Preise
Login
Demo vereinbaren

Datenschutz-Folgenabschätzung mit Excel: Eine Schritt-für-Schritt-Anleitung

Eine Datenschutz-Folgenabschätzung (DSFA) lässt sich mit Excel strukturiert dokumentieren, sofern man weiß, welche Inhalte in welcher Reihenfolge erfasst werden müssen. Diese Anleitung richtet sich an Datenschutzbeauftragte und Compliance-Verantwortliche, die eine DSFA nach Art. 35 DSGVO erstmals oder wiederholt dokumentieren. Sie zeigt die vier Pflichtschritte, erklärt die Kriterien für die Risikobewertung und benennt klar, wo Excel an seine Grenzen stößt.

DSFA-Management-Methodik mit Excel zur effizienten Durchführung von Datenschutz-Folgenabschätzungen.
    • Eine DSFA ist nach Art. 35 Abs. 1 DSGVO bei Verarbeitungstätigkeiten mit voraussichtlich hohem Risiko verpflichtend.
    • Die vier Dokumentationsschritte: Verhältnismäßigkeit, Risikobewertung, Schutzmaßnahmen, datenschutzrechtliche Bewertung.
    • Excel eignet sich als Einstieg, stößt aber bei mehreren parallelen DSFAs, Versionskontrolle und Fachbereichseinbindung strukturell an Grenzen.
    • Wer regelmäßig mehrere Verarbeitungstätigkeiten prüft, profitiert von einer Datenschutzsoftware mit automatisierter Schwellwertanalyse und direkter VVT-Verknüpfung.

Was ist eine Datenschutz-Folgenabschätzung und wann ist sie Pflicht?

Eine Datenschutz-Folgenabschätzung ist ein Risikoprüfverfahren nach Art. 35 DSGVO, das Unternehmen durchführen müssen, bevor sie Verarbeitungstätigkeiten mit voraussichtlich hohem Risiko für Rechte und Freiheiten natürlicher Personen aufnehmen. Sie ist kein reines Compliance-Dokument, sondern ein strukturiertes Instrument zur Risikoidentifikation und Maßnahmenableitung, das idealerweise bereits in die Entwicklung neuer Verarbeitungsprozesse einbezogen wird.

Wann muss eine Datenschutz-Folgenabschätzung durchgeführt werden?

Die Pflicht zur DSFA ergibt sich aus Art. 35 Abs. 1 DSGVO und tritt in zwei klar abgegrenzten Fällen ein:

Fall 1: DSFA-Muss-Liste. Steht die geplante Verarbeitungstätigkeit auf der Positivliste der zuständigen Aufsichtsbehörde, ist eine DSFA unmittelbar erforderlich, ohne weitere Prüfung. Die konsolidierte DSFA-Muss-Liste mit allen Vorgaben der Bundesländer und der DSK steht als Download zur Verfügung.

Fall 2: Schwellwertanalyse. Steht die Tätigkeit nicht auf der Liste, wird einee Schwellwertanalyse durchgeführt: Werden von neun definierten Kriterien mindestens zwei mit „Ja" beantwortet, ist eine DSFA durchzuführen. Wie diese Analyse methodisch korrekt umgesetzt wird, zeigt der Leitfaden zur Schwellwertanalyse.

Warum Excel für die DSFA-Dokumentation genutzt wird

Die DSGVO schreibt kein Format für die DSFA-Dokumentation vor. Excel ist daher eine naheliegendes Mittel der Wahl: In den meisten Unternehmen vorhanden, ohne Einarbeitungszeit nutzbar und flexibel anpassbar.

Ob Excel allerdings dauerhaft trägt, hängt von der Anzahl der zu dokumentierenden Verarbeitungstätigkeiten und der Tiefe der Zusammenarbeit mit Fachbereichen ab. Für eine einzelne, klar abgegrenzte Verarbeitung ist es praktikabel. Für ein unternehmensweites DSFA-Management entstehen schnell Konsistenz- und Versionierungsprobleme.

