Praxisleitfaden

Eine DSFA Schritt für Schritt durchführen: Ein praxisnaher Leitfaden für Datenschutzteams

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die Datenschutzteams hilft, DSFA über mehrere Gesellschaften und Rechtsräume hinweg systematisch nach einem strukturierten 7-Phasen-Rahmenwerk durchzuführen.

Eine Datenschutz-Folgenabschätzung sollte nicht jedes Mal von Neuem erfunden werden müssen. Ob Sie Ihre erste DSFA durchführen oder Folgenabschätzungen über 15 Tochtergesellschaften in verschiedenen Rechtsräumen vereinheitlichen wollen – dieser Leitfaden gliedert den Prozess in 7 klare Phasen, mit praktischen Entscheidungspunkten, Stakeholder-Checklisten und genau den Fragen, deren Beantwortung die Aufsichtsbehörden von Ihnen erwarten.

Entwickelt für Datenschutzbeauftragte, Compliance-Verantwortliche und Rechtsabteilungen, die den Datenschutz in komplexen Organisationen mit mehreren Gesellschaften steuern.

Das 7-Phasen-DSFA-Rahmenwerk

1 Vorprüfung & Schwellenwertanalyse
2 Die Verarbeitung beschreiben
3 Erforderlichkeit & Verhältnismässigkeit beurteilen
4 Risiken identifizieren & beurteilen
5 Abhilfemassnahmen festlegen
6 Konsultation der Stakeholder & Freigabe
7 Laufende Überprüfung & Rezertifizierung

Vertraut von Datenschutzteams, die Compliance über 30+ Rechtsräume hinweg steuern

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Warum die meisten DSFA scheitern – und worauf Aufsichtsbehörden tatsächlich achten

Diese drei strukturellen Probleme erklären, warum selbst gut gemeinte Datenschutzteams DSFA erstellen, die einer genauen Prüfung durch die Aufsichtsbehörde nicht standhalten würden.

Problem 01

Die Falle der Ad-hoc-Beurteilung

Die meisten Organisationen behandeln jede DSFA als einmalige Übung. Es gibt kein wiederholbares Rahmenwerk, sodass jede Beurteilung bei null beginnt. Die Qualität schwankt stark zwischen den Beurteilenden. Institutionelles Wissen geht verloren, sobald die Person, die die letzte Beurteilung geleitet hat, die Rolle wechselt, und das nächste Team erbt ein leeres Blatt statt einer Methodik.

Problem 02

Der blinde Fleck bei mehreren Gesellschaften

Für Organisationen mit Tochtergesellschaften, gemeinsam Verantwortlichen oder Aktivitäten in mehreren Rechtsräumen vervielfacht sich die Herausforderung. Verschiedene Gesellschaften legen den DSFA-Schwellenwert unterschiedlich aus. Eine Tochtergesellschaft führt Beurteilungen durch, die der irischen DPC genügen würden, nicht aber der französischen CNIL. Und niemand auf Konzernebene hat den Überblick darüber, welche Verarbeitungstätigkeiten beurteilt wurden und welche nicht.

Problem 03

Die Dokumentationslücke, die Millionen kostet

Aufsichtsbehörden wollen nicht nur sehen, dass Sie eine DSFA durchgeführt haben. Sie wollen sehen, wie Sie sie durchgeführt haben. Sie erwarten Nachweise einer systematischen Methodik, der Konsultation von Stakeholdern, dokumentierter Entscheidungen zur Risikominderung und einer laufenden Überprüfung. Eine DSFA, die als Word-Dokument auf dem Desktop einer Person liegt, besteht diese Prüfung jedes Mal nicht.

Die gute Nachricht: Ein gut strukturierter DSFA-Prozess ist nicht kompliziert. Er muss nur systematisch sein. Hier ist der 7-Phasen-Ansatz, den wir empfehlen – aufgebaut auf praktischer Erfahrung mit der Steuerung von Folgenabschätzungen über Dutzende Gesellschaften und Rechtsräume hinweg.

200+

Eingesparte Stunden bei der Verwaltung des Verarbeitungsverzeichnisses

Medtec verlagerte im ersten Jahr mit Priverion über 200 Stunden vom manuellen Pflegen des Verarbeitungsverzeichnisses auf die Vorbereitung der ISO 27001.

