---
name: spezial-dsfa-beweislast-und-darlegungslast
description: "Dsfa: Beweislast, Darlegungslast und Substantiierung: konkreter Spezialworkflow mit Sachverhaltsklärung, Rechtsrahmen, Belegen, Risikoampel und verwertbarem Output."
---

# Dsfa: Beweislast, Darlegungslast und Substantiierung

## Aufgabe
Dieser Skill ist ein konkreter Fachbaustein für `datenschutzrecht`. Ausgangspunkt ist: DSGVO/BDSG/TDDDG – PIA/DPIA, AVV-Review, Auskunft Art. 15, Datenpanne Art. 33/34, Drittlandstransfer Art. 44 ff. inkl. US-Transfer, DPF, SCC, TIA und Behördenpaket.

Er führt durch **Beweislast, Darlegungslast und Substantiierung** im Themenfeld **Dsfa**. Ziel ist nicht ein abstrakter Lexikontext, sondern ein belastbares Arbeitsprodukt für die nächste anwaltliche, behördliche, gerichtliche, organisatorische oder mandantenbezogene Entscheidung.

## Kaltstart
Wenn Unterlagen vorhanden sind, arbeite zuerst aus den Unterlagen. Stelle nur Rückfragen, die die nächste Weiche verändern:

1. Welche Rolle hat die fragende Person und wer ist Gegenüber?
2. Welches konkrete Ziel soll erreicht oder verhindert werden?
3. Welche Frist, Zustellung, Schwelle, Zahlung, Sanktion oder Verfahrensstufe ist kritisch?
4. Welche Dokumente, Registerauszüge, Bescheide, Verträge, Tabellen, Screenshots oder Nachrichten belegen den Punkt?
5. Welcher Output wird gebraucht: Memo, Checkliste, Tabelle, Entwurf, Schriftsatzbaustein, Mandantenbrief oder Entscheidungsvorlage?

## Arbeitsworkflow
1. **Fallbild bilden:** Sachverhalt, Rollen, Zeitachse und Dokumente in eine kurze Matrix bringen.
2. **Rechtsrahmen setzen:** Normen, Zuständigkeiten, Fristen, Formfragen und Verfahrensstand zum Themenfeld **DSFA** prüfen.
3. **Prüfpunkte abarbeiten:** Tatbestandsmerkmale, Beweisfragen, typische Fehler, Gegenargumente und Ermessens- oder Wertungsfragen trennen.
4. **Risiko bewerten:** Grün/Gelb/Rot mit Begründung, Annahmen, fehlenden Belegen und möglichen Alternativwegen ausgeben.
5. **Anschluss bauen:** Passende weitere Skills desselben Plugins vorschlagen, wenn eine Vertiefung, ein Schreiben, eine Tabelle, ein Fristenblatt oder eine Verhandlungsstrategie sinnvoll ist.

## Pflichtinhalt DSFA (Art. 35 Abs. 7 DSGVO)
- **Lit. a**: Systematische Beschreibung der Verarbeitungsvorgänge und der Verarbeitungszwecke, gegebenenfalls einschließlich der berechtigten Interessen.
- **Lit. b**: Bewertung der Notwendigkeit und Verhältnismäßigkeit.
- **Lit. c**: Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen.
- **Lit. d**: Geplante Abhilfemaßnahmen mit Garantien, Sicherheitsvorkehrungen und Verfahren, einschließlich der Berücksichtigung der Rechte und berechtigten Interessen.

## Beweislast nach Art. 5 Abs. 2 DSGVO
Der Verantwortliche ist für die Einhaltung der Grundsätze nach Art. 5 Abs. 1 verantwortlich und muss deren Einhaltung **nachweisen können** (Rechenschaftspflicht / Accountability). DSFA dient als Nachweismedium bei Hochrisiko-Verarbeitungen.

## Substantiierung der DSFA
- **Datenflussdiagramm**: Datenquellen, Zwischenschritte, Empfänger, Speicherorte, Aufbewahrungsdauer.
- **Risikoanalyse**: Identifikation Bedrohung, Auswirkung, Eintrittswahrscheinlichkeit, Restrisiko.
- **TOMs gem. Art. 32 DSGVO**: Verschlüsselung, Pseudonymisierung, Zugriffskontrolle, Backup, Wiederherstellung.
- **Konsultation der/des DSB** (Art. 35 Abs. 2): dokumentiert mit Stellungnahme.
- **Konsultation der Betroffenen** (Art. 35 Abs. 9): wenn angezeigt; in jedem Fall dokumentieren, warum mit oder ohne.

## Darlegungslast im Aufsichtsverfahren
- Aufsichtsbehörde kann nach Art. 58 Abs. 1 lit. a DSGVO Auskunft verlangen.
- Bei vorheriger Konsultation Art. 36 ist der Verantwortliche selbst Initiator — er muss die DSFA vollständig vorlegen.
- Bei Verfahren aufgrund Beschwerde / Aufsichtsinitiative: Pflicht zur Vorlage der DSFA aufgrund Art. 5 Abs. 2 i. V. m. Art. 35.

## Häufige Mängel
- **Pauschale Risikobewertung** ohne konkrete Bedrohungsmodelle.
- **TOMs aufgezählt, aber nicht implementiert** (Behörde verlangt Wirksamkeitsnachweis).
- **Keine periodische Aktualisierung** trotz wesentlicher Änderungen.
- **DSB nicht eingebunden** oder ohne dokumentierte Stellungnahme.
- **Verzicht auf vorherige Konsultation Art. 36** trotz hohem Restrisiko.

## Trade-off
Schlanke DSFA-Templates beschleunigen die Erstellung, lassen aber bei Hochrisiko-Use-Cases Lücken offen. Vollständige DSFA mit Bedrohungsmodellierung (z. B. nach LINDDUN, ENISA-Methodik) ist robust für Aufsichtsverfahren, kostet aber Personal. Empfehlung: gestufte Tiefe je Risiko (Light/Standard/Deep) mit dokumentierter Begründung der gewählten Stufe.

## Output-Standard
- **Kurzlage:** maximal fünf Sätze zu Ziel, Lage, Frist, Risiko und nächstem Schritt.
- **Prüfmatrix:** Punkt, Norm/Quelle, Tatsache, Beleg, Bewertung, To-do.
- **Arbeitsprodukt:** direkt nutzbarer Entwurf oder Baustein in der passenden Tonalität.
- **Qualitätsgate:** keine Scheingenauigkeit; Lücken, Annahmen und Live-Check-Bedarf ausdrücklich markieren.

## Quellenregel
- Aktuelle Normen, Behördenhinweise, Gerichtsseiten, Register, Formulare und EU-/Landesrecht live prüfen, wenn sie für das Ergebnis tragend sind.
- Rechtsprechung nur mit Gericht, Datum, Aktenzeichen und frei prüfbarer Quelle ausgeben.
- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate aus Modellwissen.
- Paywall-Literatur nur verwerten, wenn sie von der Nutzerin oder dem Nutzer als Text bereitgestellt wurde; dann nicht als frei verifizierte Quelle ausgeben.