Praxis-Tipp zur Tabellenstruktur: Eine DSFA in Excel bildet den gesamten Prüfprozess dann gut ab, wenn Zweck, Risiken, Maßnahmen und Abschlussbewertung in einer durchgängigen Struktur verknüpft sind, nicht als lose Sammlung einzelner Tabellenblätter. Die folgende Anleitung orientiert sich an dieser Logik.

Datenschutz-Folgenabschätzung mit Excel erstellen: Die vier Schritte

  1. Schritt 1: Verhältnismäßigkeit der Verarbeitungstätigkeit prüfen

    Der erste Schritt prüft, ob die Verarbeitungstätigkeit notwendig und verhältnismäßig ist. Art. 35 Abs. 7 lit. b DSGVO verlangt diese Prüfung ausdrücklich. In der Exceltabelle wird sie als strukturierter Abschnitt mit vier Feldern in untereinander stehenden Zeilen angelegt, Beschriftung in Spalte A, Inhalt in Spalte B:

    • Legitimer Zweck: Dient die Verarbeitung einem klar definierten, rechtmäßigen Zweck?
    • Geeignetheit: Ist die Verarbeitung geeignet, diesen Zweck zu erreichen oder zu unterstützen?
    • Erforderlichkeit: Gibt es mildere, aber ebenso wirksame Alternativen?
    • Angemessenheit: Ist die Verarbeitung bei einer Interessenabwägung aller Beteiligten verhältnismäßig?

    Dieser Abschnitt bildet die Grundlage für alle nachfolgenden Schritte. Ist die Verarbeitung bereits hier nicht zu rechtfertigen, erübrigt sich die weitere Dokumentation.

  2. Schritt 2: Risiken identifizieren und bewerten

    Schritt zwei erfasst die konkreten Risiken der Verarbeitungstätigkeit für Rechte und Freiheiten betroffener Personen. Gemäß Erwägungsgrund 75 DSGVO umfasst „Schaden" physisch (also körperlich), materiell (wirtschaftlich) oder immateriell (sozial, persönlich oder rechtlich) Beeinträchtigungen gleichermaßen.

    Die Risiken dokumentieren Sie in Ihrer Excel-Tabelle so, dass sie nach den Gewährleistungszielen gegliedert ist.

    Spaltenstruktur für die Risikoliste in Excel:

    Spalte Inhalt
    A Risikobeschreibung (Ereignis, Quelle, möglicher Schaden)
    B Betrachtetes Gewährleistungsziel nach SDM
    C Eintrittswahrscheinlichkeit (Grad 1 bis 4)
    D Schadenshöhe (Grad 1 bis 4)
    E Risikoklasse (gering / mittel / hoch)

    Gut zu wissen: In der Praxis hat sich bei der Einteilung der Schweregrade in puncto Eintrittswahrscheinlichkeit eine Einteilung von Grad 1 bis 4 etabliert.

    • Grad 1 (geringfügig): Schaden kann nach derzeitigem Wissensstand nicht eintreten.
    • Grad 2 (überschaubar): Eintritt ist erfahrungsgemäß möglich, aber unwahrscheinlich.
    • Grad 3 (substanziell): Möglicher Schaden, Eintritt aber nicht sehr wahrscheinlich.
    • Grad 4 (hoch): Schaden ist erfahrungsgemäß möglich und tritt sehr wahrscheinlich ein.

    Identifizierte Risiken müssen durch konkrete TOM mitigiert werden. Ziel ist es, die Eintrittswahrscheinlichkeit oder die Schadenshöhe so zu reduzieren, dass kein hohes Risiko verbleibt. Verfahren, bei denen das nicht gelingt, erfordern vor Aufnahme der Verarbeitung eine Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO.

    Für eine belastbare Einschätzung sollten Fachbereichsverantwortliche einbezogen werden. Die Risikobewertung orientiert sich an den sieben Gewährleistungszielen des Standard-Datenschutzmodells (SDM). Eine Übersicht typischer Risiken nach Verarbeitungskategorie findet sich in unserem Artikel zu Datenschutz-Risiken.

