CERTISCAN
Kostenlos, ohne Anmeldung

Datenschutz-Folgenabschätzung (DSFA) 2026

Datenschutz-Folgenabschätzung (DSFA): Pflicht prüfen nach Art. 35 DSGVO. Verarbeitungsart, Risiko, Maßnahmen. Kostenloser CERTISCAN Rechner.

DSFA-Pflicht prüfen

Hauptkategorie der Datenverarbeitung
Wie viele Personen sind betroffen?
Art. 9 DSGVO: besondere Kategorien = hoch
z.B. US-Cloud-Dienste, Offshore-Teams
Art. 22 DSGVO: Entscheidungen ohne menschliches Eingreifen
DSFA Pflicht
2 von 9 EDPB-Kriterien erfüllt
DSFA erforderlich
DSFA erforderlichJa (ab 2 Kriterien)
EDPB-Kriterien2 von 9
RisikostufeHoch
Risikoscore60/100
VerarbeitungsartGesundheitsdaten
Betroffene200
DrittlandtransferNein
Bußgeld (fehlende DSFA)Bis 10 Mio. € / 2% Umsatz (Art. 83 Abs. 4)
Erfüllte EDPB-Kriterien (2):
  • Sensible/besondere Datenkategorien
  • Umfangreiche Datenverarbeitung
Empfohlene Maßnahmen:
  1. DSFA schriftlich dokumentieren (Art. 35 Abs. 7 DSGVO)
  2. Datenschutzbeauftragten einbeziehen (Art. 35 Abs. 2)
  3. Technische Maßnahmen implementieren (Verschlüsselung, Zugriffskontrolle)
  4. Einwilligung oder gesetzliche Grundlage für Art. 9 DSGVO sicherstellen
Hinweis: Bei fehlender DSFA droht ein Bußgeld nach Art. 83 Abs. 4 DSGVO (bis 10 Mio. € / 2% Umsatz). Die Aufsichtsbehörde kann zudem die Verarbeitung untersagen. CERTISCAN bietet dokumentierte TOM als Grundlage für Ihre DSFA – ab 29 €/Monat.

📧 Ergebnis als PDF per E-Mail erhalten

Kostenlos, unverbindlich und sofort in Ihrem Postfach.

Ich stimme der Datenschutzerkl\u00e4rung zu. *
Ja, ich m\u00f6chte Praxis-Tipps zu Compliance & HR erhalten (max. 2\u00d7/Monat, jederzeit abbestellbar).

Kein Spam. Keine Kreditkarte. Nur Ihr Ergebnis.

Automatisch berechnen mit CERTISCAN

CERTISCAN verarbeitet personenbezogene Daten DSGVO-konform auf deutschen Servern. Audit-Trail, Verschlüsselung und Zugriffskontrollen minimieren Risiken – ideal als Grundlage für Ihre DSFA. Ab 29 €/Monat.

14 Tage kostenlos testen →Mehr zu Compliance

Datenschutz-Folgenabschätzung – ist eine DSFA Pflicht?

Die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist Pflicht, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Der kostenlose CERTISCAN DSFA-Rechner prüft, ob für Ihre Verarbeitung eine DSFA erforderlich ist und welche Risikostufe vorliegt.

Beispiel: Ein FM-Unternehmen, das Zeiterfassung mit GPS-Standortdaten für 200 Mitarbeiter nutzt, muss eine DSFA durchführen: systematische Überwachung + Standortdaten + viele Betroffene. Der CERTISCAN DSFA-Rechner zeigt dies sofort an.

Wann ist eine DSFA Pflicht?

Art. 35 Abs. 3 DSGVO nennt drei Regelbeispiele: Scoring und Profiling mit rechtlicher Wirkung, umfangreiche Verarbeitung besonderer Datenkategorien (Gesundheitsdaten, biometrische Daten) und systematische Überwachung öffentlich zugänglicher Bereiche (Videoüberwachung). Die Aufsichtsbehörden haben zusätzliche Positiv-Listen veröffentlicht.

DSFA-Kriterien des EDPB

Der Europäische Datenschutzausschuss empfiehlt eine DSFA, wenn mindestens zwei Kriterien zutreffen: Scoring/Bewertung, automatisierte Entscheidungen, systematische Überwachung, sensible Daten, große Betroffenenanzahl, Datenabgleich, vulnerable Personen (Minderjährige, Beschäftigte), innovative Technologien oder Drittlandtransfer.

