Ratgeber · 28. Mai 2026
Datenschutz-Folgenabschätzung: Wann ist die DSFA Pflicht?
Wann müssen KMU eine DSFA nach Art. 35 DSGVO machen? Schwellwert-Tests, konkrete Beispiele und Praxis-Checkliste mit Bußgeld-Risiken bei Versäumnis.
Die Datenschutz-Folgenabschätzung (DSFA) ist die am häufigsten übersehene Pflicht der DSGVO. Wer Bewerber-Tracking-Software einsetzt, Mitarbeiter-Monitoring betreibt oder ein Video-Sicherheitssystem in Betrieb hat, sollte spätestens jetzt prüfen, ob er eine DSFA braucht. Die Versäumnis ist kein Kavaliersdelikt — sie führt regelmäßig zu fünfstelligen Bußgeldern.
Was eine DSFA ist und was sie nicht ist
Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist eine strukturierte Risikoanalyse vor Einführung einer neuen Verarbeitungstätigkeit. Sie beantwortet vier Kernfragen:
- Was wird verarbeitet, wozu, wie lange?
- Welche Risiken entstehen für die betroffenen Personen?
- Welche technischen und organisatorischen Maßnahmen mindern diese Risiken?
- Wer trägt die Verantwortung, und wer wurde konsultiert?
Sie ist keine Compliance-Abfrage und kein Audit. Sie ist ein vorausschauendes Planungs-Werkzeug. Wenn die Verarbeitung läuft und das Risiko sich realisiert, ist die DSFA bereits zu spät.
Wann eine DSFA Pflicht ist
Art. 35 Abs. 1 DSGVO formuliert: “Hat eine Form der Verarbeitung … voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung … durch.” Das klingt vage — wird aber durch drei Konkretisierungen brauchbar:
- Art. 35 Abs. 3 DSGVO nennt drei automatische Pflicht-Fälle.
- Die Aufsichtsbehörden veröffentlichen Listen mit Verarbeitungstätigkeiten, die immer eine DSFA erfordern (sog. “Muss-Listen”).
- Die Aufsichtsbehörden veröffentlichen daneben “Soll-nicht-Listen” — Verarbeitungstätigkeiten, die typischerweise keine DSFA brauchen.
Die drei automatischen Pflicht-Fälle nach Art. 35 Abs. 3
Eine DSFA ist immer Pflicht bei:
- Systematischer, umfassender Bewertung persönlicher Aspekte (Profiling), die als Grundlage für Entscheidungen mit Rechtswirkung dienen — z.B. automatisierte Kreditwürdigkeits-Prüfungen, KI-gestütztes Bewerber-Filtering.
- Umfangreicher Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO — Gesundheits-, biometrische, religiöse Daten — oder Strafdaten nach Art. 10.
- Systematischer Überwachung öffentlich zugänglicher Bereiche in großem Umfang — z.B. flächendeckende Videoüberwachung, Tracking-Pixel auf großen Webseiten.
Die DSFA-Muss-Liste des LfDI BW
Der Landesbeauftragte für den Datenschutz Baden-Württemberg hat 17 Verarbeitungstätigkeiten benannt, bei denen eine DSFA immer Pflicht ist. Die wichtigsten für KMU:
| Bereich | Tätigkeit |
|---|---|
| Beschäftigtendatenschutz | Mitarbeiter-Bewertungssysteme, Whistleblower-Hotlines, GPS-Tracking |
| HR und Bewerbung | KI-Bewerber-Filterung, Persönlichkeits-Tests im Recruiting |
| Marketing | Profiling-basiertes Targeting, Scoring-Modelle |
| IT | Cloud-Migration sensibler Daten, neue ERP-Systeme |
| Gesundheit | Telemedizin, elektronische Patientenakten |
| Sicherheit | Videoüberwachung öffentlich zugänglicher Bereiche, biometrische Zugangskontrollen |
| KI-Anwendungen | Generative KI mit personenbezogenen Daten, automatisierte Entscheidungssysteme |
| Energie/Smart Metering | Smart-Meter-Auswertung, IoT-Tracking |
Wer eine dieser Tätigkeiten neu einführt, muss vor dem Start eine DSFA durchgeführt haben. Anpassungen an bestehenden Systemen (z.B. Erweiterung des Tracking-Codes auf der Website) lösen die Pflicht ebenfalls aus.
