Kim Icon 
Mitte April 2026 hat der Europäische Datenschutzausschuss (EDPB) eine standardisierte DPIA-Vorlage veröffentlicht – und damit eine Konsultationsfrist bis zum 9. Juni 2026 gestartet. Ab dem 2. August 2026 tritt die Vollphase des EU AI Act in Kraft. Wer dann noch keine Datenschutz-Folgenabschätzung für Hochrisiko-KI-Systeme vorweisen kann, riskiert Bußgelder, die unter der DSGVO bereits heute greifen, und darüber hinaus AI-Act-Strafen von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Die Zeit läuft. Und sie läuft schneller, als viele Compliance-Abteilungen gerade wahrhaben wollen.
Am 10. März 2026 verabschiedete der EDPB die DPIA-Vorlage in Version 1.0. Die offizielle Dokumentation folgte Mitte April 2026, begleitet von einem Explainer-Dokument, das die Anwendung Schritt für Schritt erläutert. Seitdem läuft eine öffentliche Konsultationsphase, die am 9. Juni 2026 endet. Nach Abschluss dieser Konsultation werden alle nationalen Datenschutzbehörden die Vorlage entweder direkt übernehmen oder als sogenannte Meta-Vorlage einsetzen – mit der ihre eigenen nationalen Varianten kompatibel sein müssen.
Das klingt bürokratisch. Ist es auch. Aber hinter dieser Nüchternheit steckt etwas, das Unternehmen jetzt unbedingt verstehen sollten: Die DPIA-Vorlage ist kein bloßes Formular, das man ausfüllt und abheftet. Sie ist der strukturelle Kern einer Compliance-Strategie für Hochrisiko-KI-Systeme – und ihre Verwendung ist nicht optional, wenn ein Unternehmen mit Datenverarbeitung arbeitet, die ein hohes Risiko für Betroffene darstellt. Mehr Kontext liefert EU AI Act DPIA-Vorlage 2026: Warum Unternehmen jetzt handeln müssen.
Meine persönliche Einschätzung: Die Veröffentlichung dieser Vorlage ist einer der konkretesten regulatorischen Schritte, den Europa im KI-Bereich bisher gemacht hat. Sie gibt Unternehmen endlich ein handhabbares Werkzeug – aber gleichzeitig verschwindet damit die letzte Ausrede, warum man noch nicht angefangen hat.
Wer jetzt noch wartet, bis die finale Version nach dem 9. Juni erscheint, verspielt wertvolle Wochen. Die Struktur der Vorlage ist bekannt, die Anforderungen sind klar, und der August-Stichtag wartet nicht auf niemanden.
Die EDPB-Vorlage gliedert sich in sechs Abschnitte, die zusammen ein vollständiges Bild der Datenverarbeitung ergeben sollen. Dieser Aufbau ist kein Zufall. Er folgt der Logik, die der EDPB im Helsinki Action Plan als Ziel ausgegeben hat: DSGVO-Compliance europaweit zu vereinheitlichen und für Unternehmen wie Behörden gleichermaßen handhabbar zu machen.
Der erste Abschnitt erfasst die grundlegenden Informationen zur Verarbeitung: Wer ist verantwortlich? Welche Daten werden verarbeitet? Zu welchem Zweck? Das klingt trivial, ist aber in der Praxis häufig der erste Stolperstein – vor allem dann, wenn KI-Systeme auf Drittanbieter-APIs oder extern betriebene Infrastrukturen zurückgreifen.
Der zweite Abschnitt verlangt eine detaillierte Beschreibung der unterstützenden Ressourcen. Dazu zählen Hardware, Software, APIs und Personal. Gerade bei cloudbasierten KI-Lösungen, die auf Modelle großer US-Anbieter zurückgreifen, entsteht hier eine Aufgabe, die viele unterschätzen: Man muss nicht nur die eigene Infrastruktur dokumentieren, sondern auch die Datenverarbeitungskette externer Dienstleister nachvollziehbar machen.
Im dritten Abschnitt geht es um Notwendigkeit und Verhältnismäßigkeit. Ist die geplante Datenverarbeitung wirklich erforderlich? Gibt es mildere Mittel? Dieser Teil der Datenschutz-Folgenabschätzung ist juristisch besonders heikel, weil er eine inhaltliche Auseinandersetzung mit dem Geschäftszweck verlangt – keine reine Dokumentationsarbeit.
Abschnitt vier und fünf widmen sich der Risikobewertung. Hier unterscheidet die Vorlage explizit zwischen inhärenten Risiken – also solchen, die dem Verarbeitungsvorgang immanent sind – und Risiken, die durch technische Fehler oder externe Angriffe entstehen können. Diese Differenzierung ist wichtig, weil sie eine realistische Bedrohungsmodellierung erzwingt, statt eine pauschale Risikoabschätzung zu erlauben.
Der sechste Abschnitt schließt mit der formellen Entscheidung ab: Wird das Projekt fortgeführt, unter Auflagen weitergeführt oder abgebrochen? Diese Entscheidung muss dokumentiert und begründet sein. Eine DPIA ist kein Selbstzweck – sie endet mit einer nachvollziehbaren Handlungsempfehlung.
Hier liegt ein Missverständnis vor, das in Unternehmen immer wieder auftaucht: Die Datenschutz-Folgenabschätzung ist kein Instrument des EU AI Act, sondern ein Instrument der DSGVO. Die Pflicht zur DPIA existiert bereits seit Mai 2018. Was sich ändert, ist der Anlass und die Dringlichkeit.
