DSGVO-DSFA: Wann ist eine Datenschutz-Folgenabschätzung erforderlich? (2026)

Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Artikel 35 der Verordnung (EU) 2016/679 immer dann erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Verantwortliche müssen die Abschätzung vor Beginn der Verarbeitung abschließen, nicht danach.
Einen vollständigen Überblick über die Verordnung finden Sie unter Was ist die DSGVO. Wenn Sie ein Compliance-Programm aufbauen, deckt die DSGVO-Compliance-Checkliste den breiteren Pflichtenkatalog ab, und die Anforderungen an den DSGVO-Datenschutzbeauftragten erläutern, wann Sie einen Datenschutzbeauftragten bestellen müssen, der Sie bei der DSFA berät.
Was ist eine Datenschutz-Folgenabschätzung (DSFA) nach der DSGVO?
Eine Datenschutz-Folgenabschätzung ist ein strukturierter, dokumentierter Prozess, mit dem ein Verantwortlicher die Datenschutzrisiken einer geplanten Verarbeitung ermittelt und bewertet und Maßnahmen festlegt, um diese Risiken auf ein vertretbares Maß zu senken. Artikel 35 Absatz 1 der Verordnung (EU) 2016/679 definiert die Pflicht: "Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vor der Verarbeitung eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch."
Die DSFA ersetzt das Regime der Vorabmeldung nach der Richtlinie 95/46/EG. Erwägungsgrund 89 erläutert diesen Wandel: Die DSGVO beseitigt "die allgemeine Pflicht zur Meldung von Verarbeitungen", da eine pauschale Registrierung Verwaltungsaufwand verursachte, ohne den Schutz zuverlässig zu verbessern. Stattdessen konzentriert die Verordnung die behördliche Aufmerksamkeit auf jene Verarbeitungsvorgänge, die tatsächlich ein erhöhtes Risiko begründen.
Die Pflicht liegt beim Verantwortlichen. Auftragsverarbeiter können unterstützen, und Artikel 28 Absatz 3 Buchstabe f verlangt ausdrücklich, dass der Auftragsverarbeiter "den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt", doch die rechtliche Pflicht trifft allein den Verantwortlichen.
Eine DSFA ist keine einmalige Übung. Artikel 35 Absatz 11 verlangt von Verantwortlichen, die Abschätzung "zumindest dann zu überprüfen, wenn sich das mit den Verarbeitungsvorgängen verbundene Risiko ändert". Eine bei der Konzeption als risikoarm eingestufte Verarbeitung kann zu einer Verarbeitung mit hohem Risiko werden, wenn sich Technologie, Umfang, Datenkategorien oder Nutzungskontext ändern.
Wann ist eine DSFA verpflichtend? Die Schwelle des hohen Risikos
Auslösende Voraussetzung ist, dass eine Verarbeitung "voraussichtlich ein hohes Risiko" für Personen mit sich bringt, ein vorausschauender, prognostischer Maßstab. Der Verantwortliche muss beurteilen, ob ein solches Risiko wahrscheinlich ist, und darf nicht abwarten, bis ein Schaden tatsächlich eintritt. Neue Technologien werden in Artikel 35 Absatz 1 besonders erwähnt, weil sie tendenziell Risiken schaffen, die noch nicht bewertet oder durch etablierte Praxis geregelt wurden.
Artikel 35 Absatz 3 nennt drei ausdrückliche Kategorien, die von sich aus eine DSFA erfordern. Dabei handelt es sich um Mindestvorgaben, nicht um eine abschließende Liste: Auch andere, in Artikel 35 Absatz 3 nicht genannte Verarbeitungsarten können eine DSFA erfordern, wenn der allgemeine Maßstab des hohen Risikos aus Artikel 35 Absatz 1 erfüllt ist.
Artikel 35 Absatz 3 Buchstabe a: Systematische automatisierte Profilbildung mit rechtlicher oder ähnlich erheblicher Wirkung
Artikel 35 Absatz 3 Buchstabe a verlangt eine DSFA für "eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung, einschließlich Profiling, gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen." Drei Elemente müssen gemeinsam vorliegen: Die Bewertung ist systematisch und umfassend; die Verarbeitung ist automatisiert; und die daraus resultierenden Entscheidungen entfalten Rechtswirkung (Änderung von Rechten oder Rechtsstellung) oder eine in ähnlicher Weise erhebliche Wirkung (Ablehnung einer Beschäftigung, Ausschluss von einer Leistung, wesentliche Verschlechterung finanzieller Bedingungen).
Erwägungsgrund 71 nennt konkrete Beispiele: Online-Kreditanträge, automatisierte Vorauswahl von Bewerbern und Versicherungstarifierungsmodelle. Die Kategorie erfasst auch algorithmisches Scoring im Rahmen vorausschauender Polizeiarbeit, automatisierte Betrugserkennung, die das Konto eines Kunden ohne menschliche Überprüfung sperrt, sowie Pipelines für verhaltensbasierte Werbung, bei denen die Differenzierung erheblich ist.
Der begrenzende Grundsatz lautet "Rechtswirkung oder eine in ähnlicher Weise erhebliche Wirkung". Eine Personalisierung, die lediglich die Farbe einer Webseite ändert, oder eine Playlist-Empfehlung ohne Konsequenzen erreicht diese Schwelle nicht.
Artikel 35 Absatz 3 Buchstabe b: Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder strafrechtlicher Daten
Artikel 35 Absatz 3 Buchstabe b verlangt eine DSFA für die "umfangreiche Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10." Zu den besonderen Kategorien zählen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, genetische Daten, zur eindeutigen Identifizierung verarbeitete biometrische Daten, Gesundheitsdaten sowie Daten zum Sexualleben oder zur sexuellen Orientierung.
Das Kriterium der Umfangreichheit ist entscheidend. Erwägungsgrund 91 erläutert, dass ein einzelner Angehöriger eines Gesundheitsberufs, der die Daten der eigenen Patienten verarbeitet, keine umfangreiche Verarbeitung betreibt. WP248 empfiehlt die Berücksichtigung von vier Faktoren: Zahl der betroffenen Personen; Umfang beziehungsweise Bandbreite der verarbeiteten Daten; Dauer der Tätigkeit; und geografische Ausdehnung. Ein Krankenhausverbund, der die Akten Hunderttausender Patienten in einem regionalen Netzwerk verarbeitet, erfüllt diese Schwelle eindeutig; eine Einzelpraxis mit einigen Hundert Patienten hingegen nicht.