Konkrete Beispiele aus der Beratungspraxis
Aus über 100 Audits in der Region drei Konstellationen, in denen eine DSFA übersehen wurde:
Fall 1: Maschinenbauer, 45 Mitarbeiter, neue Zeiterfassung mit Fingerabdruck. Biometrische Daten nach Art. 9, klare DSFA-Pflicht. Der Anbieter hatte mit “DSGVO-konform” geworben, eine DSFA aber nicht erstellt. Im Audit der Aufsicht 2025 ergaben sich Bußgeld-Verhandlungen, die nur durch nachträgliche DSFA und Wechsel auf ein RFID-System (statt Fingerabdruck) abgewendet werden konnten.
Fall 2: Personalvermittlung, 14 Mitarbeiter, Einsatz eines KI-Tools zur Lebenslauf-Auswertung. Profiling für Entscheidungen mit Rechtswirkung. Die DSFA fehlte. Nach Erstaudit haben wir die DSFA in 4 Wochen nachgeholt — und dabei festgestellt, dass das KI-Tool an mehreren Stellen nicht den Anforderungen entsprach. Ergebnis: Wechsel auf eine assistive (statt automatisierte) Lösung.
Fall 3: Hotel mit Wellness-Bereich, 8 Mitarbeiter, Gesundheitsdaten der Gäste. Verarbeitung besonderer Kategorien, DSFA-Pflicht. Erst nach Hinweis durch uns wurde die DSFA erstellt — vorher gab es nur einen Vertrag mit dem Wellness-Anbieter und keine eigene Risikoanalyse.
Wie eine DSFA strukturiert wird
Die DSGVO selbst gibt in Art. 35 Abs. 7 ein Mindest-Schema vor:
- Beschreibung der Verarbeitung: Welche Daten, von wem, wofür, wie lange, an wen.
- Notwendigkeits- und Verhältnismäßigkeitsprüfung: Geht es nicht auch mit weniger Daten?
- Risiko-Bewertung für die Betroffenen: Welche Schäden sind möglich, wie wahrscheinlich, wie schwer?
- Geplante Maßnahmen zur Risiko-Minderung: Verschlüsselung, Pseudonymisierung, Zugriffs-Beschränkung, Zweck-Bindung.
In der Praxis nutzen wir Vorlagen, die diese vier Punkte mit konkreten Sektoren-Fragen verbinden — für Beschäftigtendatenschutz andere als für Marketing oder IT-Migration. Eine DSFA für ein typisches KMU-Setup nimmt 4 bis 8 Stunden Beratungszeit.
Was passiert ohne DSFA
Bei fehlender DSFA fallen zwei Risiken zusammen:
- Bußgeld nach Art. 83 Abs. 4 DSGVO: bis 10 Mio. Euro oder 2 % des Jahresumsatzes. Für KMU realistisch zwischen 5.000 und 25.000 Euro.
- Verbot der Verarbeitung: Die Aufsicht kann die laufende Verarbeitung untersagen, bis die DSFA nachgeholt ist. Bei einem Hotel mit Online-Buchungssystem oder einem Bewerber-Tracking-System kostet das schnell mehr als das Bußgeld.
Mehr zu konkreten Bußgeld-Höhen finden Sie unter DSGVO-Strafe Kleinunternehmen und Bußgeldrisiko.
Der Schwellwert-Test als Vorstufe
Bevor die volle DSFA gemacht wird, lohnt sich ein strukturierter Schwellwert-Test. Er beantwortet: “Liegt ein hohes Risiko vor, das eine DSFA-Pflicht auslöst?” Wir nutzen dafür eine 9-Punkte-Matrix, die das EDSA-Modell auf KMU-Bedingungen herunterbricht:
- Verarbeitung sensibler Daten nach Art. 9 oder Art. 10?
- Profiling oder automatisierte Einzelentscheidung?
- Systematische Beobachtung öffentlich zugänglicher Bereiche?
- Neue Technologien im Einsatz (KI, Biometrie, IoT)?
- Verarbeitung in großem Umfang (Faustregel: >5.000 Betroffene)?
- Daten von Personen in verletzlicher Lage (Kinder, Patienten, Mitarbeiter)?
