Datenschutz-Folgenabschätzung von ITMR Rechtsanwälte

Datenschutz-Folgenabschätzung: Risikoreiche Datenprojekte belastbar prüfen und dokumentieren

Wenn ein neues Tool, ein KI-System, ein Tracking-Setup, ein HR-Prozess oder ein datengetriebenes Produkt in Betrieb gehen soll, reicht ein normales Datenschutzdokument oft nicht mehr aus. Entscheidend ist dann, ob die Verarbeitung voraussichtlich ein hohes Risiko für Betroffene auslöst, welche Maßnahmen dieses Risiko senken und ob die Entscheidung später gegenüber Datenschutzbeauftragten, Management, Kunden oder Aufsichtsbehörde trägt.

ITMR begleitet Unternehmen bei der Prüfung, Durchführung und Verteidigung von Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO – mit juristischer Präzision, technischem Verständnis und klarem Fokus auf Freigabe, Nachweisbarkeit und behördliche Belastbarkeit.

So einfach funktioniert es

1. Verarbeitung und Projektkontext senden.

Beschreiben Sie Tool, Prozess, Datenarten, Zweck, Betroffenengruppen, Dienstleister, geplanten Go-live und offene Freigabefrage.

2. DSFA-Pflicht und Risikobild einordnen.

Wir prüfen, ob eine DSFA erforderlich oder strategisch sinnvoll ist, welche Risiken rechtlich zählen und welche Unterlagen dafür belastbar vorliegen müssen.

3. Freigabe, Maßnahmen und Dokumentation sichern.

Sie erhalten eine klare Linie für DSFA-Bericht, Maßnahmenkatalog, DSB-Abstimmung, Managemententscheidung und – falls nötig – behördliche Vorabkonsultation.

DSFA-Fall einordnen lassen

Risikoprojekt vor Freigabe prüfen

Ihre Kontaktdaten

Ihre Nachricht

Dateien anhängen

Laden Sie relevante Dokumente hoch (optional)

Bereit für fachanwaltliche Datenschutz-Folgenabschätzungen?

Kontaktieren Sie uns unverbindlich. Wir stehen an Ihrer Seite.

Kontakt aufnehmen Warum wir?
Go-live · Audit · DSB-Freigabe · Behördenrisiko

Wenn die Freigabe eines Datenprojekts an der Risikoprüfung hängt

Eine Datenschutz-Folgenabschätzung wird meist nicht im ruhigen Normalbetrieb dringend. Sie wird dringend, wenn ein Tool vor dem Rollout steht, ein Datenschutzbeauftragter die Freigabe stoppt, ein Enterprise-Kunde im Vendor Assessment nach Nachweisen fragt, ein KI-Projekt produktiv gehen soll oder eine Aufsichtsbehörde die Risikobewertung sehen will.

Dann genügt kein Datenschutztext mit allgemeinen Schutzmaßnahmen. Entscheidend ist, ob das Unternehmen erklären kann, welche Verarbeitung geplant ist, warum sie erforderlich ist, welche Risiken für Betroffene entstehen, welche Maßnahmen diese Risiken senken und ob ein verbleibendes Restrisiko noch verantwortbar ist.

Mandatsanlässe DSFA-Pflicht Entscheidung Behördenrisiko Schnittstellen FAQ

Womit Mandanten typischerweise zu uns kommen

  • Ein KI-, HR-, Tracking-, Plattform- oder SaaS-Projekt soll kurzfristig freigegeben werden.
  • Der Datenschutzbeauftragte verlangt vor Go-live eine nachvollziehbare DSFA.
  • Ein Konzernkunde, Investor oder Auditor fragt nach DSFA, TOMs, VVT und DPA.
  • Die Verarbeitung betrifft Beschäftigtendaten, besondere Daten, Profiling, Scoring oder systematische Überwachung.
  • Produktteam, Legal, Compliance und IT bewerten dieselbe Verarbeitung unterschiedlich.
  • Eine Aufsichtsbehörde stellt Fragen zur Risikoprüfung oder zu fehlender Dokumentation.

