Wann ist eine DSGVO-Folgenabschätzung (DPIA) Pflicht?

Die drei Fix-Auslöser nach Art. 35 Abs. 3

Art. 35 Abs. 3 DSGVO listet drei Verarbeitungen, bei denen DPIA stets Pflicht ist — ohne weitere Einzelfallprüfung:

• lit. a — Systematische und umfassende Bewertung persönlicher Aspekte mit automatisierter Entscheidung und rechtlicher Wirkung. Klassisch: Credit Scoring, automatisierte HR-Bewerberauswahl, automatisierte Versicherungsbeitragsberechnung.
• lit. b — Verarbeitung besonderer Kategorien (Art. 9) oder strafrechtsbezogener Daten (Art. 10) in großem Umfang. "Großer Umfang" ist nicht zahlmäßig definiert — die EDSA empfiehlt Bewertung anhand: Zahl betroffener Personen, Datenvolumen, Verarbeitungsdauer, geografische Reichweite.
• lit. c — Systematische Überwachung öffentlich zugänglicher Bereiche in großem Umfang. Klassisch: Videoüberwachung großer Plätze, Smart-City-Sensorik, automatisierte Personenverfolgung in Einkaufszentren.

Bei einem dieser drei Auslöser ist die DPIA unabhängig von WP248-Kriterien Pflicht. Die Prüfung beginnt direkt mit Schritt 2 — Inhaltsanforderungen nach Art. 35 Abs. 7.

Die neun WP248-Kriterien

Außerhalb der drei Fix-Auslöser hat die Art.-29-Gruppe in ihrer Leitlinie WP248 (revidiert 2017) neun Risikokriterien definiert, ab denen "voraussichtlich hohes Risiko" anzunehmen ist. Praxis-Daumenregel: ab zwei erfüllten Kriterien ist die DPIA Pflicht; bei einem Kriterium ist sie zu empfehlen.

Die neun Kriterien:

1. Bewerten oder Einstufen (Scoring, Profiling): Bonitätsbewertung, Verhaltensanalyse, Vorhersagen.
2. Automatisierte Entscheidung mit Rechtswirkung: Entscheidungen, die rechtliche oder vergleichbar erhebliche Wirkung haben.
3. Systematische Überwachung: kontinuierliche Beobachtung des Verhaltens.
4. Vertrauliche oder höchstpersönliche Daten: einschließlich Art. 9, Art. 10, Finanzen, Kommunikationsinhalte.
5. Datenverarbeitung in großem Umfang: zahl- und volumenmäßig groß.
6. Verknüpfung oder Zusammenführung von Datensätzen: aus unterschiedlichen Quellen, zu einem Zweck, der nicht ursprünglich vorhergesehen war.
7. Daten zu schutzbedürftigen betroffenen Personen: Kinder, Patienten, Arbeitnehmer, Asylsuchende.
8. Innovative Nutzung oder Anwendung neuer technologischer Lösungen: Biometrie, Smart Devices, IoT, KI.
9. Verhinderung einer Rechts- oder Vertragsausübung: Verarbeitungen, die Personen den Zugang zu Verträgen oder Dienstleistungen verwehren können (Cashless-Society-Aspekte, Black-Listing).

Die deutsche Muss-Liste

Die BfDI und die Landesaufsichten haben in Abstimmung der DSK eine Liste von Verarbeitungen veröffentlicht, bei denen DPIA immer Pflicht ist. Aktuelle Stichworte aus der Liste:

• Verarbeitung biometrischer Daten zur eindeutigen Identifikation in nicht-staatlichem Kontext.
• Umfangreiche Bonitätsprüfung mit Scoring.
• Big-Data-Analysen mit Kombination unterschiedlicher Quellen.
• Verarbeitung von Patienten- und Gesundheitsdaten in Krankenhäusern, Großpraxen oder telemedizinischen Diensten.
• Beschäftigtendatenverarbeitung mit umfassendem Monitoring (Tastatur-Logger, Kamera-Überwachung am Arbeitsplatz).
• Mobilitätsdaten in Echtzeit (Fahrzeug-Telematik, Connected Car).
• Smart-Home- und IoT-Datenverarbeitungen mit Profilbildung.
• KI-basierte Bewertung von Menschen — explizit auch zum Schutz-Schwerpunkt der DPIA-Praxis 2024-2026.

Wer eine Verarbeitung plant, die einen der Listenpunkte erfüllt, sollte die DPIA verbindlich einplanen — die Aufsicht erwartet sie.

Die deutsche Kann-Liste (DPIA-Verzicht möglich)

Es gibt auch Negativ-Listen — Verarbeitungen, bei denen DPIA nicht zwingend ist:

• Verarbeitungen, die auf Grundlage einer Rechtsvorschrift erfolgen und im Rahmen der Vorschrift bereits einer öffentlichen Risikoabschätzung unterlagen.
• Standard-Personalverwaltung in kleinen Unternehmen (Stammdaten, Lohnbuchhaltung) ohne KI- oder Profilbildungs-Komponenten.
• Newsletter-Versand mit Einwilligung und einfacher Empfänger-Datenbank.
• Klassische Buchhaltung und Vertragsverwaltung.

