---
name: fachanwalt-it-recht-datenschutz-folgenabschaetzung
description: "Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO durchfuehren. Pflicht bei voraussichtlich hohem Risiko fuer Rechte und Freiheiten natuerlicher Personen insbesondere bei neuen Technologien systematischer Profilbildung umfangreicher Verarbeitung besonderer Kategorien Art. 9 DSGVO oder oeffentlichen Bereichen. Schwarze Liste der Aufsichtsbehoerden DSK beachten. Konsultation der Aufsichtsbehoerde Art. 36 DSGVO bei Restrisiko. Dokumentationspflicht Art. 30 DSGVO."
---

# Datenschutz-Folgenabschätzung

## Kaltstart-Rückfragen

1. Welche konkrete Verarbeitungstätigkeit wird geplant — Zweck, Datenkategorien, Empfänger, Drittlandsbezug?
2. Werden besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO oder Daten zu strafrechtlichen Verurteilungen Art. 10 DSGVO verarbeitet?
3. Erfolgt automatisierte Entscheidung, Profiling oder systematische Überwachung öffentlich zugänglicher Bereiche?
4. Liegt die Verarbeitung auf der Muss-Liste der Datenschutzkonferenz oder der zuständigen Landesaufsicht?
5. Wer ist Verantwortlicher und wer Auftragsverarbeiter — liegt AVV nach Art. 28 DSGVO vor?

## Anspruchsgrundlagen und Pflichten

- DSFA-Pflicht bei voraussichtlich hohem Risiko Art. 35 Abs. 1 DSGVO; Beispielfälle Art. 35 Abs. 3 DSGVO.
- Vorherige Konsultation der Aufsichtsbehörde Art. 36 DSGVO bei verbleibendem hohem Risiko trotz Schutzmaßnahmen.
- Einbeziehung des Datenschutzbeauftragten Art. 35 Abs. 2 DSGVO.
- Verzeichnis von Verarbeitungstätigkeiten Art. 30 DSGVO.
- Rechtmäßigkeit der Verarbeitung Art. 6 DSGVO bzw. Art. 9 DSGVO.
- EuGH zu Schadenersatz bei DSGVO-Verstoß: EuGH C-300/21, Urt. v. 04.05.2023, Rn. 32 ff. (immaterieller Schaden bedarf konkreten Nachweises).
- BGH zu DSGVO-Auskunftsanspruch: BGH VI ZR 1213/22, Urt. v. 27.09.2023, Rn. 24 ff.

## Beweislast und Frist

- Verantwortlicher trägt die Rechenschaftspflicht Art. 5 Abs. 2 DSGVO und muss DSFA dokumentieren.
- Konsultation Art. 36 DSGVO: Aufsichtsbehörde antwortet innerhalb von acht Wochen, verlängerbar um sechs Wochen.
- Sanktionen bei Pflichtverstoß bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes Art. 83 Abs. 4 DSGVO.

## Prüfschema DSFA

```
1. Schwellwertanalyse — DSFA-Pflicht ja/nein
2. Systematische Beschreibung der Verarbeitung
3. Notwendigkeit und Verhaeltnismaessigkeit Art. 35 Abs. 7 lit. b DSGVO
4. Risikobewertung fuer Betroffene (Eintrittswahrscheinlichkeit x Schwere)
5. Geplante Abhilfemassnahmen TOM Art. 32 DSGVO
6. Restrisiko hoch — Konsultation Art. 36 DSGVO
7. Dokumentation in Verarbeitungsverzeichnis Art. 30 DSGVO
8. Periodische Ueberpruefung
```

Standardliteratur: Kühling/Buchner DSGVO Art. 35; Gola DSGVO; DSK Kurzpapier Nr. 5.

## Schreibvorlage Konsultationsanfrage Art. 36 DSGVO

```
An die Aufsichtsbehoerde fuer den Datenschutz [Land]

Konsultation nach Art. 36 DSGVO — Az. (intern) [...]

Sehr geehrte Damen und Herren,

als Verantwortlicher zeigen wir gemaess Art. 36 Abs. 1 DSGVO an dass die
geplante Verarbeitungstaetigkeit [Bezeichnung] trotz der getroffenen
Abhilfemassnahmen ein verbleibendes hohes Risiko fuer die Rechte und
Freiheiten natuerlicher Personen aufweist.

Beigefuegt sind nach Art. 36 Abs. 3 DSGVO:
- Verantwortlichkeiten (Verantwortlicher Auftragsverarbeiter DSB)
- Zwecke und Mittel der Verarbeitung
- Schutzmassnahmen Art. 32 DSGVO
- Ergebnisse der DSFA nach Art. 35 Abs. 7 DSGVO
- Verzeichnis nach Art. 30 DSGVO

Wir bitten um schriftliche Empfehlung innerhalb der Frist des Art. 36
Abs. 2 DSGVO.

Mit freundlichen Gruessen
```

## Übergabe

- Bei Konsultationspflicht: Versand an Aufsicht und Eintrag der Achtwochen-Frist.
- DSFA in Datenschutzakte ablegen und an DSB übergeben.
- Bei Verstoß-Erkennung Meldung Art. 33 DSGVO innerhalb 72 Stunden prüfen.
