# DSFA-Leitfaden – nach Ländern Diese Dokumentationsseite bietet offizielle Ressourcen und Referenzen der Datenschutzbehörden (Aufsichtsbehörden), die es ermöglichen festzustellen, ob eine **Datenschutz-Folgenabschätzung (DSFA)** erforderlich ist. Die Liste ist nach Ländern geordnet. ## Europa ### Frankreich **Aufsichtsbehörde:** Commission Nationale de l'Informatique et des Libertés (CNIL) * [Liste der Verarbeitungen, die eine DSFA erfordern](https://www.cnil.fr/fr/listes-des-traitements-pour-lesquels-une-aipd-est-requise-ou-non) * [Liste der ausgenommenen Verarbeitungen (PDF)](https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-non-requise.pdf) * [DSFA-Rahmen und -Leitfaden – CNIL](https://www.cnil.fr/fr/guides-aipd) ### Vereinigtes Königreich (UK) **Aufsichtsbehörde:** Information Commissioner's Office (ICO)\ **Wichtigste Ressourcen:** * **Wann ist eine DSFA erforderlich?**\ [DSFA-Leitfaden – ICO](https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/data-protection-impact-assessments-dpias/)\ Beschreibt die Kriterien für Verarbeitungen mit hohem Risiko, mit Beispielen (z. B.: Profiling, Tracking, großangelegte Verarbeitung sensibler Daten). * **Beispiele für Verarbeitungen mit wahrscheinlich hohem Risiko:**\ [Beispiele für Verarbeitungen mit hohem Risiko – ICO](https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/data-protection-impact-assessments-dpias/examples-of-processing-likely-to-result-in-high-risk/) ### Irland **Aufsichtsbehörde:** Data Protection Commission (DPC)\ **Wichtigste Ressourcen:** * **Liste der Verarbeitungsvorgänge, die eine DSFA erfordern:**\ [DSFA-Blacklist – DPC (PDF)](https://www.dataprotection.ie/sites/default/files/uploads/2018-11/Data-Protection-Impact-Assessment.pdf)\ Umfasst Verarbeitungen mit systematischer Überwachung, sensiblen Daten oder großangelegtem Profiling. * **Allgemeiner DSFA-Leitfaden:**\ [DSFA-Leitfaden – DPC](https://www.dataprotection.ie/en/dpc-guidance/guide-data-protection-impact-assessments) ### Deutschland **Aufsichtsbehörde:** Jedes Bundesland verfügt über seine eigene Datenschutzbehörde (z. B.: BfDI auf Bundesebene) * [DSFA-Kriterien auf Bundesebene – BfDI](https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technik/Datenschutz-Folgenabschaetzungen.html) * [Liste der Verarbeitungen gemäß Artikel 35(4) DSGVO für Bundesbehörden](https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Muster/Liste_VerarbeitungsvorgaengeArt35.pdf?__blob=publicationFile\&v=7) * [Liste der Verarbeitungen, die eine DSFA erfordern (DSK)](https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Muster/Liste_VerarbeitungsvorgaengeDSK.pdf?__blob=publicationFile\&v=7) * Nach Bundesland * [Liste der Verarbeitungstätigkeiten, die eine DSFA erfordern (Datenschutzbehörde Baden-Württemberg)](https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/05/Liste-von-Verarbeitungsvorg%C3%A4ngen-nach-Art.-35-Abs.