Loading…
Eine Datenschutz-Folgenabschätzung (DPIA) nach Artikel 35 DSGVO ist immer dann erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Artikel-29-Datenschutzgruppe (heute EDPB) hat neun Kriterien aufgestellt – treffen zwei oder mehr zu, führen Sie eine DPIA durch.
Eine belastbare DPIA hat fünf Stufen: Verarbeitung beschreiben, Notwendigkeit und Verhältnismäßigkeit bewerten, Risiken identifizieren, Minderungsmaßnahmen identifizieren und anschließend formell freigeben sowie eine Überprüfung planen. Die ICO-Methodik und die EDPB-Leitlinien stimmen in dieser Struktur eng überein.
Gut gemacht ist eine DPIA ein produktprägendes Artefakt – kein Compliance-Ritual. Sie deckt Risiken frühzeitig auf und erzwingt Entscheidungen über Datenminimierung, Speicherung und Zugriff. Die besten DPIAs werden vor der ersten Codezeile abgeschlossen.
Artikel 35(1) verlangt eine DPIA, wenn die Verarbeitung "voraussichtlich ein hohes Risiko zur Folge hat". Artikel 35(3) listet drei verpflichtende Fälle auf:
Die meisten Aufsichtsbehörden veröffentlichen nationale Listen (Artikel 35(4)) zusätzlicher Verarbeitungen, die stets eine DPIA erfordern. Prüfen Sie die Listen Ihrer federführenden Aufsichtsbehörde sowie aller Aufsichtsbehörden, deren Mitgliedstaatsbewohner Sie verarbeiten.
Wo Unklarheit besteht, führen Sie den Test mit neun Kriterien durch. Zwei oder mehr = DPIA erforderlich.
Die Grundlage jeder DPIA ist eine präzise Beschreibung dessen, was Sie tatsächlich mit Daten tun. Erfassen Sie:
Kombinieren Sie dies mit einem Datenflussdiagramm. Frei formulierte Beschreibungen übersehen Dinge, die Datenflussdiagramme aufdecken.
Dokumentieren Sie für jedes erkennbare Risiko:
Routinemäßig zu berücksichtigende Bedrohungsarten: unbefugter Zugriff (Insider, externer Angreifer), Veränderung (Integritätsverlust), Verlust (Zerstörung, Nichtverfügbarkeit), Diskriminierung, Identitätsdiebstahl, finanzieller Schaden, Reputationsschaden, Verlust der Vertraulichkeit, Verlust der Kontrolle über Daten, Re-Identifizierung pseudonymisierter Daten.
Bestimmen Sie für jedes Risiko die geplante Behandlung:
Bewerten Sie das Restrisiko nach den geplanten Maßnahmen neu. Bleibt das Restrisiko hoch, müssen Sie vor Beginn der Verarbeitung die Aufsichtsbehörde konsultieren (Artikel 36).
Eine vorherige Konsultation nach Artikel 36 ist erforderlich, wenn nach Anwendung von Abhilfemaßnahmen das Restrisiko für die Rechte und Freiheiten hoch bleibt.
Die Aufsichtsbehörde erhält:
Antwortfrist der Aufsichtsbehörde: 8 Wochen (bei komplexen Fällen um 6 Wochen verlängerbar). Die Verarbeitung darf während dieses Zeitraums nicht ohne Genehmigung beginnen.
Szenario: Ein Logistikunternehmen plant die Einführung einer auf Gesichtserkennung basierenden Zeiterfassung (Kommen/Gehen) für 4.500 Lagerarbeiter an 12 Standorten in Deutschland und Spanien.
Schwellenwerttest: Sensible Daten (biometrische Daten zur Identifizierung nach Artikel 9) + großer Umfang + schutzbedürftige Personen (Beschäftigte) + innovative Nutzung = eindeutig DPIA-pflichtig. Die deutschen und spanischen Aufsichtsbehörden-Listen führen die biometrische Identifizierung am Arbeitsplatz ebenfalls als verpflichtende DPIA auf.
Beschreibung (Phase 1): Gesichtsvorlagen werden aus einer nach vorne gerichteten Kamera am Standorteingang abgeleitet; Abgleich mit der erfassten, auf einer standortbezogenen Appliance gespeicherten Vorlage; Treffer werden mit Zeitstempel und Mitarbeiter-ID protokolliert; biometrische Vorlagen werden für die Dauer des Beschäftigungsverhältnisses + 30 Tage aufbewahrt; Abgleichprotokolle werden 3 Jahre aufbewahrt.