    Fokussieren Sie besonders auf diese Punkte:

    • Wie viele verschiedene Risikoquellen Schäden verursachen könnten;
    • Welche Erfahrungen Ihr Unternehmen diesbezüglich schon gemacht hat;
    • Wie wahrscheinlich Folgeschäden sind;
    • Ob Statistiken zur Wahrscheinlichkeit von Schadenseintritten existieren;
    • Ob es bekannte Sicherheitslücken in den IT-Systemen gibt.

  3. Schritt 3: Schutzmaßnahmen für Betroffenenrechte dokumentieren

    Schritt drei dokumentiert, durch welche TOM die identifizierten Risiken mitigiert werden. Grundlage ist Art. 35 Abs. 7 lit. d DSGVO. Relevant sind dabei zwei Ebenen: allgemeine TOM aus dem VVT, die Wahrscheinlichkeit oder Schadenshöhe reduzieren, sowie die Wahrung der Betroffenenrechte nach Art. 13 bis 21 DSGVO.

    Die DSFA ist nur dann belastbar, wenn Informationspflichten und Betroffenenrechte sauber mitgedacht werden. Für jede Verarbeitungstätigkeit muss daher individuell geprüft werden, welche Rechte anwendbar sind.

    Tragen Sie in Ihrer Tabelle für jedes Recht zunächst ein, ob es relevant ist, und ergänzen Sie in der Folgespalte die konkrete Maßnahme:

    • Informationspflicht (Art. 13/14 DSGVO)
    • Auskunftsrecht (Art. 15 DSGVO)
    • Recht auf Berichtigung (Art. 16 DSGVO)
    • Recht auf Löschung (Art. 17 DSGVO)
    • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
    • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
    • Widerspruchsrecht (Art. 21 DSGVO)
    • Widerrufsrecht bei Einwilligung (Art. 7 Abs. 3 DSGVO)

    Verweisen Sie in der Tabelle auf die konkreten Dokumente, in denen diese Rechte kommuniziert werden, etwa interne Datenschutzhinweise oder die Datenschutzerklärung.

  4. Schritt 4: Abschluss – die datenschutzrechtliche Bewertung

    Der vierte Schritt ist die datenschutzrechtliche Bewertung durch den oder die Datenschutzbeauftragte. Sie stellt sicher, dass alle Dokumentationsanforderungen nach Art. 35 DSGVO erfüllt sind und keine verbleibenden hohen Risiken unkommentiert bleiben.

    Die Bewertung prüft:

    • Vollständigkeit der Dokumentation: Sind alle betroffenen Personengruppen, Datenarten und Verarbeitungszwecke erfasst?
    • Rechtmäßigkeit: Liegt eine Rechtsgrundlage nach Art. 6 DSGVO vor, bei besonderen Kategorien auch nach Art. 9 DSGVO?
    • Wirksamkeit der Schutzmaßnahmen: Sind die dokumentierten TOM geeignet, Risiken auf ein akzeptables Maß zu reduzieren?
    • Stand der Technik: Entsprechen die Maßnahmen den aktuellen technischen Möglichkeiten?

    Ergibt die Bewertung, dass ein hohes Risiko trotz aller Maßnahmen verbleibt, muss nach Art. 36 DSGVO eine vorherige Konsultation der zuständigen Aufsichtsbehörde erfolgen.

DSFA mit Excel: Vorteile und Grenzen im Überblick

Excel ist als Einstiegswerkzeug für die DSFA-Dokumentation etabliert, stößt aber mit zunehmender Verarbeitungstiefe und verteilter Verantwortung an strukturelle Grenzen, die sich nicht durch bessere Tabellenorganisation lösen lassen.

Kriterium

Excel

Spezialisierte Software

Einstiegshürde

Keine

Einarbeitung nötig

Kosten

Gering (oft vorhanden)

Lizenzkosten

Verknüpfung mit VVT

Manuell, fehleranfällig

Automatisiert

Mehrere DSFAs verwalten

Unübersichtlich

Zentral, filterbar

Versionskontrolle

Nicht integriert

Revisionssicher

Abteilungseinbindung

Aufwendig

Kollaborative Workflows

Automatische Schwellwertanalyse

Nicht möglich

Integriert

Excel kann für eine einzelne DSFA ein praktikabler Startpunkt sein. Sobald mehrere Verarbeitungstätigkeiten, Abstimmungen mit Fachbereichen und wiederkehrende Aktualisierungen zusammenkommen, wird die Pflege aufwendig und die Dokumentation schnell unübersichtlich. An genau dieser Stelle zeigt sich der strukturelle Vorteil einer Datenschutzmanagement-Plattform.

