Kostenlos, ohne Anmeldung

Datenschutz-Folgenabschätzung (DSFA) 2026

Datenschutz-Folgenabschätzung (DSFA): Pflicht prüfen nach Art. 35 DSGVO. Verarbeitungsart, Risiko, Maßnahmen. Kostenloser CERTISCAN Rechner.

DSFA-Pflicht prüfen

Art der Verarbeitung

Hauptkategorie der Datenverarbeitung

Anzahl Betroffene

Wie viele Personen sind betroffen?

Sensibilität der Daten

Art. 9 DSGVO: besondere Kategorien = hoch

Drittlandtransfer?

z.B. US-Cloud-Dienste, Offshore-Teams

Automatisierte Entscheidungen?

Art. 22 DSGVO: Entscheidungen ohne menschliches Eingreifen

DSFA Pflicht

2 von 9 EDPB-Kriterien erfüllt

❌ DSFA erforderlich

DSFA erforderlichJa (ab 2 Kriterien)

EDPB-Kriterien2 von 9

RisikostufeHoch

Risikoscore60/100

VerarbeitungsartGesundheitsdaten

Betroffene200

DrittlandtransferNein

Bußgeld (fehlende DSFA)Bis 10 Mio. € / 2% Umsatz (Art. 83 Abs. 4)

Erfüllte EDPB-Kriterien (2):

Sensible/besondere Datenkategorien
Umfangreiche Datenverarbeitung

Empfohlene Maßnahmen:

DSFA schriftlich dokumentieren (Art. 35 Abs. 7 DSGVO)
Datenschutzbeauftragten einbeziehen (Art. 35 Abs. 2)
Technische Maßnahmen implementieren (Verschlüsselung, Zugriffskontrolle)
Einwilligung oder gesetzliche Grundlage für Art. 9 DSGVO sicherstellen

Hinweis: Bei fehlender DSFA droht ein Bußgeld nach Art. 83 Abs. 4 DSGVO (bis 10 Mio. € / 2% Umsatz). Die Aufsichtsbehörde kann zudem die Verarbeitung untersagen. CERTISCAN bietet dokumentierte TOM als Grundlage für Ihre DSFA – ab 29 €/Monat.

📧 Ergebnis als PDF per E-Mail erhalten

Kostenlos, unverbindlich und sofort in Ihrem Postfach.

Ich stimme der Datenschutzerklärung zu. *

Ja, ich möchte Praxis-Tipps zu Compliance & HR erhalten (max. 2×/Monat, jederzeit abbestellbar).

Kein Spam. Keine Kreditkarte. Nur Ihr Ergebnis.

Automatisch berechnen mit CERTISCAN

CERTISCAN verarbeitet personenbezogene Daten DSGVO-konform auf deutschen Servern. Audit-Trail, Verschlüsselung und Zugriffskontrollen minimieren Risiken – ideal als Grundlage für Ihre DSFA. Ab 29 €/Monat.

14 Tage kostenlos testen →Mehr zu Compliance

Datenschutz-Folgenabschätzung – ist eine DSFA Pflicht?

Die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist Pflicht, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Der kostenlose CERTISCAN DSFA-Rechner prüft, ob für Ihre Verarbeitung eine DSFA erforderlich ist und welche Risikostufe vorliegt.

Beispiel: Ein FM-Unternehmen, das Zeiterfassung mit GPS-Standortdaten für 200 Mitarbeiter nutzt, muss eine DSFA durchführen: systematische Überwachung + Standortdaten + viele Betroffene. Der CERTISCAN DSFA-Rechner zeigt dies sofort an.

Wann ist eine DSFA Pflicht?

Art. 35 Abs. 3 DSGVO nennt drei Regelbeispiele: Scoring und Profiling mit rechtlicher Wirkung, umfangreiche Verarbeitung besonderer Datenkategorien (Gesundheitsdaten, biometrische Daten) und systematische Überwachung öffentlich zugänglicher Bereiche (Videoüberwachung). Die Aufsichtsbehörden haben zusätzliche Positiv-Listen veröffentlicht.

DSFA-Kriterien des EDPB

Der Europäische Datenschutzausschuss empfiehlt eine DSFA, wenn mindestens zwei Kriterien zutreffen: Scoring/Bewertung, automatisierte Entscheidungen, systematische Überwachung, sensible Daten, große Betroffenenanzahl, Datenabgleich, vulnerable Personen (Minderjährige, Beschäftigte), innovative Technologien oder Drittlandtransfer.