60%

Geringere Gesamtkosten gegenüber etablierten Plattformen

Basierend auf der gesellschaftsbasierten Preisgestaltung von Priverion im Vergleich zur Preisgestaltung pro Nutzer und pro Modul von OneTrust und ähnlichen Enterprise-Tools bei Bereitstellungen über mehrere Tochtergesellschaften.

3 Mt.

Dem Zeitplan voraus bei der ISO-27001-Zertifizierung

Medtec beschleunigte seine ISO-27001-Bereitschaft um drei Monate, dank der auditfertigen Nachweispakete und der automatisierten Dokumentation von Priverion.

Warum Mid-Market-Teams von OneTrust zu Priverion wechseln

OneTrust wurde für Compliance-Programme von Fortune-500-Konzernen mit Fortune-500-Budgets entwickelt. Wenn Sie den Datenschutz über 5–50 Gesellschaften steuern und keine ESG-Module oder Cookie-Einwilligung benötigen, sieht der Vergleich tatsächlich so aus.

Das typische Erlebnis mit einer Enterprise-Plattform

Preise, die mit Ihnen mitwachsen

Preise pro Nutzer und pro Modul bedeuten, dass Ihre Kosten jedes Mal steigen, wenn Sie eine neue Tochtergesellschaft anbinden oder ein Teammitglied hinzufügen. Budgetüberraschungen bei der Verlängerung werden zur Regel, nicht zur Ausnahme.

Komplexität, die Sie nicht verlangt haben

200+ Integrationen klingen beeindruckend, bis Sie merken, dass die meisten oberflächliche Konnektoren sind, die ständige Wartung erfordern. Gleichzeitig verlangt die Benutzeroberfläche ein dediziertes Admin-Team, nur damit der Betrieb läuft.

In den USA gehostete Dateninfrastruktur

In einer Welt nach Schrems II schafft das Hosting von Compliance-Daten auf US-Infrastruktur genau die Art von grenzüberschreitendem Übermittlungsrisiko, das Ihr Datenschutzprogramm eigentlich mindern soll.

Monate bis zur Betriebsbereitschaft

Mehrmonatige Einführungsprojekte mit dedizierten Beratern, bevor Sie überhaupt ein Compliance-Ergebnis sehen. Die Zeit bis zum Mehrwert wird in Quartalen gemessen, nicht in Wochen.

Das Priverion-Erlebnis

Planbare Preise, keine versteckten Kostenfallen

Bepreist nach Anzahl der Gesellschaften und Organisationsgrösse, nicht pro Nutzer oder pro Modul. Fügen Sie Teammitglieder über Tochtergesellschaften hinweg hinzu, ohne dass die Rechnung steigt. Ihr CFO wird die Planbarkeit zu schätzen wissen.

All-in-one-Plattform, einfachere Benutzeroberfläche

Verarbeitungsverzeichnis, DSFA, Lieferantenbeurteilungen, Bearbeitung von Betroffenenanfragen, Incident Management und Compliance mit dem AI Act in einer Plattform. Tiefe Integrationen mit HR, Beschaffung und IT-Asset-Management – den Systemen, die für Datenschutz-Workflows wirklich zählen.

In der Schweiz entwickelt, in der Schweiz gehostet, europäische Datenhaltung

Sämtliche Datenverarbeitung innerhalb der Schweizer Infrastruktur. Nicht bloss ein Häkchen zur Datenhaltung auf einer Einstellungsseite. Unsere gesamte Plattform ist von Grund auf für europäische Datensouveränität konzipiert. Ihre Compliance-Daten verlassen nie einen Rechtsraum, dem Sie vertrauen.

Betriebsbereit in Wochen, nicht in Monaten

Ein Flugzeughersteller gelangte vom Onboarding zur vollständig automatisierten Rezertifizierung des Verarbeitungsverzeichnisses über mehrere Tochtergesellschaften hinweg. Medtec sparte allein bei der ISO-27001-Vorbereitung über 200 Stunden. Sie erzeugen bereits Compliance-Ergebnisse, bevor ein etablierter Anbieter das Projekt überhaupt abgesteckt hat.