Die Alternative zur DSFA mit Excel

Eine spezialisierte Datenschutzmanagement-Plattform löst die strukturellen Grenzen von Excel, weil sie DSFA, VVT, TOM-Dokumentation und Dienstleistermanagement in einem gemeinsamen Workflow verbindet. Was in Excel als getrennte Tabellenblätter nebeneinander liegt, ist in einer Plattform miteinander verknüpft: Die Schwellwertanalyse löst automatisch die DSFA aus, die DSFA greift auf die im VVT hinterlegten Verarbeitungstätigkeiten zurück, und die abgeschlossene Dokumentation ist revisionssicher nachvollziehbar.

caralegal bildet genau diesen Prozess digital ab. Datenschutzteams dokumentieren die DSFA in einem geführten Workflow, Fachbereiche werden über klare Aufgaben eingebunden, ohne Datenschutzkenntnisse vorauszusetzen, und alle Verfahren bleiben im Prüfungsfall lückenlos nachweisbar. Das reduziert manuellen Pflegeaufwand und verhindert, dass Verarbeitungstätigkeiten im Nachhinein erneut bewertet werden müssen.

Wer sehen möchte, wie das in der Praxis aussieht: In einer kostenlosen Demo zeigt das caralegal-Team, wie DSFA, VVT und Risikomanagement in einem System zusammenspielen.

Zum Newsletter anmelden

  • Nur relevante News
  • Monatlich
  • 2.000+ Abonnent:innen lesen ihn bereits
Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.
Zum Newsletter
anmelden

FAQ – Häufig gestellte Fragen

  • Eine DSFA ist nach Art. 35 Abs. 1 DSGVO verpflichtend, wenn eine Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen mit sich bringt. Die Pflicht ergibt sich entweder aus der DSFA-Muss-Liste oder aus der Schwellwertanalyse mit mindestens zwei positiven Kriterien.

  • Die DSGVO schreibt kein Format vor. Excel, Word-Dokumente und spezialisierte Software sind gleichermaßen zulässig, solange alle Pflichtinhalte nach Art. 35 Abs. 7 DSGVO dokumentiert sind.

  • Die Verantwortung liegt beim Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO. Der oder die Datenschutzbeauftragte muss nach Art. 35 Abs. 2 DSGVO einbezogen werden, ist aber nicht allein für die Durchführung zuständig.

  • Eine spezialisierte Datenschutzmanagement-Software verbindet DSFA, VVT, Betroffenenanfragen und Datenschutzvorfälle in einem System. Das reduziert manuelle Doppelarbeit und stellt sicher, dass alle Verfahren konsistent dokumentiert und im Prüfungsfall nachweisbar sind.

  • Ja. Eine DSFA ist zu überprüfen, wenn sich die Umstände der Verarbeitungstätigkeit wesentlich ändern, etwa durch neue Systeme, Datenarten oder eine veränderte Risikolage.

  • Das Unterlassen einer erforderlichen DSFA kann nach Art. 83 Abs. 4 DSGVO mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden.

Artikel verfasst von

Dennis Kurpierz, Mitgründer und COO von caralegal, Portrait im Büro, an einer Wand lehnend.
Dennis Kurpierz Co-Founder & COO

Dennis Kurpierz ist Mitgründer und Chief Operating Officer von caralegal und kennt durch seine langjährige Erfahrung als Senior Consultant und Lead Project Manager bei der ISiCO Datenschutz GmbH die Kundenbedürfnisse sowie Pain Points und Herausforderungen im Datenschutzmanagement. Als Product Owner setzt er dieses Fachwissen in der Produktentwicklung von caralegal um.

Dafür fehlt mir die Zeit caralegal

In 2 Tagen startklar
64% Zeitersparnis
20 Jahre Datenschutzerfahrung