Art. 35 DSGVO: Datenschutzfolgenabschätzung
| veröffentlicht am |
27.04.2026 |
|---|---|
| Änderung | Neu aufgenommen |
| Stand | 27.04.2026 |
|---|---|
| Erstellungsgrundlage | in der Fassung der Datenschutz-Grundverordnung vom 27.04.2016 in Kraft getreten am 25.05.2018 |
| Rechtsgrundlage | |
| Version | 001.00 |
- Inhalt der Regelung
- Ergänzende/korresponierende Regelungen
- Begriffsbestimmungen
- Allgemeines
- Zweck und Adressaten der Regelung
- Voraussetzungen der DSFA
- Durchführung und Ablauf
- Konsultation der Aufsichtsbehörde
- Dokumentation und Rechenschaftspflicht
- Auslegung der Absätze 1 bis 11 DSGVO
Inhalt der Regelung
Art. 35 Datenschutz-Grundverordnung (DSGVO) verpflichtet den Verantwortlichen zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt – insbesondere bei neuen Technologien, systematischer Überwachung oder Verarbeitung besonderer Kategorien personenbezogener Daten.
Die DSFA ist ein präventives Instrument im Sinne der DSGVO, das den Schutz der Rechte und Freiheiten natürlicher Personen stärkt. Auch bei einer rechtmäßigen Verarbeitung personenbezogener Daten können erhebliche Risiken für die betroffenen Personen bestehen. Die DSFA zielt darauf ab, solche Risiken frühzeitig zu identifizieren, zu bewerten und durch geeignete technische und organisatorische Maßnahmen (TOMs) zu minimieren. Sie ist Teil der Rechenschaftspflicht des Verantwortlichen und Ausdruck einer proaktiven Datenschutzkultur.
Ergänzende/korresponierende Regelungen
Die DSFA steht in engem Zusammenhang mit anderen Vorschriften der DSGVO, insbesondere:
- Art. 4 DSGVO Begriffsbestimmungen
- Art. 5 DSGVO Grundsätze der Verarbeitung
- Art. 6 DSGVO und Art. 9 DSGVO Rechtsgrundlagen
- Art. 32 DSGVO Sicherheit der Verarbeitung
- Art. 36 DSGVO Konsultation der Aufsichtsbehörde
- Art. 82 DSGVO und Art. 83 DSGVO Haftung und Sanktionen, sowie den Erwägungsgründen ErwG 75 DSGVO-ErwG und ErwG 84 DSGVO-ErwG bis ErwG 95 DSGVO-ErwG
Begriffsbestimmungen
- DSFA ist ein Verfahren zur systematischen Analyse und Bewertung von Risiken der Datenverarbeitung
- Die "Verarbeitung“ ist nach Art. 4 Nr. 2 DSGVO das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten.
- "Personenbezogene Daten“ sind nach Art. 4 Nr. 2 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen Namen, Adressen, E-Mail-Adressen, IP-Adressen, Standortdaten, Ausweisnummern sowie Fotos, die Rückschlüsse auf die Identität zulassen. Der Begriff ist weit gefasst und umfasst auch pseudonymisierte Daten, solange eine Identifizierung möglich ist.
- "Verantwortlicher“ ist jede natürliche oder juristische Person, die über Zwecke und Mittel der Verarbeitung entscheidet Art. 4 Nr. 7 DSGVO
- "Risiko“ ist, die Kombination aus Eintrittswahrscheinlichkeit und Schwere eines möglichen Schadens für betroffene Personen
Allgemeines
Die DSFA ist ein präventives Instrument zur Risikobewertung und Risikominimierung. Sie soll sicherstellen, dass bereits vor der Durchführung risikobehafteter Datenverarbeitung geeignete Maßnahmen getroffen werden, um die Grundrechte der Betroffenen zu wahren.
