DSGVO Art. 35 (VO 2016/679) – Datenschutz-Folgenabschätzung (DPIA): Pflichtfälle, Inhalt, vorherige Konsultation
DSGVO Art. 35 (VO 2016/679) – Datenschutz-Folgenabschätzung (DPIA): Pflichtfälle, Inhalt, vorherige Konsultation
Kurzantwort
Die Datenschutz-Folgenabschätzung (DSFA, engl. Data Protection Impact Assessment – DPIA) nach Art. 35 der Verordnung (EU) 2016/679 (DSGVO) ist eine vorab durchzuführende Risikoprüfung. Sie ist immer dann Pflicht, wenn eine Form der Verarbeitung – insbesondere bei Einsatz neuer Technologien – aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 Abs. 1).
Art. 35 Abs. 3 nennt drei Pflichtfälle, in denen eine DSFA stets erforderlich ist: (a) systematische und umfassende Bewertung persönlicher Aspekte durch automatisierte Verarbeitung einschließlich Profiling mit Rechtswirkung oder ähnlich erheblicher Beeinträchtigung, (b) umfangreiche Verarbeitung besonderer Datenkategorien (Art. 9) oder von Daten über strafrechtliche Verurteilungen (Art. 10) und (c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (z. B. Videoüberwachung). Ergänzend veröffentlichen die Aufsichtsbehörden Muss-Listen (Art. 35 Abs. 4) – in Deutschland die Liste der Datenschutzkonferenz (DSK).
Ergibt die DSFA ein hohes Restrisiko, das der Verantwortliche nicht durch Maßnahmen eindämmen kann, ist vor der Verarbeitung die Aufsichtsbehörde zu konsultieren (Art. 36 „vorherige Konsultation"). Verstöße gegen Art. 35 und 36 können mit Geldbußen von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes geahndet werden (Art. 83 Abs. 4 lit. a).
Kernfakten
| Punkt | Wert |
|---|---|
| Rechtsakt | Verordnung (EU) 2016/679 (DSGVO), Artikel 35 [eur-lex.europa.eu, CELEX:32016R0679] |
| Rechtsnatur | EU-Verordnung → unmittelbar anwendbar in Deutschland (kein Umsetzungsgesetz nötig) |
| Geltung seit | 25. Mai 2018 [Art. 99 Abs. 2 DSGVO] |
| Auslöser (Generalklausel) | Verarbeitung mit voraussichtlich hohem Risiko, v. a. bei neuen Technologien [Art. 35 Abs. 1] |
| Pflichtfall a | systematische, umfassende Bewertung + automatisierte Verarbeitung/Profiling mit Rechtswirkung/erheblicher Beeinträchtigung [Art. 35 Abs. 3 lit. a] |
| Pflichtfall b | umfangreiche Verarbeitung besonderer Kategorien (Art. 9) oder Straftatdaten (Art. 10) [Art. 35 Abs. 3 lit. b] |
| Pflichtfall c | systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche [Art. 35 Abs. 3 lit. c] |
| Muss-Liste (DE) | DSK-Liste nach Art. 35 Abs. 4 (nicht-öffentlicher Bereich) – z. B. Scoring, Videoüberwachung mit Verhaltensanalyse, Beschäftigten-Screening |
| EDPB-Kriterien | 9 Kriterien (Leitlinie WP 248 rev.01); Faustregel: ≥ 2 Kriterien erfüllt → DSFA regelmäßig erforderlich |
| Mindestinhalt | (a) Beschreibung, (b) Bewertung Notwendigkeit/Verhältnismäßigkeit, (c) Risiken, (d) Abhilfemaßnahmen [Art. 35 Abs. 7] |
| DSB einzubinden | Rat des Datenschutzbeauftragten ist einzuholen [Art. 35 Abs. 2] |
| Betroffene anhören | Standpunkt Betroffener „gegebenenfalls" einholen [Art. 35 Abs. 9] |
| Vorherige Konsultation | bei hohem Restrisiko ohne Eindämmung → Aufsichtsbehörde vor Verarbeitung konsultieren [Art. 36 Abs. 1] |
| Frist Aufsichtsbehörde | bis zu 8 Wochen schriftliche Empfehlung, + 6 Wochen Verlängerung möglich [Art. 36 Abs. 2] |
| Überprüfung | DSFA bei Risikoänderung erneut durchführen [Art. 35 Abs. 11] |
| Sanktionen | bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Wert) [Art. 83 Abs. 4 lit. a] |
| Nachweispflicht | Rechenschaftspflicht: DSFA dokumentieren und vorhalten [Art. 5 Abs. 2, Art. 24] |
| Erfasster Personenkreis | alle Verantwortlichen, die Hochrisiko-Verarbeitungen durchführen (Marktortprinzip, Art. 3) |
Geltungsbereich
Art. 35 richtet sich an den Verantwortlichen (Art. 4 Nr. 7) – also die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet. Die Pflicht besteht vor Beginn der Verarbeitung und unabhängig von der Rechtsgrundlage nach Art. 6. Bei gemeinsam Verantwortlichen (Art. 26) ist die Zuständigkeit für die DSFA in der Vereinbarung zu regeln. Der Auftragsverarbeiter (Art. 28) führt keine eigene DSFA durch, muss aber den Verantwortlichen dabei unterstützen (Art. 28 Abs. 3 lit. f).
Eine DSFA ist nicht erforderlich, wenn eine gleichartige Verarbeitung bereits Gegenstand einer DSFA war (Art. 35 Abs. 1 Satz 2) oder wenn die Verarbeitung auf einer Rechtsgrundlage beruht, für die der Gesetzgeber bereits eine allgemeine Folgenabschätzung vorgenommen hat (Art. 35 Abs. 10). Über das Marktortprinzip (Art. 3 Abs. 2) gilt die Pflicht auch für Verantwortliche außerhalb der EU, die betroffenen Personen in der EU Waren/Dienstleistungen anbieten oder ihr Verhalten beobachten.
