DSFA-Check

Braucht Ihr Vorhaben eine Datenschutz-Folgenabschätzung?

Dieser interaktive Check ordnet vorläufig ein, ob für eine Verarbeitung personenbezogener Daten eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO naheliegt – etwa bei KI, Scoring, Profiling, Videoüberwachung, Gesundheitsdaten, Beschäftigtendaten, Tracking, Plattformdaten oder groß angelegter Verarbeitung.

Art. 35 DSGVO Risiko-Schwellenwert Schutzmaßnahmen Dokumentation

Wofür dieser Check gedacht ist

Der Checker hilft Unternehmen, Produktteams, Datenschutzbeauftragten, HR, Marketing, IT-Security und Geschäftsleitung dabei, DSFA-Auslöser, Dokumentationslücken, Schutzmaßnahmen und den nächsten Prüfpfad strukturiert zu erfassen.

Erste Einordnung, ob eine DSFA-Pflicht naheliegt oder eine Schwellenwertanalyse genügt.
Prüfung typischer Risikosignale: besondere Daten, Profiling, Überwachung, neue Technologien, vulnerable Betroffene und große Datenmengen.
Abgleich mit erforderlichen Nachweisen wie VVT, Datenfluss, Rollenmapping, AVV/DPA, Löschkonzept, TOM und Risikoanalyse.
Vorbereitung einer verwertbaren Kurzbeschreibung für die anwaltliche Anfrage.

DSFA-Risikopfad

Vom Datenvorhaben zur belastbaren DSFA-Entscheidung

Die Grafik zeigt den Prüfpfad: Zuerst wird der Verarbeitungskontext geklärt, dann werden Risikofaktoren, Nachweise und Schutzmaßnahmen eingeordnet. Während des Fragebogens aktualisieren sich die Signale automatisch.

Kontext offenVerarbeitungskontext

0Risikofaktoren

0Nachweise

0Schutzmaßnahmen

Prüflogik

So nähert sich der DSFA-Check der Entscheidung

Verarbeitung eingrenzen

Zweck, Datenarten, Betroffene, Systeme, Empfänger und Rollen müssen so konkret sein, dass Risiken überhaupt bewertbar werden.

Auslöser erkennen

Besondere Daten, Scoring, Profiling, systematische Überwachung, neue Technologien oder große Datenmengen sprechen häufig für DSFA-Nähe.

Nachweise prüfen

VVT, Rechtsgrundlage, Datenfluss, Rollenmapping, AVV/DPA, Löschkonzept und Datenschutzhinweise sind typische Grundbausteine.

Schutzmaßnahmen bewerten

Datenminimierung, Zugriffsschutz, Verschlüsselung, Transparenz, Human Review, Tests und Incident-Prozesse senken Risiken nur, wenn sie konkret umgesetzt sind.

Restrisiko entscheiden

Bleibt trotz Maßnahmen ein hohes Risiko, ist neben der DSFA auch eine Vorabkonsultation nach Art. 36 DSGVO zu prüfen.

Einordnung

Was dieser Check leistet

Der Check ersetzt keine rechtliche Einzelfallprüfung. Er hilft aber, typische DSFA-Signale strukturiert zu erfassen und die nächsten Unterlagen für eine belastbare Prüfung vorzubereiten.

Was ist eine DSFA?

Eine Datenschutz-Folgenabschätzung ist eine strukturierte Risikoanalyse für Verarbeitungen, die voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen auslösen können. Sie dokumentiert Zweck, Notwendigkeit, Risiken, Schutzmaßnahmen und Restrisiko.

Welche Vorhaben sind typische DSFA-Kandidaten?

Typische DSFA-Kandidaten sind KI- und Scoring-Systeme, automatisierte Bewertung, systematische Überwachung, Videoüberwachung, Gesundheitsdaten, Beschäftigtendaten, große Datenmengen, Tracking, Profilbildung, Datenzusammenführung und Verarbeitung schutzbedürftiger Personen.

Was passiert, wenn ein hohes Restrisiko bleibt?

Wenn Schutzmaßnahmen das hohe Risiko nicht ausreichend senken, sollte eine Vorabkonsultation der zuständigen Datenschutzaufsicht nach Art. 36 DSGVO geprüft werden. Das ist ein besonderer Eskalationsfall und sollte vor dem Go-live sauber dokumentiert werden.

Interaktiver Fragebogen

DSFA-Schwellenwertanalyse starten

Beantworten Sie die folgenden fünf Schritte. Das Ergebnis ist eine vorläufige Einordnung mit Gründen, Priorität, Prüfpunkten und kopierbarer Anfragezusammenfassung.

1 von 5 Schritten

1. Welche Verarbeitung soll geprüft werden?

Wählen Sie den Schwerpunkt, der dem Vorhaben am nächsten kommt.

