Eine Datenschutz-Folgenabschätzung, kurz DSFA und auf Englisch Data Protection Impact Assessment (DPIA), ist ein strukturiertes Verfahren zur vorausschauenden Bewertung von Datenschutzrisiken. Sie ist in Artikel 35 der DSGVO geregelt und immer dann durchzuführen, wenn eine Form der Verarbeitung — insbesondere bei Einsatz neuer Technologien — voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Die DSFA ist Ausdruck des präventiven Ansatzes der DSGVO: Risiken sollen erkannt und gemindert werden, bevor eine Verarbeitung beginnt, nicht erst nachdem ein Schaden eingetreten ist.
Der Zweck der DSFA
Die DSFA verfolgt einen klaren Zweck: Sie zwingt das Unternehmen, eine geplante Datenverarbeitung systematisch auf ihre Risiken zu untersuchen und Massnahmen zu deren Minderung festzulegen, bevor die Verarbeitung startet. Damit wird Datenschutz von einer nachträglichen Kontrolle zu einem gestaltenden Element der Planung. Die DSFA ist eng mit dem Grundsatz Privacy by Design verbunden — beide zielen darauf, Datenschutz von Anfang an mitzudenken. Zugleich ist sie ein Instrument der Rechenschaftspflicht: Eine dokumentierte DSFA belegt gegenüber der Aufsichtsbehörde, dass das Unternehmen die Risiken erkannt und verantwortungsvoll behandelt hat.
Wann eine DSFA Pflicht ist
Eine DSFA ist erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko birgt. Artikel 35 nennt drei Regelbeispiele: die systematische und umfassende Bewertung persönlicher Aspekte durch automatisierte Verarbeitung einschliesslich Profiling, die umfangreiche Verarbeitung besonderer Datenkategorien nach Artikel 9 oder von Daten über strafrechtliche Verurteilungen, sowie die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. Die Aufsichtsbehörden veröffentlichen zudem Listen von Verarbeitungsvorgängen, die stets eine DSFA erfordern. In Zweifelsfällen ist eine DSFA oft die sicherere Wahl, weil sie das Unternehmen schützt und Klarheit schafft.
Typische Auslöser in der Praxis
In der Praxis lösen mehrere Konstellationen eine DSFA aus. Dazu gehören die Verarbeitung von Gesundheitsdaten — etwa in einer Gesundheits-App —, umfangreiches Profiling und Scoring, der Einsatz von KI-Systemen zur Bewertung von Personen, biometrische Verfahren, die systematische Überwachung von Beschäftigten und die Zusammenführung grosser Datenbestände aus verschiedenen Quellen. Gerade beim Einsatz neuer Technologien wie künstlicher Intelligenz ist eine DSFA häufig geboten, was eine Brücke zum EU AI Act schlägt: Beide verlangen eine vorausschauende Risikobetrachtung, die sich teilweise inhaltlich überschneidet.
Der Inhalt einer DSFA
Artikel 35 schreibt vor, was eine DSFA mindestens enthalten muss. Erforderlich sind eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und ihrer Zwecke, eine Bewertung der Notwendigkeit und Verhältnismässigkeit der Verarbeitung in Bezug auf den Zweck, eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie die zur Bewältigung dieser Risiken geplanten Abhilfemassnahmen, Garantien und Sicherheitsvorkehrungen. Diese vier Elemente bilden den Kern jeder DSFA. Eine gute DSFA ist dabei kein Formular, das man abhakt, sondern eine echte Auseinandersetzung mit den Risiken, die zu konkreten Schutzmassnahmen führt.
Der Ablauf einer DSFA
Eine DSFA läuft typischerweise in mehreren Schritten ab. Zunächst wird die geplante Verarbeitung detailliert beschrieben — welche Daten, zu welchem Zweck, mit welchen Mitteln, in welchem Umfang. Dann wird geprüft, ob die Verarbeitung notwendig und verhältnismässig ist. Anschliessend werden die Risiken für die betroffenen Personen identifiziert und bewertet, etwa das Risiko unbefugten Zugriffs, der Zweckentfremdung oder der Diskriminierung. Auf dieser Grundlage werden Massnahmen festgelegt, die die Risiken mindern, und das verbleibende Restrisiko bewertet. Bleibt trotz Massnahmen ein hohes Risiko bestehen, muss die Aufsichtsbehörde vorab konsultiert werden.
Die Rolle des Datenschutzbeauftragten
Sofern ein Datenschutzbeauftragter benannt ist, spielt er bei der DSFA eine wichtige Rolle. Der Verantwortliche muss seinen Rat einholen, und der Datenschutzbeauftragte überwacht die Durchführung der DSFA. Seine fachliche Einschätzung trägt dazu bei, dass die Risiken realistisch bewertet und angemessene Massnahmen gewählt werden. Auch wenn kein Datenschutzbeauftragter zwingend zu benennen ist, profitiert die DSFA von fachlicher Begleitung, weil die Risikobewertung Erfahrung und ein Verständnis sowohl der Technik als auch des Rechts erfordert.