- Datenabgleich aus verschiedenen Quellen?
- Drittland-Transfer ohne EU-Angemessenheit?
- Verhinderung der Rechtsausübung (z.B. Kreditwürdigkeit, Scoring)?
Werden zwei oder mehr Punkte mit “ja” beantwortet, ist die DSFA in der Regel Pflicht. Der Test selbst dauert 30 bis 60 Minuten und sollte schriftlich dokumentiert werden — auch wenn er “keine DSFA nötig” ergibt. Diese Doku ist im Audit Ihr Nachweis.
Praxis-Checkliste: Brauchen Sie eine DSFA?
Wenn auch nur eine der folgenden Fragen mit “ja” beantwortet wird, sollten Sie den Schwellwert-Test machen — und im Zweifel eine DSFA durchführen:
- Verarbeiten wir Gesundheitsdaten, biometrische Daten oder andere besondere Datenkategorien?
- Nutzen wir eine KI-Anwendung mit personenbezogenen Daten (z.B. für HR, Recruiting, Kundenservice)?
- Haben wir ein Bewertungs-, Profiling- oder Scoring-System?
- Setzen wir Videoüberwachung, GPS-Tracking oder andere systematische Überwachung ein?
- Integrieren wir gerade ein neues ERP, CRM oder HR-Tool mit großen Datenmengen?
- Migrieren wir Daten in eine Cloud-Umgebung außerhalb der EU?
- Führen wir eine neue Tracking-Lösung auf der Website ein?
Bei Unsicherheit hilft ein 15-minütiges Gespräch oft schneller als drei Stunden Lehrbuch-Recherche.
Was die DSFA als externe Beratung kostet
Bei Kowoll bewegen sich DSFA-Festpreise nach Komplexität:
- Standard-Fall (z.B. neue Zeiterfassung mit klassischen Funktionen): 600–900 € netto
- Mittlere Komplexität (z.B. KI-Tool im Recruiting, neue Cloud-Migration): 900–1.500 € netto
- Komplexer Fall (z.B. flächendeckende Videoüberwachung, neues ERP-System mit Datenmigration): 1.500–2.800 € netto
Wer bereits laufendes DSB-Mandat hat, bekommt die DSFA häufig im Festpreis pauschal abgegolten. Preise und Modelle siehe Kostenmodelle und Preisbeispiele. Mehr zur Förderfähigkeit unter BAFA-Förderung.
Was Sie konkret tun sollten
Wenn Sie ein neues System einführen wollen oder ein bestehendes System ohne DSFA betreiben, empfehlen wir:
- Schwellwert-Test schriftlich machen: Auch wenn das Ergebnis “keine DSFA nötig” lautet, sollten Sie diesen Test dokumentieren. Bei einem späteren Audit ist das Ihr Nachweis.
- Im Zweifel DSFA durchführen: Eine zu viel durchgeführte DSFA schadet nicht — eine fehlende kostet schnell fünfstellig.
- Externe Unterstützung holen: Eine erstmalige DSFA selbst zu erstellen, dauert intern oft 20 bis 30 Stunden. Mit Vorlage und Erfahrung sind es 4 bis 8 Stunden.
Wer eine konkrete Verarbeitungstätigkeit prüfen lassen möchte, kann unter +49 7071 770371 anrufen oder das Kontaktformular nutzen. Die Erst-Einschätzung dauert 15 Minuten und kostet nichts. Mehr Begriffsdefinitionen zum Thema im Glossar, insbesondere zu Profiling und Datenpannen.
Weiterlesen
- Auftragsverarbeitungsvertrag (AVV) — Checkliste für KMU Auftragsverarbeitungsvertrag AVV Checkliste: Wann nötig, mit wem, was muss drin sein? Praxis-Tabelle und Vorlagen-Empfehlungen für KMU.
- Datenpanne erkannt — 72-Stunden-Meldepflicht und Notfallplan Datenpanne im Unternehmen? Schritt-für-Schritt-Notfallplan für die 72-Stunden-Meldung an die Aufsicht, interne Eskalation und Doku-Pflichten.
- Datenschutz-Kosten senken — 6 konkrete Hebel für KMU Datenschutz Kosten senken im KMU: 6 erprobte Hebel von Festpreis bis BAFA — mit realistischen Ersparnissen je Maßnahme.