Zurück zum Blog
IT-Infrastruktur

DSFA nach revDSG 2026: Vorlage & Methode für KMU

Seit September 2023 verlangt Art. 22 revDSG eine Datenschutz-Folgenabschätzung (DSFA) immer dann, wenn eine geplante Datenbearbeitung ein voraussichtlich hohes Risiko für Persönlichkeit oder Grundrechte mit sich bringt. 2026 trifft das praktisch jedes KMU, das Microsoft 365 Copilot einführt, KI-Profiling betreibt, biometrische Zugangskontrollen einsetzt oder Mitarbeitende mit modernen Analytics-Tools tracked. Ohne DSFA-Doku riskieren Sie Bussen bis CHF 250'000, EDÖB-Untersuchungen und Reputationsschaden. So bauen Sie pragmatisch eine DSFA in 4 Schritten – ohne Beratungs-Marathon.

Autor: Gian Marco Ma Mai 2026 11 Min. Lesezeit

Kurz vorweg: Art. 22 revDSG ist keine Empfehlung, sondern Pflicht – bei hohem Risiko. Schwellwert pragmatisch: KI-Profiling, biometrische Daten, Mitarbeiter-Monitoring, neue Tracking-Stacks, besonders schützenswerte Daten in grossem Umfang, Videoüberwachung. DSFA in 4 Schritten: Schwellwert prüfen, Bearbeitung beschreiben, Risiko bewerten (Wahrscheinlichkeit × Schaden), Massnahmen + Restrisiko. Bei hohem Restrisiko: EDÖB-Konsultation nach Art. 23 mit 90 Tagen Antwort-Frist. Tipp: Datenschutzberater nach Art. 10 bestellen – das ersetzt die Konsultations-Pflicht in den meisten Fällen.

Wann ist eine DSFA nötig?

1

KI-basiertes Profiling

Scoring, automatisierte Entscheidungen, personalisiertes Marketing mit ML, Bewerber-Screening durch Algorithmen, Kreditbewertung. Auch Copilot/ChatGPT mit personenbezogenen Prompts.

2

Biometrische Daten

Fingerabdruck-Zugangskontrolle, Gesichtserkennung in Räumen, Iris-Scan, Stimm-Erkennung. Besonders schützenswert nach Art. 5 lit. c revDSG – DSFA praktisch immer Pflicht.

3

Mitarbeiter-Monitoring

Keystroke-Logging, Bildschirm-Aufnahmen, GPS-Tracking von Firmenfahrzeugen, Microsoft Viva Insights mit Personenbezug, übermässige Telefon-Aufzeichnung.

4

Videoüberwachung

Systematische Überwachung öffentlich zugänglicher Bereiche – Eingangsbereich Laden, Foyer, Parkplatz. Auch im Verkaufsraum bei Dauerbetrieb.

5

Neue Tracking-Technologien

Server-Side-Tagging, Fingerprinting, Cross-Device-Tracking, Customer Data Platforms. Wenn Datentiefe und -breite klar über Standard-Analytics liegen.

6

Besonders schützenswerte Daten

Gesundheit, Religion, gewerkschaftliche Ansichten, sexuelle Orientierung, genetische Daten – sobald in grossem Umfang oder bei sensiblen Zwecken bearbeitet.

DSFA in 4 Schritten

Schritt 1 – Schwellwert-Analyse

Vor jeder Bearbeitung: Prüfen, ob die Kriterien aus Art. 22 revDSG (in Anlehnung an WP29-Guidelines) erfüllt sind. Liste der 9 Indikatoren durchgehen (Profiling, sensible Daten, grossflächig, neue Technik, Monitoring, etc.). Sind 2+ Kriterien erfüllt oder eines stark, ist die DSFA Pflicht. Ergebnis im Verarbeitungsverzeichnis dokumentieren.

