Was ist eine Datenschutz-Folgenabschu00e4tzung?

Sie ist ein geordnetes Bewertungsverfahren, das vor Einfu00fchrung oder u00c4nderung einer Datenverarbeitung die mu00f6glichen Auswirkungen auf die Rechte und Freiheiten von Personen untersucht, Risiken gewichtet und die Angemessenheit von Schutzmau00dfnahmen darlegt.

Wann ist eine Datenschutz-Folgenabschu00e4tzung erforderlich?

Sie ist regelmu00e4u00dfig erforderlich, wenn die geplante Verarbeitung voraussichtlich ein hohes Risiko mit sich bringt, etwa bei umfangreichem Profiling, systematischer Beobachtung u00f6ffentlich zugu00e4nglicher Bereiche, grou00dfflu00e4chiger Verarbeitung sensibler Daten oder beim Einsatz innovativer Technologien mit erheblicher Tragweite.

Muss die Aufsichtsbehu00f6rde beteiligt werden?

Verbleibt nach der Bewertung trotz geplanter Schutzmau00dfnahmen ein hohes Restrisiko, kommt eine vorherige Konsultation der zustu00e4ndigen Aufsichtsbehu00f6rde in Betracht. Diese kann Stellung nehmen und Mau00dfnahmen anordnen.

Welche Folgen hat es, wenn eine erforderliche Abschu00e4tzung unterbleibt?

Aufsichtsbehu00f6rden ku00f6nnen Anordnungen treffen, Verarbeitungsvorgu00e4nge untersagen und Sanktionen verhu00e4ngen. Zudem kann die fehlende Dokumentation die Erfu00fcllung der Rechenschaftspflicht beeintru00e4chtigen.

Muss die Datenschutz-Folgenabschu00e4tzung veru00f6ffentlicht werden?

Eine allgemeine Veru00f6ffentlichungspflicht besteht nicht. Die zustu00e4ndige Aufsichtsbehu00f6rde kann Einsicht verlangen. Informationen u00fcber die Verarbeitung werden Betroffenen im Rahmen der einschlu00e4gigen Informationspflichten zur Verfu00fcgung gestellt.

Legal Wiki

Wiki»Legal Lexikon»Datenschutzrecht»Datenschutz-Folgenabschätzung

Datenschutz-Folgenabschätzung

Q: Wer ist fu00fcr die Durchfu00fchrung verantwortlich?

Verantwortlich ist die Stelle, die u00fcber Zwecke und Mittel der Verarbeitung entscheidet. Dienstleister liefern die notwendigen Informationen und wirken unterstu00fctzend mit. Ein benannter Datenschutzbeauftragter wird einbezogen und gibt eine fachliche Einschu00e4tzung ab.

Letzte Aktualisierung: 30. Juli 2025

Begriff und Zweck der Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung ist ein systematisches Verfahren, mit dem vorab bewertet wird, welche Auswirkungen eine geplante oder veränderte Verarbeitung personenbezogener Daten auf die Rechte und Freiheiten von Personen hat. Ziel ist es, hohe Risiken frühzeitig zu erkennen, zu bewerten und durch geeignete Schutzmaßnahmen zu mindern. Sie dient der verantwortungsvollen Gestaltung von Verarbeitungsvorgängen und ist Ausdruck der Rechenschaftspflicht im europäischen Datenschutzrecht.

Rechtliche Einordnung und Zielsetzung

Die Datenschutz-Folgenabschätzung verankert den Grundsatz, dass der Schutz personenbezogener Daten schon bei der Planung und Ausgestaltung von Verfahren berücksichtigt wird. Sie stellt sicher, dass die Interessen der betroffenen Personen und die legitimen Zwecke der Verarbeitung in ein angemessenes Verhältnis gebracht werden. Inhaltlich verbindet sie Aspekte der Datenminimierung, Transparenz, Sicherheit und Kontrolle über Daten mit dem Erfordernis, Risiken nachvollziehbar zu adressieren.

