---
title: DSGVO Art. 35 (VO 2016/679) – Datenschutz-Folgenabschätzung (DPIA): Pflichtfälle, Inhalt, vorherige Konsultation
slug: dsgvo-dpia-art-35
topic: datenschutz
legal_status: in_force
authority_level: A
valid_from: 2018-05-25
valid_to: null
last_reviewed: 2026-07-13
status: in Kraft
license: CC-BY-4.0
url: https://nexvyra.de/fakten/dsgvo-dpia-art-35.md
wikidata_subjects: [Q1172506, Q1172074]
factcheck_status: ok
---

# DSGVO Art. 35 (VO 2016/679) – Datenschutz-Folgenabschätzung (DPIA): Pflichtfälle, Inhalt, vorherige Konsultation

## Kurzantwort

Die **Datenschutz-Folgenabschätzung** (DSFA, engl. *Data Protection Impact Assessment* – **DPIA**) nach **Art. 35 der Verordnung (EU) 2016/679 (DSGVO)** ist eine **vorab** durchzuführende Risikoprüfung. Sie ist immer dann Pflicht, wenn eine Form der Verarbeitung – insbesondere bei Einsatz **neuer Technologien** – aufgrund der Art, des Umfangs, der Umstände und der Zwecke **voraussichtlich ein hohes Risiko** für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 Abs. 1).

Art. 35 Abs. 3 nennt **drei Pflichtfälle**, in denen eine DSFA stets erforderlich ist: (a) **systematische und umfassende Bewertung** persönlicher Aspekte durch automatisierte Verarbeitung einschließlich **Profiling** mit Rechtswirkung oder ähnlich erheblicher Beeinträchtigung, (b) **umfangreiche Verarbeitung besonderer Datenkategorien** (Art. 9) oder von Daten über strafrechtliche Verurteilungen (Art. 10) und (c) **systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche** (z. B. Videoüberwachung). Ergänzend veröffentlichen die Aufsichtsbehörden **Muss-Listen** (Art. 35 Abs. 4) – in Deutschland die Liste der **Datenschutzkonferenz (DSK)**.

Ergibt die DSFA ein **hohes Restrisiko**, das der Verantwortliche nicht durch Maßnahmen eindämmen kann, ist **vor** der Verarbeitung die **Aufsichtsbehörde zu konsultieren** (Art. 36 „vorherige Konsultation"). Verstöße gegen Art. 35 und 36 können mit **Geldbußen von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes** geahndet werden (Art. 83 Abs. 4 lit. a).

## Kernfakten

| Punkt | Wert |
|---|---|
| Rechtsakt | Verordnung (EU) 2016/679 (DSGVO), **Artikel 35** [eur-lex.europa.eu, CELEX:32016R0679] |
| Rechtsnatur | **EU-Verordnung** → **unmittelbar anwendbar** in Deutschland (kein Umsetzungsgesetz nötig) |
| Geltung seit | **25. Mai 2018** [Art. 99 Abs. 2 DSGVO] |
| Auslöser (Generalklausel) | Verarbeitung mit **voraussichtlich hohem Risiko**, v. a. bei **neuen Technologien** [Art. 35 Abs. 1] |
| Pflichtfall a | **systematische, umfassende Bewertung** + automatisierte Verarbeitung/**Profiling** mit Rechtswirkung/erheblicher Beeinträchtigung [Art. 35 Abs. 3 lit. a] |
| Pflichtfall b | **umfangreiche Verarbeitung** besonderer Kategorien (Art. 9) oder Straftatdaten (Art. 10) [Art. 35 Abs. 3 lit. b] |
| Pflichtfall c | **systematische umfangreiche Überwachung** öffentlich zugänglicher Bereiche [Art. 35 Abs. 3 lit. c] |
| Muss-Liste (DE) | **DSK-Liste** nach Art. 35 Abs. 4 (nicht-öffentlicher Bereich) – z. B. Scoring, Videoüberwachung mit Verhaltensanalyse, Beschäftigten-Screening |
| EDPB-Kriterien | **9 Kriterien** (Leitlinie WP 248 rev.01); Faustregel: **≥ 2 Kriterien** erfüllt → DSFA regelmäßig erforderlich |
| Mindestinhalt | (a) Beschreibung, (b) Bewertung Notwendigkeit/Verhältnismäßigkeit, (c) Risiken, (d) Abhilfemaßnahmen [Art. 35 Abs. 7] |
| DSB einzubinden | Rat des **Datenschutzbeauftragten** ist einzuholen [Art. 35 Abs. 2] |
| Betroffene anhören | Standpunkt Betroffener „gegebenenfalls" einholen [Art. 35 Abs. 9] |
| Vorherige Konsultation | bei **hohem Restrisiko** ohne Eindämmung → Aufsichtsbehörde **vor** Verarbeitung konsultieren [Art. 36 Abs. 1] |
| Frist Aufsichtsbehörde | **bis zu 8 Wochen** schriftliche Empfehlung, **+ 6 Wochen** Verlängerung möglich [Art. 36 Abs. 2] |
| Überprüfung | DSFA bei Risikoänderung **erneut** durchführen [Art. 35 Abs. 11] |
| Sanktionen | bis zu **10 Mio. € oder 2 % des weltweiten Jahresumsatzes** (der höhere Wert) [Art. 83 Abs. 4 lit. a] |
| Nachweispflicht | Rechenschaftspflicht: DSFA dokumentieren und vorhalten [Art. 5 Abs. 2, Art. 24] |
| Erfasster Personenkreis | **alle Verantwortlichen**, die Hochrisiko-Verarbeitungen durchführen (Marktortprinzip, Art. 3) |

