Datenschutz-Folgenabschätzung (DPIA) durchführen – Anleitung

Die Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) ist eine systematische Analyse zur Bewertung von Risiken bei der Datenverarbeitung. Sie ist nach Artikel 35 DSGVO erforderlich, wenn eine Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Dieser Leitfaden zeigt Ihnen, wie Sie eine rechtssichere DPIA durchführen.

Was ist eine Datenschutz-Folgenabschätzung (DPIA)?

Die DPIA ist ein dokumentierter Prozess zur Identifikation und Bewertung von Datenschutzrisiken. Sie hilft, datenschutzkritische Verarbeitungen zu erkennen und angemessene Schutzmaßnahmen zu implementieren.

Ziele einer DPIA:

• Frühe Erkennung von Datenschutzrisiken (before processing starts)
• Dokumentation der Risikoanalyse
• Nachweis des verantwortungsvollen Handelns
• Identifikation von erforderlichen Schutzmaßnahmen
• Entscheidung über Notwendigkeit einer Konsultation mit der Aufsichtsbehörde

Wann ist eine DPIA zwingend erforderlich?

Artikel 35 Abs. 3 DSGVO führt folgende Fälle auf:

Fall	Beschreibung
Systematische Überwachung	Flächendeckende Beobachtung von Verhaltensweisen (z. B. Videoüberwachung am Arbeitsplatz, Website-Tracking)
Biometrische Daten	Verarbeitung von Fingerabdrücken, Gesichtserkennung, Iris-Scanning
Automatisierte Entscheidungen	Vollautomatische Entscheidungen mit Rechtsfolgen (z. B. automatische Kreditablehnung, Bewerbungsfilter)
Profiling	Automatische Erstellung von Persönlichkeitsprofilen (z. B. Kreditwürdigkeit, Kaufverhalten)
Großflächige Verarbeitung	Verarbeitung sensibler Daten in großem Maßstab (Gesundheitsdaten, Strafregister)
Daten von Kindern	Verarbeitung von Kindern (unter 16 Jahren) in Diensten wie Social Media
Vulnerable Gruppen	Verarbeitung von Daten von Personen mit Behinderungen, älteren Menschen

Wann ist eine DPIA empfohlen, aber nicht zwingend?

• Umzug von Daten in Länder außerhalb der EU (besonders USA)
• Einsatz neuer Technologien (KI, Blockchain, IoT)
• Datenaustausch mit neuen Partnern
• Wiederholte Datenschutzverletzungen oder -beschwerden
• Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO)

Schritt-für-Schritt: DPIA durchführen

Schritt 1: Verarbeitung beschreiben

Dokumentieren Sie präzise:

• Gegenstand: Was wird verarbeitet? (z. B. „Kundendatenbank für E-Commerce-Website")
• Zweck: Wofür? (z. B. „Bestellverwaltung, Fakturierung, Kundenservice")
• Datentypen: Welche Kategorien? (z. B. Name, Adresse, E-Mail, Zahlungsdaten)
• Betroffene Personen: Wer? (z. B. Kunden, Website-Besucher)
• Verantwortlicher & Auftragsverarbeiter: Wer sind die Parteien?
• Dauer: Wie lange werden Daten verarbeitet?
• Technologien: Welche Systeme sind involviert?

Schritt 2: Notwendigkeit und Proportionalität bewerten

Überprüfen Sie, ob die Verarbeitung notwendig ist:

• Ist diese Verarbeitung nach DSGVO rechtmäßig (Art. 6)?
• Gibt es eine legitime Interessenabwägung?
• Ist die Verarbeitung das mildeste Mittel (Proportionalitätsprinzip)?
• Könnten die Ziele mit weniger invasiven Mitteln erreicht werden?

Schritt 3: Risiken identifizieren

Arbeiten Sie mit folgender Risikoanalyse:

Risiko-Kategorie	Beispiele	Wahrscheinlichkeit	Schweregrad
Datenschutzverletzung	Hacking, Datendiebstahl, Datenleck	Hoch/Mittel/Niedrig	Sehr Hoch
Unbefugter Zugriff	Mitarbeiter mit zu hohen Rechten	Mittel	Hoch
Mangelnde Transparenz	Betroffene wissen nicht, dass Daten verarbeitet werden	Mittel	Hoch
Diskriminierung	Automatisierte Entscheidungen mit Bias	Hoch	Sehr Hoch
Verlust von Daten	Keine Backups, Datenverlust bei Hardwareausfall	Mittel	Mittel
Profiling-Risiken	Automatisiertes Profiling von Verhaltensweisen	Hoch	Hoch