Warum CERTISCAN für datenschutzkonforme Verarbeitung?

Der CERTISCAN DSFA-Rechner zeigt das Risiko und die Pflichten. Die CERTISCAN Plattform ab 29 €/Monat minimiert das Verarbeitungsrisiko: deutsches Hosting, AES-256-Verschlüsselung, WORM-Audit-Trail, Zugriffskontrollen und Datensparsamkeit – dokumentierte technische Maßnahmen für Ihre DSFA.

Im Facility Management mit GPS-Zeiterfassung, Schichtplanung und Gesundheitsdaten (Krankmeldungen) sind DSFAs besonders relevant. CERTISCAN bietet die technische Grundlage für eine positive DSFA-Bewertung.

Berechnung gepr\u00fcft von Christoph Schulz, Gr\u00fcnder CERTISCAN. Letzte Aktualisierung: M\u00e4rz 2026.

DSFA-Pflicht prüfen: CERTISCAN vs. Alternativen

FunktionCERTISCANExcel-VorlageBerater
TOM dokumentiertAutomatischManuellManuell
Audit-TrailWORM (SHA-256)KeinerKeiner
VerschlüsselungAES-256NeinN/A
ZugriffskontrolleRBACNeinN/A
Hosting DeutschlandN/AN/A
Regelmäßige UpdatesAutomatischManuellKostenpflichtig
DSFA-GrundlageEingeschränkt
Kosten29 €/Mo0 €2.000+ €

Datenschutz-Folgenabschätzung: Vollständiger Leitfaden

Gesetzliche Grundlage

Die DSFA ist in der DSGVO geregelt:

  • Art. 35 Abs. 1 DSGVO: DSFA-Pflicht bei voraussichtlich hohem Risiko
  • Art. 35 Abs. 3 DSGVO: Drei Regelbeispiele (Profiling, sensible Daten, Videoüberwachung)
  • Art. 35 Abs. 4 DSGVO: Positivlisten der Aufsichtsbehörden
  • Art. 35 Abs. 7 DSGVO: Mindestinhalt einer DSFA
  • Art. 36 DSGVO: Vorherige Konsultation der Aufsichtsbehörde bei verbleibendem hohem Risiko

Wann ist eine DSFA erforderlich?

Die DSGVO nennt drei Regelbeispiele:

  1. Scoring und Profiling: Systematische Bewertung persönlicher Aspekte mit rechtlicher Wirkung
  2. Umfangreiche Verarbeitung besonderer Kategorien: Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen
  3. Systematische Überwachung: Videoüberwachung öffentlich zugänglicher Bereiche

EDPB-Kriterien (Zwei-aus-neun-Regel)

Der Europäische Datenschutzausschuss (EDPB) empfiehlt eine DSFA bei mindestens zwei der folgenden Kriterien:

  • Scoring, Bewertung oder Profiling
  • Automatisierte Entscheidungsfindung mit rechtlicher Wirkung
  • Systematische Überwachung (Videoüberwachung, Tracking)
  • Verarbeitung sensibler Daten (Gesundheit, Biometrie, Straftaten)
  • Umfangreiche Datenverarbeitung (viele Betroffene)
  • Datenabgleich oder -zusammenführung
  • Daten zu vulnerablen Personen (Kinder, Beschäftigte, Patienten)
  • Innovative Technologien (KI, IoT, Fingerabdruck)
  • Drittlandtransfer (außerhalb EU/EWR)

Pflichtinhalt einer DSFA (Art. 35 Abs. 7)

  1. Beschreibung: Art, Umfang, Umstände und Zwecke der Verarbeitung
  2. Bewertung: Notwendigkeit und Verhältnismäßigkeit
  3. Risikobewertung: Risiken für die Rechte und Freiheiten der Betroffenen
  4. Abhilfemaßnahmen: Technische und organisatorische Maßnahmen zur Risikominderung

Typische DSFA-Szenarien im FM

  • GPS-Zeiterfassung: Standortdaten + systematische Überwachung + Beschäftigte = DSFA erforderlich
  • Videoüberwachung: In Gebäuden oder auf Geländen = DSFA fast immer erforderlich
  • Gesundheitsdaten: BEM-Verfahren, Krankmeldungen = bei systematischer Verarbeitung DSFA nötig
  • Biometrische Zutrittskontrolle: Fingerabdruck-Scanner = DSFA erforderlich