Warum CERTISCAN für datenschutzkonforme Verarbeitung?

Der CERTISCAN DSFA-Rechner zeigt das Risiko und die Pflichten. Die CERTISCAN Plattform ab 29 €/Monat minimiert das Verarbeitungsrisiko: deutsches Hosting, AES-256-Verschlüsselung, WORM-Audit-Trail, Zugriffskontrollen und Datensparsamkeit – dokumentierte technische Maßnahmen für Ihre DSFA.

Im Facility Management mit GPS-Zeiterfassung, Schichtplanung und Gesundheitsdaten (Krankmeldungen) sind DSFAs besonders relevant. CERTISCAN bietet die technische Grundlage für eine positive DSFA-Bewertung.

Berechnung geprüft von Christoph Schulz, Gründer CERTISCAN. Letzte Aktualisierung: März 2026.

DSFA-Pflicht prüfen: CERTISCAN vs. Alternativen

Funktion	CERTISCAN	Excel-Vorlage	Berater
TOM dokumentiert	Automatisch	Manuell	Manuell
Audit-Trail	WORM (SHA-256)	Keiner	Keiner
Verschlüsselung	AES-256	Nein	N/A
Zugriffskontrolle	RBAC	Nein	N/A
Hosting Deutschland	✅	N/A	N/A
Regelmäßige Updates	Automatisch	Manuell	Kostenpflichtig
DSFA-Grundlage	✅	Eingeschränkt	✅
Kosten	29 €/Mo	0 €	2.000+ €

Datenschutz-Folgenabschätzung: Vollständiger Leitfaden

Gesetzliche Grundlage

Die DSFA ist in der DSGVO geregelt:

Art. 35 Abs. 1 DSGVO: DSFA-Pflicht bei voraussichtlich hohem Risiko
Art. 35 Abs. 3 DSGVO: Drei Regelbeispiele (Profiling, sensible Daten, Videoüberwachung)
Art. 35 Abs. 4 DSGVO: Positivlisten der Aufsichtsbehörden
Art. 35 Abs. 7 DSGVO: Mindestinhalt einer DSFA
Art. 36 DSGVO: Vorherige Konsultation der Aufsichtsbehörde bei verbleibendem hohem Risiko

Wann ist eine DSFA erforderlich?

Die DSGVO nennt drei Regelbeispiele:

Scoring und Profiling: Systematische Bewertung persönlicher Aspekte mit rechtlicher Wirkung
Umfangreiche Verarbeitung besonderer Kategorien: Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen
Systematische Überwachung: Videoüberwachung öffentlich zugänglicher Bereiche

EDPB-Kriterien (Zwei-aus-neun-Regel)

Der Europäische Datenschutzausschuss (EDPB) empfiehlt eine DSFA bei mindestens zwei der folgenden Kriterien:

Scoring, Bewertung oder Profiling
Automatisierte Entscheidungsfindung mit rechtlicher Wirkung
Systematische Überwachung (Videoüberwachung, Tracking)
Verarbeitung sensibler Daten (Gesundheit, Biometrie, Straftaten)
Umfangreiche Datenverarbeitung (viele Betroffene)
Datenabgleich oder -zusammenführung
Daten zu vulnerablen Personen (Kinder, Beschäftigte, Patienten)
Innovative Technologien (KI, IoT, Fingerabdruck)
Drittlandtransfer (außerhalb EU/EWR)

Pflichtinhalt einer DSFA (Art. 35 Abs. 7)

Beschreibung: Art, Umfang, Umstände und Zwecke der Verarbeitung
Bewertung: Notwendigkeit und Verhältnismäßigkeit
Risikobewertung: Risiken für die Rechte und Freiheiten der Betroffenen
Abhilfemaßnahmen: Technische und organisatorische Maßnahmen zur Risikominderung

Typische DSFA-Szenarien im FM

GPS-Zeiterfassung: Standortdaten + systematische Überwachung + Beschäftigte = DSFA erforderlich
Videoüberwachung: In Gebäuden oder auf Geländen = DSFA fast immer erforderlich
Gesundheitsdaten: BEM-Verfahren, Krankmeldungen = bei systematischer Verarbeitung DSFA nötig
Biometrische Zutrittskontrolle: Fingerabdruck-Scanner = DSFA erforderlich

