---
name: dsfa-template-deutsch-vollvorlage
description: "Deutsche DSFA-Vollvorlage nach Art. 35 Abs. 7 DSGVO mit ausgefuellten Platzhaltern fuer alle sechs Pflichtsektionen Beschreibung Verhaeltnismaessigkeit Risiken Massnahmen Restrisiko Freigabe. Output: vollstaendige DSFA-Vorlage zum Befuellen."
---

# DSFA-Vollvorlage Deutsch

## Zweck

Vollstaendige deutsche Vorlage einer Datenschutz-Folgenabschaetzung nach Art. 35 Abs. 7 DSGVO. Alle sechs Pflichtsektionen sind enthalten und mit Platzhaltern vorausgefuellt, so dass eine Kanzlei oder ein Unternehmen die DSFA direkt befuellen und der Aufsicht oder dem DSB vorlegen kann. Die Vorlage folgt der methodischen Struktur Beschreibung, Verhaeltnismaessigkeit, Risiken, Massnahmen, Restrisiko, Freigabe.

## Wann brauchen Sie diesen Skill

- Wenn die Trigger-Pruefung ergeben hat, dass eine DSFA durchzufuehren ist
- Wenn ein Hausformat fehlt und ein kanzleitaugliches Standardformat benoetigt wird
- Wenn die Aufsichtsbehoerde eine schriftliche DSFA anfordert
- Vor Vorabkonsultation nach Art. 36 DSGVO

## Rechtlicher Rahmen

- Art. 35 Abs. 7 DSGVO Mindestinhalte:
  - lit. a systematische Beschreibung der Verarbeitungsvorgaenge und Zwecke
  - lit. b Bewertung der Notwendigkeit und Verhaeltnismaessigkeit
  - lit. c Bewertung der Risiken fuer die Rechte und Freiheiten der Betroffenen
  - lit. d Abhilfemassnahmen mit Garantien und Sicherheitsvorkehrungen
- Art. 35 Abs. 2 DSGVO DSB-Anhoerung.
- Art. 35 Abs. 9 DSGVO Stakeholder-Konsultation soweit angemessen.
- Art. 5 Abs. 2 DSGVO Rechenschaftspflicht.
- EDSA-Leitlinien WP 248 rev.01.

## Ablauf 6-Schritte-Methodik

1. **Verarbeitungsbeschreibung.** Sektion 1 der Vorlage befuellen.
2. **Verhaeltnismaessigkeitspruefung.** Sektion 2.
3. **Risikoanalyse.** Sektion 3 mit Risikomatrix.
4. **Massnahmen.** Sektion 4.
5. **Restrisiko.** Sektion 5.
6. **Konsultation / Genehmigung.** Sektion 6 mit Unterschriften.