Die DSFA als laufender Prozess
Eine DSFA ist keine einmalige Übung, sondern an die Verarbeitung gebunden, die sie bewertet. Ändert sich die Verarbeitung wesentlich — etwa durch neue Datenkategorien, einen erweiterten Zweck oder eine neue Technologie — ist die DSFA zu überprüfen und gegebenenfalls zu aktualisieren. Die DSGVO empfiehlt zudem, die Durchführung der Verarbeitung regelmässig daraufhin zu überprüfen, ob sie noch im Einklang mit der DSFA steht. Damit wird die DSFA zu einem lebenden Dokument, das den Lebenszyklus einer Verarbeitung begleitet, statt einer Momentaufnahme bei deren Start.
DSFA im DACH-Kontext und bei Innopulse
Sowohl die DSGVO als auch das Schweizer revDSG kennen die Pflicht zur Folgenabschätzung bei risikoreichen Bearbeitungen, sodass DACH-Unternehmen sie in beiden Rechtsräumen beachten müssen. Besonders bei datenintensiven und KI-gestützten Produkten ist sie regelmässig geboten. Innopulse berücksichtigt die DSFA als festen Bestandteil der Produktentwicklung, wenn ein Produkt risikoreiche Verarbeitungen vorsieht — etwa bei der Gesundheits-App Penday, die mit besonders sensiblen Daten arbeitet. Im Rahmen der Datenschutz- und SaaS-Entwicklungsleistung unterstützt Innopulse Kunden dabei, DSFAs strukturiert durchzuführen und so geplante Verarbeitungen von Anfang an rechtskonform und risikobewusst zu gestalten.
Der Bezug zum EU AI Act
Die DSFA gewinnt durch den EU AI Act zusätzliche Bedeutung, denn beide Regelwerke verlangen eine vorausschauende Risikobetrachtung, die sich inhaltlich überschneidet. Setzt ein Unternehmen ein KI-System ein, das personenbezogene Daten verarbeitet und ein hohes Risiko birgt, kann sowohl eine DSFA nach DSGVO als auch eine Risikobewertung nach AI Act erforderlich sein. Es ist sinnvoll, beide Betrachtungen zu koordinieren, um Doppelarbeit zu vermeiden und ein konsistentes Bild der Risiken zu erhalten. Diese Verzahnung von Datenschutz- und KI-Compliance ist ein wachsendes Feld, in dem eine integrierte Betrachtung beider Anforderungen den Aufwand reduziert und die Qualität der Risikobewertung erhöht.
Die Vorabkonsultation der Aufsichtsbehörde
Ergibt die DSFA, dass eine Verarbeitung trotz der geplanten Massnahmen ein hohes Risiko aufweisen würde, schreibt Artikel 36 DSGVO eine Vorabkonsultation der Aufsichtsbehörde vor. Das Unternehmen muss die Behörde vor Beginn der Verarbeitung konsultieren, die dann beraten oder Massnahmen anordnen kann. Diese Vorabkonsultation ist der seltene Fall, in dem das Restrisiko so hoch bleibt, dass die Behörde eingebunden werden muss — meist gelingt es, durch geeignete Massnahmen das Risiko so weit zu senken, dass eine Konsultation nicht nötig ist. Dass diese Eskalationsstufe existiert, unterstreicht den ernsten Charakter der DSFA bei besonders riskanten Verarbeitungen.
DSFA und Privacy by Design
Die DSFA und der Grundsatz Privacy by Design greifen ineinander. Während Privacy by Design verlangt, Datenschutz von Anfang an in die Gestaltung einzubauen, liefert die DSFA das strukturierte Verfahren, mit dem die Risiken einer geplanten Verarbeitung systematisch erfasst und die nötigen Schutzmassnahmen abgeleitet werden. Wer eine DSFA früh in der Konzeptphase durchführt, kann ihre Erkenntnisse unmittelbar in das Design einfliessen lassen — etwa indem auf bestimmte Daten verzichtet, eine Pseudonymisierung eingeführt oder eine zusätzliche Zugriffskontrolle vorgesehen wird. So wird die DSFA zum praktischen Werkzeug, mit dem der abstrakte Grundsatz Privacy by Design in konkrete Gestaltungsentscheidungen übersetzt wird.
Fazit
Die Datenschutz-Folgenabschätzung ist das zentrale Instrument der DSGVO und des revDSG für die vorausschauende Bewertung riskanter Verarbeitungen. Sie ist immer dann Pflicht, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt — bei Profiling, sensiblen Daten, umfangreicher Überwachung und oft beim Einsatz von KI. Eine gut durchgeführte DSFA ist kein abzuhakendes Formular, sondern eine echte Auseinandersetzung mit Risiken, die zu konkreten Schutzmassnahmen führt und das Unternehmen sowohl rechtlich absichert als auch das Vertrauen der Betroffenen verdient.