Flugzeughersteller: erste 6 Monate. Medtec: ISO-27001-Vorbereitungszyklus.

Eine DSFA durchführen: Der komplette 7-Phasen-Leitfaden

Jede Phase umfasst die zentralen Fragen, die es zu beantworten gilt, die einzubeziehenden Stakeholder und die Dokumentation, die Aufsichtsbehörden erwarten. Dieses Rahmenwerk funktioniert, ob Sie eine einzelne Verarbeitungstätigkeit beurteilen oder ein standardisiertes DSFA-Programm über 50 Gesellschaften ausrollen.

Phase 1

Vorprüfung & Schwellenwertanalyse

Bevor Sie Stunden in eine vollständige Beurteilung investieren, müssen Sie feststellen, ob überhaupt eine DSFA erforderlich ist. Nach Artikel 35 DSGVO ist eine DSFA verpflichtend, wenn eine Verarbeitung «voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat». Doch diese Formulierung ist bewusst weit gefasst, und verschiedene Aufsichtsbehörden legen sie unterschiedlich aus.

Zentrale Fragen, die es zu beantworten gilt:

  • Umfasst die Verarbeitung systematisches, umfangreiches Profiling mit erheblichen Auswirkungen?
  • Umfasst sie die umfangreiche Verarbeitung besonderer Kategorien von Daten (Artikel 9) oder von Daten über strafrechtliche Verurteilungen (Artikel 10)?
  • Umfasst sie die systematische, umfangreiche Überwachung eines öffentlich zugänglichen Bereichs?
  • Erscheint die Verarbeitung auf der Liste verpflichtender DSFA Ihrer zuständigen Aufsichtsbehörde?
  • Kombiniert die Verarbeitung zwei oder mehr Kriterien aus den Leitlinien des EDSA (WP248)?

Ein häufiger Fehler: die Vorprüfung als binäres Tor zu behandeln. Selbst wenn eine DSFA nicht zwingend erforderlich ist, belegt eine schlanke Beurteilung die Rechenschaftspflicht nach Artikel 5 Abs. 2 und liefert Ihnen den dokumentierten Nachweis, dass Sie die Risiken berücksichtigt haben.

Aspekt bei mehreren Gesellschaften

Wenn Ihre Tochtergesellschaften in verschiedenen EU-Mitgliedstaaten tätig sind, kann jede unterschiedliche Listen verpflichtender DSFA haben. Eine zentralisierte Vorprüfungsmethodik muss den jeweils strengsten anwendbaren Schwellenwert berücksichtigen; andernfalls überspringen Gesellschaften unbeabsichtigt erforderliche Beurteilungen. Die KI-gestützte Vorprüfung von Priverion gleicht Verarbeitungstätigkeiten automatisch mit den rechtsraumspezifischen DSFA-Auslösern ab.

Phase 2

Die Verarbeitung beschreiben

In dieser Phase laufen die meisten DSFA schief – nicht, weil Teams sie überspringen, sondern weil sie die Verarbeitung im falschen Detaillierungsgrad beschreiben. Aufsichtsbehörden erwarten eine systematische Beschreibung von Art, Umfang, Umständen und Zwecken der Verarbeitung.

Dokumentieren Sie diese Elemente:

  • Welche Personendaten werden erhoben und von welchen betroffenen Personen?
  • Was ist die Rechtsgrundlage der Verarbeitung (und wie wurde sie bestimmt)?
  • Wie fliessen die Daten durch Ihre Systeme – von der Erhebung über die Speicherung bis zur Löschung?
  • Welche Dritten oder Auftragsverarbeiter erhalten die Daten?
  • Wie lauten die Aufbewahrungsfristen und wie werden sie durchgesetzt?
  • Gibt es grenzüberschreitende Übermittlungen? Falls ja, welche Übermittlungsmechanismen sind vorhanden?

