DPIA: Wann eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO Pflicht wird

Eine Datenschutz-Folgenabschätzung (DPIA, deutsch DSFA) ist nach Art. 35 Abs. 1 DSGVO immer dann durchzuführen, wenn eine Form der Verarbeitung – insbesondere bei Verwendung neuer Technologien – aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Pflicht trifft den Verantwortlichen, nicht erst die Aufsichtsbehörde, und sie greift vor Aufnahme der Verarbeitung.

In der Praxis liegen die Streitfragen weniger im Wortlaut der Norm als in der Auslegung der drei Kriterien: Wann ist ein Risiko „voraussichtlich hoch“, welche Verarbeitungen stehen auf den Muss-Listen der Aufsichtsbehörden, und wer dokumentiert das Ergebnis prüffest? Dieser Beitrag liefert die Schwellenwerte, die operativen Prüfschritte und die Rolle des Datenschutzbeauftragten bis zur abgelegten Bestellurkunde.

Art. 35 Abs. 1 DSGVO verpflichtet den Verantwortlichen, vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen, sobald eine Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat“. Maßgeblich ist die ex-ante-Sicht: Die Pflicht entsteht vor Aufnahme der Verarbeitung, nicht nach einem Vorfall.

Art. 35 Abs. 3 DSGVO nennt drei Regelbeispiele, bei denen eine DPIA „insbesondere“ erforderlich ist: erstens die systematische und umfassende Bewertung persönlicher Aspekte mit Rechtswirkung oder ähnlicher erheblicher Beeinträchtigung (Profiling, Scoring), zweitens die umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9 oder von Daten zu Straftaten nach Art. 10, drittens die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche, etwa durch Videoüberwachung.

Art. 35 Abs. 4 ergänzt diese Regelbeispiele um Muss-Listen: Die zuständige Aufsichtsbehörde – in Deutschland die Landesdatenschutzbehörden – erstellt und veröffentlicht eine Liste der Verarbeitungsvorgänge, für die eine DPIA durchzuführen ist. Diese Listen sind bindend; sie ersetzen die einzelfallbezogene Schwellenwert-Prüfung. Wer Klarheit zur Bestellung benötigt, findet die Anforderungen an den externen Datenschutzbeauftragten auf der Rollenseite.

Der Europäische Datenschutzausschuss (EDSA), Rechtsnachfolger der Art.-29-Gruppe, hat in den Leitlinien WP 248 rev.01 neun Kriterien benannt, anhand derer sich ein hohes Risiko bestimmen lässt. Treffen zwei oder mehr Kriterien zu, gilt eine DPIA in der Regel als erforderlich. Treffen drei oder mehr zu, gilt sie als unstrittig erforderlich.

Die neun Kriterien lauten verkürzt: Bewertung oder Scoring, automatisierte Entscheidungsfindung mit Rechtswirkung, systematische Überwachung, vertrauliche oder hochsensible Daten, Datenverarbeitung in großem Umfang, Abgleich oder Zusammenführung von Datensätzen, Daten besonders schutzbedürftiger Betroffener (Kinder, Arbeitnehmer, Patienten), innovative Nutzung neuer technologischer oder organisatorischer Lösungen, Verarbeitung, die Betroffene an der Ausübung eines Rechts oder der Inanspruchnahme einer Dienstleistung hindert.

Praktisch bedeutet das: Ein klassisches CRM mit Standard-E-Mail-Marketing trifft selten zwei Kriterien. Eine KI-gestützte Bewerber-Vorauswahl trifft regelmäßig vier (Scoring, automatisierte Entscheidung, schutzbedürftige Gruppe, neue Technologie) und löst die DPIA-Pflicht aus. Die Schwellenwert-Prüfung sollte dokumentiert werden, auch wenn sie negativ ausfällt. Die Aufsichtsbehörde fragt im Prüfungsfall, warum eine Verarbeitung als nicht-DPIA-pflichtig eingestuft wurde. Frist läuft ab Kenntnis.

Die deutsche Datenschutzkonferenz (DSK) hat eine bundesweit weitgehend harmonisierte Muss-Liste nach Art. 35 Abs. 4 DSGVO veröffentlicht, die von den Landesbehörden übernommen wurde. Steht eine Verarbeitung auf dieser Liste, ist die DPIA ohne weitere Schwellenwert-Prüfung verpflichtend.

Zu den gelisteten Verarbeitungen zählen unter anderem: umfangreiche Verarbeitung biometrischer Daten zur eindeutigen Identifizierung, umfangreiche Verarbeitung genetischer Daten, KI-gestützte Bewerberauswahl und Mitarbeiterprofiling, umfangreiches Mitarbeiter-Monitoring (Keystroke, Screen-Recording), Telematik-Systeme zur Verhaltensbeobachtung, Bonitäts-Scoring, anonyme Hinweisgebersysteme mit personenbezogenen Folgewirkungen, umfangreiche Patientenakten-Verarbeitung außerhalb der Behandlung, datenintensive Smart-Home-Lösungen mit Verhaltensprofilen.