Anwendungsbereich und Auslöser

Konstellationen mit voraussichtlich hohem Risiko

Eine Datenschutz-Folgenabschätzung ist insbesondere dann vorgesehen, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Typische Auslöser sind:

umfangreiche Bewertungen persönlicher Aspekte, etwa Profiling oder Scoring, die rechtliche Wirkungen entfalten oder Betroffene erheblich beeinträchtigen können,
systematische und umfassende Beobachtung öffentlich zugänglicher Bereiche,
Verarbeitung besonderer Kategorien personenbezogener Daten in größerem Umfang,
Einsatz neuer oder innovativer Technologien mit erheblicher Auswirkung auf die Privatsphäre,
Verarbeitung von Daten besonders schutzbedürftiger Personengruppen, etwa Minderjähriger,
Verknüpfung mehrerer Datenquellen in einer Weise, die detaillierte Persönlichkeitsbilder ermöglicht.

Risikobasierte Abgrenzung

Ob ein hohes Risiko vorliegt, bemisst sich unter anderem an Art, Umfang, Umständen und Zwecken der Verarbeitung. Relevant sind etwa die Menge der Daten, die Dauer der Verarbeitung, die räumliche Reichweite, der Grad der Automatisierung, die Möglichkeit der Anonymisierung oder Pseudonymisierung sowie die Eintrittswahrscheinlichkeit und das Ausmaß möglicher Nachteile für Betroffene.

Typische Fälle ohne Pflicht zur Abschätzung

Eine Pflicht zur Datenschutz-Folgenabschätzung besteht in der Regel nicht, wenn eine Verarbeitung nach ihrer Natur, ihrem Umfang und Kontext voraussichtlich nur geringfügige Auswirkungen hat und keine besonderen Risiken erkennen lässt. In einzelnen Bereichen veröffentlichen Aufsichtsbehörden Listen mit Verarbeitungstätigkeiten, für die regelmäßig eine Abschätzung erforderlich ist oder entbehrlich sein kann.

Beteiligte Rollen und Verantwortlichkeiten

Verantwortliche Stelle

Die Verantwortung für die Durchführung und die inhaltliche Qualität der Datenschutz-Folgenabschätzung liegt bei der Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet. Sie trägt die Nachweispflicht, dass Risiken hinreichend bedacht und adressiert wurden.

Auftragsverarbeiter

Werden Dienstleister eingesetzt, unterstützen diese die verantwortliche Stelle mit den erforderlichen Informationen zur geplanten Verarbeitung, zu technisch-organisatorischen Maßnahmen und zu einschlägigen Risiken.

Datenschutzbeauftragter

Ist ein Datenschutzbeauftragter benannt, wird dieser in die Abschätzung einbezogen. Er prüft die Einhaltung der datenschutzrechtlichen Vorgaben und gibt fachliche Einschätzungen zur Ausgestaltung von Verfahren und Schutzmaßnahmen ab.

Aufsichtsbehörde

Verbleibt nach der Abschätzung ein hohes Restrisiko, kann eine vorherige Konsultation der zuständigen Aufsichtsbehörde erforderlich sein. Die Behörde prüft die vorgelegten Unterlagen, äußert Bedenken oder Empfehlungen und kann Maßnahmen anordnen.

Betroffene Personen

Die Perspektive der Betroffenen kann im Rahmen der Abschätzung berücksichtigt werden, sofern dies angemessen ist. Informationen über Risiken und Schutzmechanismen können in geeigneter Form einfließen, um die Bewertung zu vervollständigen.

Ablauf und Mindestinhalte

Beschreibung der Verarbeitung

Ausgangspunkt ist eine klare Darstellung der geplanten Verarbeitungsschritte, der Zwecke, der Kategorien von Daten und Personen, der Abläufe, der Empfänger und der vorgesehenen Speicherfristen. Ebenso relevant sind Datenflüsse, Übermittlungen in andere Länder und die eingesetzten Systeme.