Schritt 2 – Beschreibung der Bearbeitung

Zweck, Datenarten, betroffene Personen, Empfänger, Aufbewahrungsdauer, Verantwortlichkeit, Auftragsverarbeiter (Art. 9), Drittstaaten-Übermittlungen. Datenfluss-Diagramm (z. B. via diagrams.net oder Lucidchart). Rechtsgrundlagen (Einwilligung, Vertrag, berechtigtes Interesse) sauber zuordnen.

Schritt 3 – Risiko-Bewertung

Für jedes identifizierte Risiko: Eintrittswahrscheinlichkeit (gering / mittel / hoch) × Schadenshöhe (gering / mittel / hoch) = Risiko-Score. Typische Risiken: unbefugter Zugriff, Datenverlust, unrechtmässige Weitergabe, Diskriminierung durch Profiling, Re-Identifikation pseudonymisierter Daten, übermässige Überwachung.

Schritt 4 – Massnahmen & Restrisiko

Technische und organisatorische Massnahmen pro Risiko definieren (Verschlüsselung, Zugriffskontrolle, Logging, Schulung, Daten-Minimierung, Anonymisierung, Löschkonzept). Nach Massnahmen Restrisiko neu bewerten. Ist es noch „hoch": Konsultation des EDÖB nach Art. 23 oder Verzicht auf die Bearbeitung.

Schritt 5 – Dokumentation & Review

DSFA-Bericht ablegen (SharePoint, Confluence, Datenschutz-Tool). Verknüpfung mit Verarbeitungsverzeichnis (Art. 12), Auftragsverarbeitungs-Verträgen, technischem Risk-Assessment. Review-Zyklus: jährlich oder bei wesentlichen Änderungen (Tool-Wechsel, neue Funktion, Scope-Erweiterung).

Vorlage, Tools & DSGVO-Vergleich

  • DSFA-Vorlage Struktur: Deckblatt (Verantwortliche, Datum, Version), Bearbeitungs-Beschreibung, Schwellwert-Begründung, Risiko-Matrix, Massnahmen-Katalog, Restrisiko, Freigabe-Vermerk.
  • GIAR-Excel-Vorlage: kostenlose Schweizer Vorlage mit Risiko-Matrix, Massnahmen-Bibliothek und EDÖB-Konsultations-Checkliste – auf Anfrage erhältlich.
  • secjur.com (D/CH): SaaS-Plattform mit DSFA-Workflow, Risiko-Bibliothek, Audit-Trail – ca. CHF 200–500/Monat. Gut für KMU mit 20–100 Mitarbeitenden.
  • datenschutzexperte.de: cloudbasiert, gute deutsche Risiko-Vorlagen, ca. CHF 150–400/Monat. Stark bei DSGVO/revDSG-Kombi.
  • OneTrust Privacy Management: Enterprise-Tool, ca. CHF 15’000–60’000/Jahr, lohnt erst ab 50+ DSFA/Jahr oder bei DPIA-pflichtiger EU-Tochter.
  • Smart Privacy Pro (CH): revDSG-spezifisch, mit Workflow für EDÖB-Konsultation, ca. CHF 300–800/Monat.
  • Vergleich DSFA vs DPIA: beide methodisch fast identisch – Risiko, Massnahmen, Konsultation. revDSG verlangt keine zwingende DSB-Konsultation, DSGVO schon. Schwellwertkriterien etwas offener formuliert in der Schweiz.
  • Doppel-Compliance: KMU mit DSGVO-Bezug (EU-Kunden, EU-Tochter) sollten eine kombinierte DSFA/DPIA-Vorlage nutzen – das spart Doppelarbeit und gewährleistet beide Regelwerke.
  • Verarbeitungsverzeichnis (Art. 12): jede Bearbeitung dort eintragen – DSFA-Pflicht ergibt sich aus diesem Verzeichnis durch Schwellwert-Prüfung.
  • Auftragsverarbeitung (Art. 9): bei Drittanbietern (Cloud, SaaS) braucht es einen AVV. In die DSFA gehört der Subunternehmer-Stack inkl. Drittstaaten-Transfers (USA mit Standard-Vertragsklauseln, DPF, Risk-Assessment).

