---
name: datenschutz-folgenabschaetzung
description: "Datenschutz-Folgenabschaetzung DSFA nach Art: 35 DSGVO bei voraussichtlich hohem Risiko. Anwendungsfall neues Verarbeitungsverfahren mit hohem Risiko für Betroffene soll eingeführt werden. Normen Art. 35 DSGVO D..."
---

# Datenschutz-Folgenabschaetzung DSFA nach Art


## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: nur die Fristen des konkreten Rechtsgebiets und der Akte verwenden; Widerspruch, Klage, Einspruch, Rechtsmittel, Verjährung, Verwirkung, Rüge-, Anzeige-, Anmelde- und Ausschlussfristen strikt trennen und nie aus einem anderen Fachgebiet übernehmen.
- Tragende Normen verifizieren: DSGVO Art. 5, 6, 7, 9, 12-22, 25, 28, 30, 32, 33-34, 35, 51-58, 77-83, BDSG §§ 22-25, 26, 30; DSGVO; BDSG; TTDSG — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

**Fokus:** Datenschutz-Folgenabschaetzung DSFA nach Art. 35 DSGVO bei voraussichtlich hohem Risiko. Anwendungsfall neues Verarbeitungsverfahren mit hohem Risiko für Betroffene soll eingeführt werden. Normen Art. 35 DSGVO DSFA-Pflicht Art. 36 DSGVO Konsultation Aufsichtsbehoerde DSK-Blacklist Art. 9 DSGVO besondere Kategorien. Prüfraster Pflicht-Check DSK-Blacklist Risikohoehe systematische Profilbildung umfangreiche Verarbeitung Konsultation Restrisiko Dokumentation. Output DSFA-Dokument mit Verfahrensbeschreibung Risikoanalyse Maßnahmen und Genehmigungsprotokoll. Abgrenzung zu fachanwalt-it-recht-cyber-vorfall-sofortmassnahmen und fachanwalt-it-recht-saas-vertrag-verhandlung.

### Datenschutz-Folgenabschätzung

## Kaltstart-Rückfragen

1. Welche konkrete Verarbeitungstätigkeit wird geplant — Zweck, Datenkategorien, Empfänger, Drittlandsbezug?
2. Werden besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO oder Daten zu strafrechtlichen Verurteilungen Art. 10 DSGVO verarbeitet?
3. Erfolgt automatisierte Entscheidung, Profiling oder systematische Überwachung öffentlich zugänglicher Bereiche?
4. Liegt die Verarbeitung auf der Muss-Liste der Datenschutzkonferenz oder der zuständigen Landesaufsicht?
5. Wer ist Verantwortlicher und wer Auftragsverarbeiter — liegt AVV nach Art. 28 DSGVO vor?

## Anspruchsgrundlagen und Pflichten

- DSFA-Pflicht bei voraussichtlich hohem Risiko Art. 35 Abs. 1 DSGVO; Beispielfälle Art. 35 Abs. 3 DSGVO.
- Vorherige Konsultation der Aufsichtsbehörde Art. 36 DSGVO bei verbleibendem hohem Risiko trotz Schutzmaßnahmen.
- Einbeziehung des Datenschutzbeauftragten Art. 35 Abs. 2 DSGVO.
- Verzeichnis von Verarbeitungstätigkeiten Art. 30 DSGVO.
- Rechtmäßigkeit der Verarbeitung Art. 6 DSGVO bzw. Art. 9 DSGVO.
- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

## Beweislast und Frist

- Verantwortlicher trägt die Rechenschaftspflicht Art. 5 Abs. 2 DSGVO und muss DSFA dokumentieren.
- Konsultation Art. 36 DSGVO: Aufsichtsbehörde antwortet innerhalb von acht Wochen, verlängerbar um sechs Wochen.
- Sanktionen bei Pflichtverstoß bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes Art. 83 Abs. 4 DSGVO.

## Prüfschema DSFA

```
1. Schwellwertanalyse — DSFA-Pflicht ja/nein
2. Systematische Beschreibung der Verarbeitung
3. Notwendigkeit und Verhaeltnismaessigkeit Art. 35 Abs. 7 lit. b DSGVO
4. Risikobewertung für Betroffene (Eintrittswahrscheinlichkeit x Schwere)
5. Geplante Abhilfemassnahmen TOM Art. 32 DSGVO
6. Restrisiko hoch — Konsultation Art. 36 DSGVO
7. Dokumentation in Verarbeitungsverzeichnis Art. 30 DSGVO
8. Periodische Ueberpruefung
```

Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen; Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff.