Die DSFA ist kein Datenschutz-Grundlagenpapier, sondern eine konkrete Risiko- und Freigabeprüfung

Der Kernbereich Datenschutzrecht für Unternehmen behandelt DSGVO-Compliance, Datenschutzorganisation, Behördenverfahren und streitige Datenschutzlagen. Diese Leistungspaketseite setzt enger an: bei der konkreten Verarbeitung, bei der Art. 35 DSGVO, Projektfreigabe, Risikodokumentation und Maßnahmenentscheidung zusammenlaufen.

Bei digitalen Produkten, KI-Systemen, Cloud-Diensten und datengetriebenen Geschäftsmodellen gehört die DSFA zugleich in die Gesamtlogik von IT-Recht & Digitalisierung. Sie kopiert diese Oberlogik aber nicht, sondern beantwortet die operative Frage: Kann diese Verarbeitung so verantwortet, angepasst oder freigegeben werden?

Pflichtprüfung vor Projektfreigabe

Wann eine DSFA-Prüfung nicht mehr nur „nice to have“ ist

KI, Automatisierung und Profiling

Wenn Systeme Personen bewerten, sortieren, priorisieren, Verhalten vorhersagen oder Entscheidungen vorbereiten, entsteht häufig ein Risikobild, das nicht mit einer normalen Datenschutzerklärung erledigt ist.

Beschäftigtendaten und interne Kontrollsysteme

HR-Analytics, Produktivitätstools, Monitoring, Zugriffsauswertung oder Sicherheitsanalysen können besonders sensibel sein, weil Betroffene dem System im Arbeitsverhältnis kaum ausweichen können.

Tracking, AdTech und Plattformlogik

Nutzungsprofile, kanalübergreifende Auswertung, Segmentierung, Retargeting oder Betrugserkennung müssen so eingeordnet werden, dass Zwecke, Datenflüsse und Betroffenenrisiken belastbar zusammenpassen.

Besondere Daten und große Datenmengen

Gesundheitsdaten, Standortdaten, Zahlungsdaten, Kommunikationsdaten oder sensible Nutzungsdaten erhöhen den Begründungsdruck, wenn Umfang, Zweck, Zugriff und Speicherdauer eingriffsnah werden.

Vendor Assessment und Enterprise-Sales

Großkunden fragen oft nicht nur nach AVV und TOMs. Sie wollen sehen, dass risikoreiche Verarbeitungsvorgänge erkannt, bewertet, kontrolliert und dokumentiert wurden.

Aufsicht, Beschwerde oder Nachbesserung

Wenn Betroffene, Betriebsrat, Kunde oder Behörde nachfragen, wird aus der DSFA eine Verteidigungslinie: Was wurde wann geprüft, warum wurde freigegeben und welche Maßnahmen greifen tatsächlich?

Der harte Schwellenbegriff lautet: „voraussichtlich ein hohes Risiko“.

Praktisch folgt daraus: Auch eine Entscheidung gegen die DSFA sollte dokumentiert sein. Wer nur behauptet, eine DSFA sei nicht erforderlich, ohne Verarbeitung, Datenarten, Betroffene, Technik, Eingriffstiefe und Maßnahmen zu prüfen, schafft später Angriffsfläche.

Was nach der Erstprüfung greifbar sein muss

Eine gute DSFA führt zu einer Entscheidung, nicht nur zu einem Dokument

DSFA-Pflicht belastbar einordnen

Wir klären, ob die konkrete Verarbeitung eine DSFA verlangt, ob eine dokumentierte Vorprüfung reicht oder ob das Projekt aus Risikogründen angepasst werden sollte, bevor weitere Ressourcen in Rollout, Einkauf oder Implementierung fließen.

Risiken und Maßnahmen priorisieren

Die Bewertung wird nicht abstrakt gehalten. Sie muss zeigen, welche Risiken für Betroffene wirklich zählen und welche technischen, organisatorischen, vertraglichen oder prozessualen Maßnahmen diese Risiken senken.

Freigabelinie herstellen

Am Ende braucht das Unternehmen eine klare Linie für Datenschutzbeauftragten, Geschäftsleitung, Produktteam, Kunde oder Aufsicht: freigeben, anpassen, stoppen, nachdokumentieren oder Behörde einbinden.