Praxistipps

Prüfen Sie die EDPB-Kriterien vor jeder neuen Datenverarbeitung
Dokumentieren Sie die DSFA schriftlich (Nachweis gegenüber Aufsichtsbehörde)
Beteiligen Sie den Datenschutzbeauftragten (Art. 35 Abs. 2 DSGVO)
Überprüfen Sie die DSFA regelmäßig (mindestens jährlich)
Nutzen Sie CERTISCAN als technische Grundlage – dokumentierte TOM, Audit-Trail, Verschlüsselung

Häufig gestellte Fragen

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?+

Eine systematische Bewertung der Risiken einer Datenverarbeitung für die Rechte und Freiheiten betroffener Personen. Vorgeschrieben in Art. 35 DSGVO bei voraussichtlich hohem Risiko.

Wann muss ich eine DSFA durchführen?+

Bei voraussichtlich hohem Risiko: Profiling mit rechtlicher Wirkung, umfangreiche Verarbeitung sensibler Daten (Gesundheit, Biometrie), systematische Überwachung öffentlicher Bereiche. Der EDPB empfiehlt DSFA bei mindestens 2 von 9 Risikokritierien.

Was muss eine DSFA enthalten?+

Art. 35 Abs. 7 DSGVO: Beschreibung der Verarbeitungsvorgänge, Bewertung der Notwendigkeit, Risikobewertung für Betroffene und geplante Abhilfemaßnahmen (technisch und organisatorisch).

Muss ich die Aufsichtsbehörde einbeziehen?+

Nur wenn nach der DSFA ein hohes Restrisiko verbleibt, das nicht durch Maßnahmen reduziert werden kann (Art. 36 DSGVO – vorherige Konsultation). In der Praxis selten, da meist Maßnahmen möglich sind.

Ist GPS-Zeiterfassung DSFA-pflichtig?+

In der Regel ja: Standortdaten + systematische Überwachung + Beschäftigtendaten = mindestens 3 EDPB-Kriterien. Die DSFA muss Verhältnismäßigkeit, Alternativen und Schutzmaßnahmen bewerten.

Wer ist für die DSFA verantwortlich?+

Der Verantwortliche (Arbeitgeber/Unternehmen). Der DSB muss beratend einbezogen werden (Art. 35 Abs. 2). Die Durchführung kann delegiert werden, die Verantwortung nicht.

Was passiert wenn ich keine DSFA durchführe?+

Bußgeld nach Art. 83 Abs. 4 DSGVO: bis 10 Mio. € oder 2% des Jahresumsatzes. Zudem kann die Aufsichtsbehörde die Verarbeitung untersagen (Art. 58 Abs. 2 DSGVO).

Wie oft muss eine DSFA überprüft werden?+

Art. 35 Abs. 11 DSGVO: Regelmäßige Überprüfung, mindestens bei Änderungen des Risikos. In der Praxis: jährlich oder bei wesentlichen Änderungen der Verarbeitung.

Ist Videoüberwachung immer DSFA-pflichtig?+

Bei systematischer Überwachung öffentlich zugänglicher Bereiche ja (Art. 35 Abs. 3 lit. c). Bei interner Videoüberwachung (Lager, Eingang) ist die DSFA empfohlen, aber nicht immer Pflicht.

Wie hilft CERTISCAN bei der DSFA?+

CERTISCAN liefert dokumentierte technische Maßnahmen für die DSFA: deutsches Hosting, AES-256-Verschlüsselung, WORM-Audit-Trail, rollenbasierte Zugriffskontrolle. Diese TOM können direkt in die DSFA übernommen werden.

Brauche ich eine DSFA für Beschäftigtendaten?+

Nicht grundsätzlich, aber sobald systematische Überwachung (Zeiterfassung, GPS), sensible Daten (Krankmeldungen) oder innovative Technologien (KI) hinzukommen, ist die DSFA in der Regel Pflicht.

Was sind technische Maßnahmen zur Risikominimierung?+

Verschlüsselung (AES-256), Pseudonymisierung, Zugriffskontrolle, Audit-Trail, Datensparsamkeit, regelmäßige Backups und Löschkonzepte. CERTISCAN implementiert alle diese Maßnahmen.