## Schreibvorlage Konsultationsanfrage Art. 36 DSGVO

```
An die Aufsichtsbehoerde für den Datenschutz [Land]

Konsultation nach Art. 36 DSGVO — Az. (intern) [...]

Sehr geehrte Damen und Herren,

als Verantwortlicher zeigen wir gemaess Art. 36 Abs. 1 DSGVO an dass die
geplante Verarbeitungstaetigkeit [Bezeichnung] trotz der getroffenen
Abhilfemassnahmen ein verbleibendes hohes Risiko für die Rechte und
Freiheiten natuerlicher Personen aufweist.

Beigefuegt sind nach Art. 36 Abs. 3 DSGVO:
- Verantwortlichkeiten (Verantwortlicher Auftragsverarbeiter DSB)
- Zwecke und Mittel der Verarbeitung
- Schutzmassnahmen Art. 32 DSGVO
- Ergebnisse der DSFA nach Art. 35 Abs. 7 DSGVO
- Verzeichnis nach Art. 30 DSGVO

Wir bitten um schriftliche Empfehlung innerhalb der Frist des Art. 36
Abs. 2 DSGVO.

Mit freundlichen Gruessen
```

## Übergabe

- Bei Konsultationspflicht: Versand an Aufsicht und Eintrag der Achtwochen-Frist.
- DSFA in Datenschutzakte ablegen und an DSB übergeben.
- Bei Verstoß-Erkennung Meldung Art. 33 DSGVO innerhalb 72 Stunden prüfen.

## Aktuelle Rechtsprechung (v14.2)

- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

## Faktische Updates (Stand 05/2026)

- **FRIA (Art. 27 KI-VO) — ab 02.08.2026:** Bei Hochrisiko-KI-Systemen müssen bestimmte Betreiber (öffentliche Stellen, öffentlich-finanzierte Dienste, Kreditscoring, Krankenversicherungs-Risikobewertung) eine Grundrechte-Folgenabschaetzung durchfuehren. Integriert mit DSFA möglich, rechtlich aber eigenstaendig.
- **EDSA-Stellungnahme 28/2024 zu KI-Modellen:** Bei KI-Modellen, die mit personenbezogenen Daten trainiert wurden, sind Anonymitaet, Pseudonymisierung, Modellausgaben mit Personenbezug und Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) zu prüfen. Quelle: edpb.europa.eu.
- **Aktualisierte BfDI/LfDI-Blacklists Art. 35 Abs. 4 DSGVO:** vor jeder DSFA aktuelle Listen live prüfen.
- **NIS-2 / DORA Schnittstelle:** Bei Hochrisiko-Verarbeitungen mit IT-Sicherheits-Bezug parallele Cyber-Risikobewertung dokumentieren.

## Triage zu Beginn

1. Welche EDSA-Kriterien sind erfüllt? (Mindestens 2 für DSFA-Pflicht)
2. Steht die Verarbeitung auf der BfDI- oder DSK-Blacklist?
3. Liegt ein KI-System vor? (FRIA nach Art. 27 KI-VO parallel zur DSGVO-DSFA)
4. Ergebnis: DSFA PFLICHT / DSFA EMPFOHLEN / KEINE DSFA?

## Output-Template — DSFA-Kurzprotokoll

**Adressat:** DSB / Aufsichtsbehörde — Tonfall: sachlich-juristisch

```
DSFA-Kurzprotokoll [DATUM]
Verarbeitungsvorgang: [BEZEICHNUNG]
Verantwortlicher: [NAME]
DSFA-Pflicht: JA (EDSA-Kriterien: [LISTE]) / NEIN

Risikobewertung (Vor Maßnahmen):
- Wahrscheinlichkeit: hoch / mittel / gering
- Schwere: hoch / mittel / gering

Maßnahmen: [LISTE]

Restrisiko: AKZEPTABEL / VORAB-KONSULTATION Art. 36 DSGVO erforderlich

Genehmigt von: [FUNKTION, NAME]
```