Erforderlichkeit (Phase 2): Rechtsgrundlage Artikel 6 Abs. 1 lit. b Arbeitsvertrag + Artikel 9 Abs. 2 lit. b arbeitsrechtliche Verpflichtung (Deutschland) und ausdrückliche Einwilligung (Spanien, mit Mitbestimmung des Betriebsrats). Geprüfte Alternativen: PIN-Karten-Durchzug (verworfen — Stechen für andere), Ausweis mit NFC (verworfen — dasselbe), Fingerabdruck (verworfen — Hygiene). Begründete Erforderlichkeit der Gesichtsvorlagen gegenüber den Alternativen.
Risiken (Phase 3): (a) Die Zentralisierung biometrischer Vorlagen schafft einen Honeypot für Datenschutzverletzungen. (b) Falscher Nichtabgleich, der zu Lohnabzügen führt. (c) Funktionserweiterung — Zeiterfassungsdaten werden zur Leistungsbeurteilung genutzt. (d) Zwang gegenüber Beschäftigten: Die Verweigerung der biometrischen Erfassung erzwingt einen Opt-out in schlechtere Bedingungen.
Behandlung (Phase 4): (a) On-Premise-Appliance je Standort; Vorlagen mit HSM-verwalteten Schlüsseln verschlüsselt; keine Cloud-Kopie. (b) Manueller Override-Workflow bei Nichtabgleich; die Lohnbuchhaltung darf nicht allein aufgrund eines fehlgeschlagenen Stempelvorgangs Abzüge vornehmen. (c) Vertragliches Verbot + technische Trennung zwischen Zeiterfassungsdaten und HR-Leistungssystemen. (d) Echter Opt-out-Pfad (Ausweis als Rückfalloption) ohne Nachteil, dokumentiert in der Betriebsvereinbarung.
Freigabe: Stellungnahme des DPO eingeholt — empfahl die Löschung der Gesichtsvorlagen 7 Tage nach Beschäftigungsende statt nach 30 Tagen. Der Verantwortliche stimmte zu. Mitbestimmung des Betriebsrats eingeholt. Restrisiko: mittel-niedrig. Keine Konsultation der Aufsichtsbehörde erforderlich.
Eine fokussierte DPIA zu einer einzelnen Verarbeitungstätigkeit: 2–4 Wochen Teilzeitaufwand, Kalenderzeit. Eine komplexe (neue Produktlinie, biometrisch, KI-Modell): 6–12 Wochen. Alles, was mit „2 Stunden“ angepriesen wird, ist keine echte DPIA.
Ja — für bereits laufende Verarbeitungen gilt die Überprüfung nach Artikel 35 Abs. 11. Aufsichtsbehörden akzeptieren rückwirkende DPIAs, wenn die Verarbeitung der DSGVO vorausging oder wenn eine zuvor DPIA-befreite Verarbeitung hochriskant geworden ist.
Die DPIA (Artikel 35 DSGVO) konzentriert sich auf Risiken für Rechte und Freiheiten im Kontext der Datenverarbeitung. Die FRIA (Artikel 27 EU AI Act) erstreckt sich auf umfassendere Grundrechte für Hochrisiko-KI-Systeme — Diskriminierung, Fairness, Auswirkungen automatisierter Entscheidungen. Sie überschneiden sich und können bei KI-Anwendungsfällen zu einem einzigen Artefakt zusammengeführt werden.
Nicht erforderlich, aber von der ICO empfohlen. Die Veröffentlichung einer geschwärzten Zusammenfassung ist ein starkes Vertrauenssignal. Sensible technische oder kommerzielle Details können weggelassen werden; der Kern — Zweck, Rechtsgrundlage, Risiken, Abhilfemaßnahmen — ist veröffentlichbar.
Die Aufsichtsbehörde hat 8 Wochen Zeit, um eine schriftliche Stellungnahme abzugeben, bei komplexen Fällen um 6 Wochen verlängerbar. Sie kann nicht pauschal ein Veto einlegen, aber Abhilfemaßnahmen nach Artikel 58 einschließlich Verarbeitungsverboten erlassen. Planen Sie entsprechend — Fälle nach Artikel 36 benötigen einen Vorlauf von 3 Monaten vor dem Start.
RegulatoryBridge führt vollständige DPIAs durch — Schwellenwerttest, Konsultation der Beteiligten, Einbindung der Aufsichtsbehörde nach Artikel 36, wo erforderlich. Ein produktionsreifes Artefakt, das im Audit standhält.