CERTISCAN
SolutionsModulesToolsKnowledgeBlogPricingAbout
Log inTry free
CERTISCAN
SolutionsModulesToolsKnowledgeBlogPricingAbout
Log inTry free
Calculators/Datenschutz-Folgenabschätzung (DSFA) 2026
Compliance & Recht · Free calculator

Datenschutz-Folgenabschätzung (DSFA) 2026

Die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist Pflicht, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt.

Open calculator ↓Try for free→
  • Free
  • No sign-up
  • Compliance & Recht
DSGVOAES-256WORM-AUDITXRECHNUNGCSRD

DSFA-Pflicht prüfen

Werte 2026
Guide

Datenschutz-Folgenabschätzung – ist eine DSFA Pflicht?

Die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist Pflicht, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Der kostenlose CERTISCAN DSFA-Rechner prüft, ob für Ihre Verarbeitung eine DSFA erforderlich ist und welche Risikostufe vorliegt.

Beispiel: Ein FM-Unternehmen, das Zeiterfassung mit GPS-Standortdaten für 200 Mitarbeiter nutzt, muss eine DSFA durchführen: systematische Überwachung + Standortdaten + viele Betroffene. Der CERTISCAN DSFA-Rechner zeigt dies sofort an.

Wann ist eine DSFA Pflicht?

Art. 35 Abs. 3 DSGVO nennt drei Regelbeispiele: Scoring und Profiling mit rechtlicher Wirkung, umfangreiche Verarbeitung besonderer Datenkategorien (Gesundheitsdaten, biometrische Daten) und systematische Überwachung öffentlich zugänglicher Bereiche (Videoüberwachung). Die Aufsichtsbehörden haben zusätzliche Positiv-Listen veröffentlicht.

DSFA-Kriterien des EDPB

Der Europäische Datenschutzausschuss empfiehlt eine DSFA, wenn mindestens zwei Kriterien zutreffen: Scoring/Bewertung, automatisierte Entscheidungen, systematische Überwachung, sensible Daten, große Betroffenenanzahl, Datenabgleich, vulnerable Personen (Minderjährige, Beschäftigte), innovative Technologien oder Drittlandtransfer.

Warum CERTISCAN für datenschutzkonforme Verarbeitung?

Der CERTISCAN DSFA-Rechner zeigt das Risiko und die Pflichten. Die CERTISCAN Plattform auf Anfrage minimiert das Verarbeitungsrisiko: deutsches Hosting, AES-256-Verschlüsselung, WORM-Audit-Trail, Zugriffskontrollen und Datensparsamkeit – dokumentierte technische Maßnahmen für Ihre DSFA.

Im Facility Management mit GPS-Zeiterfassung, Schichtplanung und Gesundheitsdaten (Krankmeldungen) sind DSFAs besonders relevant. CERTISCAN bietet die technische Grundlage für eine positive DSFA-Bewertung.

In comparison

FunktionCERTISCANExcel-VorlageBerater
TOM dokumentiertAutomatischManuellManuell
Audit-TrailWORM (SHA-256)KeinerKeiner
VerschlüsselungAES-256NeinN/A
ZugriffskontrolleRBACNeinN/A
Hosting DeutschlandN/AN/A
Regelmäßige UpdatesAutomatischManuellKostenpflichtig
DSFA-GrundlageEingeschränkt
KostenAuf Anfrage0 €2.000+ €
Good to know

Datenschutz-Folgenabschätzung: Vollständiger Leitfaden

Gesetzliche Grundlage

Die DSFA ist in der DSGVO geregelt:

  • Art. 35 Abs. 1 DSGVO: DSFA-Pflicht bei voraussichtlich hohem Risiko
  • Art. 35 Abs. 3 DSGVO: Drei Regelbeispiele (Profiling, sensible Daten, Videoüberwachung)
  • Art. 35 Abs. 4 DSGVO: Positivlisten der Aufsichtsbehörden
  • Art. 35 Abs. 7 DSGVO: Mindestinhalt einer DSFA
  • Art. 36 DSGVO: Vorherige Konsultation der Aufsichtsbehörde bei verbleibendem hohem Risiko

Wann ist eine DSFA erforderlich?

