlinien, Auftragsverarbeitungsverträge (AVV), Verfahren zur Vorfallbearbeitung
- Rechtliche Massnahmen: Vertragsklauseln mit Auftragsverarbeitern, aktualisierte Datenschutzhinweise, Einwilligungsmechanismen, soweit anwendbar
- Governance-Massnahmen: regelmässige Audits, Aufsicht durch den Datenschutzbeauftragten, Rezertifizierungspläne
Dokumentieren Sie für jede Massnahme:
- Welche spezifischen Risiken sie adressiert
- Wer für die Umsetzung verantwortlich ist
- Den Umsetzungszeitplan
- Wie die Wirksamkeit überprüft wird
- Das Restrisikoniveau nach der Umsetzung
Wenn das Restrisiko nach allen umsetzbaren Abhilfemassnahmen hoch bleibt, verlangt Artikel 36 DSGVO, dass Sie Ihre Aufsichtsbehörde konsultieren, bevor Sie mit der Verarbeitung fortfahren. Dokumentieren Sie diesen Entscheidungspunkt klar. Er gehört zu den am genauesten geprüften Elementen in aufsichtsrechtlichen Audits.
Phase 6
Konsultation der Stakeholder & Freigabe
Eine DSFA ist keine Einzelübung des Datenschutzbeauftragten. Artikel 35 Abs. 2 DSGVO verlangt vom Verantwortlichen ausdrücklich, den Rat des Datenschutzbeauftragten einzuholen, und Artikel 35 Abs. 9 verlangt, «gegebenenfalls» die Ansichten der betroffenen Personen einzuholen. Über die regulatorischen Anforderungen hinaus benötigen wirksame DSFA den Input jener Personen, die die Verarbeitung am besten verstehen.
Einzubeziehende Stakeholder:
- Datenschutzbeauftragter: verpflichtende Konsultation, dokumentierter Rat
- Prozessverantwortlicher des Fachbereichs: detaillierte Kenntnis, wie Daten tatsächlich verarbeitet werden (im Gegensatz dazu, wie sie verarbeitet werden sollten)
- IT-/Sicherheitsteam: technische Risikobeurteilung und Machbarkeit technischer Massnahmen
- Rechtsabteilung: Validierung der Rechtsgrundlage, Beurteilung grenzüberschreitender Übermittlungen, regulatorische Auslegung
- Betroffene Personen oder deren Vertretungen: dort, wo die Verarbeitung sie erheblich betrifft (z. B. Mitarbeiterüberwachung, Systeme mit Patientendaten)
Dokumentieren Sie für jede Konsultation:
- Wer wann konsultiert wurde
- Welchen Input oder Rat sie gegeben haben
- Ob ihre Empfehlungen angenommen oder abgelehnt wurden und die Begründung dafür
- Die endgültige Freigabe durch den Verantwortlichen
Aspekt bei mehreren Gesellschaften
In Konzernstrukturen umfasst der Freigabeprozess oft die Datenschutzbeauftragten der lokalen Gesellschaften, einen konzernweiten Datenschutzverantwortlichen und gegebenenfalls die lokale Rechtsabteilung in jedem Rechtsraum. Ohne einen zentralisierten Workflow wird daraus eine monatelange Jagd per E-Mail. Die Workflow-Engine von Priverion leitet DSFA-Prüfungen über jede Gesellschaft hinweg an die richtigen Stakeholder weiter – mit integrierter Eskalation und Fristenverfolgung.
Phase 7
Laufende Überprüfung & Rezertifizierung
Eine DSFA ist ein lebendes Dokument, keine einmalige Compliance-Übung. Artikel 35 Abs. 11 DSGVO verlangt von Verantwortlichen Überprüfungen «zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind». In der Praxis bedeutet dies, dass Ihre DSFA einen Rezertifizierungsprozess benötigen, nicht nur eine Erinnerung, «jährlich zu überprüfen».
Auslöser für die Überprüfung einer DSFA:
- Änderungen an Umfang, Zweck oder Technologie der Verarbeitung
- Neue Datenkategorien oder neue betroffene Personen hinzugekommen
- Änderungen bei Dritt-Auftragsverarbeitern oder Sub


