- DSGVO Art. 35: Eine DPIA ist verpflichtend, wenn die Verarbeitung "wahrscheinlich zu einem hohen Risiko führen" für Einzelpersonen
- Muss vor Beginn der Verarbeitung geschehen — nicht nach Durchführung
- Drei Szenarien erfordern immer eine DPIA: systematische Profilierung, groß angelegte Sonderkategoriendaten, systematische öffentliche Überwachung
- Wenn das Restrisiko nach der Minderung noch hoch ist, müssen Sie Ihre Aufsichtsbehörde konsultieren, bevor Sie fortfahren
Eine Datenschutz Impact Assessment (DPIA) ist ein systematischer Prozess zur Identifizierung und Minimierung der Datenschutzrisiken eines neuen Projekts, Systems oder einer Änderung der Verarbeitung. Es ist nicht fakultativ, wenn es um eine Hochrisikoverarbeitung geht – Art. 35 DS-GVO macht dies zwingend und kann bei Bedarf nicht selbst regulatorische Maßnahmen anlocken.
Verwandte HubSecure Kaufpfad
AML/KYC- und Onboarding-Leitfaden Kunden-Onboarding-Software AML/KYC-Modul Sumsub-Vergleich AML/KYC-Compliance-Software-Leitfaden Leitfaden Bibliothek Buchen Sie eine Workflow-Demo
Zugehörige Ressourcen zu Sicherheit, Datenschutz und Governance
Weiter mit HubSecure Sicherheits- und Trustcenter, Datenverarbeitungsvereinbarung, Unterauftragsverarbeiter, Compliance-Workflows, geregelter KI-Betreiber.
Verwandter Anwendungsfall
Dieser Leitfaden gehört zum Cluster Workspace Alternatives and Tool Consolidation Guides. Fahren Sie mit dem Produkt-Hub für Arbeitsplatzalternativen und Werkzeugkonsolidierung fort.
Wann ist ein DPIA erforderlich?
Eine DSFA ist erforderlich, wenn die Verarbeitung „wahrscheinlich zu einem hohen Risiko“ für die Rechte und Freiheiten des Einzelnen führt. Artikel 35 Absatz 3 der DSGVO nennt drei Fälle, in denen immer eine DSFA erforderlich ist:
- Systematisches und umfangreiches Profiling mit erheblichen Auswirkungen (einschließlich automatisierter Entscheidungsfindung)
- Umfangreiche Verarbeitung von Daten besonderer Kategorien (Gesundheit, Biometrie, Straftaten usw.)
- Systematische großflächige Überwachung öffentlich zugänglicher Bereiche (CCTV, Tracking)
Nationale Aufsichtsbehörden veröffentlichen Listen von Verarbeitungsvorgängen, für die in ihrem Zuständigkeitsbereich eine DSFA erforderlich ist. Der EDSA hat Kriterien veröffentlicht: Wenn zwei oder mehr der folgenden Faktoren zutreffen, sollte eine DPIA durchgeführt werden:
- Auswertung bzw. Scoring (einschließlich Profiling)
- Automatisierte Entscheidungsfindung mit erheblicher Wirkung
- Systematische Überwachung
- Sensible Daten oder Daten sehr persönlicher Natur
- Daten werden in großem Umfang verarbeitet
- Datensätze abgleichen oder kombinieren
- Daten über gefährdete Personen (Kinder, Mitarbeiter, Patienten)
- Innovativer Einsatz von Technologie (KI, Biometrie, IoT)
- Verarbeitung, die Einzelpersonen daran hindert, Rechte auszuüben oder auf Dienste zuzugreifen
Der Zeitpunkt ist wichtig: Eine DSFA muss abgeschlossen sein, bevor mit der Bearbeitung begonnen wird. Eine rückwirkende Durchführung – nach der Umsetzung – genügt nicht der Anforderung und kann einen bereits erfolgten Verstoß nicht rückgängig machen.
Was ein DPIA enthalten muss
Art. 35 Abs. 7 DSGVO legt den Mindestinhalt fest:
- Beschreibung der Verarbeitung – welche Daten, zu welchem Zweck, mit welchen Mitteln, durch wen
- Beurteilung der Notwendigkeit und Verhältnismäßigkeit – ist die Verarbeitung notwendig und im Verhältnis zum Zweck?
