EDPB-Vorschlag für ein einheitliches DPIA Template – Inhalte und praktische Bedeutung
20.04.2026
Zusammenfassung
Der EDPB hat ein einheitliches Template für Datenschutz-Folgenabschätzungen (DPIA) vorgelegt, das Struktur und inhaltliche Tiefe solcher Assessments europaweit harmonisieren soll. Es stärkt die Verzahnung von Rechtsgrundlagen, Risikoanalyse und technischen wie organisatorischen Maßnahmen und macht die DPIA zum zentralen Steuerungsinstrument im Datenschutz-Management. Verantwortliche sollten ihre bestehenden DPIA-Vorlagen frühzeitig an diesem Entwurf ausrichten.
7 Minuten Lesezeit
Mit seinem am 14. April 2026 veröffentlichten Vorschlag für ein einheitliches Template zur Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) setzt der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) einen deutlichen Impuls zur Vereinheitlichung und Professionalisierung von DPIA-Verfahren nach Art. 35 DS-GVO. Der Entwurf liegt zur öffentlichen Konsultation vor, gibt aber bereits jetzt ein klares Bild davon, welche Struktur und inhaltliche Tiefe Aufsichtsbehörden künftig von einer DPIA erwarten.
Das Template gliedert sich in sechs Hauptbereiche: Überblick über die Verarbeitung, systematische Beschreibung der Verarbeitung, Analyse der Verarbeitung, Risikobewertung und ‑management, Einbindung interessierter Parteien sowie Schlussfolgerung und Entscheidung. Diese Struktur orientiert sich erkennbar am Lebenszyklus einer Verarbeitungstätigkeit und bildet zugleich die prüfungsrelevanten Schwerpunkte aus Sicht der Aufsichtsbehörden ab.
Einordnung der Rollen und Rahmenbedingungen
Zu Beginn verlangt das Template eine klare Einordnung der Rollen und Rahmenbedingungen. Verantwortliche müssen die beteiligten Verantwortlichen (einschließlich etwaiger gemeinsam Verantwortlicher), internen Organisationseinheiten sowie Auftragsverarbeiter und Subunternehmer benennen und ihre Aufgaben und Pflichten beschreiben. Hinzu kommen Angaben zum geplanten Start- und Endzeitpunkt der Verarbeitung, zur Versionierung der Verarbeitungstätigkeit und zur „technischen Akte“ der DPIA selbst: beteiligte Personen, herangezogene Referenzdokumente (Guidelines, Standards, Codes of Conduct) sowie die Gründe für die Durchführung. Erfasst werden dabei sowohl die Konstellationen nach Art. 35 Abs. 3 DS-GVO als auch nationale Vorgaben, behördlich identifizierte „High-Risk“-Kriterien (etwa Profiling, große Datenmengen, vulnerable Gruppen) und freiwillige Motive. Damit wird bereits zu Beginn transparent dokumentiert, ob und warum eine DPIA als erforderlich angesehen wurde.
Systematische Beschreibung der Verarbeitung
Der zweite Komplex dient der systematischen Beschreibung der geplanten Verarbeitung. Das Template verlangt eine strukturierte Auflistung der verarbeiteten personenbezogenen Daten einschließlich der Kennzeichnung besonderer Kategorien nach Art. 9 DS-GVO. Zugleich unterscheidet es strikt zwischen primären Verarbeitungszwecken und sekundären bzw. als kompatibel bewerteten Nutzungen. Diese Differenzierung stützt die Prüfung der Zweckbindung nach Art. 5 Abs. 1 lit. b DS-GVO und der Zulässigkeit etwaiger Weiterverwendungen.
Natur, Umfang und Kontext der Verarbeitung
Von besonderer praktischer Bedeutung ist der Abschnitt zu „Natur, Umfang und Kontext“ der Verarbeitung. Verantwortliche haben Art und Ablauf der Vorgänge (Erhebung, Nutzung, Speicherung, Übermittlung, Löschung), die eingesetzten Technologien, das Ausmaß der Verarbeitung (Anzahl der Betroffenen, Datenkategorien, Häufigkeit, räumliche Reichweite, Dauer) sowie den organisatorischen und gesellschaftlichen Kontext (Beziehungsgeflecht zum Betroffenen, vulnerable Gruppen, grenzüberschreitende Verarbeitung, Drittlandtransfers) zu beschreiben. Ergänzend fordert das Template eine funktionale Beschreibung der einzelnen Verarbeitungsphasen und deren Zuordnung zu konkreten Systemen und Assets – insbesondere Datenflussdiagramme werden ausdrücklich empfohlen. Dadurch entsteht eine belastbare, überprüfbare Beschreibung der Verarbeitung, die über rein textliche Schilderungen vieler bisheriger DPIAs hinausgeht.