Artikel 35 Absatz 3 Buchstabe c: Umfangreiche systematische Überwachung öffentlich zugänglicher Bereiche
Artikel 35 Absatz 3 Buchstabe c verlangt eine DSFA für "die umfangreiche systematische Überwachung öffentlich zugänglicher Bereiche." Erwägungsgrund 91 nennt als Beispiel "die umfangreiche Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optisch-elektronischer Vorrichtungen." Videoüberwachungsanlagen im öffentlichen Raum sind der typische Anwendungsfall. Das Kriterium gilt gleichermaßen für private Stellen und Behörden. Moderne Videoanalyse mit Gesichts- oder Ganganalyse fällt eindeutig in diese Kategorie und löst zusätzlich eine Prüfung nach Artikel 35 Absatz 3 Buchstabe a aus. Eine einzelne Kamera in einem kleinen Geschäft, die während der Öffnungszeiten manuell überwacht wird, ist wahrscheinlich weder umfangreich noch systematisch. Ein Netzwerk von Hunderten Kameras in einer Innenstadt mit automatisierter Analyse und mehrwöchiger Speicherung ist es eindeutig.
Die neun Kriterien des EDSA für ein hohes Risiko
Die WP248-Leitlinien des EDSA (angenommen im Oktober 2017, vom EDSA im Mai 2018 gebilligt) benennen neun Kriterien als Indikatoren für ein voraussichtlich hohes Risiko im Sinne von Artikel 35 Absatz 1. Kein einzelnes Kriterium ist für sich genommen entscheidend; nach Auffassung des EDSA sollte jede Verarbeitung, die zwei oder mehr Kriterien erfüllt, als DSFA-pflichtig behandelt werden.
1. Bewertung oder Scoring. Die Verarbeitung bewertet oder erstellt ein Scoring von Personen, einschließlich Profiling und Vorhersage, etwa hinsichtlich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Bewegungen.
2. Automatisierte Entscheidungsfindung mit rechtlicher oder ähnlicher Wirkung. Die Verarbeitung umfasst automatisierte Entscheidungen, die Rechtswirkung oder eine ähnlich erhebliche Wirkung entfalten, wie in Artikel 35 Absatz 3 Buchstabe a beschrieben.
3. Systematische Überwachung. Die Verarbeitung umfasst die systematische Beobachtung oder Kontrolle von Personen, einschließlich über Netzwerke erhobener Daten oder verdeckter Überwachung von Beschäftigten oder Verbrauchern. Erfasst Gerätefingerabdrücke, dauerhaftes Cookie-Tracking, Überwachung des Netzwerkverkehrs und Software zur Mitarbeiterüberwachung.
4. Sensible Daten oder Daten höchstpersönlicher Natur. Die Verarbeitung umfasst besondere Kategorien personenbezogener Daten nach Artikel 9, strafrechtliche Daten nach Artikel 10, Finanzdaten, Standortdaten, Gesundheitsdaten oder andere Daten, deren Missbrauch erheblichen Schaden verursachen könnte. Der EDSA hebt Finanztransaktionsdaten besonders als Indikator für ein hohes Risiko hervor.
5. Daten, die in großem Umfang verarbeitet werden. Eine eigenständige Erwägung, die das Kriterium der Umfangreichheit aus Artikel 35 Absatz 3 Buchstabe b auf alle Arten personenbezogener Daten anwendet, nicht nur auf besondere Kategorien.
6. Abgleich oder Zusammenführung von Datensätzen. Die Verarbeitung kombiniert, kreuzreferenziert oder gleicht Daten aus zwei oder mehr unterschiedlichen Quellen in einer Weise ab, die die vernünftigen Erwartungen der betroffenen Personen zum Zeitpunkt der ursprünglichen Erhebung überschreiten könnte.
7. Daten betreffend schutzbedürftige Personen. Die Verarbeitung betrifft Personen, die sich gegenüber dem Verantwortlichen in einer schutzbedürftigen Position befinden: Kinder, Beschäftigte, Patienten, ältere Menschen und Asylsuchende. Kinder werden besonders erwähnt, da sie "sich der betreffenden Risiken, Folgen und Garantien sowie ihrer Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten weniger bewusst sind".
8. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen. Die Verarbeitung setzt Technologie auf neuartige Weise ein (IoT, biometrische Erkennung, KI, vernetzte Geräte), wobei die weiteren gesellschaftlichen oder individuellen Folgen noch nicht feststehen.
9. Verarbeitung, die betroffene Personen an der Ausübung eines Rechts oder der Nutzung einer Leistung hindert. Die Verarbeitung entscheidet darüber, ob Zugang zu etwas gewährt oder verweigert wird, worauf die betroffene Person einen Anspruch oder eine berechtigte Erwartung hat: ein Bankkonto, eine staatliche Leistung, eine medizinische Behandlung, eine Beschäftigung oder eine Wohnung.
DSFA-Blacklists der nationalen Aufsichtsbehörden
Artikel 35 Absatz 4 verpflichtet jede nationale Aufsichtsbehörde, "eine Liste der Verarbeitungsvorgänge [zu] erstellen und [zu] veröffentlichen, für die eine Datenschutz-Folgenabschätzung gemäß Absatz 1 durchzuführen ist". Diese Blacklists sind in ihrem jeweiligen Zuständigkeitsbereich rechtsverbindlich. Verantwortliche, die in mehreren EU-/EWR-Mitgliedstaaten tätig sind, müssen die Blacklist jeder betroffenen nationalen Behörde prüfen, da sich die auslösenden Kategorien unterscheiden können.
Artikel 35 Absatz 5 erlaubt es den Aufsichtsbehörden zudem, eine Whitelist von Verarbeitungsarten zu veröffentlichen, für die keine DSFA erforderlich ist. Erfasst ein Whitelist-Eintrag einen geplanten Verarbeitungsvorgang, ist keine DSFA erforderlich, sofern nicht besondere Umstände den Vorgang über die allgemeine Schwelle des hohen Risikos heben.
