Data Protection Impact Assessment (DPIA) Germany

Die Datenschutz-Folgenabschätzung (DSFA) in Deutschland ist in DSGVO Art. 35 (Datenschutz-Folgenabschätzung bei hohem Risiko) geregelt. Das Grundprinzip der DSFA besteht darin, vor Beginn einer risikoreichen Datenverarbeitung systematisch die Notwendigkeit, die Verhältnismäßigkeit und die Risiken des Vorhabens zu bewerten sowie geeignete technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO festzulegen, um diese Risiken auf ein akzeptables Niveau zu senken. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) hat in Deutschland auf Grundlage von Art. 35 Abs. 4 DSGVO eine verbindliche Liste von Verarbeitungsvorgängen veröffentlicht, für die stets eine DSFA durchzuführen ist. Zu diesen obligatorischen DSFA-Kategorien gehören unter anderem: systematische und umfangreiche Bewertung persönlicher Aspekte natürlicher Personen mittels automatisierter Verarbeitung einschließlich Profiling; umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO (Gesundheitsdaten, biometrische Daten, Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, Daten zum Sexualleben); systematische weiträumige Überwachung öffentlich zugänglicher Bereiche mittels Videoüberwachung, Drohnen oder vergleichbaren Technologien; sowie die Verwendung neuer Technologien, deren Datenschutzrisiken noch nicht vollständig beurteilbar sind.

Neben der DSK-Liste sind nach der Leitlinie der Artikel-29-Datenschutzgruppe (WP248, übernommen vom Europäischen Datenschutzausschuss, EDSA) folgende Kriterien zu berücksichtigen, von denen bei Erfüllung von zwei oder mehr Kriterien in der Regel eine DSFA erforderlich ist: Bewertung oder Einstufung von Personen (Scoring, Credit Scoring, Profiling); automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich erheblicher Auswirkung; systematische Überwachung; Verarbeitung sensibler Daten; umfangreiche Datenverarbeitung; Abgleich oder Kombination von Datensätzen aus verschiedenen Quellen; Verarbeitung von Daten schutzbedürftiger Personen (Kinder, Patienten, ältere Menschen, Beschäftigte); innovative Nutzung neuer technischer Lösungen; sowie die Verarbeitung, die Betroffene an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung oder der Erfüllung eines Vertrags hindert.

Die DSFA als Dokument muss nach Art. 35 Abs. 7 DSGVO mindestens enthalten: eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung; eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen; sowie die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren. Die Einbeziehung des Datenschutzbeauftragten (DSB) gemäß Art. 35 Abs. 2 DSGVO ist zwingend, soweit ein DSB nach Art. 37 DSGVO i.V.m. §38 BDSG bestellt ist. Die DSK und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) haben in Orientierungshilfen klargestellt, dass die DSFA keine einmalige Maßnahme, sondern ein kontinuierlicher Prozess ist, der bei Änderung der Verarbeitungsvorgänge zu wiederholen ist.

Eine Datenschutz-Folgenabschätzung in Deutschland ist nach Art. 35 Abs. 1 DSGVO immer dann zwingend erforderlich, wenn eine geplante Verarbeitungsart — insbesondere bei Verwendung neuer Technologien — aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen verursacht. Der Verantwortliche muss vor Beginn der Verarbeitung beurteilen, ob eine DSFA erforderlich ist — und diese Beurteilung dokumentieren.

Die DSK-Liste nach Art. 35 Abs. 4 DSGVO benennt für Deutschland folgende DSFA-pflichtige Kategorien:

Videoüberwachung öffentlich zugänglicher Räume im großen Maßstab: Jede Verarbeitungsmaßnahme, die zur Überwachung öffentlich zugänglicher Bereiche durch Kamerasysteme im größeren Umfang eingesetzt wird, z.B. City-CCTV-Systeme, Bahnhofs- oder Flughafenüberwachung, Drohnenaufnahmen im öffentlichen Raum, fällt unter die DSFA-Pflicht.

Biometrische Identifikationssysteme: Der Einsatz von Systemen zur Gesichtserkennung, Fingerabdruckerkennung, Irisscan oder anderen biometrischen Verfahren zur eindeutigen Identifizierung natürlicher Personen — sowohl im Zugangskontrollbereich als auch zu kommerziellen Zwecken — löst die DSFA-Pflicht aus.