EDÖB-Konsultation nach Art. 23 revDSG

Ergibt die DSFA, dass trotz Massnahmen ein hohes Restrisiko verbleibt, ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) zu konsultieren. Ablauf:

  • Anfrage einreichen: formloses Schreiben oder Formular auf edoeb.admin.ch, DSFA-Bericht als Beilage, klare Fragestellung.
  • Antwortfrist: 90 Tage, einmalig um 60 Tage verlängerbar bei komplexen Fällen (z. B. KI-Use-Cases mit Präzedenz-Charakter).
  • Mögliche Antworten: keine Bemerkungen (häufigster Fall bei sauberer DSFA), Empfehlung von Anpassungen, Einwand gegen die Bearbeitung.
  • Sperrwirkung: vor Ablauf der Frist bzw. ohne EDÖB-Antwort darf die Bearbeitung nicht aufgenommen werden – Vorlauf einplanen.
  • Alternative Datenschutzberater (Art. 10 revDSG): wird intern ein:e Datenschutzberater:in bestellt, entfällt die Konsultations-Pflicht meistens – Voraussetzung: Unabhängigkeit, Fachwissen, Meldung an EDÖB.
  • Praxis 2026: der EDÖB priorisiert Fälle mit Präzedenz-Charakter (KI, biometrie, Plattformökonomie). Standard-Fälle erhalten oft „keine Bemerkungen" innert 30–45 Tagen.
  • Vor der Konsultation: DSFA-Bericht peer-reviewen lassen (extern oder durch zweite Person intern), Massnahmen-Katalog vollständig dokumentieren.

4-Wochen-Roadmap pro DSFA

1

Woche 1 – Schwellwert & Scope

Bearbeitung im Verarbeitungsverzeichnis identifizieren, 9-Kriterien-Check durchführen, Schwellwert-Entscheid dokumentieren. Bei DSFA-Pflicht: Projekt-Team bestimmen (Fach, IT, Datenschutz).

Konkret: Schwellwert-Begründung, Team & Zeitplan definiert.
2

Woche 2 – Erhebung & Datenfluss

Interviews mit Fachbereich, Datenfluss-Diagramm, Datenarten-Liste, Empfänger, Aufbewahrung, Subunternehmer (Auftragsverarbeitung), Drittstaaten. Rechtsgrundlagen klären.

Konkret: Bearbeitungs-Beschreibung vollständig dokumentiert.
3

Woche 3 – Risiko-Analyse

Risiken systematisch erheben (Brainstorming + Risiko-Bibliothek), Eintrittswahrscheinlichkeit × Schadenshöhe pro Risiko bewerten, Risiko-Matrix erstellen.

Konkret: Risiko-Matrix mit allen identifizierten Risiken bewertet.
4

Woche 4 – Massnahmen, Restrisiko & Freigabe

TOM pro Risiko definieren, Restrisiko bewerten. Bei „hoch": EDÖB-Konsultation einleiten. Sonst: Geschäftsleitungs-Freigabe, Doku ablegen, Review-Zyklus aktivieren.

Konkret: DSFA-Bericht freigegeben, Massnahmen-Plan in Umsetzung.

