Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Glossar-Übersicht

Glossar

DSFA — Datenschutz-Folgenabschätzung erklärt

Die DSFA nach Art. 35 DSGVO erklärt: Wann sie Pflicht ist, der 6-Schritte-Prozess und die Verbindung zu KI-Systemen und dem AI Act.

Veröffentlicht: 10. März 2026Letzte Aktualisierung: 23. März 20264 Min. Lesezeit

Kurzdefinition

Die Datenschutz-Folgenabschätzung ist ein nach Art. 35 DSGVO vorgeschriebenes Verfahren zur Bewertung hoher Datenschutzrisiken bei besonders risikoreichen Verarbeitungen personenbezogener Daten.

Primaerquelle

Art. 35 DSGVO

Rechtsgrundlage ansehen

DSFA — Datenschutz-Folgenabschätzung erklärt

Die Datenschutz-Folgenabschätzung (DSFA) ist ein nach Art. 35 DSGVO vorgeschriebenes Verfahren zur Bewertung von Datenschutzrisiken bei besonders risikoreichen Verarbeitungen. Sie hilft Unternehmen, hohe Risiken vor dem Start eines Vorhabens zu erkennen, zu bewerten und mit geeigneten Schutzmaßnahmen zu verringern.

Was ist eine DSFA nach Art. 35 DSGVO?

Eine DSFA nach Art. 35 DSGVO ist eine strukturierte Vorabprüfung für Verarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen auslösen. Der Fokus liegt auf personenbezogenen Daten, möglichen Schäden für Betroffene und der Frage, ob technische und organisatorische Maßnahmen das Risiko ausreichend reduzieren.

Gerade bei datenintensiven KI-Anwendungen überschneidet sich die DSFA oft mit anderen Compliance-Themen. Für den regulatorischen Vergleich ist die Grundrechte-Folgenabschätzung relevant, während der Überblick KI-Verordnung vs. DSGVO die unterschiedlichen Schutzrichtungen beider Regelwerke erklärt.

Wann ist eine DSFA Pflicht?

Eine DSFA ist Pflicht, wenn eine Verarbeitung voraussichtlich ein hohes Risiko verursacht. Art. 35 Abs. 3 DSGVO nennt dafür typische Konstellationen, insbesondere systematische und umfassende Bewertung persönlicher Aspekte auf Basis automatisierter Verarbeitung, umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten sowie systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Bei KI-Projekten ist die Frage besonders relevant, wenn Systeme personenbezogene Daten in großem Umfang auswerten, Scores bilden oder Verhaltensprognosen erzeugen. Ein Recruiting- oder Kredit-Scoring-System kann deshalb sowohl datenschutzrechtlich als auch unter dem AI Act hoch sensibel sein. Für die AI-Act-Perspektive hilft zusätzlich der Begriff Hochrisiko-KI-System.

DSFA-Prozess in 6 Schritten

Eine belastbare DSFA folgt meist sechs Schritten, die sich in bestehende Freigabe- und Governance-Prozesse integrieren lassen.

SchrittInhaltZiel
1. Verarbeitung beschreibenZwecke, Datenkategorien, Betroffene, Systeme, Empfänger dokumentierenSachverhalt sauber abgrenzen
2. Notwendigkeit prüfenErforderlichkeit, Verhältnismäßigkeit und Rechtsgrundlage bewertenRechtliche Tragfähigkeit sichern
3. Risiken identifizierenMögliche Folgen für Rechte und Freiheiten erfassenRisikobild vollständig machen
4. Maßnahmen festlegenTechnische und organisatorische Schutzmaßnahmen definierenRisiken reduzieren
5. Restrisiko bewertenPrüfen, ob verbleibende Risiken akzeptabel sindGo-live-Entscheidung absichern
6. Entscheidung dokumentierenErgebnis, Verantwortlichkeiten und Review festhaltenNachweisfähigkeit schaffen

Wichtig ist die Reihenfolge: Erst die Verarbeitung präzise beschreiben, dann Risiken und Maßnahmen bewerten. Wird ein hohes Restrisiko trotz Schutzmaßnahmen nicht ausreichend gemindert, verlangt Art. 36 DSGVO grundsätzlich eine vorherige Konsultation der Aufsichtsbehörde.

