Der Europäische Datenschutzausschuss (EDSA, engl. EDPB) hat Mitte April 2026 einen weiteren Schritt in Richtung einer europaweit einheitlicheren Datenschutzpraxis gesetzt und eine neue Vorlage für eine Datenschutz-Folgenabschätzung (DSFA, engl. DPIA) sowie eine umfangreiche Anleitung hierzu veröffentlicht. Beide Dokumente stehen derzeit im Rahmen einer öffentlichen Konsultation zur Diskussion. Stellungnahmen können bis zum 9. Juni 2026 beim EDSA eingereicht werden.
Die neue Vorlage des EDSA basiert unteranderem auf die im Zuge des Helsinki-Statements veröffentlichte Ankündigung praxisorientierte und standardisierte Vorlagen bereitzustellen, durch die die Einhaltung der DSGVO vereinfacht wird. Ziel ist demnach, Verantwortlichen, insbesondere kleinen und mittleren Unternehmen, ein praktikables, strukturiertes und zugleich aufsichtsbehördlich akzeptiertes Werkzeug an die Hand zu geben.
Was ist eine DSFA?
Die DSFA ist ein zentrales Instrument des Datenschutzrechts. Sie ist nach Art. 35 DSGVO dann durchzuführen, wenn eine geplante Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Dies ist im Sinne des Art 35 Abs. 3 DSGVO insbesondere bei umfangreichem Profiling, dem Einsatz neuer Technologien oder der großskaligen Verarbeitung sensibler Daten der Fall. Die DSFA umfasst die Beschreibung der Verarbeitung, die Bewertung ihrer Notwendigkeit und Angemessenheit sowie die Festlegung geeigneter Maßnahmen zur Risikominimierung. Im Mittelpunkt steht dabei die Risikoanalyse, bei der potenzielle Auswirkungen anhand von Eintrittswahrscheinlichkeit und Schadensschwere bestimmt werden. Die Bewertung erfolgt in der Regel qualitativ oder semiquantitativ und wird in einer Risikomatrix zusammengeführt. Auf diese Weise können besonders kritische Verarbeitungsvorgänge identifiziert und durch geeignete technische und organisatorische Maßnahmen auf ein akzeptables Restrisiko zu reduzieren.
Neuerungen durch die DSFA-Vorlage
Derzeit, das heißt vor der (endgültigen) Veröffentlichung der EDSA-Vorlage, ist die Praxis der Datenschutz-Folgenabschätzung in der EU durch fragmentierte, nicht harmonisierte Ansätze geprägt: Zwar geben Art. 35 DSGVO und die EDSA-Leitlinien den inhaltlichen Rahmen vor, konkrete Muster bzw. Templates stammen jedoch überwiegend von nationalen Aufsichtsbehörden oder wurden unternehmensintern entwickelt. In Deutschland erfolgte dies etwa auf Basis von DSK Orientierungshilfen, einzelnen Landesmustern oder internationalen Standards wie ISO 29134. Diese Fragmentierung zieht Unterschiede in Struktur, Detailtiefe und methodischem Vorgehen mit sich.
Die EDSA-Vorlage möchte demgegenüber erstmals eine EU-weit einheitliche, prüffähige und standardisierte Struktur für DSFAs etablieren und damit die Vergleichbarkeit sowie die Abstimmung mit Aufsichtsbehörden erleichtern. Im Unterschied zu bisherigen Templates ist sie deutlich stärker operationalisiert und formalisiert: Neben den bekannten Kernelementen (Beschreibung der Verarbeitung, Verhältnismäßigkeitsprüfung, Risikoanalyse und Maßnahmen) enthält sie umfangreiche Vorgaben zur Governance und Dokumentation (z. B. Versionierung, Rollen, Entscheidungsprozesse), eine detailliertere methodische Ausgestaltung der Risikoanalyse (inkl. Trennung verschiedener Risikotypen und Dokumentation der Bewertungsmethodik) sowie einen strukturierten Umsetzungs- und Entscheidungsprozess mit Residualrisikobewertung.
Ist die neue Vorlage verpflichtend?
Die Verwendung der neuen Vorlage stellt keine Pflicht dar. Insbesondere enthält das Template keine Risikobewertungsmethode, sondern standardisiert die Dokumentationsstruktur. Das bedeutet, Verantwortliche können für Risikoanalyse und Risikomanagement (weiterhin) jede geeignete DSFA-Vorgehensweise ihrer Wahl anwenden. Dies stellen der EDSA und die BfDI ausdrücklich klar. Nach Abschluss der Konsultation wollen die Aufsichtsbehörden jedoch die notwendigen Schritte einleiten, um die Vorlage entweder als ihre Standard-Vorlage zu übernehmen, oder sie als gemeinsame Grundlage zu verwenden, mit der länderspezifische Vorlagen abgestimmt sind. Damit dürfte das EDSA‑Template künftig faktisch den Referenzstandard für DSFAs in Europa abbilden.
Das neue Template im Überblick
Die neue DSFA-Vorlage des EDSA ist entlang des typischen Ablaufs einer Datenschutz-Folgenabschätzung aufgebaut und deckt alle wesentlichen Prüfungsschritte strukturiert ab. Sie beginnt mit allgemeinen Angaben zur Verarbeitung und zum organisatorischen Kontext, gefolgt von einer detaillierten Beschreibung der Verarbeitungsvorgänge einschließlich Zwecke, Datenkategorien, Datenflüsse und eingesetzter Technologien. Darauf aufbauend ist nach der Vorlage die Prüfung der Rechtmäßigkeit sowie der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung vorzunehmen. Hieran schließt sich die Risikoanalyse an, für die das Template eine methodische Auswertung unter Bezugnahme auf Eintrittswahrscheinlichkeit und Schadensschwere vorsieht. Ergänzend enthält die Vorlage einen Abschnitt zu bestehenden und geplanten Maßnahmen zur Risikominderung einschließlich deren Umsetzungsstand sowie eine Bewertung des verbleibenden Restrisikos. Abschließend sind die Einbindung des Datenschutzbeauftragten und weiterer Beteiligter sowie eine formalisierte Abschluss- und Entscheidungsdokumentation angedacht. Formal ist die Vorlage als strukturierter Fragen- und Tabellenkatalog mit vorgegebenen Feldern zur einheitlichen Dokumentation ausgestaltet.
Fazit: DSFA braucht Expertise
Mit der neuen DSFA-Vorlage konkretisiert der EDSA die bestehenden Anforderungen und fördert eine einheitlichere und nachvollziehbarere Durchführung von Datenschutz-Folgenabschätzungen. Das Template macht deutlicher, welche Inhalte und Strukturen Aufsichtsbehörden erwarten und bietet Verantwortlichen eine Orientierung für die systematische Umsetzung dieser komplexen Pflicht.
Damit bietet die Einführung der neuen EDPB-Vorlage Anlass, bestehende DSFA-Prozesse und Templates zu überprüfen und gegebenenfalls anzupassen. KINAST unterstützt dabei, die Datenschutz-Folgenabschätzungen an den von dem EDSA kommunizierten Struktur auszurichten und eine rechtssichere, zugleich praktikable Umsetzung im Unternehmen zu etablieren. Dabei begleiten wir sowohl bei der konkreten Durchführung von DSFAs als auch bei der Entwicklung interner Standards und Prozesse.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