Genauere Standortdaten und Bewegungsprofile: Die systematische Erfassung präziser Standortdaten über das Mobilfunknetz, GPS-Tracker, WLAN-Tracking oder Beacon-Technologien, die zur Erstellung von Bewegungsprofilen natürlicher Personen verwendet werden, erfordern eine DSFA.

Scoring und Profiling in Kreditwirtschaft und Versicherung: Die automatisierte Bonitätsbewertung durch Kreditinstitute unter Einbeziehung von SCHUFA-Daten oder anderen Datenquellen sowie die risikoorientierte Tarifierung durch Versicherungsunternehmen auf Basis persönlicher Verhaltens- oder Gesundheitsdaten fallen unter die DSFA-Pflicht.

Verarbeitung sensibler Daten durch Krankenhäuser, Arztpraxen, Apotheken: Die umfangreiche Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO durch Heilbehandler, Krankenhäuser, Pharmaunternehmen und Krankenversicherungen erfordert eine DSFA, insbesondere beim Einsatz digitaler Gesundheitsplattformen, Patientenportale oder Telemedizin-Systeme.

KI-gestützte Personalentscheidungen: Der Einsatz algorithmischer Systeme zur automatisierten Bewerbungsauswahl, Mitarbeiterperformancebewertung oder Potenzialanalyse im Beschäftigungsverhältnis — ein Bereich, in dem §26 BDSG und Art. 9 DSGVO zusammen zu berücksichtigen sind — löst die DSFA-Pflicht aus.

Telemedizin und digitale Gesundheits-Apps: Nach der Digitale-Versorgung-Gesetz (DVG) zugelassene digitale Gesundheitsanwendungen (DiGA) sowie Telemedizin-Plattformen, die Gesundheitsdaten der Patienten verarbeiten, müssen vor Inbetriebnahme eine DSFA durchführen.

SmartCity-Anwendungen und IoT-Infrastrukturen: Der Einsatz von Internet-of-Things-Technologien, Smart Meter, Smart-Home-Anwendungen und städtischen Sensornetzwerken, die das Verhalten oder die Gewohnheiten natürlicher Personen erfassen, erfordert eine DSFA, wenn die Verarbeitung einen größeren Personenkreis oder besonders sensible Lebensbereiche betrifft.

Eine rechtssichere Datenschutz-Folgenabschätzung in Deutschland nach Art. 35 DSGVO und den Orientierungshilfen der DSK und des EDSA muss folgende Kernbestandteile dokumentiert enthalten:

Beschreibung der Verarbeitungsvorgänge und Zwecke (Art. 35 Abs. 7 lit. a DSGVO): Die DSFA beginnt mit einer präzisen systematischen Beschreibung des geplanten Verarbeitungsvorhabens. Diese umfasst: Namen und Kontaktdaten des Verantwortlichen sowie ggf. des gemeinsam Verantwortlichen (Art. 26 DSGVO) und des Auftragsverarbeiters (Art. 28 DSGVO); die konkreten Verarbeitungszwecke und die jeweilige Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO (Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse, berechtigte Interessen); die Kategorien personenbezogener Daten; die Kategorien betroffener Personen; die Empfänger oder Empfängerkategorien; die geplante Speicherdauer; sowie die eingesetzten Technologien und Systeme.

Notwendigkeits- und Verhältnismäßigkeitsprüfung (Art. 35 Abs. 7 lit. b DSGVO): Zu bewerten ist, ob die Verarbeitungszwecke legitim und die Mittel notwendig und verhältnismäßig sind. Dabei fließen ein: die Geeignetheit der Verarbeitung zur Zweckerreichung; die Erforderlichkeit (kein milderes, gleich geeignetes Mittel vorhanden); die Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO; die Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO; sowie die Anforderungen an Qualität und Richtigkeit der Daten nach Art. 5 Abs. 1 lit. d DSGVO.

Risikobewertung (Art. 35 Abs. 7 lit. c DSGVO): Die Risikobewertung gliedert sich in die Identifikation der Bedrohungen und Gefährdungen (z.B. unbefugter Zugriff, Datenverlust, Manipulation, unbeabsichtigte Offenbarung), die Bewertung der Eintrittswahrscheinlichkeit und Schwere möglicher Schäden sowie die Einordnung in Risikoklassen (niedrig, mittel, hoch, sehr hoch). Relevante Schutzgüter sind nach BSI-Grundschutz und EDSA-Leitlinie: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme nach Art. 32 Abs. 1 lit. b DSGVO.