Der Kohärenzmechanismus nach Artikel 35 Absatz 6 greift, wenn eine geplante Liste Verarbeitungen betrifft, die "mit dem Anbieten von Waren oder Dienstleistungen für betroffene Personen oder mit der Beobachtung ihres Verhaltens in mehreren Mitgliedstaaten zusammenhängen oder den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen können". In diesem Fall muss die Behörde den Kohärenzmechanismus nach Artikel 63 anwenden, wodurch der EDSA in das Verfahren eingebunden wird.
Beispielhafte Blacklist-Einträge ausgewählter nationaler Behörden: Die französische CNIL nahm die biometrische Zugangskontrolle am Arbeitsplatz, prädiktives Scoring sozialer Risiken im öffentlichen Sektor, umfangreiche Verarbeitung von Gesundheitsdaten sowie den automatisierten Abgleich von Arbeitgeber- und Sozialleistungsdatenbanken auf. Die deutsche Datenschutzkonferenz (DSK) nannte die systematische Verarbeitung von Verhaltensdaten von Beschäftigten, umfangreiche Patientenakten und KI-gestützte Bonitätsbewertung. Das britische ICO (UK-DSGVO) führt umfangreiches Profiling von Kindern, systematische Überwachung der Kommunikation von Beschäftigten, biometrische Daten zur Mitarbeiterauthentifizierung sowie Verhaltensprofile aus mehreren Quellen auf.
Verantwortliche müssen die aktuelle, von der jeweils zuständigen Aufsichtsbehörde veröffentlichte Liste prüfen und dürfen sich nicht auf eine Zusammenfassung verlassen. Die Listen werden aktualisiert, sobald der EDSA neue Leitlinien verabschiedet oder nationale Behörden auf neue Technologien reagieren.
| Verarbeitungsvorgang | Anwendbarer Auslöser | Beispiel |
|---|---|---|
| Automatisiertes Kredit-Scoring mit Ablehnungsentscheidung | Art. 35 Abs. 3 Buchst. a + EDSA-Kriterien 1, 2 | Fintech-Kreditgeber, der mittels ML Anträge genehmigt oder ablehnt |
| Gesichtserkennung zur Arbeitszeiterfassung | Art. 35 Abs. 3 Buchst. b, Art. 35 Abs. 3 Buchst. c + EDSA-Kriterien 3, 4, 8 | Biometrisches Anwesenheitssystem für eine große Belegschaft |
| Umfangreiche Auswertung von Gesundheitsdaten | Art. 35 Abs. 3 Buchst. b + EDSA-Kriterien 4, 5 | Krankenhausverbund, der Patientenakten für Forschungszwecke auswertet |
| Stadtweite Videoüberwachung mit Videoanalyse | Art. 35 Abs. 3 Buchst. c + EDSA-Kriterien 3, 8 | Smart-City-Kameranetzwerk mit automatisierter Verhaltensanalyse |
| Software zur Überwachung der Mitarbeiterproduktivität | EDSA-Kriterien 3, 7 + Blacklist nach Art. 35 Abs. 4 | Keystroke-Logging und Screenshot-Erfassung bei Remote-Beschäftigten |
| Plattformübergreifendes Profil für verhaltensbasierte Werbung | EDSA-Kriterien 1, 5, 6 | Werbebörse, die Browsing-, Kauf- und Standortdaten kombiniert |
| Algorithmisches Scoring der Leistungsberechtigung | Art. 35 Abs. 3 Buchst. a + EDSA-Kriterien 2, 7, 9 | Behördensystem, das automatisch den Anspruch auf Wohngeld ermittelt |
| Kinder-App mit Verarbeitung von Standort- und Verhaltensdaten | EDSA-Kriterien 4, 7, 8 | Gamifizierte Bildungsplattform, die fortlaufend Nutzungsdaten von Unter-16-Jährigen erhebt |
Was eine DSFA enthalten muss: Artikel 35 Absatz 7
Artikel 35 Absatz 7 legt die Mindestinhalte fest. Die Abschätzung muss "zumindest" vier Elemente enthalten, die in WP248 näher ausgeführt werden.
| Erforderliches Element (Art. 35 Abs. 7) | Was abzudecken ist | Praktische Leitfragen |
|---|---|---|
| (a) Systematische Beschreibung der Verarbeitungsvorgänge und der Zwecke, einschließlich, soweit anwendbar, des vom Verantwortlichen verfolgten berechtigten Interesses | Beschreibung, welche Daten aus welchen Quellen mit welchen Mitteln erhoben werden, wie sie von wem genutzt werden, wie lange sie gespeichert werden und wem sie offengelegt werden | Welche personenbezogenen Daten werden verarbeitet? Was ist die Rechtsgrundlage? Wer hat Zugriff? Sind Auftragsverarbeiter beteiligt? |
| (b) Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge im Hinblick auf die Zwecke | Nachweis, dass die Verarbeitung das notwendige Mindestmaß und ein verhältnismäßiges Mittel zur Erreichung des genannten Zwecks darstellt und dass weniger eingriffsintensive Alternativen geprüft wurden | Könnte derselbe Zweck mit weniger Daten, mit anonymisierten Daten oder ohne die neue Technologie erreicht werden? |
| (c) Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen | Ermittlung konkreter Risikoszenarien: Datenschutzverletzungen, unrechtmäßiger Zugriff, Re-Identifizierung, diskriminierende Entscheidungen, Verlust des Rechts auf Löschung, abschreckende Wirkung auf das Verhalten | Wie wahrscheinlich ist jedes Risikoszenario? Wie schwerwiegend ist der Schaden im Eintrittsfall? |
| (d) Zur Bewältigung der Risiken vorgesehene Maßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, um den Schutz personenbezogener Daten sicherzustellen und die Einhaltung der DSGVO nachzuweisen | Beschreibung der technischen und organisatorischen Maßnahmen zur Minderung jedes festgestellten Risikos; Angabe des nach Anwendung der Maßnahmen verbleibenden Restrisikos | Welche Verschlüsselung, Zugriffskontrollen, Pseudonymisierung oder Datenminimierung sind vorgesehen? Wie hoch ist das Restrisiko? |
Über die vier verpflichtenden Elemente hinaus empfiehlt WP248 zusätzlich zu dokumentieren: Identität und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten; Kategorien der betroffenen Personen und der personenbezogenen Daten; Speicherfristen; einen Nachweis der Konsultation des Datenschutzbeauftragten; sowie das Datum der Abschätzung und das geplante Überprüfungsdatum.