## Mustertext / Vollvorlage Deutsch

```
DATENSCHUTZ-FOLGENABSCHAETZUNG (DSFA)
nach Art. 35 DSGVO

Aktenzeichen intern: [...]
Version: [1.0] | Datum: [TT.MM.JJJJ]
Verantwortlicher: [Firma, Anschrift, Vertretung]
DSB: [Name, E-Mail, Telefon]
Federfuehrend (Fachabteilung): [...]
Klassifikation: [vertraulich / intern]

DECKBLATT
Verarbeitungsvorgang: [Bezeichnung]
Rechtsgrundlage: [Art. 6 / Art. 9 DSGVO, ggf. § BDSG / Spezialgesetz]
Zustaendige Aufsichtsbehoerde: [BfDI / LfDI ...]
Stand der Versionen: [Aenderungshistorie]

EXECUTIVE SUMMARY (1 Seite)
Zweck: [...]
Datenarten: [...]
Betroffene: [...]
Gesamtrisiko vor Massnahmen: [HOCH / MITTEL / GERING]
Gesamtrisiko nach Massnahmen: [HOCH / MITTEL / GERING]
Freigabeempfehlung: [Ja / Vorab-Konsultation Art. 36 / Nein]

1. BESCHREIBUNG DER VERARBEITUNGSTAETIGKEIT
   (Art. 35 Abs. 7 lit. a DSGVO)
1.1 Zweck und Art der Verarbeitung
[...]
1.2 Datenkategorien
- Stammdaten: [...]
- Inhaltsdaten: [...]
- Nutzungsdaten: [...]
- Besondere Kategorien Art. 9: [...]
- Strafrechtliche Daten Art. 10: [...]
1.3 Betroffene Personengruppen
[Kunden / Beschaeftigte / Patienten / Buerger]
1.4 Empfaenger und Uebermittlungen
- Interne Stellen: [...]
- Externe Auftragsverarbeiter: [...]
- Drittland: [Land, Garantien]
1.5 Aufbewahrungsfristen
[Frist, Loeschkonzept]
1.6 Technische Umgebung
[Hosting, Sub-AVs, Betriebssystem, Verschluesselung]
1.7 Datenfluss
[Diagramm-Verweis oder Kurzbeschreibung]

2. BEWERTUNG DER NOTWENDIGKEIT UND VERHAELTNISMAESSIGKEIT
   (Art. 35 Abs. 7 lit. b DSGVO)
2.1 Erforderlichkeit der Verarbeitung fuer den Zweck
[Geeignet, erforderlich, kein milderes Mittel]
2.2 Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)
[...]
2.3 Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)
[...]
2.4 Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)
[...]
2.5 Rechtmaessigkeit (Art. 6, ggf. Art. 9 DSGVO)
[Rechtsgrundlage je Datenkategorie / Betroffenengruppe]
2.6 Betroffenenrechte
[Wie sind Auskunft, Berichtigung, Loeschung, Einschraenkung, Datenuebertragbarkeit, Widerspruch sichergestellt?]
2.7 Transparenz Art. 12 ff. DSGVO
[...]

3. RISIKOANALYSE
   (Art. 35 Abs. 7 lit. c DSGVO)
3.1 Risikomatrix vor Massnahmen
| Nr | Szenario                          | Wahrsch. | Schwere | Risiko |
|----|-----------------------------------|----------|---------|--------|
| 1  | Unbefugter Zugriff (Vertraul.)    | [h/m/g]  | [h/m/g] | [R/O/G/Gn] |
| 2  | Datenleck nach aussen             |          |         |        |
| 3  | Verdecktes Profiling              |          |         |        |
| 4  | Datenverlust / Verfuegbarkeit     |          |         |        |
| 5  | Manipulation / Integritaet        |          |         |        |
| 6  | Diskriminierung Betroffener       |          |         |        |
| 7  | Identitaetsdiebstahl              |          |         |        |
3.2 Schutzziele beruehrt
[Vertraulichkeit / Integritaet / Verfuegbarkeit / Transparenz / Intervenierbarkeit / Nicht-Verkettung / Datenminimierung]
3.3 Schutzbeduerftige Personen
[Kinder / Patienten / Beschaeftigte / Verbraucher]

4. ABHILFEMASSNAHMEN
   (Art. 35 Abs. 7 lit. d DSGVO)
4.1 Technische Massnahmen (Art. 32 DSGVO)
- Verschluesselung: [Art, Schluessellaenge]
- Pseudonymisierung: [...]
- Zugriffskontrolle: [Rolle / Recht-Konzept]
- Protokollierung: [...]
- Sicherung / Backup: [...]
- Stand der Technik: [...]
4.2 Organisatorische Massnahmen
- Schulungen: [Zielgruppe, Frequenz]
- Vier-Augen-Prinzip: [...]
- Berechtigungskonzept: [...]
- Notfallplan / Incident Response: [...]
4.3 Vertragliche Massnahmen
- AVV (Art. 28 DSGVO): [Anbieter, Datum, Version]
- SCC bei Drittlandtransfer: [Modul, Datum]
- TIA: [Verweis]
4.4 Massnahmen-Tabelle
| Nr | Risiko | Massnahme | Verantwortlich | Frist | Restrisiko |

5. RESTRISIKO
5.1 Risikomatrix nach Massnahmen
[Tabelle wie 3.1 mit Werten nach Massnahmen]
5.2 Bewertung Restrisiko
[Verbleibendes Risiko pro Szenario; Gesamtbewertung]
5.3 Erforderlichkeit Art. 36 DSGVO
[ ] Keine Konsultation erforderlich (Restrisiko mittel oder gering)
[ ] Vorab-Konsultation Art. 36 DSGVO erforderlich (Restrisiko hoch)

6. KONSULTATION UND FREIGABE
6.1 DSB-Stellungnahme (Art. 35 Abs. 2 DSGVO)
[Wortlaut oder Verweis auf Anlage]
Unterschrift DSB: ____________________ Datum: ____________________

6.2 Stakeholder-Konsultation (Art. 35 Abs. 9 DSGVO)
[Durchgefuehrt / nicht durchgefuehrt mit Begruendung]

6.3 Freigabe Verantwortlicher
Name: ____________________
Funktion: ____________________
Unterschrift: ____________________ Datum: ____________________

6.4 Aufnahme in Verarbeitungsverzeichnis Art. 30 DSGVO
Verweis: [...]

6.5 Ueberpruefungsplan (Art. 35 Abs. 11 DSGVO)
Naechste Pruefung: [DATUM]
Trigger fuer ausserplanmaessige Pruefung: [Aenderung Datenarten / Empfaenger / Technologie / Rechtslage]
```

## Typische Fehler

- Vorlage wird verwendet, ohne den Datenfluss konkret zu beschreiben — Sektion 1 bleibt floskelhaft.
- Verhaeltnismaessigkeit wird auf Rechtsgrundlage reduziert — Datenminimierung und Speicherbegrenzung werden uebersehen.
- Risikoszenarien werden nur fuer Vertraulichkeit gepflegt, andere Schutzziele bleiben leer.
- Massnahmen-Tabelle ohne Verantwortliche und Fristen — nicht steuerbar.
- DSB unterschreibt nicht oder spaeter — Beweisluecke.
- Versionierung fehlt — bei Aenderung nicht nachvollziehbar.

## Querverweise

- `datenschutzrecht/skills/dpia-en-template-full-version/SKILL.md` — Englische Vollvorlage
- `datenschutzrecht/skills/dsfa-risikoanalyse-eintrittswahrscheinlichkeit-schaden/SKILL.md` — Risikomethodik
- `datenschutzrecht/skills/dsfa-stakeholder-konsultation-art-35-9/SKILL.md` — Stakeholder
- `datenschutzrecht/skills/dsfa-update-bei-aenderungen-und-revision/SKILL.md` — Update
- `datenschutzrecht/skills/dsfa-dokumentation-und-rechenschaftspflicht-art-5-ii/SKILL.md` — Dokumentation
- `references/zitierweise.md` — Zitierweise

## Quellen Stand 06/2026

- Art. 35 Abs. 7 DSGVO Mindestinhalte
- Art. 35 Abs. 2, 9, 11 DSGVO
- Art. 5 Abs. 2 DSGVO Rechenschaftspflicht
- Art. 30, 32 DSGVO
- EDSA-Leitlinien WP 248 rev.01
- SDM V3.0 — Schutzziele
- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe verifizieren
- Literatur: Kommentar- und Aufsatzfundstellen nur bei eigener Quelle