Abhilfemaßnahmen und TOMs (Art. 35 Abs. 7 lit. d DSGVO): Für jedes identifizierte Risiko sind konkrete technische und organisatorische Maßnahmen nach Art. 32 DSGVO festzulegen, zum Beispiel: Pseudonymisierung und Verschlüsselung nach Art. 32 Abs. 1 lit. a DSGVO; Zugangskontrollkonzepte (Role-Based Access Control, RBAC); Datenschutz-durch-Technik (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) nach Art. 25 DSGVO; Lösch- und Archivierungskonzepte nach Art. 5 Abs. 1 lit. e DSGVO; Verfahren zur regelmäßigen Überprüfung und Evaluierung (ISMS nach ISO 27001).

Konsultation des Datenschutzbeauftragten (DSB) gemäß Art. 35 Abs. 2 DSGVO: Wurde beim Verantwortlichen oder beim Auftragsverarbeiter ein DSB nach Art. 37 DSGVO i.V.m. §38 BDSG bestellt, ist dieser zwingend in die Erstellung der DSFA einzubeziehen. Der DSB prüft die Durchführung der DSFA, bewertet Methodik und Ergebnis und gibt eine schriftliche Stellungnahme ab, die als Anlage zur DSFA zu dokumentieren ist. Die Fachinformationen des BfDI und der Landesdatenschutzbehörden (z.B. Bayerisches Landesamt für Datenschutzaufsicht, BayLDA; Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, HmbBfDI) bieten hierzu praxisnahe Checklisten.

Ergebnis und Restrisikobewertung: Nach Festlegung der Abhilfemaßnahmen ist das verbleibende Restrisiko zu bewerten. Kann das Risiko nicht auf ein akzeptables Maß gesenkt werden, ist nach Art. 36 DSGVO eine vorherige Konsultation der zuständigen Datenschutzaufsichtsbehörde (Landesbeauftragte für Datenschutz, z.B. LfDI Baden-Württemberg, Berliner Beauftragte für Datenschutz und Informationsfreiheit, LfD Niedersachsen) durchzuführen, bevor die Verarbeitung aufgenommen wird. Das Portal forms-legal.com stellt dieses DSFA-Muster als Ausgangspunkt bereit. Verwandte Dokumente: Verzeichnis der Verarbeitungstätigkeiten nach DSGVO Art. 30 und Datenschutzerklärung für Websites nach DSGVO Art. 13.

Das Ausfüllen der Datenschutz-Folgenabschätzung in Deutschland erfordert eine strukturierte Vorgehensweise in mehreren Phasen, die dem Risikomanagementansatz der DSGVO und den Empfehlungen der DSK folgt.

Phase 1: Schwellenwertanalyse (Screening). Bevor die DSFA erstellt wird, ist zu prüfen, ob sie überhaupt erforderlich ist. Halten Sie fest: Ist die Verarbeitung auf der DSK-Liste nach Art. 35 Abs. 4 DSGVO gelistet? Erfüllt die Verarbeitung zwei oder mehr der EDSA-Kriterien aus WP248? Handelt es sich um eine neue Technologie oder ein neuartiges Verarbeitungsverfahren? Wenn ja, ist die DSFA verpflichtend; das Screening-Ergebnis ist schriftlich festzuhalten und dem Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO als Vermerk beizufügen.

Phase 2: Systembeschreibung und Scope-Definition. Beschreiben Sie das geplante Verarbeitungsvorhaben vollständig: Welche Daten werden von wem auf welcher Rechtsgrundlage zu welchen Zwecken verarbeitet? Welche Systeme, Dienstleister (Auftragsverarbeiter nach Art. 28 DSGVO) und Datenflüsse sind beteiligt? Erstellen Sie ggf. ein Datenflussdiagramm. Berücksichtigen Sie auch Drittstaatentransfers nach Art. 44–49 DSGVO; ist ein Drittlandtransfer geplant, sind die Standardvertragsklauseln (SCC) der Europäischen Kommission und ggf. ergänzende Transfer Impact Assessments (TIA) zu berücksichtigen.