Risikoanalyse-Matrix

Bewerten Sie Risiken anhand von Wahrscheinlichkeit × Schweregrad:

Wahrscheinlichkeit / Schweregrad	Niedrig	Mittel	Hoch
Wahrscheinlich	Mittel	Hoch	Sehr Hoch
Möglich	Niedrig	Mittel	Hoch
Unwahrscheinlich	Niedrig	Niedrig	Mittel

Schritt 4: Schutzmaßnahmen definieren

Für jedes Risiko definieren Sie konkrete Maßnahmen:

• Technische Maßnahmen: Verschlüsselung, Zugriffskontrolle, Firewalls, Intrusion Detection
• Organisatorische Maßnahmen: Schulungen, Audit-Logs, Datenschutzrichtlinien, Incidents Response Plan
• Personelle Maßnahmen: Data Protection Officer, Schulungen, Rollenbasierte Zugriffe
• Kontrollmaßnahmen: Regelmäßige Audits, Penetrationstests, Datenschutzfolgenabschätzungen

Schritt 5: Dokumentation und Konsultation

Dokumentieren Sie die gesamte DPIA:

MUSTER-DPIA DOKUMENTATION

Projekt: [Projektname, z. B. „Customer Database Upgrade"]
Datum: [Datum der DPIA]
Durchgeführt von: [Name/Titel des Datenschutzverantwortlichen]

1. VERARBEITUNG
Gegenstand: Speicherung von Kundendaten in neuer CRM-Software
Zweck: Kundenbeziehungsmanagement, Verkauf, Kundenservice
Dauer: Unbegrenzt (solange Geschäftsbeziehung besteht)

2. DATENTYPEN
- Name, Vorname
- E-Mail-Adresse
- Telefonnummer
- Anschrift
- Kaufhistorie
- Zahlungsdaten

3. BETROFFENE PERSONEN
- Kundenstamm ca. 5.000 Personen
- Altersgruppe: überwiegend 25-65 Jahre
- Keine vulnerablen Gruppen

4. RISIKOANALYSE
Risiko 1: Unbefugter Datenzugriff (Mitarbeiter)
- Wahrscheinlichkeit: Mittel (mangelnde Zugriffskontrolle in alter Software)
- Schweregrad: Hoch (sensible Zahlungsdaten)
- Bewertung: HOCH

Risiko 2: Datenschutzverletzung durch Cyberangriff
- Wahrscheinlichkeit: Möglich
- Schweregrad: Sehr Hoch (potentieller Datenverlust)
- Bewertung: HOCH

Risiko 3: Datenverlust (kein Backup)
- Wahrscheinlichkeit: Möglich
- Schweregrad: Hoch
- Bewertung: HOCH

5. SCHUTZMASSNAMEN
Maßnahme 1: Rollenverwaltung und Zugriffskontrolle
- Implementierung: Admin-Panel mit Rollenverwaltung
- Verantwortlich: IT-Leiter
- Frist: Bis zum Go-Live
- Status: In Umsetzung

Maßnahme 2: End-to-End Verschlüsselung
- Implementierung: TLS 1.3 für Datenübertragung, AES-256 für Datenbank
- Verantwortlich: IT-Sicherheit
- Frist: Vor Go-Live
- Status: Geplant

Maßnahme 3: Tägliche Backups
- Implementierung: Automatisierte Backups auf externem Server
- Verantwortlich: System-Administrator
- Frist: Während Testphase
- Status: In Umsetzung

Maßnahme 4: Mitarbeiter-Schulung
- Implementierung: Datenschutzschulung für alle Mitarbeiter
- Verantwortlich: HR und Datenschutz
- Frist: Vor Go-Live
- Status: Geplant

6. KONSULTATION MIT AUFSICHTSBEHÖRDE?
Nein. Nach Implementierung aller Schutzmaßnahmen ist das Restrisiko
akzeptabel. Es wird eine Konsultation mit der Aufsichtsbehörde nicht
als erforderlich erachtet.

7. FAZIT
Die Verarbeitung kann unter der Bedingung durchgeführt werden,
dass alle aufgelisteten Schutzmaßnahmen vor dem Go-Live
vollständig implementiert sind.

Wann muss die Aufsichtsbehörde konsultiert werden (Art. 36 DSGVO)?