Das entscheidende Detail hier ist das Mapping der Datenflüsse. Sie müssen Personendaten vom Zeitpunkt der Erhebung durch jedes System, jeden Auftragsverarbeiter und jeden Rechtsraum verfolgen, den sie berühren. In Konzernstrukturen offenbart dies häufig Datenflüsse, derer sich keine einzelne Gesellschaft vollständig bewusst war – darunter Daten, die zwischen Tochtergesellschaften geteilt werden, zentralisierte HR-Systeme, die Mitarbeiterdaten grenzüberschreitend verarbeiten, oder konzernweite Analyseplattformen, die Kundendaten aus mehreren Märkten aggregieren.

Praktischer Tipp

Verknüpfen Sie Ihre Verarbeitungsbeschreibungen in der DSFA direkt mit Ihren Einträgen im Verarbeitungsverzeichnis. Wenn Ihr Verarbeitungsverzeichnis gut gepflegt ist, existiert ein Grossteil dieser Dokumentation bereits. Priverion verbindet DSFA-Beurteilungen mit Ihren bestehenden Einträgen im Verarbeitungsverzeichnis, sodass Sie auf dokumentierten Verarbeitungstätigkeiten aufbauen, statt sie jedes Mal von Grund auf zu beschreiben.

Phase 3

Erforderlichkeit & Verhältnismässigkeit beurteilen

Dies ist die Phase, die Aufsichtsbehörden am genauesten prüfen. Es genügt nicht, zu zeigen, dass eine Verarbeitung eine Rechtsgrundlage hat. Sie müssen nachweisen, dass die Verarbeitung für den angegebenen Zweck erforderlich und im Verhältnis zum Eingriff in die Privatsphäre verhältnismässig ist.

Die Erforderlichkeitsprüfung fragt:

  • Liesse sich derselbe Zweck mit weniger Daten oder weniger eingriffsintensiver Verarbeitung erreichen?
  • Ist jedes erhobene Datenelement tatsächlich für den angegebenen Zweck erforderlich?
  • Sind die Aufbewahrungsfristen auf das notwendige Minimum beschränkt?
  • Haben Sie Datenminimierung und Zweckbindung wirksam angewandt?

Die Verhältnismässigkeitsprüfung fragt:

  • Rechtfertigt der Nutzen der Verarbeitung die Auswirkungen auf die Privatsphäre der betroffenen Personen?
  • Haben Sie die berechtigten Erwartungen der betroffenen Personen berücksichtigt?
  • Gibt es angemessene Schutzvorkehrungen, um den Eingriff auszugleichen?

Dokumentieren Sie Ihre Überlegungen ausdrücklich. Ein häufiger Audit-Befund sind DSFA, die eine Rechtsgrundlage angeben, aber nicht erklären, warum die spezifischen Verarbeitungstätigkeiten erforderlich und verhältnismässig sind. Die CNIL hat dies ausdrücklich als häufigen Mangel in ihren DSFA-Prüfungen markiert.

Phase 4

Risiken identifizieren & beurteilen

Die Risikobeurteilung ist der Kern jeder DSFA. Die DSGVO verlangt, dass Sie Risiken für die Rechte und Freiheiten der betroffenen Personen beurteilen, nicht Risiken für Ihre Organisation. Dies ist eine entscheidende Unterscheidung, die viele Teams falsch machen, indem sie auf Rahmenwerke der Informationssicherheit zurückgreifen, die sich auf organisatorische Auswirkungen statt auf Auswirkungen auf Einzelpersonen konzentrieren.

Beurteilen Sie Risiken über drei Dimensionen:

  • Vertraulichkeitsrisiken: unbefugter Zugriff auf Personendaten (z. B. Datenpanne, Innentäter)
  • Integritätsrisiken: unbefugte Veränderung von Personendaten (z. B. Datenbeschädigung, fehlerhafte Profiling-Entscheidungen)
  • Verfügbarkeitsrisiken: Verlust des Zugriffs auf Personendaten (z. B. Ransomware, Systemausfall, der den Zugang der betroffenen Person verhindert)

Dokumentieren Sie für jedes Risiko:

  • Die Quelle des Risikos (Bedrohungsakteur oder Systemschwachstelle)
  • Die Eintrittswahrscheinlichkeit des Risikos (mit Begründung, nicht nur einer Zahl)
  • Die Schwere der Auswirkungen auf die betroffenen Personen im Eintrittsfall
  • Das Gesamtrisikoniveau (vor und nach den Abhilfemassnahmen)