Die DSFA ist ein Arbeitsdokument. Eine zweiseitige Zusammenfassung, die lediglich behauptet, es seien "geeignete Maßnahmen ergriffen worden", genügt den Anforderungen nicht. Nach Auffassung des EDSA sollte das Dokument eine strukturierte, wiederholbare Methodik widerspiegeln, etwa die Methodik der CNIL zur Datenschutz-Folgenabschätzung, ISO 29134 oder den BSI-Standard 200-2, wobei die Verordnung selbst keine bestimmte Methodik vorschreibt.
Wer ist für die DSFA verantwortlich?
Der Verantwortliche trägt die rechtliche Verantwortung für die Durchführung der DSFA sowie für die Richtigkeit und Vollständigkeit ihres Inhalts. Diese Verantwortung kann nicht durch einen Vertrag mit einem Auftragsverarbeiter oder einem DSFA-Beratungsunternehmen abgewälzt werden.
Artikel 35 Absatz 2 verpflichtet den Verantwortlichen, "bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde," einzuholen. Dabei handelt es sich um eine Konsultationspflicht, nicht um eine Verlagerung der Verantwortung. Die Rolle des Datenschutzbeauftragten bei der DSFA ist in Artikel 39 Absatz 1 Buchstabe c aufgeführt, wonach der Datenschutzbeauftragte "auf Anfrage Empfehlungen zur Datenschutz-Folgenabschätzung [erteilt] und deren Durchführung gemäß Artikel 35 [überwacht]". Weicht der Verantwortliche vom Rat des Datenschutzbeauftragten ab, sollte er die Gründe dokumentieren.
Artikel 35 Absatz 9 legt Verantwortlichen nahe, "den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung ein[zu]holen". Dies ist eine Empfehlung bewährter Praxis, keine zwingende Vorgabe, kann jedoch bei verbraucherorientierten Produkten die Phase der Risikoermittlung stärken.
Auftragsverarbeiter, die Produkte entwickeln, die von Verantwortlichen für Verarbeitungen mit hohem Risiko genutzt werden, haben ein mittelbares Interesse daran. Artikel 28 Absatz 3 Buchstabe f verpflichtet den Auftragsverarbeiter zur Unterstützung des Verantwortlichen, und viele Auftragsverarbeiter stellen inzwischen vorgefertigte DSFA-Dokumentation oder Werkzeuge zur Abbildung von Datenflüssen als vertragliche Leistung bereit.
Zeitpunkt: Vor Beginn der Verarbeitung
Artikel 35 Absatz 1 ist eindeutig: Die DSFA muss "vor der Verarbeitung" abgeschlossen sein. Die Abschätzung muss fertiggestellt, die Risiken bewertet, Minderungsmaßnahmen umgesetzt sein (oder die vorherige Konsultation abgeschlossen sein, falls ein hohes Restrisiko verbleibt), und der Verantwortliche muss überzeugt sein, dass die Verarbeitung rechtmäßig fortgesetzt werden kann. All dies muss abgeschlossen sein, bevor eine tatsächliche Verarbeitung beginnt.
Verantwortliche müssen den Abschluss der DSFA fest in ihre Projektzeitpläne einplanen. Eine DSFA, die erst nach dem Livegang begonnen oder rückdatiert wird, um eine bereits laufende Verarbeitung nachträglich abzudecken, ist nicht konform. Aufsichtsbehörden haben nachträglich erstellte DSFAs ausdrücklich als Beleg dafür kritisiert, dass der Rechenschaftspflicht-Grundsatz aus Artikel 5 Absatz 2 nicht eingehalten wurde.
Erwägungsgrund 90 legt die erforderliche Reihenfolge fest: die Verarbeitung konzipieren; die DSFA durchführen; sofern ein hohes Restrisiko verbleibt, die Aufsichtsbehörde konsultieren; erst danach mit der Verarbeitung beginnen.
Bei großen Organisationen ist ein mehrstufiges Verfahren üblich. Eine Vorprüfung (Screening) stellt fest, ob eine vollständige DSFA erforderlich ist. Bestätigt die Vorprüfung ein hohes Risiko, folgt die vollständige DSFA, bevor das Verarbeitungskonzept endgültig festgelegt wird. Sowohl das ICO als auch die CNIL veröffentlichen Screening-Vorlagen, mit denen Verantwortliche das Ergebnis dokumentieren können, auch wenn die Schlussfolgerung lautet, dass keine vollständige DSFA erforderlich ist.
Die DSFA Schritt für Schritt
Schritt 1: Den Verarbeitungsvorgang identifizieren und feststellen, ob eine DSFA erforderlich ist. Erfassen Sie den geplanten Vorgang einschließlich Datenarten, betroffener Personen, Zwecke, Rechtsgrundlage, Technologie, Speicherfrist und beteiligter Parteien. Wenden Sie den dreiteiligen Test an: (a) Fällt der Vorgang unter eine verpflichtende Kategorie nach Artikel 35 Absatz 3? (b) Erfasst die Blacklist der Aufsichtsbehörde diese Verarbeitungsart? (c) Treffen zwei oder mehr der neun EDSA-Kriterien zu? Lautet eine dieser Antworten ja, ist eine DSFA erforderlich. Dokumentieren Sie das Ergebnis in jedem Fall.
Schritt 2: Den Datenschutzbeauftragten konsultieren. Ist ein Datenschutzbeauftragter bestellt, teilen Sie ihm gemäß Artikel 35 Absatz 2 das Ergebnis von Schritt 1 mit, bitten ihn um Bestätigung der Methodik und weisen auf vorläufige rechtliche Bedenken hin. Halten Sie das Datum der Konsultation und die Rückmeldung des Datenschutzbeauftragten fest.