## Geltungsbereich

Art. 35 richtet sich an den **Verantwortlichen** (Art. 4 Nr. 7) – also die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet. Die Pflicht besteht **vor Beginn** der Verarbeitung und **unabhängig** von der Rechtsgrundlage nach Art. 6. Bei gemeinsam Verantwortlichen (Art. 26) ist die Zuständigkeit für die DSFA in der Vereinbarung zu regeln. Der **Auftragsverarbeiter** (Art. 28) führt keine eigene DSFA durch, muss aber den Verantwortlichen dabei **unterstützen** (Art. 28 Abs. 3 lit. f).

Eine DSFA ist **nicht** erforderlich, wenn eine gleichartige Verarbeitung bereits Gegenstand einer DSFA war (Art. 35 Abs. 1 Satz 2) oder wenn die Verarbeitung auf einer Rechtsgrundlage beruht, für die der Gesetzgeber bereits eine allgemeine Folgenabschätzung vorgenommen hat (Art. 35 Abs. 10). Über das **Marktortprinzip** (Art. 3 Abs. 2) gilt die Pflicht auch für Verantwortliche **außerhalb der EU**, die betroffenen Personen in der EU Waren/Dienstleistungen anbieten oder ihr Verhalten beobachten.

## Detail: Wann ist eine DSFA Pflicht?

Maßgeblich ist eine **zweistufige Prüfung**. Auf der ersten Stufe steht die **Schwellwertanalyse**: Löst die Verarbeitung „voraussichtlich ein hohes Risiko" aus (Art. 35 Abs. 1)? Dafür sind heranzuziehen: die **drei Pflichtfälle** des Art. 35 Abs. 3, die **DSK-Muss-Liste** (Art. 35 Abs. 4) sowie die **neun EDPB-Kriterien** der Leitlinie WP 248 rev.01 (u. a. Bewertung/Scoring, automatisierte Entscheidungen mit Rechtswirkung, systematische Überwachung, sensible Daten, umfangreiche Verarbeitung, Abgleich von Datensätzen, Daten schutzbedürftiger Personen, innovative Technologien, Verhinderung der Rechtsausübung). Sind **zwei oder mehr** dieser Kriterien erfüllt, ist regelmäßig von einer DSFA-Pflicht auszugehen; in Einzelfällen kann bereits **ein** Kriterium genügen.

## Detail: Inhalt und Ablauf (Art. 35 Abs. 7)

Die DSFA muss mindestens enthalten: eine **systematische Beschreibung** der geplanten Verarbeitungsvorgänge und ihrer Zwecke; eine **Bewertung der Notwendigkeit und Verhältnismäßigkeit** in Bezug auf den Zweck; eine **Bewertung der Risiken** für die Rechte und Freiheiten der Betroffenen; sowie die **geplanten Abhilfemaßnahmen** (Garantien, Sicherheitsvorkehrungen und technisch-organisatorische Maßnahmen nach Art. 32). Der **Rat des Datenschutzbeauftragten** ist einzuholen (Art. 35 Abs. 2); der Standpunkt der Betroffenen ist „gegebenenfalls" einzuholen (Art. 35 Abs. 9). Ändert sich das Risiko, ist die DSFA **zu wiederholen** (Art. 35 Abs. 11).