Die DSGVO nennt drei Regelbeispiele:

  1. Scoring und Profiling: Systematische Bewertung persönlicher Aspekte mit rechtlicher Wirkung
  2. Umfangreiche Verarbeitung besonderer Kategorien: Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen
  3. Systematische Überwachung: Videoüberwachung öffentlich zugänglicher Bereiche

EDPB-Kriterien (Zwei-aus-neun-Regel)

Der Europäische Datenschutzausschuss (EDPB) empfiehlt eine DSFA bei mindestens zwei der folgenden Kriterien:

  • Scoring, Bewertung oder Profiling
  • Automatisierte Entscheidungsfindung mit rechtlicher Wirkung
  • Systematische Überwachung (Videoüberwachung, Tracking)
  • Verarbeitung sensibler Daten (Gesundheit, Biometrie, Straftaten)
  • Umfangreiche Datenverarbeitung (viele Betroffene)
  • Datenabgleich oder -zusammenführung
  • Daten zu vulnerablen Personen (Kinder, Beschäftigte, Patienten)
  • Innovative Technologien (KI, IoT, Fingerabdruck)
  • Drittlandtransfer (außerhalb EU/EWR)

Pflichtinhalt einer DSFA (Art. 35 Abs. 7)

  1. Beschreibung: Art, Umfang, Umstände und Zwecke der Verarbeitung
  2. Bewertung: Notwendigkeit und Verhältnismäßigkeit
  3. Risikobewertung: Risiken für die Rechte und Freiheiten der Betroffenen
  4. Abhilfemaßnahmen: Technische und organisatorische Maßnahmen zur Risikominderung

Typische DSFA-Szenarien im FM

  • GPS-Zeiterfassung: Standortdaten + systematische Überwachung + Beschäftigte = DSFA erforderlich
  • Videoüberwachung: In Gebäuden oder auf Geländen = DSFA fast immer erforderlich
  • Gesundheitsdaten: BEM-Verfahren, Krankmeldungen = bei systematischer Verarbeitung DSFA nötig
  • Biometrische Zutrittskontrolle: Fingerabdruck-Scanner = DSFA erforderlich

Praxistipps

  • Prüfen Sie die EDPB-Kriterien vor jeder neuen Datenverarbeitung
  • Dokumentieren Sie die DSFA schriftlich (Nachweis gegenüber Aufsichtsbehörde)
  • Beteiligen Sie den Datenschutzbeauftragten (Art. 35 Abs. 2 DSGVO)
  • Überprüfen Sie die DSFA regelmäßig (mindestens jährlich)
  • Nutzen Sie CERTISCAN als technische Grundlage – dokumentierte TOM, Audit-Trail, Verschlüsselung

Verwandte Themen

  • DSGVO-Bußgeldrechner – Bußgeldrisiko berechnen
  • Compliance-Score-Rechner – Gesamt-Compliance bewerten
  • Datenschutz-Bußgeld-Rechner – DSGVO-Bußgeld nach Verstoßart
  • CERTISCAN Datenschutzerklärung
FAQ

Frequently asked questions

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?
Eine systematische Bewertung der Risiken einer Datenverarbeitung für die Rechte und Freiheiten betroffener Personen. Vorgeschrieben in Art. 35 DSGVO bei voraussichtlich hohem Risiko.
Wann muss ich eine DSFA durchführen?
Bei voraussichtlich hohem Risiko: Profiling mit rechtlicher Wirkung, umfangreiche Verarbeitung sensibler Daten (Gesundheit, Biometrie), systematische Überwachung öffentlicher Bereiche. Der EDPB empfiehlt DSFA bei mindestens 2 von 9 Risikokritierien.
Was muss eine DSFA enthalten?
Art. 35 Abs. 7 DSGVO: Beschreibung der Verarbeitungsvorgänge, Bewertung der Notwendigkeit, Risikobewertung für Betroffene und geplante Abhilfemaßnahmen (technisch und organisatorisch).
Muss ich die Aufsichtsbehörde einbeziehen?
Nur wenn nach der DSFA ein hohes Restrisiko verbleibt, das nicht durch Maßnahmen reduziert werden kann (Art. 36 DSGVO – vorherige Konsultation). In der Praxis selten, da meist Maßnahmen möglich sind.
Ist GPS-Zeiterfassung DSFA-pflichtig?
In der Regel ja: Standortdaten + systematische Überwachung + Beschäftigtendaten = mindestens 3 EDPB-Kriterien. Die DSFA muss Verhältnismäßigkeit, Alternativen und Schutzmaßnahmen bewerten.
Wer ist für die DSFA verantwortlich?
Der Verantwortliche (Arbeitgeber/Unternehmen). Der DSB muss beratend einbezogen werden (Art. 35 Abs. 2). Die Durchführung kann delegiert werden, die Verantwortung nicht.
Was passiert wenn ich keine DSFA durchführe?
Bußgeld nach Art. 83 Abs. 4 DSGVO: bis 10 Mio. € oder 2% des Jahresumsatzes. Zudem kann die Aufsichtsbehörde die Verarbeitung untersagen (Art. 58 Abs. 2 DSGVO).
Wie oft muss eine DSFA überprüft werden?
Art. 35 Abs. 11 DSGVO: Regelmäßige Überprüfung, mindestens bei Änderungen des Risikos. In der Praxis: jährlich oder bei wesentlichen Änderungen der Verarbeitung.
Ist Videoüberwachung immer DSFA-pflichtig?
Bei systematischer Überwachung öffentlich zugänglicher Bereiche ja (Art. 35 Abs. 3 lit. c). Bei interner Videoüberwachung (Lager, Eingang) ist die DSFA empfohlen, aber nicht immer Pflicht.
Wie hilft CERTISCAN bei der DSFA?
CERTISCAN liefert dokumentierte technische Maßnahmen für die DSFA: deutsches Hosting, AES-256-Verschlüsselung, WORM-Audit-Trail, rollenbasierte Zugriffskontrolle. Diese TOM können direkt in die DSFA übernommen werden.
Brauche ich eine DSFA für Beschäftigtendaten?
Nicht grundsätzlich, aber sobald systematische Überwachung (Zeiterfassung, GPS), sensible Daten (Krankmeldungen) oder innovative Technologien (KI) hinzukommen, ist die DSFA in der Regel Pflicht.
Was sind technische Maßnahmen zur Risikominimierung?
Verschlüsselung (AES-256), Pseudonymisierung, Zugriffskontrolle, Audit-Trail, Datensparsamkeit, regelmäßige Backups und Löschkonzepte. CERTISCAN implementiert alle diese Maßnahmen.
Explore more

