DSGVO: Vorlage für die Datenschutz-Folgenabschätzung

Aufsichtsbehörden entwickeln Vorlagen für Datenschutz-Dokumente

Doch wann ist eine solche DSFA notwendig? Um diese Frage zu klären, hat die Datenschutzkonferenz (DSK) schon vor vielen Jahren eine Liste erstellt, die Datenverarbeitungen aufführt, bei denen die Datenschutz-Folgenabschätzung ein Muss ist. Man spricht deshalb auch von der „Muss-Liste“ (PDF) zur DSFA.

Diese Liste ist zweifellos eine wichtige Unterstützung für Unternehmen, denn sie nennt auch Beispiele und Einsatzfelder für verpflichtende Datenschutz-Folgeabschätzungen. Aber alleine die Muss-Liste reicht nicht. Gerade kleine und mittlere Unternehmen brauchen mehr Hilfen, wenn sie die Datenschutz-Grundverordnung umsetzen und dies über eine geeignete Dokumentation nachweisen können müssen.

Das ist den Aufsichtsbehörden für den Datenschutz aber durchaus bewusst. So gibt es das sogenannte Helsinki-Statement (PDF), in dem sich die europäischen Datenschutz-Aufsichtsbehörden darauf verständigt haben, insbesondere für kleine und mittlere Organisationen praktische und verständliche Werkzeuge zu entwickeln, um den risikobasierten Ansatz der Datenschutz-Grundverordnung (DSGVO) umzusetzen.

Die neuen Tools zur Vereinfachung der DSGVO-Anwendung sollen eine Reihe von sofort einsatzbereiten Vorlagen für Organisationen umfassen, die auf den bereits auf nationaler Ebene geleisteten Arbeiten aufbauen und diese harmonisieren, darunter eine gemeinsame Vorlage für Meldungen von Datenschutzverletzungen an Datenschutzbehörden, um die Meldung von Datenschutzverletzungen zu vereinfachen und die Belastung für Organisationen zu verringern, und um eine mögliche europaweite Meldelösung zu unterstützen, sowie direkte und leicht anwendbare Ressourcen, darunter Checklisten, Anleitungen und FAQs, die Organisationen helfen sollen, ihre wichtigsten Pflichten zu verstehen.

Zu den genannten Ressourcen zählt eine neue Vorlage für die Durchführung und Umsetzung einer Datenschutz-Folgenabschätzung, international auch DPIA (Data Protection Impact Assessment) genannt.

Neue Vorlage soll bei Datenschutz-Folgenabschätzung helfen

Der Europäische Datenschutzausschuss (EDSA) hat eine Vorlage und ein dazu gehörendes Anleitungsdokument für Datenschutz-Folgenabschätzungen (DSFA) entwickelt. Bis zum 9. Juni 2026 können Interessierte den Entwurf im Rahmen einer öffentlichen Konsultation kommentieren.

Dabei ist die Nutzung der Vorlage auch nach Abschluss der Konsultation keine Pflicht, sondern ein Angebot. Verantwortliche können für Risikoanalyse und Risikomanagement die DSFA-Vorgehensweise ihrer Wahl anwenden, so die Bundesdatenschutzbeauftragte. Die Verwendung der EDSA-Vorlage bietet aber den Vorteil vordefinierter Felder, die vollständige und strukturierte Antworten ermöglichen. Dies trägt dazu bei, dass alle notwendigen Informationen präzise erfasst werden, minimiert das Fehlerrisiko und spart Zeit, erklärt die Aufsichtsbehörde. Das Anleitungsdokument (PDF) unterstützt Organisationen zusätzlich Schritt für Schritt beim Ausfüllen der Vorlage.

Im November 2025 hatte der Europäische Datenschutzausschuss (EDSA) die Arbeiten an einer Vorlage für Datenschutz-Folgenabschätzungen bereits erwähnt, als der EDSA eine Umfrage startete, welche Vorlagen von den Unternehmen gewünscht werden. Die schnelle Umsetzung dieser Vorlage zur DSFA unterstreicht, wie klar es den Aufsichtsbehörden ist, dass bei dieser Art von Risikoanalyse im Datenschutz dringend Unterstützung für die Unternehmen notwendig ist.

Nun sollten die Unternehmen diese Vorlage auch für sich prüfen und nach der Konsultation auch für sich nutzen. Dies erleichtert ohne Zweifel die Durchführung der DSFA und reduziert den gefürchteten Aufwand im Datenschutz bei Dokumentationen.