Prüfung von Notwendigkeit und Verhältnismäßigkeit

Es wird bewertet, ob die Verarbeitung zur Erreichung der genannten Zwecke erforderlich ist und in einem ausgewogenen Verhältnis zu den möglichen Beeinträchtigungen der Betroffenen steht. Datensparsamkeit, Speicherbegrenzung und Transparenzpflichten spielen hierbei eine Rolle.

Risikobewertung

Die Risiken für die Rechte und Freiheiten werden identifiziert und gewichtet. Betrachtet werden unter anderem unbefugte Offenlegung, Veränderung oder Verlust von Daten, diskriminierende Effekte, mangelnde Nachvollziehbarkeit automatisierter Entscheidungen oder umfassende Profilbildung. Die Bewertung umfasst Eintrittswahrscheinlichkeit und Schadensschwere.

Schutzmaßnahmen

Auf Grundlage der Risikoanalyse werden technisch-organisatorische Maßnahmen berücksichtigt, die das Risiko minimieren und ein angemessenes Schutzniveau sicherstellen. Dazu zählen beispielsweise Zugangskontrollen, Verschlüsselung, Pseudonymisierung, Protokollierung, Berechtigungskonzepte, Lösch- und Prüfroutinen sowie interne Prozesse zur Wahrnehmung von Betroffenenrechten.

Ergebnis und Restrisiko

Die Abschätzung endet mit einer begründeten Feststellung, ob die Verarbeitung insgesamt vertretbar ist und welche Risiken nach Umsetzung der Schutzmaßnahmen verbleiben. Ist das Restrisiko weiterhin hoch, kommt eine behördliche Konsultation in Betracht.

Fortlaufende Überprüfung

Die Datenschutz-Folgenabschätzung ist kein einmaliger Vorgang. Änderungen der Zwecke, der Datenkategorien, der Technologien oder der rechtlichen Rahmenbedingungen können eine Aktualisierung erforderlich machen.

Rechtsfolgen und Dokumentation

Rechenschaft und Nachweis

Die vollständige und nachvollziehbare Dokumentation der Abschätzung gehört zur Rechenschaftspflicht. Sie umfasst Beschreibung, Bewertung, getroffene Maßnahmen, Begründungen für Entscheidungen und gegebenenfalls Stellungnahmen des Datenschutzbeauftragten.

Maßnahmen der Aufsichtsbehörden

Unterbleibt eine erforderliche Abschätzung oder ist sie in wesentlichen Punkten unzureichend, können Aufsichtsbehörden Anordnungen treffen, Verarbeitungsvorgänge untersagen oder Sanktionen verhängen. Bei verbleibendem hohen Risiko ohne angemessene Absicherung kann die Aufnahme oder Fortführung der Verarbeitung untersagt werden.

Verhältnis zu weiteren Pflichten

Die Datenschutz-Folgenabschätzung steht im Zusammenhang mit weiteren Pflichten, etwa transparenten Informationen für Betroffene, dem Verzeichnis von Verarbeitungstätigkeiten, der Sicherheit der Verarbeitung oder Meldepflichten bei Datenschutzverletzungen. Sie ergänzt diese, ersetzt sie jedoch nicht.

Listen der Behörden

Einzelne Aufsichtsbehörden veröffentlichen Listen mit Verarbeitungstätigkeiten, die typischerweise eine Abschätzung erfordern, sowie gegebenenfalls Listen, für die dies regelmäßig nicht notwendig ist. Diese Listen dienen der Orientierung und spiegeln branchenspezifische Risikoerwägungen wider.

Besondere Konstellationen

Automatisierte Entscheidungen und Profiling

Werden Entscheidungen maßgeblich automatisiert getroffen oder entstehen aussagekräftige Profile, ist die Auswirkungen auf Rechte und Freiheiten besonders zu beachten. Transparenz, Nachvollziehbarkeit und mögliche Benachteiligungen stehen im Mittelpunkt der Bewertung.