Zweck und Adressaten der Regelung
Zweck der DSFA ist es, Risiken zu identifizieren, zu bewerten und zu reduzieren, bevor mit einer Verarbeitung begonnen wird. Adressaten sind alle Verantwortlichen, die eine risikobehaftete Verarbeitung planen oder durchführen – unabhängig davon, ob es sich um private, öffentliche oder gewerbliche Stellen handelt.
Voraussetzungen der DSFA
Eine DSFA ist erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko birgt:
Beispiel:
- Bewertung oder Einstufung von Personen (zum Beispiel Scoring, Profiling)
- Überwachung öffentlich zugänglicher Bereiche (zum Beispiel Videoüberwachung)
- Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (Art.9 DSGVO)
- Verwendung neuer Technologien (zum Beispiel KI-Systeme)
Die Aufsichtsbehörden führen Listen über Verarbeitungsvorgänge, die zwingen eine DSFA erfordern (Art. 35 Abs. 4 DSGVO).
Durchführung und Ablauf
Eine DSFA umfasst gemäß Art. 35 Abs. 7 DSGVO mindestens:
- Beschreibung der geplanten Verarbeitung und Zwecke
- Bewertung der Notwendigkeit und Verhältnismäßigkeit
- Risikoanalyse für die Rechte und Freiheiten der Betroffenen
- Darstellung der Abhilfemaßnahmen
Konsultation der Aufsichtsbehörde
Führt die DSFA zu dem Ergebnis, dass trotz geplanter Maßnahmen ein hohes Risiko für Betroffene bestehen bleibt, muss vor Beginn der Verarbeitung die zuständige Aufsichtsbehörde konsultiert werden (Art. 36 DSGVO). Diese kann binnen 8 Wochen Empfehlungen oder ein Verbot aussprechen.
Dokumentation und Rechenschaftspflicht
Die DSFA ist Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Der Verantwortliche muss die Ergebnisse dokumentieren und auf Verlangen der Aufsichtsbehörde zur Verfügung stellen. Die Dokumentation dient auch dem internen Nachweis der DSGVO-Konformität.
Auslegung der Absätze 1 bis 11 DSGVO
- Absatz 1 begründet die Pflicht zur DSFA bei hohem Risiko. Der Begriff "voraussichtlich“ gibt dem Verantwortlichen einen Einschätzungsspielraum, verpflichtet aber zur sorgfältigen Prüfung.
- Absatz 2 verpflichtet zur Einbeziehung der/des Datenschutzbeauftragten. Dieser nimmt beratende Funktionen wahr und fördert interne Transparenz
- Absatz 3 stellt eine nicht abschließende Liste risikobehafteter Verarbeitungen dar. Diese bildet einen Mindeststandard, bei dem die Durchführung einer DSFA erforderlich ist. Absätze 4 bis 6 ermächtigen die Aufsichtsbehörden zur Veröffentlichung von Listen, die klarstellen, bei welchen Verarbeitungstätigkeiten eine DSFA erforderlich oder entbehrlich ist
- Absatz 7 regelt die inhaltlichen Mindestanforderungen: Beschreibung der Verarbeitung, Notwendigkeitsprüfung, Risikobewertung und Maßnahmen
- Absatz 8 legt die Berücksichtigung genehmigter Verhaltensregeln nach Art. 40 DSGVO fest
- Absatz 9 empfiehlt die Einbeziehung betroffener Personen zur Einschätzung möglicher Auswirkungen
- Absatz 10 ermächtigt Aufsichtsbehörden und den Europäischen Datenschutzausschuss zur weiteren Konkretisierung durch Modalitäten und Standards
- Absatz 11 legt fest, dass eine DSFA zu wiederholen ist, wenn sich das Risiko verändert.
| Verordnung (EU) 2016/679 des Europäischen Parlaments und Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) |
Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018 Quelle: Amtsblatt der Europäischen Union vom 04. Mai 2016 unter L 119/1 |
Die Datenschutzgrundverordnung (DSGVO) trat am 24.05.2016 in Kraft und gilt ab dem 25.05.2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union.