Die Kann-Liste ist nie abschließend — sie schließt nicht aus, dass die konkrete Ausgestaltung dennoch DPIA-pflichtig wird (z.B. Newsletter mit personalisierten Empfehlungen via Profiling).

Inhalte der DPIA — was muss drin stehen?

Art. 35 Abs. 7 DSGVO listet vier Pflichtbestandteile:

• Systematische Beschreibung der Verarbeitungsvorgänge und ihrer Zwecke — einschließlich des verfolgten berechtigten Interesses, sofern relevant.
• Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in Bezug auf die Zwecke.

Detail

• Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen.
• Geplante Abhilfemaßnahmen einschließlich technischer und organisatorischer Maßnahmen.

In der Praxis kommen weitere Bestandteile hinzu: Konsultation der betroffenen Personen oder ihrer Vertreter (Art. 35 Abs. 9), Stellungnahme des Datenschutzbeauftragten, Verweis auf die einschlägigen WP248-Kriterien, Wiedervorlage-Termin.

Konsultation der Aufsicht (Art. 36)

Wenn die DPIA ein verbleibendes hohes Risiko ergibt — also auch nach allen Abhilfemaßnahmen —, muss der Verantwortliche die Aufsicht vorab konsultieren (Art. 36 DSGVO).

Die Konsultation läuft schriftlich. Die Aufsicht hat acht Wochen (verlängerbar um sechs) zur Antwort. Möglich sind:

• Keine Beanstandung — Verarbeitung kann starten.
• Empfehlungen — Aufsicht schlägt zusätzliche Maßnahmen vor.
• Untersagung — Aufsicht verbietet die Verarbeitung in der vorgesehenen Form.

In der deutschen Praxis kommen Konsultationen vor allem bei innovativen Verarbeitungen vor — KI-basierte Personalauswahl, Smart-City-Pilotprojekte, biometrische Identifikation in großem Maßstab. Die Aufsichten dokumentieren ihre Stellungnahmen teilweise im Tätigkeitsbericht.

Praxis: Schritt-für-Schritt-Entscheidungsbaum

Entscheidungsbaum in dieser Reihenfolge:

1. Fix-Auslöser nach Art. 35 Abs. 3? Ja → DPIA Pflicht. Nein → weiter.
2. Deutsche Muss-Liste? Ja → DPIA Pflicht. Nein → weiter.
3. WP248-Kriterien: Wie viele erfüllt? Zwei oder mehr → DPIA Pflicht. Eines → DPIA empfohlen, schriftliche Begründung wenn Verzicht. Keines → DPIA nicht Pflicht, aber Schriftliche Negativ-Prüfung dokumentieren.
4. Bei DPIA-Pflicht: alle vier Pflichtbestandteile nach Art. 35 Abs. 7 abarbeiten, DSB einbeziehen.
5. Bei verbleibendem hohem Risiko: Aufsicht nach Art. 36 konsultieren.
6. Wiedervorlage: jährlich oder bei wesentlicher Änderung.

FAQ

Wer ist verantwortlich für die DPIA-Durchführung?

Der Verantwortliche (Art. 4 Nr. 7 DSGVO) — also typischerweise das Unternehmen oder die Behörde. Der Datenschutzbeauftragte (DSB) berät und überwacht die DPIA-Erstellung, führt sie aber nicht selbst durch (Art. 39 Abs. 1 lit. c). Auftragsverarbeiter unterstützen den Verantwortlichen mit Informationen — die Verantwortung bleibt beim Verantwortlichen.

Wie lange dauert eine DPIA?

Bei einer einfachen Verarbeitung mit klarer Risikolage: zwei bis vier Personen-Wochen über zwei Monate verteilt. Bei komplexen Verarbeitungen (KI-basiert, mehrere Stakeholder, Drittland-Komponenten): zwei bis sechs Monate. Wichtig ist, dass die DPIA vor Beginn der Verarbeitung abgeschlossen ist — Art. 35 Abs. 1 verlangt das ausdrücklich.

Was passiert, wenn ich keine DPIA durchführe, obwohl ich müsste?

Verstoß gegen Art. 35 DSGVO. Bußgelder nach Art. 83 Abs. 4 lit. a — bis zu 10 Mio. € oder 2 % Konzernumsatz. In der deutschen Bußgeldpraxis wurden Verstöße gegen DPIA-Pflicht in 2024-2026 mehrfach mit mittleren fünfstelligen Beträgen geahndet. Hinzu kommt das Risiko, dass die Aufsicht die Verarbeitung untersagt — was operationelle Folgen hat.

Kann ich eine DPIA für mehrere ähnliche Verarbeitungen kombinieren?

Ja. Art. 35 Abs. 1 letzter Satz lässt eine einzige DPIA für mehrere ähnliche Verarbeitungen zu — sofern die Risikolagen vergleichbar sind. Klassischer Anwendungsfall: ein Konzern, der dasselbe HR-System in mehreren Tochterfirmen einsetzt — eine DPIA reicht, mit Anhang für lokale Spezifika.