Internationale Datenübermittlungen

Bei Übermittlungen in Staaten außerhalb des europäischen Rechtsraums können zusätzliche Risiken auftreten. Relevante Faktoren sind das dortige Schutzniveau, vertragliche und organisatorische Absicherungen sowie die tatsächliche Durchsetzbarkeit von Rechten.

Gemeinsame oder konzernweite Bewertungen

Bei vergleichbaren Verarbeitungstätigkeiten kann eine einheitliche oder wiederverwendbare Bewertung erstellt werden, sofern Zweck, Abläufe, Risiken und Schutzmaßnahmen hinreichend übereinstimmen. Unterschiede sind nachvollziehbar zu dokumentieren.

Abgrenzung zur IT-Sicherheitsanalyse

Technische Sicherheitsprüfungen richten sich primär auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen. Die Datenschutz-Folgenabschätzung ergänzt dies um die spezifische Perspektive der Persönlichkeitsrechte und die Bewertung rechtlicher Auswirkungen auf Betroffene.

Transparenz und Kommunikation

Eine allgemeine Pflicht zur Veröffentlichung des vollständigen Ergebnisses besteht nicht. Aufsichtsbehörden können im Rahmen ihrer Zuständigkeiten Einsicht in die Abschätzung verlangen. Betroffene erhalten Informationen über wesentliche Aspekte der Verarbeitung im Rahmen der einschlägigen Informationspflichten.

Häufig gestellte Fragen

Was ist eine Datenschutz-Folgenabschätzung?

Sie ist ein geordnetes Bewertungsverfahren, das vor Einführung oder Änderung einer Datenverarbeitung die möglichen Auswirkungen auf die Rechte und Freiheiten von Personen untersucht, Risiken gewichtet und die Angemessenheit von Schutzmaßnahmen darlegt.

Wann ist eine Datenschutz-Folgenabschätzung erforderlich?

Sie ist regelmäßig erforderlich, wenn die geplante Verarbeitung voraussichtlich ein hohes Risiko mit sich bringt, etwa bei umfangreichem Profiling, systematischer Beobachtung öffentlich zugänglicher Bereiche, großflächiger Verarbeitung sensibler Daten oder beim Einsatz innovativer Technologien mit erheblicher Tragweite.

Wer ist für die Durchführung verantwortlich?

Verantwortlich ist die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet. Dienstleister liefern die notwendigen Informationen und wirken unterstützend mit. Ein benannter Datenschutzbeauftragter wird einbezogen und gibt eine fachliche Einschätzung ab.

Welche Inhalte muss eine Datenschutz-Folgenabschätzung abdecken?

Erforderlich sind eine Beschreibung der Verarbeitung, die Prüfung von Notwendigkeit und Verhältnismäßigkeit, eine Risikoanalyse mit Bewertung der Eintrittswahrscheinlichkeit und Schwere möglicher Beeinträchtigungen sowie die Darstellung der Schutzmaßnahmen und des verbleibenden Restrisikos.

Muss die Aufsichtsbehörde beteiligt werden?

Verbleibt nach der Bewertung trotz geplanter Schutzmaßnahmen ein hohes Restrisiko, kommt eine vorherige Konsultation der zuständigen Aufsichtsbehörde in Betracht. Diese kann Stellung nehmen und Maßnahmen anordnen.

Welche Folgen hat es, wenn eine erforderliche Abschätzung unterbleibt?

Aufsichtsbehörden können Anordnungen treffen, Verarbeitungsvorgänge untersagen und Sanktionen verhängen. Zudem kann die fehlende Dokumentation die Erfüllung der Rechenschaftspflicht beeinträchtigen.

Muss die Datenschutz-Folgenabschätzung veröffentlicht werden?

Eine allgemeine Veröffentlichungspflicht besteht nicht. Die zuständige Aufsichtsbehörde kann Einsicht verlangen. Informationen über die Verarbeitung werden Betroffenen im Rahmen der einschlägigen Informationspflichten zur Verfügung gestellt.