Unterlagen, die den Einstieg beschleunigen

  • Beschreibung von Tool, Prozess, System oder Verarbeitungsvorgang
  • Zwecke, Datenarten, Betroffenengruppen, Rollen und Empfänger
  • VVT-Auszug, Datenfluss, Systemskizze oder Anbieterunterlagen
  • AVV/DPA, TOMs, Subunternehmer, Hosting und Zugriffsmodell
  • Offene Freigabefrage, Zeitplan, Go-live-Druck und bisherige Bewertung

Was Sie nach der Prüfung konkret in der Hand haben

  • klare Einschätzung zur DSFA-Pflicht nach Art. 35 DSGVO
  • prüffähige Risikologik statt bloßer Datenschutzfloskeln
  • priorisierte Maßnahmen für IT, Produkt, HR, Marketing, Einkauf oder Compliance
  • Entscheidungsvorlage für Datenschutzbeauftragten und Management
  • Linie für Kundenfragen, Audit, Vendor Assessment oder Behördenkommunikation
Art. 36 DSGVO · Restrisiko · Aufsicht

Wann aus der DSFA ein Behördenrisiko wird

Der kritische Punkt ist nicht die DSFA-Pflicht allein, sondern das verbleibende hohe Risiko

Eine DSFA kann ergeben, dass trotz geplanter Maßnahmen ein hohes Risiko für Betroffene bleibt. Dann muss geprüft werden, ob eine Vorabkonsultation der Datenschutzaufsichtsbehörde nach Art. 36 DSGVO erforderlich wird. Dieser Punkt ist für Projektpläne besonders heikel, weil er Zeit, Kommunikationsstrategie und Freigabeverantwortung verändert.

ITMR strukturiert diesen Übergang früh: Welche Risiken bleiben wirklich hoch? Welche zusätzlichen Maßnahmen sind realistisch? Welche Unterlagen müssen vorliegen? Und wie lässt sich gegenüber Management, Datenschutzbeauftragtem, Kunde oder Aufsicht erklären, warum ein Projekt freigegeben, verändert oder angehalten wird?

Warnsignale für Eskalation

  • Maßnahmen senken das Risiko nicht nachvollziehbar.
  • Betroffene können Verarbeitung oder Wirkung kaum erkennen oder vermeiden.
  • Technik, Anbieter oder Datenfluss bleiben unklar.
  • Die Verarbeitung betrifft sensible Bereiche wie HR, Gesundheit, Scoring oder Überwachung.
  • Interne Stellen widersprechen sich zur Freigabeentscheidung.
  • Die Aufsicht hat bereits nach Risikoprüfung oder DSFA gefragt.
Angriffspunkte vermeiden

Woran DSFAs in der Praxis scheitern

Die DSFA wirkt wie eine nachträgliche Rechtfertigung

Wenn die Verarbeitung bereits feststeht und die DSFA nur noch Zustimmung simuliert, verliert sie ihren präventiven Charakter. Besser ist eine Prüfung, die echte Projektentscheidungen beeinflussen kann.

Die technische Verarbeitung bleibt unverständlich

Modelllogik, Datenfluss, Zugriff, Logging, Schnittstellen, Speicherorte und Anbieterketten müssen rechtlich übersetzt werden. Ohne technische Verständlichkeit bleibt die Risikobewertung dünn.

Maßnahmen sind zu allgemein

„Verschlüsselung“, „Berechtigungskonzept“ oder „Datenminimierung“ helfen wenig, wenn unklar bleibt, wo die Maßnahme greift, wer sie verantwortet und welches konkrete Risiko dadurch sinkt.

VVT, AVV und DSFA widersprechen sich

Wenn Verzeichnis, Auftragsverarbeitung, TOMs, Datenschutzhinweise und DSFA unterschiedliche Zwecke, Rollen oder Datenkategorien beschreiben, entsteht eine gefährliche Nachweislücke.