-4-DS-GVO-LfDI-BW.pdf) (auf Deutsch) [Datenschutz-Folgenabschätzung – Bayerische Blacklist (auf Deutsch)](https://www.datenschutz-bayern.de/nav/1801.html) > 🛑 Die DSFA-Kriterien können aufgrund des deutschen Föderalismus je nach **Bundesland** leicht variieren. ### Spanien **Aufsichtsbehörde:** Agencia Española de Protección de Datos (AEPD) * [DSFA-Leitfaden – AEPD (auf Spanisch)](https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/analisis-de-riesgos-evaluacion-de-impacto-la-aepd-presenta) * [Liste der Verarbeitungsarten, die eine DSFA erfordern (PDF)](https://www.aepd.es/documento/listas-dpia-es-35-4.pdf) * [Liste der Verarbeitungen, die keine DSFA erfordern – AEPD](https://www.aepd.es/documento/listadpia-35-5-ingles.pdf) * [DSFA-Berichtsvorlage – AEPD](https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-un-modelo-de-informe-para-ayudar-las-empresas) ### Niederlande **Aufsichtsbehörde:** Autoriteit Persoonsgegevens (AP) * [DSFA-Leitfaden – AP](https://www.autoriteitpersoonsgegevens.nl/en/themes/basic-gdpr/gdpr-in-practice/data-protection-impact-assessment-dpia) * [Liste der Verarbeitungsarten, die eine DSFA erfordern (auf Niederländisch)](https://wetten.overheid.nl/BWBR0042812/2019-11-27) ### Belgien **Aufsichtsbehörde:** Autorité de protection des données (APD) * [DSFA-Leitfaden – APD (auf Französisch)](https://www.autoriteprotectiondonnees.be/professionnel/rgpd-/analyse-d-impact-relative-a-la-protection-des-donnees) * [Liste der Verarbeitungskategorien, die eine DSFA erfordern (PDF – FR)](https://www.autoriteprotectiondonnees.be/publications/decision-n-01-2019-du-16-janvier-2019.pdf) * [DSFA-Leitfaden – APD (auf Niederländisch)](https://www.gegevensbeschermingsautoriteit.be/professioneel/avg/effectbeoordeling-geb) * [Liste der Verarbeitungen, die eine DSFA erfordern (PDF – NL)](https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-nr.-01-2019-van-16-januari-2019.pdf) * [Liste der GEB/DPIA VTC-Kriterien (auf Niederländisch)](https://www.vlaanderen.be/vlaamse-toezichtcommissie/machtigingen-en-adviezen-vlaamse-toezichtcommissie/lijst-vtc-criteria-geb-dpia) ### Italien **Aufsichtsbehörde:** Garante per la Protezione dei Dati Personali (GPDP) * [DSFA-Seite – GPDP](https://www.garanteprivacy.it/valutazione-d-impatto-della-protezione-dei-dati-dpia-) * [Liste der Verarbeitungen, die eine DSFA erfordern](https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9058979) ### Schweden **Aufsichtsbehörde:** Integritetsskyddsmyndigheten (IMY) * [Wann eine DSFA durchzuführen ist – IMY](https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/konsekvensbedomning/nar-ska-en-konsekvensbedomning-genomforas/) * [Praktischer Leitfaden – DSFA (PDF – Schwedisch)](https://www.imy.se/globalassets/dokument/vagledningar/en-praktisk-guide.pdf) * [Liste der Verarbeitungsarten, die eine DSFA erfordern (PDF – Schwedisch)](https://www.imy.se/globalassets/dokument/ovrigt/forteckning---konsekvensbedomningar.pdf) ### Dänemark **Aufsichtsbehörde:** Datatilsynet * [DSFA-Leitfaden – Datatilsynet](https://www.datatilsynet.dk/regler-og-vejledning/behandlingssikkerhed/konsekvensanalyse) * [DSFA-Leitfaden (PDF – Dänisch)](https://www.datatilsynet.dk/Media/2/6/Konsekvensanalyse.pdf) * [Liste der Verarbeitungen, die eine DSFA erfordern (PDF – Dänisch)](https://www.datatilsynet.dk/Media/4/1/Datatilsynets%20liste%20over%20behandlinger%20der%20altid%20er%20underlagt%20kravet%20om%20en%20konsekvensanalyse%20\(2\).pdf) * [Liste der Verarbeitungen, die eine Vorabkonsultation erfordern (Abschnitt 26 Strafverfolgungsgesetz)](https://doc.dastra.eu/nl/) ### Finnland **Aufsichtsbehörde:** Office of the Data Protection Ombudsman * [DSFA-Leitfaden – Finnland (auf Englisch)](https://tietosuoja.fi/vaikutustenarviointi) * [Liste