Datenschutz-Folgenabschaetzung - wann und wie

≈ 2 min
management

Eine Datenschutz-Folgenabschätzung (DPIA — Data Protection Impact Assessment) klingt nach Behörden-Bürokratie. Für Entwickler ist sie ein strukturierter Prozess um Datenschutzrisiken frühzeitig zu identifizieren.

Wann eine DPIA Pflicht ist

Art. 35 DSGVO: wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.

  • Indikatoren die auf eine DPIA hindeuten:
  • Systematische und umfangreiche Verarbeitung besonderer Kategorien (Gesundheit, politische Meinung, biometrische Daten)
  • Systematische Überwachung öffentlich zugänglicher Bereiche (Videoüberwachung)
  • Automatisierte Entscheidungsfindung mit erheblichen Auswirkungen
  • Neue Technologien in großem Maßstab

Für eine normale Webanwendung mit Login und Bestellhistorie: typischerweise keine DPIA nötig.
Für eine App die Standortdaten trackt oder Kreditwürdigkeit bewertet: ja.

Der Prozess

1. Verarbeitungsvorgang beschreiben

Was wird verarbeitet, von wem, zu welchem Zweck?

System: Personalverwaltung
Daten: Name, Adresse, Gehalt, Krankenstandszeiten
Zweck: Gehaltsabrechnung, Arbeitszeiterfassung
Empfänger: Steuerberater, Krankenkasse
Speicherdauer: 10 Jahre (gesetzliche Aufbewahrungspflicht)

2. Notwendigkeit und Verhältnismäßigkeit prüfen

Werden wirklich alle erhobenen Daten gebraucht?
Gibt es weniger eingriffsintensive Alternativen?

3. Risiken identifizieren

Was kann schiefgehen?

| Risiko | Eintritt | Schaden | Gesamt |
|---|---|---|---|
| Datenbankzugriff durch Angreifer | mittel | hoch | hoch |
| Versehentliche Weitergabe | niedrig | mittel | niedrig |
| Datenverlust ohne Backup | niedrig | hoch | mittel |

4. Maßnahmen definieren

Für jedes identifizierte Risiko: konkrete technische oder organisatorische Maßnahme.

Risiko: Datenbankzugriff durch Angreifer
Maßnahme 1: Verschlüsselung sensitiver Felder at rest
Maßnahme 2: Datenbankzugriff nur über VPN
Maßnahme 3: Separate DB-User mit Minimal-Rechten
Restrisiko nach Maßnahmen: niedrig

5. Ergebnis dokumentieren

Die DPIA selbst ist ein Dokument das aufbewahrt wird. Bei Beschwerden oder Audits zeigt es dass man das Risiko systematisch bewertet hat.

Praktischer Wert für Entwickler

Auch ohne Pflicht zur formalen DPIA ist der Gedankenprozess nützlich: Welche Daten erhebe ich, wozu, was kann schiefgehen? Wer das vor dem Bauen durchdenkt baut datenschutzfreundlicher als wer es nach der Fertigstellung nachträglich aufdrückt.