Schnittstellen sauber führen

Die DSFA muss mit VVT, AVV, KI-Governance und Datenschutzrecht zusammenpassen

Eine tragfähige Datenschutz-Folgenabschätzung steht selten allein. Sie muss zu den vorhandenen Datenschutzdokumenten, zum Anbieter-Setup, zu technischen Maßnahmen und zur Projektfreigabe passen. Genau dort entscheidet sich, ob die DSFA im Audit oder bei einer Nachfrage trägt.

Datenschutzrecht für UnternehmenFür DSGVO-Compliance, Behördenverfahren, Datenschutzorganisation und übergreifende Datenschutzstrategie. Verzeichnis von Verarbeitungstätigkeiten prüfenWenn die DSFA an einem unklaren oder veralteten Art.-30-Dokument hängt. AVV für SaaS-, Cloud- und KI-Dienstleister prüfenWenn Dienstleister, TOMs, Subprozessoren, Hosting oder Rollenverteilung die Risikolage prägen. KI-Recht für UnternehmenWenn KI-Klassifizierung, Training, Output, Haftung, Datenschutz und Governance zusammenlaufen. AI Act / KI-Verordnung umsetzenWenn neben der DSFA auch KI-Pflichten, Hochrisiko-Fragen oder Grundrechte-Folgenabschätzung zu klären sind. IT-Recht & DigitalisierungFür die übergeordnete Einordnung digitaler Geschäftsmodelle, Datenprojekte, IT-Compliance und Plattformstrukturen.

KI-Projekte brauchen eine saubere Trennung von DSFA und AI-Act-Prüfung

KI macht eine DSFA nicht automatisch erforderlich. KI kann aber die Risikolage deutlich verschärfen, wenn personenbezogene Daten für Bewertung, Priorisierung, Scoring, Profiling, HR-Entscheidungen, Betrugserkennung, Nutzersegmentierung oder sensible Analysen eingesetzt werden.

Bei bestimmten Hochrisiko-KI-Konstellationen kann zusätzlich eine Grundrechte-Folgenabschätzung nach Art. 27 AI Act relevant werden. Diese Prüfung ist nicht deckungsgleich mit der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Für Unternehmen ist deshalb wichtig, beide Prüfstränge so zu verbinden, dass keine Doppelarbeit entsteht und trotzdem keine Lücke zwischen Datenschutz, KI-Governance und Freigabeprozess bleibt.

KI-Projekt rechtlich einordnen AI-Act-Umsetzung prüfen
Anwaltliche Risikolinie

Warum eine DSFA mehr braucht als eine Vorlage

Rechtliche Tragfähigkeit

Die DSFA muss zeigen, warum eine Verarbeitung zulässig, erforderlich und verhältnismäßig ist und welche Rechte und Freiheiten konkret berührt werden.

Technische Übersetzung

Datenfluss, Systemlogik, Zugriff, Anbieter, Speicherorte, Sicherheit und Löschung müssen so beschrieben werden, dass Datenschutzrecht und Realität zusammenpassen.

Freigabe unter Verantwortung

Geschäftsleitung, Datenschutzbeauftragter, Produktverantwortliche und Compliance brauchen eine nachvollziehbare Entscheidungsgrundlage, nicht nur ein ausgefülltes Dokument.

ITMR verbindet Datenschutzrecht, IT-Recht und digitale Projektpraxis

DSFA-Mandate verlangen eine Nähe zu Datenschutzrecht, IT-Verträgen, Plattformlogik, KI-Systemen, technischen Schutzmaßnahmen und behördlicher Argumentation. Die Stärke liegt nicht in einem Muster, sondern in der belastbaren Verbindung aus Rechtsprüfung, technischer Einordnung, Maßnahmenlogik und Freigabestrategie.

Amtliche Orientierungspunkte

Woran sich eine belastbare DSFA messen lassen muss

Art. 35 DSGVO

Ausgangspunkt für Pflicht, Inhalt und Schwelle der Datenschutz-Folgenabschätzung.

DSGVO bei EUR-Lex

BfDI / DSK-Listen

Praktische Orientierung für Verarbeitungsvorgänge, bei denen eine DSFA typischerweise zu prüfen ist.

BfDI zur DSFA

EDPB / WP29

Leitlinien zur Hochrisiko-Prüfung und zur Frage, wann eine Datenschutz-Folgenabschätzung angezeigt ist.