der Verarbeitungen, die eine DSFA erfordern](https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavista-kasittelytoimista) ### Österreich **Aufsichtsbehörde:** Datenschutzbehörde (DSB) * [DSFA-Leitfaden – WKO (auf Deutsch)](https://ratgeber.wko.at/dsfa/) * [Liste der Verarbeitungen, die eine DSFA erfordern – DSB (PDF)](https://www.ris.bka.gv.at/eli/bgbl/II/2018/278/20181109) * [Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA) - DSB (PDF)](https://www.ris.bka.gv.at/eli/bgbl/II/2018/108/20180525) ### Tschechische Republik **Aufsichtsbehörde:** Úřad pro ochranu osobních údajů (UOOU) * [DSFA-Leitfaden - UOOU (auf Tschechisch)](https://uoou.gov.cz/profesional/metodiky-a-doporuceni-pro-spravce/posouzeni-vlivu-na-ochranu-osobnich-udaju) * [Allgemeine Methodik zur Datenschutz-Folgenabschätzung (PDF-Dokument) – UOOU (auf Tschechisch)](https://doc.dastra.eu/nl/) * [Liste der Verarbeitungsvorgänge, die (nicht) der DSFA-Pflicht unterliegen (PDF-Dokument) - UOOU (auf Tschechisch)](https://uoou.gov.cz/media/profesional/seznam-operaci-zpracovani-nepodlehajicich-pozadavku-na-dpia.pdf) ### Polen **Aufsichtsbehörde:** Urząd Ochrony Danych Osobowych (UODO) * [DSFA-Leitfaden – UODO (auf Polnisch)](https://uodo.gov.pl/pl/598/3617?mkt_tok=MTM4LUVaTS0wNDIAAAGZm5Te7KF5c_87ovOvFSvFlk8TT1HkKjhhYeegH3TbE8QJRvBLS2CpCfzokPMEBeuc49OMBxEHR-wUHla56YileVIl8xBAGkhX55NXHMT_LCc8) * [Liste der Kategorien von Verarbeitungsvorgängen personenbezogener Daten, die eine Datenschutz-Folgenabschätzung erfordern - UODO (auf Polnisch)](https://monitorpolski.gov.pl/MP/2019/666) * [Video der Konferenz "Risikobewertung und Schutz personenbezogener Daten" - UODO (auf Polnisch)](https://uodo.gov.pl/pl/138/3507) ### Portugal **Aufsichtsbehörde:** Comissão Nacional de Proteção de Dados (CNPD) * [DSFA-Leitfaden – CNPD (auf Portugiesisch)](https://www.cnpd.pt/organizacoes/outras-obrigacoes/avaliacao-de-impacto/) * [Liste der Verarbeitungsarten, die eine DSFA erfordern (PDF) - CNPD (auf Portugiesisch)](https://www.cnpd.pt/umbraco/surface/cnpdDecision/download/121818) ### Kroatien **Aufsichtsbehörde:** Agencija za zaštitu osobnih podataka (AZOP) * [DSFA-Leitlinien – AZOP (auf Kroatisch)](https://azop.hr/provodenje-procjene-ucinka-na-zastitu-podataka-dpia-postupci-obrade-koji-predstavljaju-mogucnost-visokog-rizika/) * [Liste der Verarbeitungsvorgänge, die der DSFA-Pflicht unterliegen - AZOP (auf Kroatisch)](https://azop.hr/odluka-o-uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podlijezu-zahtjevu-za-procjenu-ucinka-na-zastitu-podataka/) ### Slowakei **Aufsichtsbehörde:** Úrad na ochranu osobných údajov Slovenskej republiky (UOOU SR) * [Datenschutz in der Slowakischen Republik - UOOU SR (PDF) (auf Slowakisch)](https://dataprotection.gov.sk/files/metod-urad/3/zoznam_spracovatelskych_operacii_ktore_podliehaju_posudeniu_vplyvu.pdf) * [DSFA-Leitlinien - UOOU SR (auf Slowakisch)](https://dataprotection.gov.sk/sk/aktuality/zoznam-spracovatelskych-operacii-ktore-podliehaju-poziadavke-posudenie-vplyvu.html) ### Ungarn **Aufsichtsbehörde:** Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) * [DSFA-Leitlinien – NAIH (auf Ungarisch)](https://www.naih.hu/az-adatvedelmi-hatasvizsgalat-es-elozetes-konzultacioja) [Liste der Verarbeitungsvorgänge, die einer DSFA unterliegen – NAIH (auf