Wichtig ist, dass die Listen nicht abschließend sind. Eine Verarbeitung, die nicht auf der Muss-Liste steht, kann gleichwohl DPIA-pflichtig sein, wenn die neun EDSA-Kriterien zutreffen. Umgekehrt sieht Art. 35 Abs. 5 DSGVO ausdrücklich Negativlisten vor – Verarbeitungen, für die keine DPIA erforderlich ist. Diese Liste ist in Deutschland deutlich kürzer und in der Praxis selten einschlägig. Verantwortliche sollten daher auf die Muss-Liste der für sie zuständigen Landesbehörde zugreifen und diese mit dem eigenen Verzeichnis der Verarbeitungstätigkeiten abgleichen. Eine zentrale Übersicht weiterer Pflichtfragen liefert die CIVAC-FAQ-Seite.

Art. 35 Abs. 7 DSGVO benennt vier Mindestinhalte, ohne die eine DPIA als nicht ordnungsgemäß durchgeführt gilt. Erstens: eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der vom Verantwortlichen verfolgten berechtigten Interessen.

Zweitens: eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck. Hier ist zu prüfen, ob ein milderes Mittel zur Verfügung steht. Drittens: eine Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen nach Art. 35 Abs. 1. Die Risikobewertung folgt der klassischen Matrix aus Eintrittswahrscheinlichkeit und Schadensschwere.

Viertens: die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird. Dazu gehören technische Maßnahmen (Verschlüsselung, Pseudonymisierung, Zugriffsbeschränkung) und organisatorische Maßnahmen (Schulungen, Rollen-Trennung, Lösch- und Aufbewahrungsfristen). Die Maßnahmen müssen das verbleibende Restrisiko unter die Schwelle „hoch“ drücken. Gelingt das nicht, wird die Aufsichtsbehörde nach Art. 36 DSGVO konsultiert – mit Wartepflicht bis zur Stellungnahme. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Art. 35 Abs. 2 DSGVO verpflichtet den Verantwortlichen, den Rat des Datenschutzbeauftragten (DSB) einzuholen, sofern ein solcher benannt ist. Diese Einbindung ist nicht optional und nicht informell. Der DSB prüft Methodik, Vollständigkeit, Bewertungstiefe und die Angemessenheit der vorgeschlagenen Schutzmaßnahmen.

Art. 39 Abs. 1 lit. c DSGVO konkretisiert die Beratungspflicht: Der DSB überwacht auf Anfrage die Durchführung einer DPIA gemäß Art. 35. In der Praxis übernimmt der DSB häufig die Moderation des DPIA-Prozesses, koordiniert IT, Fachabteilung, Auftragsverarbeiter und Betriebsrat und stellt sicher, dass die Pflichtinhalte vollständig adressiert werden.

Die Konsultation des DSB ist Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Sie gehört dokumentiert in die DPIA-Akte: wann beraten, mit welchem Ergebnis, ob den Empfehlungen gefolgt wurde, und wenn nicht, mit welcher Begründung. Bei externen DSB läuft die Beratungsleistung über die Bestellurkunde und das Dienstleistungsverhältnis. Die Aufsichtsbehörde prüft im Zweifel beide Seiten: die fachliche Tiefe der Beratung und die Reaktion der Geschäftsleitung. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Ergibt eine DPIA, dass die geplante Verarbeitung trotz aller vorgesehenen Maßnahmen ein hohes Restrisiko zur Folge hätte, ist die zuständige Aufsichtsbehörde vor Beginn der Verarbeitung nach Art. 36 Abs. 1 DSGVO zu konsultieren. Die Vorabkonsultation ist nicht mit der Meldung einer Datenschutzverletzung nach Art. 33 zu verwechseln.

Art. 36 Abs. 3 DSGVO listet die einzureichenden Unterlagen: Verantwortlichkeitsstruktur, Verarbeitungszwecke und -mittel, geplante Maßnahmen und Garantien zum Schutz der Rechte der Betroffenen, Kontaktdaten des DSB, die DPIA selbst sowie sonstige von der Aufsichtsbehörde angeforderte Informationen. Die Behörde hat nach Art. 36 Abs. 2 acht Wochen Zeit für eine schriftliche Empfehlung. Bei komplexen Verarbeitungen kann sie die Frist um sechs Wochen verlängern.

Während der Konsultationsphase ruht die Verarbeitung. Wer trotzdem startet, riskiert Anordnungen nach Art. 58 Abs. 2 DSGVO bis hin zur Verarbeitungsuntersagung und Bußgelder nach Art. 83 Abs. 4 lit. a DSGVO: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Praktisch werden Vorabkonsultationen in Deutschland selten genutzt, weil die meisten Verantwortlichen über die DPIA-Maßnahmen das Restrisiko bewusst unter die Schwelle drücken. Wer eine Vorabkonsultation tatsächlich braucht, sollte mindestens zehn Wochen Vorlauf einplanen.