Typische Stolpersteine

  • DSFA nur einmal: viele KMU sehen die DSFA als einmaligen Projekt-Akt. Pflicht ist jährlicher Review und Update bei Änderungen – sonst veraltete Bewertung.
  • KI/Copilot ohne DSFA: Microsoft 365 Copilot, ChatGPT Enterprise, Claude for Work mit personenbezogenen Prompts erfordern fast immer eine DSFA – wird häufig übersehen.
  • Schwellwert falsch eingeschätzt: „Sind ja nur 50 Personen" – Umfang ist nur eines von 9 Kriterien. Sensible Daten oder Profiling überschreiten Schwellwert auch bei kleiner Datenmenge.
  • Konsultations-Pflicht ignoriert: Restrisiko bleibt „hoch", DSFA wird trotzdem abgeschlossen ohne EDÖB-Konsultation – formaler Verstoss gegen Art. 23.
  • Massnahmen ohne Wirksamkeits-Prüfung: TOM definiert, aber nie überprüft, ob sie wirken (Verschlüsselung aktiviert? Zugriff korrekt eingeschränkt? Logging effektiv?).
  • DSFA nur durch IT erstellt: Fachbereich muss eingebunden sein – sonst fehlt Kontext zur Risiko-Bewertung, Massnahmen passen nicht zum Prozess.
  • Verarbeitungsverzeichnis fehlt: ohne Verzeichnis nach Art. 12 lässt sich der DSFA-Bedarf nicht systematisch identifizieren – beides muss zusammen geführt werden.
  • Auftragsverarbeitung übersehen: Cloud-Anbieter, SaaS, Marketing-Tools sind oft Auftragsverarbeiter. In DSFA mit Subunternehmer-Stack und Drittstaats-Transfers dokumentieren.
  • Datenschutzberater nicht bestellt: Art. 10 ist freiwillig, vereinfacht aber EDÖB-Konsultation erheblich. Für KMU ab 50 Mitarbeitenden meist sinnvoll – intern oder extern.
  • Restrisiko geschönt: Versuchung, das Restrisiko auf „mittel" zu drücken, um Konsultation zu vermeiden. Im Schadensfall (Datenpanne) wird die DSFA vom EDÖB geprüft – Schönung fliegt auf.

Fazit: DSFA als Werkzeug, nicht als Belastung

Die DSFA nach Art. 22 revDSG ist 2026 kein optionales Compliance-Häkchen mehr – sie ist Pflicht bei jedem KI-Use-Case, jeder biometrischen Anwendung, jedem ernsthaften Mitarbeiter-Monitoring und bei jeder neuen Tracking-Technologie. Wer sie als Werkzeug versteht, gewinnt: bessere Architektur-Entscheide, weniger Datenpannen, Rechtssicherheit gegenüber EDÖB und Geschäftspartnern. Wer sie als Bürokratie abtut, riskiert Bussen bis CHF 250'000, EDÖB-Untersuchungen und Reputationsschaden.

Pragmatisch lässt sich eine DSFA in 4 Wochen erstellen – mit einer schlanken Excel-Vorlage, einem klaren 4-Schritte-Prozess und Einbindung des Fachbereichs. Für die meisten Schweizer KMU ist eine kombinierte revDSG/DSGVO-Vorlage sinnvoll, die Bestellung eines Datenschutzberaters nach Art. 10 spart die EDÖB-Konsultation in den meisten Fällen. Tipp: jede neue Cloud-Einführung, jeden neuen KI-Use-Case und jede neue Personalbeurteilungs-Software vorgängig durch den Schwellwert-Check schicken – das ist günstiger als nachträgliches Aufräumen.

DSFA in 4 Wochen statt 4 Monaten

Wir bringen Methode, Vorlage und Schweizer Praxis – führen den Schwellwert-Check, erstellen die DSFA und begleiten bei Bedarf die EDÖB-Konsultation. Pragmatisch, rechtssicher, dokumentiert.

Beratung anfragen

GIAR Digital GmbH

Passende Leistungen für Ihr KMU

Dieser Beitrag stammt von GIAR Digital, Ihrem IT-Partner für Schweizer KMU aus dem Kanton Aargau. Was wir hier beschreiben, setzen wir auch konkret um – diese Themen betreuen wir für kleine und mittlere Unternehmen:

IT-Infrastruktur & Microsoft 365 POS & Payment-Lösungen Prozessdigitalisierung KI-Automatisierung Custom Business Software Galaxus-Anbindung
Kostenlose Erstberatung anfragen