Ungarisch)](https://www.naih.hu/hatasvizsgalati-lista) ### Rumänien **Aufsichtsbehörde:** Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) * [Liste der Verarbeitungen, die einer DSFA unterliegen - ANSPDCP (PDF) (auf Rumänisch)](https://www.dataprotection.ro/servlet/ViewDocument?id=1556) [Beschluss Nr. 174 vom 18. Oktober 2018 über die Liste der Verarbeitungsarten, die der DSFA-Pflicht unterliegen (PDF) (auf Englisch)](https://www.dataprotection.ro/servlet/ViewDocument?id=1870) ### Bulgarien **Aufsichtsbehörde:** Commission for Personal Data Protection (CPDP) * [Liste der Arten von Verarbeitungsvorgängen personenbezogener Daten, für die eine Datenschutz-Folgenabschätzung erforderlich ist (auf Bulgarisch)](https://cpdp.bg/home-default/%D0%BD%D0%B0%D1%81%D0%BE%D0%BA%D0%B8/%D1%81%D0%BF%D0%B8%D1%81%D1%8A%D0%BA-%D0%BD%D0%B0-%D0%B2%D0%B8%D0%B4%D0%BE%D0%B2%D0%B5%D1%82%D0%B5-%D0%BE%D0%BF%D0%B5%D1%80%D0%B0%D1%86%D0%B8%D0%B8-%D0%BF%D0%BE-%D0%BE%D0%B1%D1%80%D0%B0%D0%B1%D0%BE/) #### 🇱🇹 **Litauen** **Aufsichtsbehörde:** Valstybinė duomenų apsaugos inspekcija (VDAI) * [Liste der Datenverarbeitungsvorgänge, die einer DSFA unterliegen - VDAI (PDF) (auf Litauisch)](https://vdai.lrv.lt/uploads/vdai/documents/files/06%20Poveikio%20duomen%C5%B3%20apsaugai%20vertinimas%202019-03-18.pdf) #### 🇱🇻 **Lettland** **Aufsichtsbehörde:** Datu valsts inspekcija (DVI) * [Arten von Verarbeitungstätigkeiten, für die eine DSFA durchgeführt werden muss – DVI (auf Lettisch)](https://www.dvi.gov.lv/lv/media/92/download?attachment) ### Luxemburg **Aufsichtsbehörde:** Commission Nationale pour la Protection des Données (CNPD) * [DSFA-Leitfaden – CNPD](https://cnpd.public.lu/fr/professionnels/obligations/AIPD.html) * [Liste der Verarbeitungen, die eine DSFA erfordern – CNPD (auf Französisch)](https://cnpd.public.lu/fr/professionnels/obligations/AIPD/liste-dpia.html) * [DSFA-Infografik - CNPD](https://cnpd.public.lu/dam-assets/fr/professionnels/aipd/Infographie-AIPD.pdf) ### Griechenland **Aufsichtsbehörde:** Hellenic Data Protection Authority (HDPA) – Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα * [DSFA-Leitlinien – HDPA](https://www.dpa.gr/el/foreis/ektimisi_adiktipou_kai_diavouleush/ektimisi_adiktipou) * [Liste der Verarbeitungen, die eine DSFA erfordern (Blacklist) – HDPA (PDF, Englisch)](https://www.deepl.com/o/uWrGLDLDipyYq3GpIuW2/s/1i0NSpf8ID0PXTpIyycA/) ### Schweiz **Aufsichtsbehörde:** Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB / PFPDT / FDPIC) Obwohl die Schweiz nicht Teil der EU ist, stellt sie in ihrem **revidierten Bundesgesetz über den Datenschutz (nDSG, 2023)** der DSFA ähnliche Anforderungen: * [Merkblatt zur Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 22 und 23 DSG](https://backend.edoeb.admin.ch/fileservice/sdweb-docs-prod-edoebch-files/files/2024/11/05/eb84f377-103e-4e7f-9896-62ec970f2290.pdf) * [Umsetzungsleitfaden zur DSFA](https://www.bj.admin.ch/bj/fr/home/staat/datenschutz/info-bundesbehoerden.html) ✅ Erforderlich, wenn eine Datenverarbeitung voraussichtlich ein **hohes Risiko für die Persönlichkeit oder die Grundrechte** mit sich bringt. Die Struktur ähnelt der von Artikel 35 der DSGVO. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://doc.dastra.eu/de/verschiedenes/guide-aipd-par-pays.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.