KI-gestütztes Risk-Scoring

Das KI-gestützte Risk-Scoring von Priverion analysiert die Verarbeitungsbeschreibung und schlägt anwendbare Risiken auf Basis ähnlicher Beurteilungen in Ihrer Organisation vor, während die endgültige Risikobestimmung bei Ihrem Datenschutzteam bleibt. Dies ist besonders wertvoll in Konzernstrukturen, in denen die DSFA einer Tochtergesellschaft die Risikoidentifikation für ähnliche Verarbeitungen bei einer anderen Gesellschaft unterstützen kann. Die KI unterstützt, der Mensch entscheidet.

Phase 5

Abhilfemassnahmen festlegen

Für jedes oben identifizierte Risiko oberhalb der akzeptablen Schwelle müssen Sie konkrete, umsetzbare Abhilfemassnahmen festlegen. Der EDSA betont, dass Massnahmen die Ursache des Risikos angehen sollten, nicht bloss dessen Symptome verringern.

Kategorien von Abhilfemassnahmen:

  • Technische Massnahmen: Verschlüsselung, Pseudonymisierung, Zugriffskontrollen, automatisierte Löschung, Audit-Protokollierung
  • Organisatorische Massnahmen: Schulung der Mitarbeitenden, Zugriffsrichtlinien, Auftragsverarbeitungsverträge (AVV), Verfahren zur Vorfallbearbeitung
  • Rechtliche Massnahmen: Vertragsklauseln mit Auftragsverarbeitern, aktualisierte Datenschutzhinweise, Einwilligungsmechanismen, soweit anwendbar
  • Governance-Massnahmen: regelmässige Audits, Aufsicht durch den Datenschutzbeauftragten, Rezertifizierungspläne

Dokumentieren Sie für jede Massnahme:

  • Welche spezifischen Risiken sie adressiert
  • Wer für die Umsetzung verantwortlich ist
  • Den Umsetzungszeitplan
  • Wie die Wirksamkeit überprüft wird
  • Das Restrisikoniveau nach der Umsetzung

Wenn das Restrisiko nach allen umsetzbaren Abhilfemassnahmen hoch bleibt, verlangt Artikel 36 DSGVO, dass Sie Ihre Aufsichtsbehörde konsultieren, bevor Sie mit der Verarbeitung fortfahren. Dokumentieren Sie diesen Entscheidungspunkt klar. Er gehört zu den am genauesten geprüften Elementen in aufsichtsrechtlichen Audits.

Phase 6

Konsultation der Stakeholder & Freigabe

Eine DSFA ist keine Einzelübung des Datenschutzbeauftragten. Artikel 35 Abs. 2 DSGVO verlangt vom Verantwortlichen ausdrücklich, den Rat des Datenschutzbeauftragten einzuholen, und Artikel 35 Abs. 9 verlangt, «gegebenenfalls» die Ansichten der betroffenen Personen einzuholen. Über die regulatorischen Anforderungen hinaus benötigen wirksame DSFA den Input jener Personen, die die Verarbeitung am besten verstehen.

Einzubeziehende Stakeholder:

  • Datenschutzbeauftragter: verpflichtende Konsultation, dokumentierter Rat
  • Prozessverantwortlicher des Fachbereichs: detaillierte Kenntnis, wie Daten tatsächlich verarbeitet werden (im Gegensatz dazu, wie sie verarbeitet werden sollten)
  • IT-/Sicherheitsteam: technische Risikobeurteilung und Machbarkeit technischer Massnahmen
  • Rechtsabteilung: Validierung der Rechtsgrundlage, Beurteilung grenzüberschreitender Übermittlungen, regulatorische Auslegung
  • Betroffene Personen oder deren Vertretungen: dort, wo die Verarbeitung sie erheblich betrifft (z. B. Mitarbeiterüberwachung, Systeme mit Patientendaten)

Dokumentieren Sie für jede Konsultation:

  • Wer wann konsultiert wurde
  • Welchen Input oder Rat sie gegeben haben
  • Ob ihre Empfehlungen angenommen oder abgelehnt wurden und die Begründung dafür
  • Die endgültige Freigabe durch den Verantwortlichen