Phase 3: Notwendigkeits- und Verhältnismäßigkeitsprüfung. Prüfen Sie Schritt für Schritt: Ist der Verarbeitungszweck legitim? Ist die Verarbeitung zur Zweckerreichung geeignet? Gibt es ein milderes, gleich geeignetes Mittel (Erforderlichkeit)? Stehen Eingriff in das Recht auf informationelle Selbstbestimmung und verfolgte Zwecke in einem angemessenen Verhältnis (Verhältnismäßigkeit i.e.S.)? Sind Datenminimierung, Zweckbindung und Speicherbegrenzung gewährleistet?

Phase 4: Risikoidentifikation und -bewertung. Identifizieren Sie systematisch alle Risiken für die Rechte und Freiheiten der betroffenen Personen. Nutzen Sie das BSI-IT-Grundschutz-Kompendium oder die ISO 27005 als methodische Grundlage. Bewerten Sie für jedes Risiko die Eintrittswahrscheinlichkeit (unwahrscheinlich / möglich / wahrscheinlich / sehr wahrscheinlich) und die Schwere der möglichen Konsequenzen (geringfügig / erheblich / schwerwiegend / sehr schwerwiegend). Erstellen Sie eine Risikomatrix und ordnen Sie jedes Risiko einer Klasse zu.

Phase 5: Maßnahmenplanung und TOMs. Definieren Sie für jedes Risiko geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO. Prüfen Sie insbesondere: Verschlüsselungsstandards (AES-256 für ruhende Daten, TLS 1.3 für Daten in Übertragung); Pseudonymisierungstechniken; Zugriffsberechtigungskonzepte; Protokollierungs- und Monitoringverfahren; Datenschutz-Folgenabschätzung bei Softwareänderungen (SDLC-Integration); sowie Mitarbeiterschulungen und Awareness-Maßnahmen.

Phase 6: Konsultation des DSB und Genehmigung. Legen Sie den DSFA-Entwurf dem Datenschutzbeauftragten vor (Art. 35 Abs. 2 DSGVO). Dokumentieren Sie dessen Stellungnahme — auch eine abweichende Meinung — als Anlage. Liegt nach Umsetzung der Maßnahmen noch ein hohes Restrisiko vor, konsultieren Sie die zuständige Datenschutzaufsichtsbehörde nach Art. 36 DSGVO. Die Konsultationsfrist beträgt gemäß Art. 36 Abs. 2 DSGVO acht Wochen, verlängerbar um weitere sechs Wochen bei komplexen Vorhaben.

Phase 7: Dokumentation und Fortschreibung. Die fertige DSFA ist zu unterzeichnen (Verantwortlicher und DSB), mit Datum zu versehen und sicher aufzubewahren. Nach Art. 35 Abs. 11 DSGVO ist die DSFA bei Bedarf — insbesondere bei Änderungen der Verarbeitung oder neuen Risiken — zu überprüfen und zu aktualisieren. Empfehlenswert ist ein Review-Zyklus von jährlich oder bei wesentlichen Systemänderungen.

Die rechtlichen Anforderungen an die Datenschutz-Folgenabschätzung in Deutschland ergeben sich aus der DSGVO, dem BDSG sowie den verbindlichen Leitlinien der DSK und des Europäischen Datenschutzausschusses (EDSA).

Pflicht zur Durchführung (Art. 35 Abs. 1–4 DSGVO): Die DSFA ist vor Aufnahme der Verarbeitung durchzuführen. Ein nachträgliches Nachholen befreit zwar von der Pflicht, nicht aber von möglichen Sanktionen für den Zeitraum pflichtwidriger Verarbeitung. Verantwortlich für die Durchführung ist nach Art. 4 Nr. 7 DSGVO der Verantwortliche, nicht der Auftragsverarbeiter — obwohl letzterer zur Unterstützung verpflichtet ist (Art. 28 Abs. 3 lit. f DSGVO).

Verbindliche DSK-Liste (Art. 35 Abs. 4 DSGVO): Die auf Grundlage von Art. 35 Abs. 4 DSGVO von der DSK veröffentlichte und von der Europäischen Kommission gebilligte Liste ist für alle in Deutschland tätigen Verantwortlichen verbindlich. Für Verarbeitungen auf dieser Liste entfällt die Prüfungspflicht nicht — sie besteht automatisch.

