From datenschutzrecht
Führt eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durch: Schwellwertanalyse, BfDI-Blacklist-Abgleich, Risikobewertung und Maßnahmenplan.
How this skill is triggered — by the user, by Claude, or both
Slash command
/datenschutzrecht:dsfa-erstellungThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
- Beschreibung des Verarbeitungsvorhabens (Zweck, Datenarten, Betroffene, Technologie)
anwendungsfall-triage (falls bereits erfolgt)CLAUDE.md (Systemliste, Hausformat, Freigabe-Eskalation)Art. 35 Abs. 1 DSGVO: DSFA erforderlich bei voraussichtlich hohem Risiko. Mindestens zwei der folgenden Kriterien aus EDSA-Leitlinien 09/2022 treffen zu:
| Kriterium | Prüfung |
|---|---|
| Bewertung / Scoring | Ja / Nein |
| Automatisierte Entscheidung mit Rechtswirkung (Art. 22 DSGVO) | Ja / Nein |
| Systematische Überwachung | Ja / Nein |
| Verarbeitung sensibler Daten (Art. 9/10 DSGVO) | Ja / Nein |
| Verarbeitung großer Mengen oder im großen Umfang | Ja / Nein |
| Abgleich oder Zusammenführung von Datensätzen | Ja / Nein |
| Verarbeitung betreffend schutzbedürftige Personen (Kinder, Patienten) | Ja / Nein |
| Einsatz neuer Technologien (KI, Biometrie, IoT) | Ja / Nein |
| Verarbeitung verhindert Betroffenenrechte oder Dienstnutzung | Ja / Nein |
Art. 35 Abs. 3 DSGVO: In jedem Fall DSFA bei systematischer umfangreicher Verarbeitung besonderer Kategorien, umfangreicher Überwachung öffentlicher Bereiche, oder wenn auf der BfDI-Blacklist aufgeführt.
[Modellwissen – aktuellen Stand auf bfdi.bund.de prüfen]
Typische Blacklist-Einträge: Biometrische Erfassungssysteme zur eindeutigen Identifizierung, Videoüberwachung öffentlicher Bereiche im großen Umfang, Scoring-Systeme für Kreditwürdigkeit, Gesundheitsdaten-Plattformen für Forschung.BfDI-Whitelist (§ 67 Abs. 2 BDSG): Wenn Verarbeitungsart auf Whitelist, entfällt DSFA-Pflicht. [Modellwissen – prüfen]
| Risiko | Kategorie | Eintrittsws. | Schwere | Risikostufe |
|---|---|---|---|---|
| Unbefugter Zugriff | Vertraulichkeit | [hoch/mittel/gering] | [hoch/mittel/gering] | 🔴/🟠/🟡/🟢 |
| Datenverlust | Verfügbarkeit | … | … | … |
| Profiling ohne Kenntnis | Transparenz | … | … | … |
| Diskriminierung | Schaden Betroffener | … | … | … |
| Identitätsdiebstahl | Sicherheit | … | … | … |
Referenz: EDSA-Leitlinien 09/2022, Abschn. 6; ENISA-Leitfaden DSFA.
Vorab-Konsultation Art. 36 DSGVO. Wenn nach Maßnahmen ein hohes Restrisiko verbleibt: Pflicht zur Vorab-Konsultation bei der zuständigen Aufsichtsbehörde (Art. 36 Abs. 1 DSGVO). Frist: Aufsichtsbehörde hat 8 Wochen zur Antwort (Art. 36 Abs. 2 DSGVO), verlängerbar um 6 Wochen.
DSB-Beteiligung. DSB ist bei der DSFA zu beteiligen (Art. 35 Abs. 2 DSGVO). Stellungnahme des DSB einholen und dokumentieren.
Freigabe und Dokumentation.
Freigabeprozess aus CLAUDE.md; DSFA im Verarbeitungsverzeichnis vermerken (Art. 30 Abs. 1 DSGVO). DSFA ist bei wesentlicher Änderung der Verarbeitung zu wiederholen (Art. 35 Abs. 11 DSGVO).
Verbindlich nach ../../references/zitierweise.md.
Bevor das Template eins-zu-eins gefuellt wird, ist zu prüfen welche Variante zur Mandantenkonstellation passt. Das Template ist eine moegliche Form — nicht die einzige.
| Konstellation | Empfohlener Weg |
|---|---|
| Standard — DSFA für neue Verarbeitung durchfuehren | Schwellenwertanalyse und vollstaendige DSFA nach Template unten |
| Variante A — Verarbeitung schon laeuft ohne DSFA | Nachtraegliche DSFA; Maßnahmen-Umsetzungsplan erstellen |
| Variante B — Ergebnis der DSFA negativ (hohes Restrisiko) | Verarbeitung anpassen oder Aufsichtsbehoerde konsultieren |
| Variante C — DSFA für mehrere aehnliche Verarbeitungen | Muster-DSFA-Dokument erstellen; individuell anpassen |
Wenn die Mandantenkonstellation nicht ins Standardschema passt, ist das Template anzupassen oder durch ein anderes Skill abzuloesen — nicht das Mandat in das Schema zu pressen.