Aspekt bei mehreren Gesellschaften

In Konzernstrukturen umfasst der Freigabeprozess oft die Datenschutzbeauftragten der lokalen Gesellschaften, einen konzernweiten Datenschutzverantwortlichen und gegebenenfalls die lokale Rechtsabteilung in jedem Rechtsraum. Ohne einen zentralisierten Workflow wird daraus eine monatelange Jagd per E-Mail. Die Workflow-Engine von Priverion leitet DSFA-Prüfungen über jede Gesellschaft hinweg an die richtigen Stakeholder weiter – mit integrierter Eskalation und Fristenverfolgung.

Phase 7

Laufende Überprüfung & Rezertifizierung

Eine DSFA ist ein lebendes Dokument, keine einmalige Compliance-Übung. Artikel 35 Abs. 11 DSGVO verlangt von Verantwortlichen Überprüfungen «zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind». In der Praxis bedeutet dies, dass Ihre DSFA einen Rezertifizierungsprozess benötigen, nicht nur eine Erinnerung, «jährlich zu überprüfen».

Auslöser für die Überprüfung einer DSFA:

  • Änderungen an Umfang, Zweck oder Technologie der Verarbeitung
  • Neue Datenkategorien oder neue betroffene Personen hinzugekommen
  • Änderungen bei Dritt-Auftragsverarbeitern oder Sub
Über diese Seite – Quellen, Definitionen und FAQ

Das Wichtigste auf einen Blick

Eine Datenschutz-Folgenabschätzung (DSFA) ist ein strukturierter Prozess, der nach Artikel 35 DSGVO immer dann erforderlich ist, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen zur Folge hat. Dieser Leitfaden stellt ein 7-Phasen-Rahmenwerk vor – von der Vorprüfung und Schwellenwertanalyse bis zur laufenden Überprüfung –, das für Datenschutzteams konzipiert ist, die Folgenabschätzungen über mehrere Gesellschaften und Rechtsräume hinweg verwalten. Eine systematische, wiederholbare DSFA-Methodik reduziert Compliance-Lücken, erfüllt die Erwartungen der Aufsichtsbehörden und schafft belastbare Audit-Trails.

Definitionen

Was ist eine DSFA?

Eine Datenschutz-Folgenabschätzung (DSFA) ist ein Prozess, der Organisationen dabei unterstützt, die Datenschutzrisiken eines Projekts oder einer Verarbeitungstätigkeit systematisch zu analysieren, zu identifizieren und zu minimieren. Nach Artikel 35 DSGVO ist eine DSFA verpflichtend, wenn eine Verarbeitung «voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat». Der EDSA hat ausführliche Leitlinien dazu veröffentlicht, wann und wie DSFA durchzuführen sind.

Was ist die vorherige Konsultation nach Artikel 36 DSGVO?

Die vorherige Konsultation ist der Prozess nach Artikel 36 DSGVO, bei dem ein Verantwortlicher die Aufsichtsbehörde vor der Verarbeitung konsultieren muss, wenn die DSFA ergibt, dass die Verarbeitung ohne vom Verantwortlichen getroffene Massnahmen zur Minderung des Risikos ein hohes Risiko zur Folge hätte. Die Aufsichtsbehörde hat bis zu 14 Wochen Zeit, um schriftlich Rat zu erteilen.

Was ist die DSFA-Anforderung des revDSG?

Nach Artikel 22 des revidierten Datenschutzgesetzes (revDSG), in Kraft seit dem 01.09.2023, ist eine Datenschutz-Folgenabschätzung erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt. Anders als die DSGVO erlaubt das revDSG Organisationen, auf die DSFA zu verzichten, wenn sie einen genehmigten Verhaltenskodex befolgen, der die betreffende Verarbeitung abdeckt.

Was ist ISO 29134?