Eine DPIA ist kein einmaliges Dokument. Art. 35 Abs. 11 DSGVO verlangt vom Verantwortlichen, eine Überprüfung durchzuführen, „um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird, zumindest wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind“.

Auslöser für eine Aktualisierung sind unter anderem: Änderung des Verarbeitungszwecks, neue Datenkategorien, neue Empfänger oder Auftragsverarbeiter, Wechsel der Rechtsgrundlage, Einsatz neuer Technologien (z. B. Generative-KI-Komponenten), Übermittlung in Drittländer ohne Angemessenheitsbeschluss, Vorfälle nach Art. 33/34 DSGVO mit Bezug zur Verarbeitung, neue Leitlinien des EDSA oder bindende Vorgaben der zuständigen Behörde.

Empfehlenswert ist eine turnusmäßige Überprüfung mindestens alle 24 Monate, dokumentiert mit Datum, Prüfer, Ergebnis und gegebenenfalls Aktualisierungsnotwendigkeit. Die DPIA selbst sollte ein Änderungsverzeichnis enthalten. Bei systemischen Änderungen – etwa der Einführung KI-gestützter Komponenten unter dem EU AI Act – kann eine vollständige Neufassung erforderlich sein. Mehr zur Schnittstelle zwischen DSGVO und KI-Verordnung findet sich in den CIVAC-Hinweisen zum EU AI Act. Der Prüfer ruft an, der Nachweis liegt bereit.

Wer den Schwellenwert in der Praxis bewerten will, profitiert von typisierten Fallgruppen. Beispiel HR-Tech: Eine Personal-Software, die Bewerbungen mit KI-gestütztem Scoring vorsortiert und Empfehlungen für die Personalabteilung erzeugt, trifft die Kriterien Scoring, automatisierte Entscheidungsfindung, schutzbedürftige Gruppe und neue Technologie. DPIA-Pflicht eindeutig.

Beispiel Gesundheit: Eine Patienten-App, die Vitalparameter sammelt und einem Arzt übermittelt, verarbeitet Gesundheitsdaten nach Art. 9 DSGVO im großen Umfang. DPIA-Pflicht regelmäßig, abhängig von Nutzerzahl, Datenfluss und Empfängerkreis. Beispiel Mitarbeiter-Monitoring: Telematik-Systeme im Außendienst, die Position, Geschwindigkeit und Pausenzeiten erfassen, treffen umfassende Überwachung und schutzbedürftige Gruppe (Arbeitnehmer). DPIA-Pflicht in den deutschen Muss-Listen explizit benannt.

Beispiel Videoüberwachung: Eine Kamera am Mitarbeitereingang ohne tonale Erfassung trifft Überwachung, schutzbedürftige Gruppe und systematische Verarbeitung. Hier kommt es auf Umfang und Zweckbindung an. Eine punktuelle Zutrittskontrolle ohne Verhaltensprofil ist in Grenzfällen nicht DPIA-pflichtig; eine flächendeckende Beobachtung der Arbeitsbereiche regelmäßig schon. Beispiel Newsletter: Standardisierter Versand mit Double-Opt-In, ohne Profiling und ohne Drittlandtransfer, trifft kaum ein Kriterium. Keine DPIA-Pflicht, aber Dokumentation der Verneinung empfohlen. Audit-fest, dokumentiert, § 35-fest.

Die DPIA ist ein operativer Standardprozess, kein juristisches Sonderprojekt. Wer mit hoher Verarbeitungsfrequenz arbeitet – KI-Einführungen, neue Marketing-Stacks, HR-Tech, IoT –, braucht ein Vorgehen, das Schwellenwert-Prüfung, Risikobewertung, DSB-Konsultation und Wiedervorlage in einem System trägt. CIVAC betreibt dafür eine Compliance-Plattform und Officer-as-a-Service: 37 einsatzbereite Audit-Vorlagen, ein DPIA-Workflow mit den neun EDSA-Kriterien als Filter, die Bestellurkunde des DSB sauber abgelegt, das Verzeichnis der Verarbeitungstätigkeiten daneben.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten – oder lassen Sie unsere Beauftragten bestellen. Beide Wege münden in den gleichen Nachweis: Schwellenwert geprüft, DPIA durchgeführt, Maßnahmen umgesetzt, Wiedervorlage gesetzt. Der Workspace nutzt EU-Datenresidenz und ein ISO 27001:2022 ISMS, damit die Aufsichtsbehörde keine Nebenkriegsschauplätze findet.

Aus dem Lesen einen Auftrag machen. Wer eine konkrete Verarbeitung gegen den Schwellenwert prüfen lassen oder ein DPIA-Backlog aufarbeiten will, schreibt an info@civac.de oder nutzt das Kontaktformular. Wir melden uns innerhalb von zwei Werktagen mit einer Einschätzung und einem Vorschlag, ob Workspace, externer DSB oder beide Modelle der richtige Weg sind.