DPIA — Data Protection Impact Assessment: wann ja, wann nicht?

Eine DPIA klingt nach etwas für große Konzerne. Für KMU ist sie selten nötig — aber in bestimmten Situationen unumgänglich. Hier der Entscheidungsbaum.

Eine DPIA ist eine strukturierte Risikoanalyse bei Verarbeitungen mit hohem Datenschutzrisiko. Die Aufsichtsbehörde hat eine Liste von Situationen veröffentlicht, in denen eine DPIA verpflichtend ist.

Wann ist sie verpflichtend?

\n
• Umfangreiche Verarbeitung „besonderer Kategorien" (Gesundheitsdaten, ethnische Herkunft, Religion).
\n
• Systematische Beobachtung öffentlich zugänglicher Bereiche (Kameraüberwachung an zentralen Standorten).
\n
• Profiling mit Rechtswirkung für Betroffene (automatisierte Entscheidungsfindung).
\n
• Biometrie zur Identifikation (Fingerabdruck-Sperre, Gesichtserkennung).
\n
• Umfangreiches Standort-Tracking.
\n
• Verknüpfung von personenbezogenen Daten aus verschiedenen Quellen (Data-Matching).
\n

Wann wahrscheinlich nicht?

\n
• Standard-HR-Verwaltung.
\n
• Standard-Kunden-CRM.
\n
• Rechnungsstellung.
\n
• Newsletter mit ausdrücklicher Einwilligung.
\n

Wie führt man eine DPIA durch?

\n
1. Beschreibung der Verarbeitung: Zweck, Methode, betroffene Daten.
\n
2. Beurteilung von Notwendigkeit und Verhältnismäßigkeit.
\n
3. Risikoidentifikation für Betroffene.
\n
4. Maßnahmen zur Risikominderung.
\n
5. Restrisiko und abschließende Bewertung.
\n

Mit wem stimmt man sich ab?

\n
• Datenschutzbeauftragter (DSB), sofern vorhanden.
\n
• Betroffene (Arbeitnehmervertretung bei HR-Verarbeitungen).
\n
• Geschäftsführung zeichnet ab.
\n

Vorherige Konsultation der Aufsichtsbehörde

Bei einem signifikanten Restrisiko nach der DPIA: Die Aufsichtsbehörde muss zwingend konsultiert werden, BEVOR die Verarbeitung beginnt. Typische Bearbeitungsdauer: 6–10 Wochen.

Siehe auch: GDPR-Übersicht, Risikomanagement.