Sanktionen bei Nichtdurchführung (Art. 83 Abs. 4 lit. a DSGVO): Verstöße gegen Art. 35 DSGVO werden als Verstöße gegen Art. 83 Abs. 4 DSGVO eingestuft: Geldbußen bis zu 10.000.000,00 Euro oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres — je nachdem, welcher Betrag höher ist. Die deutschen Datenschutzaufsichtsbehörden haben in der Vergangenheit Bußgelder wegen fehlender DSFA verhängt; so verhängte der LfDI Baden-Württemberg 2020 ein Bußgeld gegen ein Unternehmen, das biometrische Zeiterfassungssysteme ohne vorherige DSFA eingeführt hatte.

Pflicht zur vorherigen Konsultation (Art. 36 DSGVO): Ergibt die DSFA, dass das Risiko auch nach Umsetzung aller vertretbaren Maßnahmen noch hoch ist, darf die Verarbeitung nicht aufgenommen werden, bevor die zuständige Datenschutzaufsichtsbehörde konsultiert wurde. In Deutschland sind je nach Bundesland zuständig: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) für Bundesbehörden und Unternehmen aus bestimmten regulierten Sektoren; die 16 Landesdatenschutzbeauftragten für die übrigen nicht-öffentlichen Stellen (z.B. LfDI Rheinland-Pfalz, Bayerisches Landesamt für Datenschutzaufsicht BayLDA).

Aufbewahrungspflicht und Nachweispflicht (Art. 5 Abs. 2, Art. 24 DSGVO): Die DSFA ist Teil der Rechenschaftspflicht (Accountability) des Verantwortlichen. Sie ist mindestens für die Dauer der Verarbeitung und eine angemessene Zeit danach aufzubewahren und der Aufsichtsbehörde auf Anfrage vorzulegen (Art. 58 Abs. 1 lit. a DSGVO). Empfohlen wird eine Aufbewahrungsdauer von mindestens 10 Jahren.

Fehler bei der Datenschutz-Folgenabschätzung in Deutschland können zu Bußgeldern, Verarbeitungsverboten durch die Datenschutzaufsichtsbehörde und Reputationsschäden führen.

Fehlendes Screening oder fehlerhafte Schwellenwertanalyse: Viele Verantwortliche unterlassen die Prüfung, ob eine DSFA erforderlich ist, oder führen sie unvollständig durch. Besonders häufig wird unterschätzt, dass bereits das Vorliegen von zwei EDSA-Kriterien nach WP248 eine DSFA auslösen kann — und nicht erst eine Verarbeitung auf der DSK-Liste.

Durchführung nach statt vor Verarbeitungsbeginn: Art. 35 Abs. 1 DSGVO verlangt die DSFA vor Aufnahme der Verarbeitung. Eine nachträgliche DSFA kommt — verglichen mit einer ordnungsgemäßen Vorab-DSFA — einer Pflichtverletzung für den Zeitraum zwischen Verarbeitungsbeginn und Abschluss der DSFA gleich und kann von Aufsichtsbehörden gebußt werden.

Unzureichende Risikobewertung ohne Methodik: Viele DSFA-Dokumente enthalten nur pauschale Risikoaussagen ohne methodische Grundlage. Art. 35 Abs. 7 lit. c DSGVO verlangt eine Bewertung der Risiken, die konkrete Schadensszenarien für betroffene Personen benennt und quantifiziert — und nicht bloß allgemeine Datenschutzrisiken für das Unternehmen.

Fehlende oder rein formale Einbeziehung des DSB: Gemäß Art. 35 Abs. 2 DSGVO muss der Datenschutzbeauftragte einbezogen werden. Viele Unternehmen beschränken diese Einbeziehung auf eine Unterzeichnung ohne inhaltliche Befassung. Die Aufsichtsbehörden prüfen im Rahmen von Kontrollen, ob der DSB tatsächlich beraten wurde.

Unterlassene Fortschreibung bei Systemänderungen: Art. 35 Abs. 11 DSGVO schreibt vor, dass die DSFA bei Bedarf zu überprüfen und zu aktualisieren ist. Technologische Änderungen, neue Datenquellen, neue Empfänger oder veränderte Risikobedingungen (z.B. neue Cyberangriffsmuster) erfordern eine Aktualisierung der DSFA — was in der Praxis häufig versäumt wird.