DPIA (Data Protection Impact Assessment)

Kurz erklärt

DPIA = Data Protection Impact Assessment (deutsch: Datenschutz-Folgenabschätzung nach DSGVO Art. 35). Für bestimmte Prozesse verpflichtend; Ergebnis und Rest-Risiken werden dokumentiert.
Siehe im Leitfaden.

Beispiele

• Profilbildende Scorings im Recruiting
• Neue Tools mit umfangreicher Datenverarbeitung
• Kombination mehrerer Datenquellen (z. B. HR (Human Resources) + Testplattform)

Praxis-Tipps

• Früh starten, damit Maßnahmen vor Go-Live wirken
• Datenschutz/IT-Sicherheit einbinden; Betroffenenrechte prüfen
• Aufbewahrung, Löschung, Zugriffe und Rechtsgrundlage dokumentieren

Rechtsgrundlagen (EU AI Act)

• Art. 26(9) (Deployers nutzen Infos aus Art. 13 zur Erfüllung der DPIA nach DSGVO Art. 35)
• Abgrenzung: Art. 27 FRIA (Grundrechts-Folgenabschätzung)