ISO/IEC 29134:2023 liefert Leitlinien für Datenschutz-Folgenabschätzungen (PIAs) und ist der internationale Standard, der dem DSFA-Prozess der DSGVO am nächsten kommt. Er bietet eine strukturierte Methodik, die sich auf die Anforderungen von Artikel 35 DSGVO abbilden lässt. Quelle: ISO

Statistiken und Kontext

Laut dem IAPP-EY Annual Privacy Governance Report 2023 gaben 60 % der Organisationen an, dass die Durchführung von DSFA zu ihren drei ressourcenintensivsten Datenschutzaktivitäten gehört. Derselbe Bericht stellte fest, dass die durchschnittliche Datenschutzteamgrösse 5,4 Vollzeitäquivalente beträgt, was Effizienz in den DSFA-Workflows entscheidend macht. Der EDSA-Jahresbericht 2023 wies darauf hin, dass die Aufsichtsbehörden im gesamten EWR 2022 über 1'400 Anfragen zur vorherigen Konsultation nach Artikel 36 bearbeiteten, was auf eine erhebliche DSFA-Aktivität hindeutet. Nach Artikel 83 Abs. 4 Bst. a DSGVO kann das Unterlassen einer erforderlichen DSFA zu Bussen von bis zu EUR 10 Millionen oder 2 % des weltweiten Jahresumsatzes führen. Die französische CNIL war besonders aktiv und verhängte mehrere Bussen, bei denen unzureichende oder fehlende DSFA als erschwerende Faktoren angeführt wurden. Die ENISA-Leitlinien für KMU zur Sicherheit der Verarbeitung von Personendaten empfehlen, DSFA-Workflows mit umfassenderen Risikobeurteilungen der Informationssicherheit zu verzahnen, um Doppelarbeit zu vermeiden.

DSFA-Vergleich: DSGVO vs. revDSG vs. ISO 29134

AspektArtikel 35 DSGVOArtikel 22 revDSGISO/IEC 29134:2023
RechtsgrundlageVerpflichtend bei hohem Risiko für Rechte und FreiheitenVerpflichtend bei hohem Risiko für die Persönlichkeit oder GrundrechteFreiwilliger internationaler Standard
Auslösekriterien9-Kriterien-Test des EDSA; Blacklists der nationalen AufsichtsbehördenBeurteilung des hohen Risikos; Ausnahme über Verhaltenskodex möglichOrganisationsdefinierte Risikoschwelle
Vorherige KonsultationErforderlich nach Artikel 36, wenn das Restrisiko hoch bleibtNicht ausdrücklich erforderlich; der EDÖB kann freiwillig konsultiert werdenAls Best Practice empfohlen
Einbezug des DatenschutzbeauftragtenVerpflichtend (Artikel 35 Abs. 2)Konsultation des Datenschutzberaters empfohlenEmpfohlen
Sanktionen bei NichteinhaltungBis zu EUR 10 Mio. oder 2 % des weltweiten UmsatzesBis zu CHF 250'000 (persönliche Haftung)Entfällt (freiwilliger Standard)
ÜberprüfungspflichtBei wesentlichen Änderungen der Verarbeitung (Artikel 35 Abs. 11)Bei veränderten UmständenPeriodische Überprüfung empfohlen

Häufig gestellte Fragen

Wann ist nach der DSGVO eine DSFA erforderlich?

Eine DSFA ist nach Artikel 35 DSGVO verpflichtend, wenn eine Verarbeitung «voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat». Die Leitlinien des EDSA zur Datenschutz-Folgenabschätzung (WP 248 rev.01) nennen neun Kriterien – darunter systematische Bewertung, automatisierte Entscheidungsfindung, umfangreiche Verarbeitung besonderer Kategorien und systematische Überwachung. Das Erfüllen von zwei oder mehr Kriterien löst die Pflicht in der Regel aus. Zudem veröffentlicht jede nationale Aufsichtsbehörde eine Blacklist von Verarbeitungsvorgängen, die immer eine DSFA erfordern.

Was ist der Unterschied zwischen einer DSFA und einer PIA?

Eine Datenschutz-Folgenabschätzung (DSFA) ist der spezifische Begriff aus Artikel 35 DSGVO und konzentriert sich auf Risiken für die Rechte und Freiheiten betroffener Personen. Eine Privacy Impact Assessment (PIA) ist ein breiterer Begriff aus Rahmenwerken wie ISO/IEC 29134 und dem NIST Privacy Framework. In der Praxis verwenden viele Organisationen die Begriffe synonym, doch eine DSFA nach DSGVO hat spezifische rechtliche Anforderungen, darunter die verpflichtende Konsultation des Datenschutzbeauftragten und die vorherige Konsultation der Aufsichtsbehörde, wenn Restrisiken hoch bleiben.