Schritt 3: Die Verarbeitung systematisch beschreiben. Erstellen Sie eine schriftliche Beschreibung, die Folgendes umfasst: Kategorien und Umfang der personenbezogenen Daten; betroffene Personen; Erhebungsmethode; konkrete Zwecke; Rechtsgrundlage nach Artikel 6 Absatz 1 (und Artikel 9 Absatz 2, sofern besondere Kategorien betroffen sind); Datenfluss von der Erhebung bis zur Löschung; Auftragsverarbeiter und Unterauftragsverarbeiter samt vertraglicher Beziehung zu jedem; Speicherplan; sowie die Rechtsordnungen der Verarbeitung.
Schritt 4: Notwendigkeit und Verhältnismäßigkeit bewerten. Prüfen Sie für jeden Verarbeitungszweck: ob der Zweck ohne personenbezogene Daten, mit anonymisierten oder pseudonymisierten Daten oder mit weniger Daten erreicht werden könnte; ob die Speicherfrist das notwendige Mindestmaß darstellt; ob die Rechtsgrundlage passend gewählt ist; und ob die Verarbeitung mit den vernünftigen Erwartungen der betroffenen Personen übereinstimmt. Besteht eine weniger eingriffsintensive Alternative, dokumentieren Sie die Gründe für die Wahl des eingriffsintensiveren Weges.
Schritt 5: Risiken identifizieren und bewerten. Ermitteln Sie für jedes Element der Verarbeitung Risikoszenarien, kategorisiert nach Auswirkungen auf Personen (Unfähigkeit zur Rechtsausübung; körperlicher, wirtschaftlicher oder reputationsbezogener Schaden; diskriminierende Behandlung; Verlust der Vertraulichkeit; Re-Identifizierung; abschreckende Wirkung) sowie nach Eintrittswahrscheinlichkeit unter Berücksichtigung bestehender Schutzmaßnahmen. Erfassen Sie für jedes Szenario die Wahrscheinlichkeitseinstufung, die Schweregradeinstufung und die bestehenden Minderungsmaßnahmen.
Schritt 6: Minderungsmaßnahmen identifizieren und dokumentieren. Ermitteln Sie für jedes Szenario mit mittlerem oder hohem Risiko zusätzliche Maßnahmen: technische (Verschlüsselung, Pseudonymisierung, Datenminimierung, automatisierte Löschung, Zugriffskontrolle, Protokollierung) und organisatorische (Mitarbeiterschulung, vertragliche Pflichten der Auftragsverarbeiter, Verfahren zur Reaktion auf Datenschutzverletzungen, Zugriffsüberprüfungen, Datenschutz durch Voreinstellungen). Erfassen Sie für jede Maßnahme das nach ihrer Umsetzung verbleibende Restrisiko.
Schritt 7: Das Gesamtrestrisiko bewerten. Wurden alle festgestellten Risiken auf ein geringes oder vertretbares Maß gesenkt, stützt die DSFA die Entscheidung, fortzufahren. Verbleibt bei einem Risikoszenario ein hohes Restrisiko, muss der Verantwortliche die Verarbeitung neu konzipieren, um es zu senken, oder zu Schritt 8 übergehen.
Schritt 8: Vorherige Konsultation der Aufsichtsbehörde bei verbleibendem hohem Restrisiko. Artikel 36 Absatz 1 bestimmt: "Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ohne die vom Verantwortlichen zur Eindämmung des Risikos getroffenen Maßnahmen ein hohes Risiko zur Folge hätte." Die Verarbeitung darf erst beginnen, nachdem die Behörde geantwortet hat oder die Konsultationsfrist abgelaufen ist.
Schritt 9: Die DSFA dokumentieren, genehmigen und archivieren. Die abgeschlossene DSFA sollte vom Verantwortlichen oder einer benannten Vertretung mit Befugnis zur Risikoakzeptanz freigegeben werden. Wurde der Datenschutzbeauftragte konsultiert, sollten dessen Rat und die Reaktion des Verantwortlichen Teil der Aufzeichnung sein. Bewahren Sie das Dokument als Nachweis der Rechenschaftspflicht nach Artikel 5 Absatz 2 auf.
Schritt 10: Einen Überprüfungsplan festlegen. Artikel 35 Absatz 11 verlangt eine Überprüfung "zumindest dann, wenn sich das mit den Verarbeitungsvorgängen verbundene Risiko ändert". Legen Sie ein Überprüfungsdatum im Dokument fest: typischerweise 12 bis 24 Monate bei Vorgängen mit mittlerem Risiko und 6 bis 12 Monate bei Vorgängen nahe der Schwelle des hohen Risikos. Jede wesentliche Änderung bei Technologie, Umfang, Datenarten, Zwecken oder regulatorischem Kontext sollte eine Zwischenüberprüfung auslösen.
Vorherige Konsultation nach Artikel 36
Artikel 36 greift, wenn die DSFA zu dem Ergebnis kommt, dass selbst nach Anwendung aller angemessenen Minderungsmaßnahmen ein hohes Restrisiko verbleibt. Der Verantwortliche muss dann vor der Fortsetzung die Aufsichtsbehörde konsultieren. Artikel 36 Absatz 1 verwendet die zwingende Formulierung "konsultiert".
Bei der Einreichung eines Antrags auf vorherige Konsultation muss der Verantwortliche die in Artikel 36 Absatz 3 aufgeführten Unterlagen vorlegen: die jeweiligen Zuständigkeiten von Verantwortlichem und Auftragsverarbeiter; Zwecke und Mittel der beabsichtigten Verarbeitung; Maßnahmen und Garantien zum Schutz der betroffenen Personen; die Kontaktdaten des Datenschutzbeauftragten; die abgeschlossene DSFA; sowie alle weiteren von der Behörde angeforderten Informationen.
