Sobald du Datenverarbeitungen planst, die ein hohes Risiko für die Rechte und Freiheiten von Personen darstellen können, bist du verpflichtet, eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) durchzuführen. Unsere Datenschutz-Folgenabschätzung Anleitung zeigt dir Schritt für Schritt, wie du mögliche Risiken aufdeckst, geeignete Schutzmaßnahmen definierst und deine Ergebnisse für Behörden dokumentierst. Egal ob du neue KI-Systeme, umfangreiche Tracking-Verfahren oder den Einsatz biometrischer Daten planst: Mit einer sorgfältigen DPIA reduzierst du Fehlerquellen, stärkst das Vertrauen deiner Kunden und vermeidest teure Bußgelder.
Bulletpoints – Datenschutz-Folgenabschätzung Anleitung
- Vorlage nutzen: Viele Datenschutzbehörden bieten DPIA-Muster
- Interdisziplinär: Ziehe IT, Fachabteilung, Datenschutzbeauftragten hinzu
- Kontinuierlich aktualisieren: Bei Änderungen in der Verarbeitung oder neuen Tools
- Keine Panik: Auch kleine Unternehmen können eine DPIA umsetzen, wenn sie ein Risiko erkennen
1. Was ist eine Datenschutz-Folgenabschätzung (DPIA)?
Eine DPIA ist ein strukturiertes Verfahren, das vorab einschätzt, wie kritisch eine geplante oder bestehende Datenverarbeitung ist. Beispiele:
- Großflächiges Profiling in Online-Shops, das Kaufverhalten detailliert analysiert.
- Gesundheits- oder Biometriedaten in medizinischen Apps oder Zugangskontrollen.
- Umfassendes Mitarbeiter-Tracking, z. B. GPS in Firmenfahrzeugen + Zeit- und Leistungserfassung.
Die DSGVO schreibt vor, dass du bei „voraussichtlich hohem Risiko“ eine DPIA durchführst (Art. 35 DSGVO). Das soll sicherstellen, dass du rechtzeitig Gegenmaßnahmen triffst, um Datenschutzverletzungen zu verhindern.
2. Wann ist eine DPIA Pflicht?
- Sensible Daten (gesundheitliche Infos, genetische, biometrische Daten)
- Umfassendes Profiling (z. B. AI-basierte Score-Bildung für Kredite)
- Videoüberwachung öffentlicher Bereiche
- Systematische Verarbeitung in großem Umfang
Nationale Datenschutzbehörden führen „Blacklists“ oder „Whitelists“, welche Szenarien eine DPIA erfordern. Im Zweifel lieber einmal zu viel eine DPIA machen als gar nicht – das mindert dein Risiko erheblich.
3. Schritte für eine erfolgreiche DPIA
1. Beschreibung der Verarbeitung
Lege genau dar, welche Daten du erfasst, zu welchem Zweck, in welchem Umfang und wie lange du sie speicherst. Beschreibe auch die technischen und organisatorischen Abläufe (z. B. Software, Schnittstellen).
2. Risikoanalyse
Identifiziere mögliche Risiken für Betroffene: unbefugter Zugriff, Datenlecks, Diskriminierung durch Algorithmusentscheidungen, Identitätsdiebstahl etc. Bewerte die Schwere und Eintrittswahrscheinlichkeit.
3. Bewertung der Notwendigkeit und Verhältnismäßigkeit
Hinterfrage, ob du wirklich alle Daten brauchst (Datensparsamkeit) und ob deine Zwecke legitim sind.
4. Maßnahmen definieren
Lege fest, wie du Risiken reduzierst. Das kann sein: Verschlüsselung, Pseudonymisierung, Zugriffsbeschränkungen, Protokollierung. Auch organisatorische Schritte wie Mitarbeiterschulungen sind wichtig.
5. Dokumentation und Freigabe
Halte alle Ergebnisse schriftlich fest. Stufe das Restrisiko ein. Wenn es trotz Maßnahmen hoch bleibt, konsultiere ggf. die Aufsichtsbehörde.
4. Typische Risiken und Gegenmaßnahmen
- Datenklau durch Hacker: -> Sichere Passwörter, Firewalls, regelmäßige Penetrationstests
- Fehlentscheidungen durch KI: -> Transparente Algorithmen, Bias-Tests, menschliche Kontrollinstanzen
- Versehentliches Weiterleiten: -> Zugriffsrechte nach Rolle (Need-to-know), Sensibilisierung der Mitarbeiter
- Unverhältnismäßige Profilbildung: -> Prüfe, ob du alle Merkmale wirklich brauchst, verarbeite lieber pseudonymisiert
5. Warum ist eine DPIA mehr als nur Bürokratie?
Vertrauensaufbau: Zeige Stakeholdern, dass du sorgfältig prüfst, ob Datenverarbeitung sicher ist.
Rechtliche Absicherung: Bei einer Prüfung kannst du beweisen, dass du mögliche Risiken erkannt und Gegenmaßnahmen umgesetzt hast.
Verbesserte Prozesse: Eine saubere DPIA enthüllt auch ineffiziente Schritte oder Daten, die du gar nicht wirklich benötigst.
FAQ
Das hängt von der Komplexität ab. Eine einfache DPIA für ein mittleres Projekt kann wenige Tage beanspruchen, komplexe KI-Systeme brauchen vielleicht mehrere Wochen.
Nur, wenn nach deiner Analyse ein hohes Restrisiko übrig bleibt und du keine effektiven Gegenmaßnahmen findest. Dann ist eine Konsultation vorgeschrieben.
Ja, wenn du feststellst, dass dein bisheriges System ein hohes Risiko birgt, solltest du eine nachträgliche DPIA durchführen.