KI, Scoring, Profiling oder automatisierte BewertungBewertung von Personen, Risiko-, Bonitäts-, Leistungs-, Verhaltens-, Betrugs-, Matching- oder Empfehlungssysteme. HR, Beschäftigtendaten oder MitarbeiterüberwachungBewerbermanagement, KI im Recruiting, Zeiterfassung, Produktivitätsdaten, Monitoring oder interne Kommunikation. Videoüberwachung, Zutritt, Standort oder öffentlich zugängliche BereicheCCTV, Kameraanalyse, Zutrittskontrolle, Besuchertracking, Standortdaten, Flächenüberwachung oder Sensorik. Gesundheitsdaten oder besondere Kategorien personenbezogener DatenGesundheit, biometrische Daten, Religion, politische Meinung, Gewerkschaft, sexuelle Orientierung oder vergleichbar sensible Daten. Tracking, Behavioral Advertising oder umfangreiche NutzeranalyseWebsite-/App-Tracking, Cross-Device, Remarketing, Fingerprinting, Analytics, Consent Mode, Data Warehouse oder Customer Scoring. Plattform, SaaS, App oder datengetriebenes ProduktNutzerkonten, Kommunikationsdaten, Plattformverhalten, Community, Marktplatz, SaaS-Logs, API-Daten oder Produktanalytics. Datenzusammenführung, Datenpool oder neue DatenquelleCRM, Data Lake, Datenanreicherung, Datenbroker, Konzernabgleich, Identitätsmatching oder Zusammenführung mehrerer Systeme. Nur anonyme oder aggregierte DatenEs werden nach aktuellem Stand keine personenbezogenen oder re-identifizierbaren Daten verarbeitet. Unklar / neues VorhabenDatenflüsse, Zwecke, Risiken oder Rollen sind noch nicht vollständig geklärt.

3. Welche Dokumentation ist vorhanden?

Markieren Sie alles, was belastbar dokumentiert ist.

VVT / Verarbeitungstätigkeit dokumentiertZwecke, Kategorien, Empfänger, Fristen, TOMs, Rechtsgrundlagen und Verantwortlichkeiten sind erfasst. Zweck, Rechtsgrundlage und Interessenabwägung geprüftRechtsgrundlage, Zweckbindung, berechtigtes Interesse, Einwilligung oder gesetzliche Grundlage sind begründet. Datenfluss und Systemarchitektur beschriebenDatenquellen, Systeme, Schnittstellen, Speicherorte, Empfänger, Löschung und Zugriffspunkte sind nachvollziehbar. Rollen, AVV/DPA und Dienstleister geklärtVerantwortliche, gemeinsame Verantwortliche, Auftragsverarbeiter, Subprozessoren und Verträge sind eingeordnet. Datenschutzhinweise und Betroffenenrechte vorbereitetInformationen, Auskunft, Löschung, Widerspruch, Beschwerde, Kontaktweg und interne Prozesse sind vorgesehen. Löschkonzept und Speicherfristen definiertAufbewahrung, Löschung, Archivierung, Backups, Sperrung und Protokolldaten sind geregelt. DSB / Datenschutzteam wurde eingebundenDatenschutzbeauftragter, Legal, IT-Security, Fachbereich, Betriebsrat oder Compliance wurden beteiligt. DSFA-Entwurf oder Vorprüfung existiertEs gibt bereits eine Schwellenwertanalyse, Risikoanalyse, DSFA-Vorlage oder Maßnahmenliste. Noch keine strukturierte DokumentationEs gibt bisher nur Projektinformationen, Toolunterlagen oder unvollständige Datenschutzunterlagen.

4. Welche Schutzmaßnahmen sind vorgesehen?

Markieren Sie alles, was tatsächlich umgesetzt oder konkret geplant ist.

Datenminimierung und ZweckbegrenzungNur notwendige Daten, klare Zwecke, getrennte Datenbestände, sparsame Defaults und keine Zweckausweitung. Pseudonymisierung, Anonymisierung oder VerschlüsselungTokenisierung, Hashing, Schlüsselmanagement, Verschlüsselung at rest/in transit oder aggregierte Auswertungen. Zugriffsschutz, Rollenrechte und LoggingMFA, Berechtigungskonzept, Need-to-know, Protokollierung, Admin-Kontrolle und regelmäßige Reviews. Menschliche Prüfung oder EingriffsmöglichkeitKeine rein automatische Entscheidung, Review, Eskalation, Widerspruchsprozess oder manuelle Kontrolle. Transparenz, Wahlmöglichkeiten und BetroffenenkontrolleKlare Informationen, Opt-out, Einwilligung, Einstellungen, Dashboard, Widerruf oder einfache Rechteausübung. Tests, Audit und WirksamkeitskontrollePenTest, Bias-Test, Datenschutztest, Security Review, Modell-/Toolprüfung, Monitoring oder Re-Evaluation. Incident-, Lösch- und KorrekturprozessDatenpannenprozess, Fehlerkorrektur, Löschläufe, Rückbau, Notfallmaßnahmen und Verantwortlichkeiten. Risikoanalyse mit Eintrittswahrscheinlichkeit und SchwereRisikoszenarien, Schadensarten, Wahrscheinlichkeit, Schweregrad, Maßnahmen und Restrisiko sind bewertet. Schutzmaßnahmen noch nicht konkretisiertEs gibt allgemeine Security- oder Toolangaben, aber keine DSFA-spezifische Maßnahmenbewertung.