Die Aufsichtsbehörde hat nach Artikel 36 Absatz 2 bis zu acht Wochen Zeit, um schriftlich Stellung zu nehmen; diese Frist kann bei besonders komplexen Verarbeitungen um weitere sechs Wochen verlängert werden. Während der Konsultationsfrist kann die Behörde "alle ihre in Artikel 58 genannten Befugnisse" ausüben, einschließlich der Erteilung einer förmlichen Verwarnung, der Anordnung eines vorübergehenden Verarbeitungsverbots oder der Einleitung eines Verstoßverfahrens.
Die vorherige Konsultation ist keine behördliche Vorabgenehmigung und kein sicherer Hafen. Erhebt eine Aufsichtsbehörde innerhalb der Konsultationsfrist keinen Einwand, bedeutet dies nicht, dass sie die Verarbeitung ausdrücklich genehmigt hat. Der Verantwortliche bleibt rechtlich für die Einhaltung der DSGVO verantwortlich. Eine abgeschlossene vorherige Konsultation schafft jedoch einen zeitgleichen Nachweis dafür, dass der Verantwortliche das Restrisiko erkannt, es der zuständigen Behörde offengelegt hat und keine Anweisung erhielt, die Verarbeitung zu stoppen.
Artikel 36 Absatz 4 verpflichtet die Mitgliedstaaten, die Aufsichtsbehörde "bei der Ausarbeitung eines Vorschlags für von einem nationalen Parlament zu erlassende Gesetzgebungsmaßnahmen [...], die die Verarbeitung betreffen," zu konsultieren, das öffentlich-rechtliche Gegenstück desselben Grundsatzes.
Folgen einer unterlassenen erforderlichen DSFA
Die Unterlassung einer erforderlichen DSFA stellt einen unmittelbaren Verstoß gegen Artikel 35 dar. Nach Artikel 83 Absatz 4 unterliegen Verstöße gegen die Artikel 35 und 36 der niedrigeren Bußgeldstufe: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Das Bußgeld wird pro Verstoß und pro Niederlassung verhängt.
Sowohl die spanische AEPD als auch die ungarische Aufsichtsbehörde haben Entscheidungen erlassen, in denen das Fehlen einer DSFA bei einer Verarbeitung mit hohem Risiko zu den festgestellten Verstößen zählte. Die Jahresberichte des EDSA nennen die DSFA-Konformität als eine der bei Prüfungen am häufigsten festgestellten Lücken.
Über das unmittelbare Bußgeldrisiko hinaus führt das Fehlen einer DSFA zu weiterreichenden Problemen bei der Rechenschaftspflicht. Ein Verantwortlicher, der für eine eindeutig hochriskante Verarbeitung keine DSFA vorlegen kann, kann weder die Einhaltung von Artikel 5 Absatz 2 noch die Pflicht zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen nach Artikel 24 Absatz 1 nachweisen. Das Fehlen des Dokuments selbst ist ein Beleg für ein systemisches Versagen.
Auftragsverarbeiter, die auf Grundlage von Verträgen nach Artikel 28 tätig sind, werden von Verantwortlichen zunehmend aufgefordert, ihre Mitwirkung an DSFA-Prozessen zu bestätigen. Auftragsverarbeiter, die ihre Datenflüsse, Unterauftragsverarbeiter und Sicherheitsarchitektur nicht dokumentieren können, schaffen Compliance-Lücken für ihre Kunden als Verantwortliche.
Zusammenspiel mit anderen Vorschriften der DSGVO
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Artikel 25). Artikel 25 Absatz 1 verpflichtet Verantwortliche, Maßnahmen zu treffen, die die Datenschutzgrundsätze wirksam umsetzen und die erforderlichen Garantien in die Verarbeitung einbeziehen. Die DSFA ist der zentrale Mechanismus zur Ermittlung dieser Maßnahmen bei Verarbeitungen mit hohem Risiko und fließt unmittelbar in den Privacy-by-Design-Prozess ein.
Verzeichnis von Verarbeitungstätigkeiten (Artikel 30). Die DSFA sollte mit dem Verzeichnis nach Artikel 30 abgeglichen werden. Das Verzeichnis ist die Bestandsaufnahme, die DSFA die vertiefte Analyse für Einträge mit hohem Risiko.
Sicherheit der Verarbeitung (Artikel 32). Artikel 32 Absatz 1 verlangt geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Risikobewertung der DSFA bildet die natürliche Grundlage für die Analyse nach Artikel 32. Verantwortliche, die beide als getrennte Übungen behandeln, stellen häufig fest, dass ihre Sicherheitsbewertung ihrer DSFA widerspricht.
Besondere Kategorien personenbezogener Daten und strafrechtliche Daten (Artikel 9 und 10). Neben der Auslösung der verpflichtenden DSFA nach Artikel 35 Absatz 3 Buchstabe b bedeutet die engere Liste zulässiger Rechtsgrundlagen nach den Artikeln 9 und 10, dass die Bewertung der Notwendigkeit und Verhältnismäßigkeit genauer prüfen muss, ob die herangezogene Ausnahme nach Artikel 9 Absatz 2 tatsächlich auf jedes Element der Verarbeitung zutrifft.
Übermittlungen in Drittländer (Artikel 46-49). Umfasst die Verarbeitung die Übermittlung personenbezogener Daten außerhalb der EU/des EWR, muss der Übermittlungsmechanismus in der DSFA dokumentiert und die Angemessenheit des Schutzniveaus im Empfängerland in die Risikobewertung einbezogen werden. Das Schrems-II-Urteil (Data Protection Commissioner gegen Facebook Ireland Limited und Maximillian Schrems, Rechtssache C-311/18, Große Kammer, 16. Juli 2020) verpflichtet Verantwortliche, bei Übermittlungen auf Grundlage von Standardvertragsklauseln eine Transferfolgenabschätzung durchzuführen; diese Bewertung sollte in die DSFA integriert oder unmittelbar aus ihr heraus referenziert werden.
Haftungsausschluss: Dieser Artikel enthält allgemeine rechtliche Informationen über die Verordnung (EU) 2016/679 (DSGVO) und stellt keine Rechtsberatung dar. Die DSGVO wird von Aufsichtsbehörden in 30 EU-/EWR-Mitgliedstaaten ausgelegt und durchgesetzt, und die geltenden Anforderungen können je nach Art Ihrer Verarbeitung, den Mitgliedstaaten, in denen Sie tätig sind, sowie der Entwicklung von Leitlinien und Rechtsprechung variieren. Die Angaben auf dieser Seite wurden mit Stand Juni 2026 anhand offizieller Quellen überprüft. Wenden Sie sich für eine auf Ihre konkrete Situation zugeschnittene Beratung an einen qualifizierten Rechtsanwalt oder Datenschutzexperten mit Zulassung in der jeweiligen Rechtsordnung.