- Bewertung von Risiken – für die Rechte und Freiheiten der betroffenen Personen, einschließlich Eintrittswahrscheinlichkeit und Schwere
- Maßnahmen zur Bewältigung von Risiken – technische und organisatorische Schutzmaßnahmen mit Restrisikobewertung
Wie man eine DPIA durchführt: Schritt für Schritt
Schritt 1: Identifizieren Sie den Bedarf
Überprüfen Sie die vorgeschlagene Verarbeitung anhand der oben genannten Kriterien. Wenn zwei oder mehr Faktoren zutreffen, fahren Sie mit einer vollständigen DSFA fort. Dokumentieren Sie die Screening-Entscheidung, auch wenn Sie zu dem Schluss kommen, dass keine DPIA erforderlich ist.
Schritt 2: Beschreiben Sie die Verarbeitung
Ordnen Sie die Datenströme zu: Welche personenbezogenen Daten werden von wem erfasst, wie werden sie gespeichert, wer hat Zugriff darauf, welche Entscheidungen werden getroffen und an wen können sie weitergegeben werden? Unterauftragsverarbeiter einbeziehen.
Schritt 3: Notwendigkeit und Verhältnismäßigkeit beurteilen
Gibt es eine weniger in die Privatsphäre eingreifende Möglichkeit, denselben Zweck zu erreichen? Könnten Sie weniger Daten verwenden, Daten anonymisieren oder Daten lokal verarbeiten, anstatt sie in die Cloud zu senden? Dokumentieren Sie Ihre Argumentation.
Schritt 4: Risiken identifizieren und bewerten
Bewerten Sie für jedes Risiko die Wahrscheinlichkeit und Schwere eines potenziellen Schadens für Einzelpersonen. Zu den Schäden zählen: Unfähigkeit, auf Dienste zuzugreifen, finanzieller Verlust, Rufschädigung, Diskriminierung, Identitätsdiebstahl, Verlust der Vertraulichkeit von Berufsprivilegdaten.
Schritt 5: Identifizieren Sie Abhilfemaßnahmen
Identifizieren Sie für jedes Risiko technische und organisatorische Kontrollen, die die Wahrscheinlichkeit oder den Schweregrad verringern. Beispiele: Verschlüsselung, Zugangskontrollen, Pseudonymisierung, Mitarbeiterschulung, vertragliche Garantien, Datenminimierung.
Schritt 6: Restrisiko dokumentieren und entscheiden
Welches Risiko verbleibt nach der Anwendung von Abhilfemaßnahmen? Wenn das Restrisiko akzeptabel ist, können Sie fortfahren – und sollten diese Schlussfolgerung dokumentieren. Sollte das Restrisiko dennoch hoch sein, müssen Sie vor der Verarbeitung Rücksprache mit Ihrer Aufsichtsbehörde halten.
Schritt 7: Beziehen Sie den DSB und die betroffenen Personen ein
Wenn ein Datenschutzbeauftragter ernannt wird, muss dessen Rat eingeholt werden. Sofern möglich, sollten auch die Ansichten der betroffenen Personen oder ihrer Vertreter eingeholt werden (Artikel 35 Absatz 9).
Lebendes Dokument: Eine DSFA ist keine einmalige Aufgabe. Sie müssen immer dann überprüft und aktualisiert werden, wenn sich Art, Umfang, Kontext oder Zwecke der Verarbeitung erheblich ändern – auch wenn Sie neue Technologien einführen oder auf neue Anwendungsfälle expandieren.
Müssen KMU DSFAs durchführen?
Ja, wenn die Verarbeitung die Hochrisikokriterien erfüllt. Die Verpflichtung gilt für alle Verantwortlichen unabhängig von ihrer Größe. Die DSGVO-Ausnahmen für KMU beziehen sich in erster Linie auf das Verzeichnis der Verarbeitungstätigkeiten (Artikel 30), nicht auf DSFAs.
Was ist eine vorherige Beratung?
Wenn die DSFA ein verbleibendes hohes Risiko aufweist, das nicht gemindert werden kann, müssen Sie gemäß Artikel 36 Ihre Aufsichtsbehörde konsultieren, bevor Sie mit der Bearbeitung beginnen. Die SA hat bis zu 8 Wochen Zeit (verlängerbar auf 14 Wochen), um schriftlich zu antworten.
DPIA-Vorlagen und Compliance-Dokumentation
Das Compliance-Modul von HubSecure umfasst DPIA-Vorlagen, Risikobewertungs-Frameworks und Dokumentversionskontrolle, um Ihre Bewertungen revisionssicher zu halten.
Buchen Sie eine DemoÜberprüft für regulierte Teams
Vorbereitet vom HubSecure-Redaktionsteam für Betreiber, Compliance-Verantwortliche und IT-Prüfer, die sichere Client-Betriebssoftware bewerten.
Autoren · Rezensenten · Redaktionelle Richtlinien