fachanwalt-it-recht-datenschutz-folgenabschaetzung

---
name: fachanwalt-it-recht-datenschutz-folgenabschaetzung
description: "Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO durchfuehren. Pflicht bei voraussichtlich hohem Risiko fuer Rechte und Freiheiten natuerlicher Personen insbesondere bei neuen Technologien systematischer Profilbildung umfangreicher Verarbeitung besonderer Kategorien Art. 9 DSGVO oder oeffentlichen Bereichen. Schwarze Liste der Aufsichtsbehoerden DSK beachten. Konsultation der Aufsichtsbehoerde Art. 36 DSGVO bei Restrisiko. Dokumentationspflicht Art. 30 DSGVO."
---

# Datenschutz-Folgenabschätzung

## Kaltstart-Rückfragen

1. Welche konkrete Verarbeitungstätigkeit wird geplant — Zweck, Datenkategorien, Empfänger, Drittlandsbezug?
2. Werden besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO oder Daten zu strafrechtlichen Verurteilungen Art. 10 DSGVO verarbeitet?
3. Erfolgt automatisierte Entscheidung, Profiling oder systematische Überwachung öffentlich zugänglicher Bereiche?
4. Liegt die Verarbeitung auf der Muss-Liste der Datenschutzkonferenz oder der zuständigen Landesaufsicht?
5. Wer ist Verantwortlicher und wer Auftragsverarbeiter — liegt AVV nach Art. 28 DSGVO vor?

## Anspruchsgrundlagen und Pflichten

- DSFA-Pflicht bei voraussichtlich hohem Risiko Art. 35 Abs. 1 DSGVO; Beispielfälle Art. 35 Abs. 3 DSGVO.
- Vorherige Konsultation der Aufsichtsbehörde Art. 36 DSGVO bei verbleibendem hohem Risiko trotz Schutzmaßnahmen.
- Einbeziehung des Datenschutzbeauftragten Art. 35 Abs. 2 DSGVO.
- Verzeichnis von Verarbeitungstätigkeiten Art. 30 DSGVO.
- Rechtmäßigkeit der Verarbeitung Art. 6 DSGVO bzw. Art. 9 DSGVO.
- EuGH zu Schadenersatz bei DSGVO-Verstoß: EuGH C-300/21, Urt. v. 04.05.2023, Rn. 32 ff. (immaterieller Schaden bedarf konkreten Nachweises).
- BGH zu DSGVO-Auskunftsanspruch: BGH VI ZR 1213/22, Urt. v. 27.09.2023, Rn. 24 ff.

## Beweislast und Frist

- Verantwortlicher trägt die Rechenschaftspflicht Art. 5 Abs. 2 DSGVO und muss DSFA dokumentieren.
- Konsultation Art. 36 DSGVO: Aufsichtsbehörde antwortet innerhalb von acht Wochen, verlängerbar um sechs Wochen.
- Sanktionen bei Pflichtverstoß bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes Art. 83 Abs. 4 DSGVO.

## Prüfschema DSFA

```
1. Schwellwertanalyse — DSFA-Pflicht ja/nein
2. Systematische Beschreibung der Verarbeitung
3. Notwendigkeit und Verhaeltnismaessigkeit Art. 35 Abs. 7 lit. b DSGVO
4. Risikobewertung fuer Betroffene (Eintrittswahrscheinlichkeit x Schwere)
5. Geplante Abhilfemassnahmen TOM Art. 32 DSGVO
6. Restrisiko hoch — Konsultation Art. 36 DSGVO
7. Dokumentation in Verarbeitungsverzeichnis Art. 30 DSGVO
8. Periodische Ueberpruefung
```

Standardliteratur: Kühling/Buchner DSGVO Art. 35; Gola DSGVO; DSK Kurzpapier Nr. 5.