Frequently Asked Questions
Wann ist eine DSFA nach der DSGVO erforderlich?
Eine DSFA ist nach Artikel 35 Absatz 1 erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, insbesondere beim Einsatz neuer Technologien. Artikel 35 Absatz 3 macht eine DSFA in drei Fällen verpflichtend: systematische automatisierte Profilbildung mit rechtlicher oder ähnlich erheblicher Wirkung; umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder strafrechtlicher Daten; sowie umfangreiche systematische Überwachung öffentlich zugänglicher Bereiche. Verantwortliche müssen zudem die veröffentlichte Blacklist ihrer nationalen Aufsichtsbehörde prüfen. Sind zwei oder mehr der neun Kriterien für ein hohes Risiko des EDSA nach WP248 erfüllt, vertritt der EDSA die Auffassung, dass eine DSFA durchgeführt werden sollte.
Wer ist für die Durchführung einer DSFA verantwortlich?
Der Verantwortliche trägt die rechtliche Verantwortung für die Durchführung der DSFA. Artikel 35 Absatz 2 verpflichtet den Verantwortlichen, während der Abschätzung den bestellten Datenschutzbeauftragten zu konsultieren, sofern einer bestellt wurde; die Rolle des Datenschutzbeauftragten ist jedoch beratend: Die Verantwortung für die Richtigkeit und Vollständigkeit der DSFA verbleibt beim Verantwortlichen. Auftragsverarbeiter müssen Verantwortliche nach Artikel 28 Absatz 3 Buchstabe f unterstützen, können jedoch nicht die rechtliche Verantwortung des Verantwortlichen übernehmen. Verantwortliche können sich der DSFA-Pflicht nicht durch Beauftragung eines externen Dienstleisters entziehen, dürfen jedoch externe Fachkenntnisse zur Unterstützung des Prozesses hinzuziehen.
Was geschieht, wenn ein Verantwortlicher eine erforderliche DSFA nicht durchführt?
Die Unterlassung einer erforderlichen DSFA ist ein Verstoß gegen Artikel 35, der nach Artikel 83 Absatz 4 mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden kann, je nachdem, welcher Betrag höher ist. Über das unmittelbare Bußgeldrisiko hinaus ist das Fehlen einer DSFA ein Beleg dafür, dass keine geeigneten technischen und organisatorischen Maßnahmen nach Artikel 24 Absatz 1 umgesetzt wurden und die Rechenschaftspflicht nach Artikel 5 Absatz 2 nicht nachgewiesen werden kann. Aufsichtsbehörden, die Prüfungen durchführen oder Beschwerden bearbeiten, stellen fehlende DSFAs regelmäßig als Compliance-Lücke fest, und ihr Fehlen kann einen einzelnen Verstoß zu einer umfassenderen Feststellung eines systemischen Versagens der Rechenschaftspflicht ausweiten.
Ist eine DSFA für Videoüberwachung verpflichtend?
Die umfangreiche systematische Überwachung öffentlich zugänglicher Bereiche mittels Videoüberwachung fällt unter den verpflichtenden DSFA-Auslöser in Artikel 35 Absatz 3 Buchstabe c. Ob eine konkrete Anlage die Schwellen der Umfangreichheit und Systematik erreicht, hängt von den Umständen ab: Eine einzelne Kamera in einem kleinen Ladengeschäft, die während der Öffnungszeiten manuell überwacht wird, erfordert wahrscheinlich keine DSFA, während ein Kameranetzwerk in einem großen öffentlichen Raum mit automatisierter Analyse und langer Speicherfrist eindeutig eine DSFA erfordert. Verantwortliche sollten zudem die Blacklist ihrer nationalen Aufsichtsbehörde prüfen. Enthält das Videoüberwachungssystem Gesichtserkennung oder biometrische Analyse, greifen zusätzlich Artikel 35 Absatz 3 Buchstaben a und b.
Was ist die vorherige Konsultation nach Artikel 36 DSGVO?
Die vorherige Konsultation ist das Verfahren, in dem ein Verantwortlicher seine zuständige Aufsichtsbehörde benachrichtigen und konsultieren muss, bevor er eine Verarbeitung beginnt, die selbst nach Anwendung aller angemessenen Minderungsmaßnahmen ein hohes Restrisiko für betroffene Personen birgt. Die Pflicht nach Artikel 36 Absatz 1 greift, wenn die DSFA bestätigt, dass ein hohes Restrisiko nicht angemessen gesenkt werden kann. Der Verantwortliche muss die abgeschlossene DSFA, eine Beschreibung der Verarbeitung, die vorgesehenen Garantien sowie die Kontaktdaten des Datenschutzbeauftragten vorlegen. Die Aufsichtsbehörde hat bis zu acht Wochen Zeit für eine Antwort, mit einer möglichen Verlängerung um sechs Wochen bei komplexen Vorgängen. Die Behörde kann beraten, Verwarnungen aussprechen oder die Verarbeitung untersagen, wenn sie der Auffassung ist, dass der Vorgang gegen die DSGVO verstoßen würde.
Muss eine DSFA bei der Aufsichtsbehörde eingereicht werden?
In der Regel nicht. Eine DSFA ist ein internes Rechenschaftsdokument, das der Verantwortliche erstellt und aufbewahrt. Eine Einreichung ist nur in zwei Fällen erforderlich: wenn die vorherige Konsultation nach Artikel 36 ausgelöst wird, weil die DSFA ein nicht minderbares hohes Restrisiko aufzeigt; und wenn eine Aufsichtsbehörde ihre Prüfungs- oder Untersuchungsbefugnisse ausübt und die Vorlage der DSFA verlangt. Verantwortliche sollten DSFAs daher als Dokumente behandeln, die jederzeit von Behörden angefordert werden können, und sicherstellen, dass sie detailliert, gut dokumentiert und aktuell sind.
