Comply/CheckScope prüfen

Art. 35 DSGVO · Template

Stand: Geprüft gegen Art. 35Quelle

DPIA-Template (Datenschutz-Folgenabschätzung)

Schritt 1 prüft, ob eine DSFA pflichtig ist (WP248-Kriterien + BfDI-Hochrisiko-Liste). Schritt 2 dokumentiert Verarbeitung, Notwendigkeit, Risiken und Schutzmaßnahmen. Markdown-Export. Keine Rechtsberatung.

Stammdaten
Schritt 1 · Pflicht-Check

Wählen Sie alle zutreffenden Hochrisiko-Kriterien (WP248). Treffen zwei oder mehr zu, gilt die DSFA regelmäßig als pflichtig.

Ergebnis: DSFA nicht erforderlich

Keines der typischen Hochrisiko-Kriterien trifft zu. Eine DSFA ist nicht pflichtig. Bei Zweifeln empfehlen wir eine kurze DSB-Konsultation.

Schritt 2 · Verfahrensbeschreibung
Schritt 3 · Risiken und Schutzmaßnahmen

Risiko 1

Schritt 4 · Konsultationen

Frequently Asked Questions

Was ist eine DSFA (Datenschutz-Folgenabschätzung)?
Eine DSFA (engl. DPIA) ist nach Art. 35 DSGVO eine vorab durchzuführende Risikoanalyse für Verarbeitungen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen darstellen. Sie dokumentiert die Verarbeitung, bewertet Risiken und definiert Schutzmaßnahmen.
Wann ist eine DSFA Pflicht?
Pflicht ist sie u. a. bei: systematischer Bewertung oder Profiling, umfangreicher Verarbeitung besonderer Datenkategorien, systematischer Überwachung öffentlich zugänglicher Bereiche. Zusätzlich veröffentlicht die BfDI / DSK eine verbindliche Liste — wer auf dieser Liste eine Verarbeitung durchführt, muss DSFA machen. Die Leitlinien WP248 nennen 9 Kriterien — bei Erfüllung von 2+ Kriterien gilt die DSFA regelmäßig als pflichtig.
Wer macht die DSFA?
Verantwortlich ist der Verantwortliche (Geschäftsführung, vertreten durch die zuständige Fachabteilung). Der/die Datenschutzbeauftragte ist verpflichtend zu konsultieren (Art. 35 Abs. 2 DSGVO). Bei verbleibendem hohen Restrisiko ist die Aufsichtsbehörde vorher zu konsultieren (Art. 36 DSGVO).
Was sind "besondere Datenkategorien" nach Art. 9?
Daten zu rassischer/ethnischer Herkunft, politischer Meinung, religiöser/weltanschaulicher Überzeugung, Gewerkschaftszugehörigkeit, genetische und biometrische Daten zur Identifizierung, Gesundheitsdaten, Sexualleben und sexueller Orientierung. Verarbeitung ist grundsätzlich verboten, außer es greift ein Erlaubnistatbestand (Einwilligung, Beschäftigungsverhältnis, öffentliches Interesse etc.).
Wie bewerte ich Risiken konkret?
Standardmodell: Eintrittswahrscheinlichkeit × Schadenshöhe (jeweils niedrig/mittel/hoch). Daraus ergibt sich ein Risiko-Score, dem Schutzmaßnahmen gegenübergestellt werden. Das verbleibende Restrisiko muss "akzeptabel" sein — sonst greift Art. 36 (Konsultation Aufsichtsbehörde). Beispiel: Cloud-CRM ohne 2FA = Eintrittswahrscheinlichkeit mittel, Schadenshöhe hoch → mit 2FA + Verschlüsselung → Restrisiko niedrig.
Was, wenn das Restrisiko trotz Maßnahmen hoch bleibt?
Dann ist die Aufsichtsbehörde nach Art. 36 DSGVO vor Beginn der Verarbeitung zu konsultieren. Praktisch bedeutet das: schriftliche Vorlage der DSFA, Beantwortung von Rückfragen, ggf. Anpassung der Verarbeitung. Eine Verarbeitung ohne Konsultation, obwohl das Restrisiko hoch bleibt, ist rechtswidrig.
Ersetzt dieses Template eine professionelle DSFA?
Nein. Die Vorlage bietet eine strukturierte Grundlage und einen Pflicht-Check. Bei komplexen Verarbeitungen — KI/ML-Systeme, internationale Konzern-Verarbeitungen, Gesundheitsdaten, großflächige Profiling-Systeme — empfehlen wir eine fachliche Begleitung durch Datenschutzbeauftragte oder externe Spezialist:innen. Keine Rechtsberatung iSd § 2 RDG.