## Detail: Vorherige Konsultation (Art. 36)

Bleibt nach den geplanten Maßnahmen ein **hohes Restrisiko**, muss der Verantwortliche die **Aufsichtsbehörde vor** der Verarbeitung konsultieren (Art. 36 Abs. 1). Die Behörde erteilt binnen **bis zu acht Wochen** schriftliche Empfehlungen; die Frist kann bei Komplexität um **sechs Wochen** verlängert werden (Art. 36 Abs. 2). Erst nach Abschluss der Konsultation darf mit der Verarbeitung begonnen werden. Die Missachtung der Konsultationspflicht ist eigenständig bußgeldbewehrt (Art. 83 Abs. 4 lit. a).

## Häufige Fehler

- **„Eine DSFA ist immer nötig."** Nein – nur bei **voraussichtlich hohem Risiko**. Bei geringem Risiko genügt die Dokumentation im Verzeichnis der Verarbeitungstätigkeiten (Art. 30).
- **„Steht die Verarbeitung nicht auf der DSK-Liste, brauche ich keine DSFA."** Falsch – die Liste ist **nicht abschließend**; ergibt die Schwellwertanalyse ein hohes Risiko, ist eine DSFA trotzdem Pflicht.
- **„Die DSFA ist eine reine Formsache."** Nein – ohne echte Risikobewertung und Maßnahmen droht ein Bußgeld nach **Art. 83 Abs. 4 lit. a** (bis 10 Mio. € / 2 %).
- **„Bei hohem Restrisiko darf ich einfach starten."** Nein – dann ist **zwingend** die vorherige Konsultation nach Art. 36 durchzuführen; Start erst nach Ablauf/Abschluss.
- **„Die DSFA muss an die Aufsichtsbehörde geschickt werden."** Nein – sie ist grundsätzlich **intern** vorzuhalten (Rechenschaftspflicht); Übermittlung nur bei Konsultation nach Art. 36.

## Quellen

- Verordnung (EU) 2016/679 (DSGVO), Volltext (deutsch):
  https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679
- Art. 35 DSGVO – Datenschutz-Folgenabschätzung (dejure.org):
  https://dejure.org/gesetze/DSGVO/35.html
- Art. 36 DSGVO – Vorherige Konsultation (dejure.org):
  https://dejure.org/gesetze/DSGVO/36.html
- EDPB – Leitlinien zur Datenschutz-Folgenabschätzung (WP 248 rev.01):
  https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/data-protection-impact-assessments-high-risk-processing_en
- DSK – Muss-Liste (Kurzpapier), z. B. BayLDA:
  https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf
- BfDI – Datenschutz-Folgenabschätzungen und Listen von Verarbeitungsvorgängen:
  https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technik/Datenschutz-Folgenabschaetzungen.html

## Änderungsverlauf

- 2026-07-13: Erstveröffentlichung. Kernwerte (drei Pflichtfälle Art. 35 Abs. 3, Mindestinhalt Abs. 7, 8-Wochen-Frist + 6 Wochen Verlängerung nach Art. 36 Abs. 2, Bußgeldrahmen Art. 83 Abs. 4 lit. a, EDPB-„≥2-Kriterien"-Faustregel WP 248 rev.01, DSK-Muss-Liste) gegen EUR-Lex/dejure.org, EDPB und DSK/BfDI geprüft. | change_type=initial_publication field="topic_lifecycle" new="published" reviewed_by="Andreas Warkentin"

## Stand

- Stand: 2026-07-13
- Gültig ab: 2018-05-25 (Geltungsbeginn der DSGVO)
- Gültig bis: offen (unbefristet in Kraft)
- Status: in Kraft (EU-Verordnung – unmittelbar anwendbar, kein Umsetzungsgesetz nötig)
- Quellenautorität: A (EUR-Lex CELEX:32016R0679)
- Lizenz: CC BY 4.0