Related topics

DSGVO-BußgeldrechnerDSGVO-Bußgeld berechnenCompliance-Score-RechnerGesamt-Compliance bewertenDatenschutz-Bußgeld-RechnerBußgeld nach VerstoßartHinSchG-Bußgeld-RechnerHinweisgeberschutz-BußgeldCERTISCAN DatenschutzUnsere DSGVO-Konformität

Related calculators

Compliance & RechtDSGVO-Bußgeldrechner 2026: Risiko berechnenCompliance & RechtDatenschutz Bußgeld-Rechner 2026: DSGVO-RisikoCompliance & RechtHinSchG Bußgeld-Rechner 2026: HinweisgeberschutzCompliance & RechtLkSG Risiko-Rechner 2026: Lieferkettenrisiko bewerten
Less number-crunching, more done
CERTISCAN verarbeitet personenbezogene Daten DSGVO-konform auf deutschen Servern. Audit-Trail, Verschlüsselung und Zugriffskontrollen minimieren Risiken – ideal als Grundlage für Ihre DSFA. Preis auf Anfrage.
Try for free
CERTISCAN

Compliance & operations in one app. Made & hosted in Germany.

Product
SolutionsModulesToolsKnowledgeGlossaryTrust CenterPricingBlog
Company
AboutContact
Legal
PrivacyImprintTermsDPAAccessibility
© 2026 CERTISCAN · Christoph Schulz · Siegen
AES-256 · DSGVO · WORM-Audit
Hauptkategorie der Datenverarbeitung
Wie viele Personen sind betroffen?
Art. 9 DSGVO: besondere Kategorien = hoch
z.B. US-Cloud-Dienste, Offshore-Teams
Art. 22 DSGVO: Entscheidungen ohne menschliches Eingreifen
DSFA Pflicht
2 von 9 EDPB-Kriterien erfüllt
DSFA erforderlich
DSFA erforderlich
Ja (ab 2 Kriterien)
EDPB-Kriterien
2 von 9
Risikostufe
Hoch
Risikoscore
60/100
Verarbeitungsart
Gesundheitsdaten
Betroffene
200
Drittlandtransfer
Nein
Bußgeld (fehlende DSFA)
Bis 10 Mio. € / 2% Umsatz (Art. 83 Abs. 4)
Erfüllte EDPB-Kriterien (2):
  • Sensible/besondere Datenkategorien
  • Umfangreiche Datenverarbeitung
Empfohlene Maßnahmen:
  1. DSFA schriftlich dokumentieren (Art. 35 Abs. 7 DSGVO)
  2. Datenschutzbeauftragten einbeziehen (Art. 35 Abs. 2)
  3. Technische Maßnahmen implementieren (Verschlüsselung, Zugriffskontrolle)
  4. Einwilligung oder gesetzliche Grundlage für Art. 9 DSGVO sicherstellen
Hinweis: Bei fehlender DSFA droht ein Bußgeld nach Art. 83 Abs. 4 DSGVO (bis 10 Mio. € / 2% Umsatz). Die Aufsichtsbehörde kann zudem die Verarbeitung untersagen. CERTISCAN bietet dokumentierte TOM als Grundlage für Ihre DSFA – ab 29 €/Monat.