Detail: Wann ist eine DSFA Pflicht?
Maßgeblich ist eine zweistufige Prüfung. Auf der ersten Stufe steht die Schwellwertanalyse: Löst die Verarbeitung „voraussichtlich ein hohes Risiko" aus (Art. 35 Abs. 1)? Dafür sind heranzuziehen: die drei Pflichtfälle des Art. 35 Abs. 3, die DSK-Muss-Liste (Art. 35 Abs. 4) sowie die neun EDPB-Kriterien der Leitlinie WP 248 rev.01 (u. a. Bewertung/Scoring, automatisierte Entscheidungen mit Rechtswirkung, systematische Überwachung, sensible Daten, umfangreiche Verarbeitung, Abgleich von Datensätzen, Daten schutzbedürftiger Personen, innovative Technologien, Verhinderung der Rechtsausübung). Sind zwei oder mehr dieser Kriterien erfüllt, ist regelmäßig von einer DSFA-Pflicht auszugehen; in Einzelfällen kann bereits ein Kriterium genügen.
Detail: Inhalt und Ablauf (Art. 35 Abs. 7)
Die DSFA muss mindestens enthalten: eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und ihrer Zwecke; eine Bewertung der Notwendigkeit und Verhältnismäßigkeit in Bezug auf den Zweck; eine Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen; sowie die geplanten Abhilfemaßnahmen (Garantien, Sicherheitsvorkehrungen und technisch-organisatorische Maßnahmen nach Art. 32). Der Rat des Datenschutzbeauftragten ist einzuholen (Art. 35 Abs. 2); der Standpunkt der Betroffenen ist „gegebenenfalls" einzuholen (Art. 35 Abs. 9). Ändert sich das Risiko, ist die DSFA zu wiederholen (Art. 35 Abs. 11).
Detail: Vorherige Konsultation (Art. 36)
Bleibt nach den geplanten Maßnahmen ein hohes Restrisiko, muss der Verantwortliche die Aufsichtsbehörde vor der Verarbeitung konsultieren (Art. 36 Abs. 1). Die Behörde erteilt binnen bis zu acht Wochen schriftliche Empfehlungen; die Frist kann bei Komplexität um sechs Wochen verlängert werden (Art. 36 Abs. 2). Erst nach Abschluss der Konsultation darf mit der Verarbeitung begonnen werden. Die Missachtung der Konsultationspflicht ist eigenständig bußgeldbewehrt (Art. 83 Abs. 4 lit. a).
Häufige Fehler
- „Eine DSFA ist immer nötig." Nein – nur bei voraussichtlich hohem Risiko. Bei geringem Risiko genügt die Dokumentation im Verzeichnis der Verarbeitungstätigkeiten (Art. 30).
- „Steht die Verarbeitung nicht auf der DSK-Liste, brauche ich keine DSFA." Falsch – die Liste ist nicht abschließend; ergibt die Schwellwertanalyse ein hohes Risiko, ist eine DSFA trotzdem Pflicht.
- „Die DSFA ist eine reine Formsache." Nein – ohne echte Risikobewertung und Maßnahmen droht ein Bußgeld nach Art. 83 Abs. 4 lit. a (bis 10 Mio. € / 2 %).
- „Bei hohem Restrisiko darf ich einfach starten." Nein – dann ist zwingend die vorherige Konsultation nach Art. 36 durchzuführen; Start erst nach Ablauf/Abschluss.
- „Die DSFA muss an die Aufsichtsbehörde geschickt werden." Nein – sie ist grundsätzlich intern vorzuhalten (Rechenschaftspflicht); Übermittlung nur bei Konsultation nach Art. 36.
Quellen
- Verordnung (EU) 2016/679 (DSGVO), Volltext (deutsch):: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679
- Art. 35 DSGVO – Datenschutz-Folgenabschätzung (dejure.org):: https://dejure.org/gesetze/DSGVO/35.html
- Art. 36 DSGVO – Vorherige Konsultation (dejure.org):: https://dejure.org/gesetze/DSGVO/36.html
- EDPB – Leitlinien zur Datenschutz-Folgenabschätzung (WP 248 rev.01):: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/data-protection-impact-assessments-high-risk-processing_en
- DSK – Muss-Liste (Kurzpapier), z. B. BayLDA:: https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf
- BfDI – Datenschutz-Folgenabschätzungen und Listen von Verarbeitungsvorgängen:: https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technik/Datenschutz-Folgenabschaetzungen.html
Änderungsverlauf
- 2026-07-13: Erstveröffentlichung. Kernwerte (drei Pflichtfälle Art. 35 Abs. 3, Mindestinhalt Abs. 7, 8-Wochen-Frist + 6 Wochen Verlängerung nach Art. 36 Abs. 2, Bußgeldrahmen Art. 83 Abs. 4 lit. a, EDPB-„≥2-Kriterien"-Faustregel WP 248 rev.01, DSK-Muss-Liste) gegen EUR-Lex/dejure.org, EDPB und DSK/BfDI geprüft. | change_type=initial_publication field="topic_lifecycle" new="published" reviewed_by="Andreas Warkentin"
Stand
- Stand: 2026-07-13
- Gültig ab: 2018-05-25 (Geltungsbeginn der DSGVO)
- Gültig bis: offen (unbefristet in Kraft)
- Status: in Kraft (EU-Verordnung – unmittelbar anwendbar, kein Umsetzungsgesetz nötig)
- Quellenautorität: A (EUR-Lex CELEX:32016R0679)
- Lizenz: CC BY 4.0