Konsultation erforderlich bei:

• Hohes oder sehr hohes Restrisiko, das nicht vollständig mitigiert werden kann
• Verwendung neuer, nicht erprobter Technologien
• Spezifische Anforderung der Datenschutzbehörde aufgrund lokaler Bedingungen
• Nichtbeachtung von Empfehlungen der DSK oder Behörden

Konsultation nicht erforderlich bei:

• Risiken sind durch implementierte Schutzmaßnahmen akzeptabel
• Allgemein anerkannte Best Practices werden eingehalten
• Ähnliche Verarbeitungen sind bereits von der Behörde genehmigt

DPIA-Checkliste

Aufgabe	Status
Prüfung: Ist eine DPIA erforderlich?	☐
Projektteam zusammenstellen (Tech, Legal, Datenschutz)	☐
Verarbeitung detailliert beschreiben	☐
Notwendigkeit und Proportionalität überprüfen	☐
Risiken identifizieren (Brainstorming mit Team)	☐
Risiken in Matrix bewerten (Wahrscheinlichkeit × Schweregrad)	☐
Schutzmaßnahmen für jedes Risiko definieren	☐
Restrisiko bewerten	☐
Entscheidung: Konsultation mit Aufsichtsbehörde erforderlich?	☐
Gesamte DPIA schriftlich dokumentieren	☐
Genehmigung durch Geschäftsführung	☐
Archivierung und regelmäßige Überprüfung (mind. 1x jährlich)	☐

Praktische Beispiele für DPIA-Szenarien

Szenario 1: E-Commerce-Website mit Analytics

Sie planen die Installation von Google Analytics auf Ihrer E-Commerce-Website, um Besucherverhalten zu analysieren.

DPIA erforderlich? Ja. Grund: Systematische Überwachung von Besuchern (Art. 35 Abs. 3 DSGVO).

Risiken: Datentransfer in die USA (ohne Angemessenheitsbeschluss), Tracking ohne explizite Einwilligung, Profiling durch Google.

Maßnahmen: Pseudo-anonymisierung (IP-Anonymisierung), explizite Nutzereinwilligung, Server-seitige Analyse als Alternative.

Szenario 2: KI-basierte Kreditvergabe

Sie entwickeln ein KI-Modell, das automatisch über Kreditanträge entscheidet.

DPIA erforderlich? Ja. Grund: Automatisierte Entscheidungen mit Rechtsfolgen (Art. 35 Abs. 3 DSGVO), hohes Diskriminierungsrisiko.

Risiken: Bias im KI-Modell (z. B. Diskriminierung aufgrund Geschlecht), Mangelnde Transparenz, Fehlentscheidungen.

Maßnahmen: Regelmäßige Audit des Modells auf Bias, Recht auf Erklärung, menschliche Überprüfung für Ablehnungen, Dokumentation der Trainings-Daten.

Szenario 3: Videoüberwachung am Arbeitsplatz

Sie installieren Überwachungskameras in Büros und Produktionsbereichen.

DPIA erforderlich? Ja. Grund: Systematische Überwachung (Art. 35 Abs. 3 DSGVO), hohes Risiko für Arbeitnehmer.

Risiken: Übermäßige Überwachung, Verletzung der Privatsphäre, Gesundheitsrisiken.

Maßnahmen: Rechtfertigung durch legitimes Interesse (Sicherheit, Schutz von Vermögen), Sichtbare Ankündigung, Betriebsrat-Beteiligung, Datenlöschung nach 3-7 Tagen.

Regulatorische Ressourcen

Von der Datenschutzkonferenz (DSK) empfohlene Tools:

• DPIA-Vorlagen des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA)
• DPIA-Checklisten der Italienischen Datenschutzbehörde (Garante)
• „Line of Sight" Approach von WP29/EDPB für Risikobewertung

Best Practices

• Frühe Durchführung: DPIA durchführen, BEVOR Sie eine Verarbeitung implementieren
• Multidisziplinäre Teams: Datenschutz, IT-Sicherheit, Geschäftsbereiche einbeziehen
• Regelmäßige Überprüfung: DPIA jährlich überprüfen oder wenn sich die Verarbeitung ändert
• Dokumentation: Alle Schritte dokumentieren, um bei Audits Compliance nachzuweisen
• Remediation: Maßnahmen konsequent implementieren und deren Wirksamkeit testen

Weitere Ressourcen

• 📖 DSGVO: Website-Checkliste 2026
• 📖 Auftragsverarbeitervertrag (AVV) erstellen
• 📖 Datenschutzerklärung erstellen
• 🔧 Enjyn Crawler – Website auf Sicherheit prüfen