DSFA und KI-Systeme — Besondere Relevanz

Bei KI-Systemen gewinnt die DSFA an Bedeutung, weil automatisierte Analysen oft mehrere Risikofaktoren vereinen: große Datenmengen, Intransparenz, Profiling und erhebliche Auswirkungen auf Betroffene. Das gilt nicht nur für eigenentwickelte Modelle, sondern auch für eingekaufte Tools im Personalwesen, in der Kundenbewertung oder in sicherheitsnahen Prozessen.

Eine DSFA ersetzt dabei keine AI-Act-Prüfung, sie ergänzt sie. Datenschutzrechtlich geht es um personenbezogene Daten und Schutzmaßnahmen, der AI Act adressiert zusätzlich produkt- und grundrechtsbezogene Pflichten. Einen guten Überblick zur Verzahnung bietet der Beitrag DSGVO und AI Act: zwei Schulungen?.

DSFA vs. Grundrechte-Folgenabschätzung (AI Act)

Die DSFA und die Grundrechte-Folgenabschätzung verfolgen unterschiedliche regulatorische Zwecke. Die DSFA nach Art. 35 DSGVO prüft Datenschutzrisiken einer Verarbeitung personenbezogener Daten. Die Grundrechte-Folgenabschätzung nach Art. 27 EU-VO 2024/1689 richtet sich an Betreiber bestimmter Hochrisiko-KI-Systeme und bewertet weitergehende Auswirkungen auf Grundrechte natürlicher Personen.

KriteriumDSFAGrundrechte-Folgenabschätzung
RechtsgrundlageArt. 35 DSGVOArt. 27 EU-VO 2024/1689
SchutzgutDatenschutz, Rechte und Freiheiten bei DatenverarbeitungGrundrechte im weiteren Sinn
AuslöserVoraussichtlich hohes Risiko bei VerarbeitungEinsatz bestimmter Hochrisiko-KI-Systeme
FokusDaten, Zwecke, Empfänger, SchutzmaßnahmenAuswirkungen auf Personen, Nutzungskontext, Abhilfemaßnahmen

Für Unternehmen mit sensiblen KI-Anwendungen sind daher oft beide Prüfungen nebeneinander sinnvoll oder erforderlich. Die DSFA beantwortet nicht automatisch alle Fragen des AI Act, und die Grundrechte-Folgenabschätzung ersetzt nicht die datenschutzrechtliche Vorprüfung.

Häufig gestellte Fragen (FAQ)

Wann muss eine DSFA durchgeführt werden?

Eine DSFA muss vor Beginn der Verarbeitung durchgeführt werden, sobald voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Typische Auslöser sind Profiling, systematische Überwachung, umfangreiche Verarbeitung sensibler Daten oder neue Technologien mit erheblichen Auswirkungen auf Betroffene.

Wer führt die DSFA durch?

Durchführen muss die DSFA der Verantwortliche im Sinne der DSGVO. In der Praxis arbeiten Datenschutzbeauftragte, Fachbereich, IT und Informationssicherheit zusammen. Entscheidend ist, dass die Organisation die Bewertung steuert, dokumentiert und die Maßnahmen nachvollziehbar verantwortet.

Was ist der Unterschied zur Grundrechte-Folgenabschätzung?

Der Unterschied liegt im Prüfungsmaßstab. Die DSFA konzentriert sich auf Datenschutzrisiken aus der Verarbeitung personenbezogener Daten. Die Grundrechte-Folgenabschätzung nach Art. 27 AI Act betrachtet darüber hinaus breitere Grundrechtsfolgen bestimmter Hochrisiko-KI-Systeme, etwa Diskriminierung, Transparenz oder Fehlentscheidungen.

Was Unternehmen jetzt tun sollten

Prüfen Sie bei neuen KI- und Datenprojekten früh, ob Art. 35 DSGVO eine DSFA auslöst, und verankern Sie den 6-Schritte-Prozess in Beschaffung, Freigabe und Betrieb. Wenn Sie Datenschutz, AI Act und Schulungsnachweis nicht nur nebeneinander verwalten, sondern in einen belastbaren Ablauf übersetzen wollen, ist unser Kurs der direkte nächste Schritt.

Nächster Schritt

Begriffe einordnen ist der Anfang. Umsetzung und Nachweis entscheiden im Unternehmen.

Wenn Sie KI-Kompetenz, Rollen, rote Linien und Schulungsnachweis nicht nur nachschlagen, sondern sauber ausrollen wollen, ist der Kurs der direkte nächste Schritt. Für typische Rückfragen zu Umfang, Nachweis und Team-Rollout steht zusätzlich die FAQ-Seite bereit.

Zur KursübersichtFAQ ansehen