Praxistipps

  • Prüfen Sie die EDPB-Kriterien vor jeder neuen Datenverarbeitung
  • Dokumentieren Sie die DSFA schriftlich (Nachweis gegenüber Aufsichtsbehörde)
  • Beteiligen Sie den Datenschutzbeauftragten (Art. 35 Abs. 2 DSGVO)
  • Überprüfen Sie die DSFA regelmäßig (mindestens jährlich)
  • Nutzen Sie CERTISCAN als technische Grundlage – dokumentierte TOM, Audit-Trail, Verschlüsselung

Verwandte Themen

H\u00e4ufig gestellte Fragen

Eine systematische Bewertung der Risiken einer Datenverarbeitung für die Rechte und Freiheiten betroffener Personen. Vorgeschrieben in Art. 35 DSGVO bei voraussichtlich hohem Risiko.
Bei voraussichtlich hohem Risiko: Profiling mit rechtlicher Wirkung, umfangreiche Verarbeitung sensibler Daten (Gesundheit, Biometrie), systematische Überwachung öffentlicher Bereiche. Der EDPB empfiehlt DSFA bei mindestens 2 von 9 Risikokritierien.
Art. 35 Abs. 7 DSGVO: Beschreibung der Verarbeitungsvorgänge, Bewertung der Notwendigkeit, Risikobewertung für Betroffene und geplante Abhilfemaßnahmen (technisch und organisatorisch).
Nur wenn nach der DSFA ein hohes Restrisiko verbleibt, das nicht durch Maßnahmen reduziert werden kann (Art. 36 DSGVO – vorherige Konsultation). In der Praxis selten, da meist Maßnahmen möglich sind.
In der Regel ja: Standortdaten + systematische Überwachung + Beschäftigtendaten = mindestens 3 EDPB-Kriterien. Die DSFA muss Verhältnismäßigkeit, Alternativen und Schutzmaßnahmen bewerten.
Der Verantwortliche (Arbeitgeber/Unternehmen). Der DSB muss beratend einbezogen werden (Art. 35 Abs. 2). Die Durchführung kann delegiert werden, die Verantwortung nicht.
Bußgeld nach Art. 83 Abs. 4 DSGVO: bis 10 Mio. € oder 2% des Jahresumsatzes. Zudem kann die Aufsichtsbehörde die Verarbeitung untersagen (Art. 58 Abs. 2 DSGVO).
Art. 35 Abs. 11 DSGVO: Regelmäßige Überprüfung, mindestens bei Änderungen des Risikos. In der Praxis: jährlich oder bei wesentlichen Änderungen der Verarbeitung.
Bei systematischer Überwachung öffentlich zugänglicher Bereiche ja (Art. 35 Abs. 3 lit. c). Bei interner Videoüberwachung (Lager, Eingang) ist die DSFA empfohlen, aber nicht immer Pflicht.
CERTISCAN liefert dokumentierte technische Maßnahmen für die DSFA: deutsches Hosting, AES-256-Verschlüsselung, WORM-Audit-Trail, rollenbasierte Zugriffskontrolle. Diese TOM können direkt in die DSFA übernommen werden.
Nicht grundsätzlich, aber sobald systematische Überwachung (Zeiterfassung, GPS), sensible Daten (Krankmeldungen) oder innovative Technologien (KI) hinzukommen, ist die DSFA in der Regel Pflicht.
Verschlüsselung (AES-256), Pseudonymisierung, Zugriffskontrolle, Audit-Trail, Datensparsamkeit, regelmäßige Backups und Löschkonzepte. CERTISCAN implementiert alle diese Maßnahmen.

Verwandte Themen

DSGVO-BußgeldrechnerDSGVO-Bußgeld berechnenCompliance-Score-RechnerGesamt-Compliance bewertenDatenschutz-Bußgeld-RechnerBußgeld nach VerstoßartHinSchG-Bußgeld-RechnerHinweisgeberschutz-BußgeldCERTISCAN DatenschutzUnsere DSGVO-Konformität

Bereit f\u00fcr automatische Berechnung?

14 Tage kostenlos. Keine Kreditkarte. Keine K\u00fcndigung n\u00f6tig.

CERTISCAN kostenlos testen