Blog

Wann braucht meine Einrichtung eine Datenschutz-Folgenabschätzung? Anna weiß es nicht – und das kann teuer werden

Digitale Soziale Arbeit 10. May 2026 Lesezeit
Wann braucht meine Einrichtung eine Datenschutz-Folgenabschätzung? Anna weiß es nicht – und das kann teuer werden

Der Aufhänger: Annas unangenehme Post vom Landesamt

Anna arbeitet in einer Familienberatungsstelle mit 200 Klientinnen und Klienten pro Monat. Ihre Einrichtung hat seit Jahren eine einfache Kundendatenbank auf einem regionalen Server – nichts Besonderes. Dann kam im März ein Brief vom zuständigen Landesamt für Datenschutzaufsicht: Man wolle eine Datenschutz-Prüfung durchführen und bitte um Vorlage der Dokumentation.

Anna schaute in die Unterlagen und stellte fest: Für die Datenbank, die seit 2019 läuft, gab es nie eine Datenschutz-Folgenabschätzung. Kein DSFA, keine Risikoanalyse, nichts. "Wir haben gedacht, das bräuchten wir nicht", erzählt Anna. "Wir sind doch klein." Diese Annahme könnte teuer werden.

Die pädagogische Analyse: Warum DSFA kein Bürokratie-Gedöns ist

Die Datenschutz-Folgenabschätzung – kurz DSFA – ist kein Selbstzweck. Sie ist ein Instrument, das uns zwingt, vor einer Datenverarbeitung genau hinzuschauen: Was passiert mit den Daten meiner Klientinnen und Klienten? Welche Risiken entstehen für sie? Und sind diese Risiken beherrschbar?

Konkret in der Sozialen Arbeit betrifft das viele Bereiche:

Klientendatenbanken und Dokumentationssysteme: Wer personenbezogene Daten verarbeitet – und das tun wir ständig –, muss sich Gedanken über Risiken machen. Besonders wenn sensible Daten im Spiel sind: Gesundheitsdaten, Daten über Kinder und Familien in Krisensituationen, Informationen über Suchterkrankungen.

Videoberatung und Online-Tools: Seit der Pandemie nutzen viele Beratungsstellen Videokonferenz-Tools. Doch nur wenige haben geprüft, ob diese Tools DSGVO-konform eingesetzt werden können. Wo landen die Gesprächsprotokolle? Können Dritte mitlesen?

KI-gestützte Dokumentation: Wenn neue Technologien eingesetzt werden, die personenbezogene Daten verarbeiten, ist eine DSFA sogar Pflicht – so sieht es Art. 35 DSGVO vor.

Anna hat nach dem Brief des Landesamts gelernt: Auch kleine Einrichtungen können nicht einfach behaupten, sie bräuchten keine DSFA. Die Frage ist nicht die Größe der Einrichtung, sondern das Risiko für die betroffenen Personen.

Der Fachliche Einordnung: DSFA als Chance statt als Last

Anna hat sich nach dem Schock hingesetzt und ihre erste DSFA geschrieben. Sie hat gemerkt: Es ist weniger kompliziert, als gedacht – wenn man weiß, worauf es ankommt.

Eine DSFA besteht aus fünf Schritten:

  1. Beschreibung der Verarbeitung: Was genau passiert mit den Daten? Welche Daten werden erhoben, gespeichert, weitergegeben?
  2. Zweckbestimmung: Warum brauchen wir diese Daten? Ist der Zweck rechtmäßig und klar?
  3. Risiken für die Betroffenen: Was könnte meinen Klientinnen und Klienten passieren, wenn diese Daten in falsche Hände geraten oder missbraucht werden?
  4. Maßnahmen zur Risikominimierung: Was tue ich, um diese Risiken zu reduzieren? Verschlüsselung, Zugriffsbeschränkungen, Datensparsamkeit.
  5. Bewertung und Dokumentation: Sind die Restrisiken tragbar? Wenn nein – muss die Verarbeitung unterbleiben oder angepasst werden.

Die gute Nachricht: Für viele Standard-Verarbeitungen in der Sozialen Arbeit gibt es Muster und Vorlagen. Der Bundesverband der Datenschutzbeauftragten Deutschlands (BvD) und die Wohlfahrtsverbände bieten DSFA-Templates speziell für soziale Einrichtungen an.

Anna hat ihre erste DSFA in drei Stunden geschrieben – mit einem Muster und Unterstützung ihres Datenschutzbeauftragten. "Es hat mir tatsächlich geholfen, meine eigene Arbeit besser zu verstehen", sagt sie. "Ich wusste gar nicht, welche Risiken wir eigentlich eingehen."

Der Praxis-Quickie: Annas Sofort-Check

Anna hat sich einen einfachen Test überlegt, bevor sie ein neues Tool oder eine neue Datenverarbeitung einführt:

  1. Verarbeiten wir sensible Daten? (Gesundheit, Finanzen, Kinder, Justiz)
  2. Gibt es ein hohes Risiko für die Betroffenen? (großer Personenkreis, weitreichende Entscheidungen, neue Technologie)
  3. Haben wir das jemals geprüft?

Wenn zwei Fragen mit Ja beantwortet werden, braucht es eine DSFA – bevor das Tool eingeführt wird, nicht danach.

Euer Praxis-Quickie: Schaut euch diese Woche eine Datenverarbeitung in eurer Einrichtung an – am besten die, die euch am meisten Sorgen macht. Füllt für diese eine DSFA-Muster aus. Ihr müsst kein Jurist sein. Ihr müsst nur ehrlich über Risiken nachdenken.

Weiterführender Hinweis

Wenn ihr unsicher seid, ob eure Einrichtung eine DSFA braucht oder wie ihr sie strukturiert angeht, bietet das Digitale Beratungsbüro konkrete Unterstützung für soziale Einrichtungen – praxisnah, mit Vorlagen, ohne Fachchinesisch.

👉 Zum Digitalen Beratungsbüro

Digitale Mikrokonferenz
Digital wie 2004
Warum viele heute noch wirken wie von vorgestern
Mi, 13. Mai 2026 · 10:30 – 12:00 Uhr · Online · Kostenfrei · Pay what you want
Viele organisieren sich digital noch wie vor 20 Jahren: Zehn Apps, kein Zusammenhang, Daten überall verstreut. Was bedeutet „digital“ 2026 wirklich – und wie kommt ihr vom 2004-Feeling ins Hier und Jetzt?
Datenhoheit Nextcloud DSGVO Fediverse
Jetzt Platz sichern – Kostenfrei
Pay what you want · dorf.zendit.digital

Quellen:

Schlagwörter: DSFA Datenschutz DSGVO Beratung Risiko Datenschutzbeauftragter DigitaleSozialeArbeit
MH

Marc Hasselbach

Fachblogger für Digitale Soziale Arbeit – Impulse, Analysen und Praxis an der Schnittstelle von Digitalisierung und Sozialwesen.

Weitere Beiträge