Kann eine DSFA mehrere Verarbeitungsvorgänge abdecken?
Ja. Artikel 35 Absatz 1 bezieht sich auf eine "Form der Verarbeitung", und Erwägungsgrund 92 bestätigt, dass eine DSFA eine Gruppe ähnlicher Verarbeitungsvorgänge erfassen kann, die vergleichbare hohe Risiken aufweisen. Eine einzelne DSFA, die eine Plattform abdeckt, die Daten auf mehrere vergleichbare Weisen verarbeitet, ist zulässig, sofern die Abschätzung die spezifischen Risiken jeder einzelnen Tätigkeit behandelt. Ebenso können Behörden, die eine gemeinsame Verarbeitungsinfrastruktur einrichten, und mehrere Verantwortliche derselben Branche, die eine gemeinsame Technologie einsetzen, eine einzige DSFA durchführen, sofern jeder Verantwortliche die gemeinsame Abschätzung für seinen eigenen konkreten Kontext überprüft.
Wie oft muss eine DSFA überprüft werden?
Artikel 35 Absatz 11 verlangt von Verantwortlichen, die DSFA "zumindest dann zu überprüfen, wenn sich das mit den Verarbeitungsvorgängen verbundene Risiko ändert". Der DSGVO-Text nennt kein festes Kalenderintervall, doch WP248 empfiehlt, bei Abschluss der DSFA einen Überprüfungsplan festzulegen, typischerweise mit Intervallen von ein bis zwei Jahren bei Vorgängen mit mittlerem Risiko. Jede wesentliche Änderung der Verarbeitung (einschließlich neuer Datenarten, einer erheblichen Umfangserweiterung, neuer Technologie, eines neuen Zwecks, neuer Empfängerländer oder einer Änderung des rechtlichen oder regulatorischen Kontexts) sollte eine Zwischenüberprüfung auslösen. Verantwortliche sollten das geplante Überprüfungsdatum im DSFA-Dokument selbst festhalten.
Welches Leitliniendokument des EDSA behandelt DSFAs?
Die zentrale Leitlinie des EDSA ist WP248rev.01, "Leitlinien für die Datenschutz-Folgenabschätzung (DSFA) und Beurteilung, ob eine Verarbeitung im Sinne der Verordnung 2016/679 voraussichtlich ein hohes Risiko zur Folge hat". Sie wurde am 4. April 2017 von der Artikel-29-Datenschutzgruppe angenommen, am 4. Oktober 2017 überarbeitet und auf der ersten Plenarsitzung des EDSA im Mai 2018 gebilligt. WP248 legt die neun Kriterien für ein hohes Risiko fest, empfiehlt Verantwortlichen die Durchführung einer DSFA bei Erfüllung von zwei oder mehr Kriterien, beschreibt die Mindestinhalte einer DSFA und erläutert das Verhältnis zwischen der DSFA und der vorherigen Konsultation. Das vollständige Dokument ist auf der Website des EDSA unter edpb.europa.eu verfügbar.
Gelten die DSFA-Vorgaben der DSGVO auch für Auftragsverarbeiter?
Die rechtliche Pflicht zur Durchführung einer DSFA liegt beim Verantwortlichen, nicht beim Auftragsverarbeiter. Artikel 28 Absatz 3 Buchstabe f verlangt jedoch, dass der Vertrag zur Auftragsverarbeitung eine Bestimmung enthält, wonach der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung der Artikel 32 bis 36 unterstützt, was ausdrücklich die DSFA und die Pflichten zur vorherigen Konsultation einschließt. In der Praxis müssen Auftragsverarbeiter Verantwortlichen Informationen zu ihren Datenflüssen, Unterauftragsverarbeitern und ihrer Sicherheitsarchitektur bereitstellen. Von Auftragsverarbeitern, die Produkte entwickeln, die voraussichtlich für Verarbeitungen mit hohem Risiko genutzt werden, wird zunehmend erwartet, dass sie vorgefertigte DSFA-Dokumentation oder Vorlagen für Datenschutz-Folgenabschätzungen als Teil ihres Produktangebots bereitstellen.
Sources and References
- Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (Datenschutz-Grundverordnung), Artikel 35 (Datenschutz-Folgenabschätzung)(eur-lex.europa.eu)
- Verordnung (EU) 2016/679, Artikel 36 (Vorherige Konsultation)(eur-lex.europa.eu)
- Verordnung (EU) 2016/679, Erwägungsgründe 84, 89, 90, 91, 92, 93(eur-lex.europa.eu)
- Artikel-29-Datenschutzgruppe (WP29), Leitlinien für die Datenschutz-Folgenabschätzung (DSFA) und Beurteilung, ob eine Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat, WP248rev.01 (angenommen am 4. Oktober 2017, vom EDSA im Mai 2018 gebilligt)(ec.europa.eu)
- Europäischer Datenschutzausschuss, Billigung der WP29-Leitlinien, erste Plenarsitzung des EDSA (25.-26. Mai 2018)(edpb.europa.eu)
- Gerichtshof der Europäischen Union, Rechtssache C-131/12, Google Spain SL und Google Inc. gegen Agencia Española de Protección de Datos (AEPD) und Mario Costeja González, Große Kammer, 13. Mai 2014(eur-lex.europa.eu)
- Gerichtshof der Europäischen Union, Rechtssache C-311/18, Data Protection Commissioner gegen Facebook Ireland Limited und Maximillian Schrems (Schrems II), Große Kammer, 16. Juli 2020(eur-lex.europa.eu)
- Europäischer Datenschutzausschuss, Listen der Verarbeitungsvorgänge, für die nach Artikel 35 Absatz 4 eine DSFA erforderlich ist: Listen der nationalen Aufsichtsbehörden(edpb.europa.eu)
- Information Commissioner's Office (UK-DSGVO), Datenschutz-Folgenabschätzungen(ico.org.uk)
- Commission nationale de l'informatique et des libertés (CNIL), La liste des traitements pour lesquels une AIPD est requise (DSFA-Blacklist der französischen Aufsichtsbehörde)(cnil.fr)