Rechtliche und organisatorische Analyse
Im Anschluss rückt die rechtliche und organisatorische Analyse in den Mittelpunkt. Kernstück ist die tabellarische Verknüpfung jedes Verarbeitungszwecks mit der einschlägigen Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO; beim berechtigten Interesse nach Art. 6 Abs. 1 lit. f DS-GVO ist eine nachvollziehbare Interessenabwägung im Lichte der aktuellen EDPB-Leitlinien vorzulegen. Für besondere Kategorien personenbezogener Daten sind die einschlägigen Rechtfertigungstatbestände des Art. 9 Abs. 2 DS-GVO zu benennen und zu begründen. Ergänzend werden die Grundsätze des Art. 5 Abs. 1 DS-GVO, Datenminimierung, Speicherbegrenzung und Datenqualität adressiert: Für jede Datenkategorie sind Notwendigkeit, Empfänger, Speicherfristen und Qualitätsanforderungen zu erläutern. Dies zwingt dazu, Datenhaltung, Empfängerstruktur und Löschkonzepte eng an der konkreten Verarbeitung auszurichten.
Maßnahmen zur Einhaltung der DS-GVO
Mit Blick auf die Einhaltung der DS-GVO differenziert das Template Maßnahmen nach Grundsätzen des Art. 5 Abs. 1 DS-GVO, Betroffenenrechten, spezifischen Anforderungen (Art. 7, 28, Kapitel V DS-GVO), Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DS-GVO) sowie Sicherheit der Verarbeitung (Art. 32 DS-GVO). Für jede Maßnahme sind Angemessenheit, Wirksamkeit und Umsetzungsstand anzugeben, sodass die DPIA zugleich als Steuerungsinstrument im Datenschutz-Management dienen kann.
Prüfung von Notwendigkeit und Verhältnismäßigkeit
Hinzu tritt eine ausdrückliche Prüfung von Notwendigkeit und Verhältnismäßigkeit der Verarbeitung. Gefordert wird der Nachweis, dass die Verarbeitung zur Zweckerreichung geeignet ist und keine ebenso wirksamen, aber weniger eingriffsintensiven Alternativen bestehen, sowie eine Abwägung von Nutzen und Eingriffsintensität unter Rückgriff auf die einschlägigen EDPS-Leitlinien. Damit wird der grundrechtliche Charakter der DPIA unterstrichen.
Risikobewertung und -management
Das Herzstück der DPIA bildet weiterhin die Risikoanalyse. Der Entwurf unterscheidet Risiken aus der bestimmungsgemäßen Verarbeitung von Risiken aufgrund von Fehlfunktionen, Sicherheitsvorfällen und sonstigen Abweichungen. In beiden Fällen sind konkrete Szenarien, Ursachen und Auswirkungen auf die Rechte und Freiheiten der Betroffenen zu dokumentieren. Die Bewertung des inhärenten Risikos erfolgt anhand von Skalen für Eintrittswahrscheinlichkeit und Schwere unter Einbeziehung „modulierender Faktoren“ wie Sensitivität der Daten und Schutzbedürftigkeit der Betroffenen. Hervorgehoben wird, dass auch seltene, aber potenziell besonders schwerwiegende Risiken als nicht akzeptabel gelten können.
Hieran schließt sich die Darstellung zusätzlicher technischer, organisatorischer und rechtlicher Maßnahmen zur Risikominderung sowie eine Neubewertung des Restrisikos an. Ein Umsetzungsplan mit konkreten Maßnahmen, Verantwortlichkeiten und Zeitplänen macht die DPIA faktisch zu einem Projektplan für die risikoadäquate Gestaltung der Verarbeitung.
Einbindung des Datenschutzbeauftragten und Entscheidung
Abschließend sieht das Template die Einbindung des Datenschutzbeauftragten und, soweit angemessen, die Berücksichtigung von Ansichten betroffener Personen vor und mündet in eine dokumentierte Managemententscheidung: Ablehnung, Konsultation der Aufsichtsbehörde oder (ggf. konditionierte) Genehmigung der Verarbeitung. Damit bildet der Vorschlag die gesamten Entscheidungs- und Verantwortungsstrukturen rund um eine DPIA in einem einheitlichen, rechtlich wie organisatorisch anschlussfähigen Rahmen ab.
Praktische Implikationen für Verantwortliche
Für die Praxis lässt sich demnach festhalten: Der Vorschlag des EDPB führt nicht zu einer völlig neuen Pflicht, sondern präzisiert und operationalisiert bestehende Anforderungen an DPIAs. Er signalisiert jedoch klar eine Tendenz zur stärkeren Formalisierung, zur noch konsequenteren Ausrichtung am Grundrechtsschutz der betroffenen Personen und zur engeren Verzahnung von Rechts- und Technikperspektive. Verantwortliche sollten ihre bestehenden DPIA-Methoden und -Vorlagen frühzeitig an dem Entwurf spiegeln und dort, wo die eigene Dokumentation deutlich unter dem Detaillierungsgrad des Templates liegt, Anpassungen vornehmen. Wer zukünftige DPIAs an der vorgeschlagenen Struktur ausrichtet, dürfte bei Prüfungen durch Aufsichtsbehörden besser gerüstet sein und zugleich ein robustes Instrument zur internen Steuerung datenschutzrechtlicher Risiken gewinnen.