5. Gibt es konkreten Handlungsdruck?

Markieren Sie alles, was zutrifft.

Go-live, Rollout oder Toolfreigabe steht bevorVerarbeitung soll kurzfristig produktiv starten, eingeführt oder für Nutzer/Beschäftigte freigegeben werden. Verarbeitung läuft bereitsTool, Tracking, KI-System, HR-Prozess, Videoüberwachung oder Datenpool ist bereits produktiv. DSB, Legal, Betriebsrat oder Kunde verlangt DSFADatenschutzbeauftragter, Einkauf, Betriebsrat, Kunde, Auditor oder Projektteam fordert eine DSFA oder Vorprüfung. Aufsichtsbehörde, Audit oder BeschwerdeBehörde, Betroffener, Kunde, Betriebsrat, Auditor oder Datenschutzteam fragt konkret nach der Risikobewertung. Datenpanne, Fehlentscheidung oder DatenschutzproblemIncident, falsches Scoring, unzulässiger Zugriff, Modellfehler, Diskriminierungsvorwurf oder Beschwerde. KI-, HR- oder besonders sensibles ProjektKI-System, Recruiting, Beschäftigtendaten, Gesundheitsdaten, Tracking oder automatisierte Entscheidung mit hoher Sichtbarkeit. Restrisiko könnte trotz Maßnahmen hoch bleibenEs ist unsicher, ob Schutzmaßnahmen die Risiken ausreichend senken; Vorabkonsultation könnte Thema werden. Präventive PrüfungKein akuter Fall, aber DSFA-Pflicht und Datenschutzrisiken sollen vorab sauber geklärt werden.

Risikomatrix

Typische DSFA-Signale, Maßnahmen und Fristen

Signal	Warum relevant	Typische Maßnahme	Zeitpunkt
KI, Scoring oder Profiling	Bewertungen können erhebliche Auswirkungen auf Personen haben.	Logik, Datenbasis, Human Review, Bias-Test und Transparenz prüfen.	Vor Go-live und bei wesentlicher Änderung.
Gesundheitsdaten oder besondere Kategorien	Hohe Eingriffsintensität und gesteigerter Schutzbedarf.	Rechtsgrundlage, Zugriff, Verschlüsselung, Zweckbindung und Löschung vertieft prüfen.	Vor Verarbeitung.
Systematische Überwachung	Kontroll- und Verhaltensrisiken können hoch sein.	Erforderlichkeit, Alternativen, Speicherfrist, Transparenz und Zugriffsschutz bewerten.	Vor Einführung oder Ausweitung.
Tracking und Nutzeranalyse	Profilbildung, Endgerätezugriff und Drittanbieter können zusammenwirken.	Consent, TDDDG, Drittlandtransfer, Widerruf, Datenminimierung und Empfänger prüfen.	Vor Kampagne, Toolwechsel oder Produktivbetrieb.
Datenpanne oder Beschwerde	Nachweise, Risikobewertung und Kommunikation werden zeitkritisch.	Breach-Triage, 72h-Meldeprüfung, Betroffeneninformation und DSFA-Nachweisfähigkeit prüfen.	Sofort nach Bekanntwerden.
Betroffenenrechte	Auskunft, Löschung und Widerspruch müssen praktisch funktionieren.	DSAR-Prozess, Identitätsprüfung, Fristenkontrolle und Dokumentation organisieren.	Regelmäßig binnen eines Monats beantworten.

Nächste sinnvolle Schritte

DSFA-Pflicht belastbar klären lassen

Wenn ein Go-live bevorsteht, eine Verarbeitung bereits läuft, besondere Daten betroffen sind oder KI, Tracking, HR, Plattformdaten oder Videoüberwachung im Spiel sind, sollte die DSFA-Entscheidung nachvollziehbar dokumentiert werden.

DSFA-Check bei ITMR anfragen

Rechtlicher Hinweis: Dieser Checker bietet eine erste Orientierung und ersetzt keine rechtliche Prüfung im Einzelfall. Ob eine DSFA erforderlich ist, hängt von Verarbeitung, Zweck, Datenarten, Betroffenengruppen, Umfang, Risiken, Schutzmaßnahmen, Rollen und Restrisiko ab.