Welche Sanktionen drohen, wenn eine erforderliche DSFA nicht durchgeführt wird?

Nach Artikel 83 Abs. 4 Bst. a DSGVO kann das Unterlassen einer erforderlichen DSFA zu Geldbussen von bis zu EUR 10 Millionen oder 2 % des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist. Nach dem revDSG können verantwortliche Personen mit Bussen von bis zu CHF 250'000 belegt werden. Aufsichtsbehörden haben Bussen für fehlende oder unzureichende DSFA verhängt – die französische CNIL und die italienische Garante waren bei der Durchsetzung besonders aktiv.

Wie lange dauert die Durchführung einer DSFA?

Eine unkomplizierte DSFA für eine einzelne Verarbeitungstätigkeit dauert in der Regel 2–4 Wochen. Komplexe Beurteilungen mit grenzüberschreitenden Übermittlungen, mehreren gemeinsam Verantwortlichen oder neuartigen Technologien wie KI-gestütztem Profiling können 6–12 Wochen in Anspruch nehmen. Laut dem IAPP-EY-Bericht 2023 gehören DSFA zu den drei ressourcenintensivsten Datenschutzaktivitäten, was standardisierte Vorlagen und Workflow-Automatisierung für die Effizienz entscheidend macht.

Verlangt das revDSG eine DSFA?

Ja. Das revidierte Datenschutzgesetz (revDSG), in Kraft seit dem 01.09.2023, verlangt nach Artikel 22 eine Datenschutz-Folgenabschätzung, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt. Anders als die DSGVO erlaubt das revDSG Organisationen, auf die DSFA zu verzichten, wenn sie einen genehmigten Verhaltenskodex befolgen, der die betreffende Verarbeitung abdeckt.

Wer sollte an einer DSFA beteiligt sein?

Mindestens sollte das DSFA-Team den Datenschutzbeauftragten, den verantwortlichen Prozessverantwortlichen, die IT-Sicherheit und die Rechtsabteilung umfassen. Artikel 35 Abs. 2 DSGVO verlangt vom Verantwortlichen ausdrücklich, den Rat des Datenschutzbeauftragten einzuholen. Bei Verarbeitungen mit neuen Technologien sollten technische Architekten einbezogen werden. Bei grenzüberschreitenden Verarbeitungen sind lokale Datenschutzverantwortliche jedes Rechtsraums einzubeziehen. Der EDSA empfiehlt, die Rolle und den Beitrag jedes Stakeholders zur Beurteilung zu dokumentieren.

Kann eine DSFA rückwirkend durchgeführt werden?

Zwar verlangt Artikel 35 DSGVO, dass die DSFA «vor der Verarbeitung» durchgeführt wird, doch Aufsichtsbehörden – darunter das britische ICO – haben anerkannt, dass eine rückwirkende DSFA besser ist als gar keine. Eine rückwirkende DSFA beseitigt jedoch nicht die Haftung für den Zeitraum, in dem ohne sie verarbeitet wurde. Best Practice ist es, die DSFA vor Beginn der Verarbeitung durchzuführen und den Zeitablauf klar zu dokumentieren.

Wie hängt eine DSFA mit der Compliance des AI Act zusammen?

Der EU AI Act (Verordnung 2024/1689) führt für Hochrisiko-KI-Systeme eine Konformitätsbewertung ein, die sich erheblich mit den DSFA-Anforderungen der DSGVO überschneidet. Verarbeitet ein KI-System Personendaten, müssen Organisationen sowohl eine DSFA nach Artikel 35 DSGVO als auch eine Konformitätsbewertung nach dem AI Act durchführen. Die Verzahnung dieser Beurteilungen in einem einzigen Workflow vermeidet Doppelarbeit und sorgt für eine konsistente Risikobewertung über beide regulatorischen Rahmenwerke hinweg.