## Schreibvorlage Konsultationsanfrage Art. 36 DSGVO

```
An die Aufsichtsbehoerde fuer den Datenschutz [Land]

Konsultation nach Art. 36 DSGVO — Az. (intern) [...]

Sehr geehrte Damen und Herren,

als Verantwortlicher zeigen wir gemaess Art. 36 Abs. 1 DSGVO an dass die
geplante Verarbeitungstaetigkeit [Bezeichnung] trotz der getroffenen
Abhilfemassnahmen ein verbleibendes hohes Risiko fuer die Rechte und
Freiheiten natuerlicher Personen aufweist.

Beigefuegt sind nach Art. 36 Abs. 3 DSGVO:
- Verantwortlichkeiten (Verantwortlicher Auftragsverarbeiter DSB)
- Zwecke und Mittel der Verarbeitung
- Schutzmassnahmen Art. 32 DSGVO
- Ergebnisse der DSFA nach Art. 35 Abs. 7 DSGVO
- Verzeichnis nach Art. 30 DSGVO

Wir bitten um schriftliche Empfehlung innerhalb der Frist des Art. 36
Abs. 2 DSGVO.

Mit freundlichen Gruessen
```

## Übergabe

- Bei Konsultationspflicht: Versand an Aufsicht und Eintrag der Achtwochen-Frist.
- DSFA in Datenschutzakte ablegen und an DSB übergeben.
- Bei Verstoß-Erkennung Meldung Art. 33 DSGVO innerhalb 72 Stunden prüfen.

## Aktuelle Rechtsprechung (v14.2)

- EuGH, Urt. v. 14.12.2023 — C-340/21 (Natsionalna agentsia), NJW 2024, 685 Rn. 55: DSFA-Pflicht nach Art. 35 DSGVO und Risikobewertung sind eigenständige Pflichten; fehlende DSFA begründet Verstoß nach Art. 83 Abs. 4 DSGVO unabhängig vom Schadenseintritt.
- VG Wiesbaden, Beschl. v. 01.12.2021 — 6 L 738/21.WI, ZD 2022, 178 Rn. 22: DSFA-Pflicht bei KI-gestützten Entscheidungssystemen; neue Technologien nach Art. 35 Abs. 1 DSGVO iVm EDSA-Kriterien lösen regelmäßig DSFA-Pflicht aus — auch wenn kein Hochrisiko-KI-System nach KI-VO vorliegt.
- BGH, Urt. v. 06.07.2021 — VI ZR 40/20, NJW 2021, 2726 Rn. 28: Mangelhafte Risikoabschätzung bei Verarbeitungen mit hohem Risiko erhöht Haftungsrisiko nach Art. 82 DSGVO erheblich.
- EuGH, Urt. v. 04.05.2023 — C-300/21 (UI/Österreichische Post), NJW 2023, 1985 Rn. 44: Verstoß gegen Art. 35 DSGVO (fehlende DSFA) begründet keinen automatischen Schadensersatz, ist aber eigenständiger Bußgeldtatbestand Art. 83 Abs. 4 DSGVO.

## Triage zu Beginn

1. Welche EDSA-Kriterien sind erfüllt? (Mindestens 2 für DSFA-Pflicht)
2. Steht die Verarbeitung auf der BfDI- oder DSK-Blacklist?
3. Liegt ein KI-System vor? (FRIA nach Art. 27 KI-VO parallel zur DSGVO-DSFA)
4. Ergebnis: DSFA PFLICHT / DSFA EMPFOHLEN / KEINE DSFA?

## Output-Template — DSFA-Kurzprotokoll

**Adressat:** DSB / Aufsichtsbehörde — Tonfall: sachlich-juristisch

```
DSFA-Kurzprotokoll [DATUM]
Verarbeitungsvorgang: [BEZEICHNUNG]
Verantwortlicher: [NAME]
DSFA-Pflicht: JA (EDSA-Kriterien: [LISTE]) / NEIN

Risikobewertung (Vor Maßnahmen):
- Wahrscheinlichkeit: hoch / mittel / gering
- Schwere: hoch / mittel / gering

Maßnahmen: [LISTE]

Restrisiko: AKZEPTABEL / VORAB-KONSULTATION Art. 36 DSGVO erforderlich

Genehmigt von: [FUNKTION, NAME]
```