Vorhaben: Einführung eines KI-gestützten Bewerberscreenings mit automatischer Vorauswahl.
Schwellwertanalyse:
Ergebnis Schwellwert: Mindestens 3 Kriterien erfüllt → DSFA erforderlich. Zusätzlich: § 26 Abs. 1 BDSG (Beschäftigtendaten) und Art. 22 DSGVO (automatisierte Einzelentscheidung) sind eigenständige Schutznormen, die eine DSFA unabhängig von der Schwellwertanalyse nahelegen.
[Modellwissen – Zeitplan KI-VO prüfen]Stand: 05/2026. Aktualität prüfen bei EDSA-Aktualisierungen der Leitlinien 09/2022, neuen BfDI-Blacklist-Einträgen sowie KI-VO-Hochrisiko-Kategorien (VO (EU) 2024/1689, Anhang III).
Querverweise:
datenschutzrecht/skills/anwendungsfall-triage/SKILL.md — Vorgelagerte DSFA-Pflichtprüfungdatenschutzrecht/skills/drittlandstransfer-pruefung/SKILL.md — TIA als Bestandteil der DSFA bei Drittlandbezugdatenschutzrecht/skills/datenpanne-meldung/SKILL.md — Vorab-Konsultation Art. 36 DSGVO nach negativer DSFAanwendungsfall-triage vor (DSFA PFLICHT)?Adressat: DSB / Geschäftsführung / Aufsichtsbehörde — Tonfall: sachlich-juristisch
DSFA-Zusammenfassung [DATUM]
Verarbeitungsvorgang: [BEZEICHNUNG]
Verantwortlicher: [NAME]
Schwellwertanalyse: DSFA erforderlich: JA / NEIN
EDSA-Kriterien erfüllt: [X] von 9 ([LISTE])
BfDI-Blacklist: ja / nein
Rechtsgrundlage: Art. [X] DSGVO [§ BDSG]
Datenkategorien: [LISTE]
Betroffene: [GRUPPEN]
Risikobewertung (Vor Massnahmen):
- Wahrscheinlichkeit: hoch / mittel / gering
- Schwere: hoch / mittel / gering
- Gesamtrisiko: HOCH / MITTEL / GERING
Vorgesehene Massnahmen: [LISTE]
Restrisiko (Nach Massnahmen): AKZEPTABEL / NICHT AKZEPTABEL
Entscheidung: Freigabe / Vorab-Konsultation Art. 36 DSGVO erforderlich
Genehmigende Person: [NAME, FUNKTION]
Datum: [DATUM]
--- vor Versand klären ---
Ausformulierungspflicht und Formatstandard. Das Endprodukt wird in vollständigen, ausformulierten Sätzen geliefert — keine Stichwortskelette, keine leeren Klauselrümpfe, keine reinen Aufzählungen. Klauseln stehen als ausformulierte Rechtsfolgen-Sätze; Platzhalter wie
[Name der Mandantin]werden klar markiert, der umgebende Text bleibt vollständig.Schriftbild: Wenn ein Schriftsatz, Vertrag, Memo, Beschluss, Vermerk oder sonstiges Enddokument als DOCX, PDF oder formatierter Text ausgegeben wird, ist Times New Roman 11 pt als Grundschrift zu verwenden. Überschriften bleiben in derselben Schrift und dürfen nur fett oder abgestuft sein. Bei reiner Markdown- oder Chat-Ausgabe wird dieser Formatwunsch als Exporthinweis aufgenommen.
Nummerierung: Gliederung ausschließlich dezimal (
1,1.1,1.1.1und so weiter). Keine römischen Ziffern, keine Buchstaben- oder Mischgliederung.
Quellenregel: Entscheidungen nur nach Prüfung einer amtlichen oder frei zugänglichen Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage ausgeben.
npx claudepluginhub klotzkette/claude-fuer-deutsches-recht --plugin datenschutzrecht2plugins reuse this skill
First indexed Jul 16, 2026
Prüft, ob eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich ist. Führt Trigger-Prüfung, Schwellwertanalyse und Triage durch. Hilft vor Einführung neuer Verarbeitungen oder bei Änderungen.
Dissects DPIA/FRIA results and risks—deadlines, responsibilities, burden of proof, counterarguments—for data protection and EU AI Act compliance. Provides a color-coded risk light and immediate next steps.
Guides collaborative design exploration before implementation: explores context, asks clarifying questions, proposes approaches, and writes a design doc for user approval.