Leitlinien zur DPIA

AI Act Art. 27

Zusätzlicher Prüfstrang für bestimmte Hochrisiko-KI-Konstellationen.

Art. 27 AI Act

Häufige Fragen vor der Anfrage

FAQ zur Datenschutz-Folgenabschätzung

Wann ist eine DSFA nach Art. 35 DSGVO erforderlich?

Eine DSFA ist erforderlich, wenn eine geplante Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen auslöst. Besonders prüfungsrelevant sind neue Technologien, Profiling, Scoring, systematische Überwachung, umfangreiche Verarbeitung sensibler Daten und Konstellationen aus behördlichen Muss-Listen.

Reicht eine kurze interne Vorprüfung statt einer vollständigen DSFA?

Das kann reichen, wenn die Vorprüfung nachvollziehbar dokumentiert, warum keine DSFA erforderlich ist. Bei KI, HR-Analytics, Tracking, Scoring, sensiblen Daten, Auditdruck oder Behördennähe ist eine knappe unbegründete Einschätzung meist zu schwach.

Muss die DSFA vor dem Go-live abgeschlossen sein?

Ja. Die DSFA ist als vorgelagerte Prüfung angelegt. Sie sollte vor der entscheidenden Projektfreigabe so weit vorliegen, dass Risiken, Maßnahmen, Restrisiko und Verantwortungsentscheidung nachvollziehbar dokumentiert sind.

Was passiert, wenn trotz Maßnahmen ein hohes Restrisiko bleibt?

Dann ist zu prüfen, ob eine Vorabkonsultation der Datenschutzaufsichtsbehörde nach Art. 36 DSGVO erforderlich wird. Diese Frage sollte früh geklärt werden, weil sie Projektzeitplan, Kommunikation und Freigabestrategie erheblich beeinflussen kann.

Ist bei KI immer eine Datenschutz-Folgenabschätzung erforderlich?

Nein. KI führt nicht automatisch zu einer DSFA. Eine DSFA wird aber besonders naheliegend, wenn KI personenbezogene Daten verarbeitet und die konkrete Nutzung erhebliche Auswirkungen auf Betroffene haben kann, etwa durch Profiling, Scoring, Beschäftigtenbezug, sensible Daten oder systematische Bewertung.

Wie hängt die DSFA mit dem AI Act zusammen?

Bei bestimmten Hochrisiko-KI-Konstellationen kann zusätzlich eine Grundrechte-Folgenabschätzung nach Art. 27 AI Act relevant werden. Diese Prüfung ersetzt die DSFA nicht pauschal, sondern ergänzt sie, soweit Datenschutzrisiken und weitere Grundrechtsrisiken auseinanderfallen.

Kann eine DSFA nachträglich erstellt werden?

Eine nachträgliche DSFA ist besser als eine dauerhaft fehlende Risikodokumentation. Sie bleibt aber angreifbarer als eine echte Prüfung vor Projektstart. Deshalb sollte besonders sauber dokumentiert werden, warum nachgezogen wird, welche Risiken bereits bestehen und welche Anpassungen folgen.

Was sollte eine Anfrage an ITMR zur DSFA enthalten?

Hilfreich sind eine kurze Beschreibung des Projekts, der geplante Go-live, Zweck und Datenarten, Betroffenengruppen, beteiligte Anbieter, vorhandene Datenschutzdokumente und die konkrete Frage, an der die Freigabe derzeit hängt.

Nächster Schritt

Wenn das Datenprojekt freigegeben werden soll, sollte die Risikolinie vorher stehen

Schildern Sie Tool, Prozess, Zweck, Datenarten, Go-live, offene Freigabefrage und vorhandene Unterlagen. ITMR ordnet ein, ob eine DSFA erforderlich ist, welche Punkte zuerst geprüft werden müssen und wie aus der Datenschutzfrage eine belastbare Entscheidungsvorlage wird.

DSFA-Pflicht prüfen Go-live vorbereiten Restrisiko bewerten Aufsichtslinie klären

Datenschutz-Folgenabschätzung von Datenschutz-Experten