Mit dem 2. August 2026 tritt die Vollphase des EU AI Act in Kraft. Ab diesem Datum drohen Unternehmen bei Verstößen gegen den AI Act Strafen von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Das sind Zahlen, die auch für mittelgroße Konzerne existenzbedrohend sein können.
Gleichzeitig greift die DSGVO weiterhin: Fehlende oder unzureichende Datenschutz-Folgenabschätzungen können bereits heute Bußgelder von bis zu zwei Prozent des weltweiten Jahresumsatzes nach sich ziehen. Das ist kein zukünftiges Risiko, sondern ein gegenwärtiges. Wer glaubt, er könne bis nach August 2026 warten, riskiert bereits jetzt eine Sanktion.
Der Zusammenhang zwischen beiden Regelwerken ist dabei klar: Hochrisiko-KI-Systeme gemäß EU AI Act verarbeiten fast ausnahmslos personenbezogene Daten. Damit lösen sie regelmäßig eine DPIA-Pflicht aus. Die EDPB-Vorlage schafft hier eine Brücke – sie ist zwar nicht AI-Act-spezifisch, aber sie ist auf komplexe Datenverarbeitungen ausgelegt, wie sie für KI-Systeme typisch sind.
EU AI Act Compliance bedeutet in der Praxis also: DSGVO-Pflichten erfüllen, KI-spezifische Anforderungen dokumentieren und beides in einem konsistenten Compliance-Rahmen verankern. Die DPIA-Vorlage des EDPB ist dabei ein zentrales Werkzeug – aber kein Allheilmittel.
Nicht jedes Unternehmen, das KI einsetzt, muss eine DPIA durchführen. Die Pflicht entsteht dort, wo die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Das klingt abstrakt – ist es aber nicht.
Der EU AI Act listet in seinem Anhang III konkrete Anwendungsbereiche, die als Hochrisiko eingestuft werden. Dazu gehören KI-Systeme in der Personalverwaltung und im Recruiting – also Systeme, die Bewerbungen filtern, Kandidaten bewerten oder Beförderungsentscheidungen unterstützen. Ebenso fallen automatisierte Entscheidungssysteme in den Bereichen Kreditwürdigkeitsprüfung, Sozialhilfe und Strafverfolgung darunter. Biometrische Identifikationssysteme, KI in kritischen Infrastrukturen und Systeme für den Zugang zu Bildung oder Berufsausbildung komplettieren die Liste.
Wer in diesen Bereichen KI einsetzt oder plant, einzusetzen, braucht eine Datenschutz-Folgenabschätzung. Punkt. Keine Ausnahme, kein Ermessensspielraum. Die EDPB-Vorlage gibt jetzt die Struktur vor, mit der diese Abschätzung dokumentiert werden soll.
Besonders kritisch ist die Situation für Unternehmen, die KI im HR-Bereich einsetzen. Recruiting-Algorithmen, automatisierte Lebenslauf-Screening-Tools oder KI-gestützte Interview-Auswertungen fallen direkt in die Hochrisiko-Kategorie. Hier ist eine DPIA nicht nur regulatorisch gefordert – sie ist auch ethisch geboten, weil diese Systeme diskriminierende Muster reproduzieren können, ohne dass dies ohne genaue Prüfung sichtbar wird.
Ähnlich verhält es sich bei Unternehmen, die automatisierte Entscheidungen treffen, die erhebliche Auswirkungen auf Einzelpersonen haben. Kreditvergabe-Algorithmen, Versicherungspolicen-Bewertungen oder automatisierte Behördenentscheidungen: All das sind Anwendungsfälle, bei denen eine Datenschutz-Folgenabschätzung schon heute Pflicht ist und bei denen die neue EDPB-Vorlage die Dokumentation strukturieren sollte.
Theorie ist das eine. Die Praxis der Datenschutz-Folgenabschätzung sieht in vielen Unternehmen anders aus – fragmentiert, unvollständig, manchmal schlicht nicht vorhanden. Deswegen lohnt es sich, den Prozess konkret durchzugehen.
Schritt 1: Bestandsaufnahme aller KI-Systeme und Datenverarbeitungen. Bevor man die DPIA-Vorlage ausfüllen kann, muss man wissen, welche KI-Systeme im Unternehmen überhaupt eingesetzt werden. Das klingt selbstverständlich, ist aber erstaunlich oft nicht dokumentiert. IT-Abteilung, Fachabteilungen und externe Dienstleister müssen hier systematisch befragt werden. Shadow-IT – also nicht offiziell freigegebene Tools – ist ein ernstes Problem, das viele Unternehmen unterschätzen.
Schritt 2: Risikobewertung vornehmen. Nicht jedes KI-System erfordert eine DPIA. Der nächste Schritt ist die Einordnung: Handelt es sich um ein Hochrisiko-System gemäß EU AI Act? Verarbeitet das System personenbezogene Daten in einem Umfang oder auf eine Weise, die hohe Risiken erzeugen kann? Gibt es automatisierte Entscheidungen, die erhebliche Konsequenzen für Betroffene haben? Wenn eine dieser Fragen mit Ja beantwortet wird, ist eine Datenschutz-Folgenabschätzung erforderlich.
Schritt 3: Die sechs Abschnitte der EDPB-Vorlage systematisch bearbeiten. Beginnen Sie mit der Beschreibung der Verarbeitung – wer, was, warum, womit. Dokumentieren Sie alle beteiligten Ressourcen, einschließlich externer APIs und Auftragsverarbeiter. Analysieren Sie Notwendigkeit und Verhältnismäßigkeit. Nehmen Sie die Risikobewertung vor – sowohl für inhärente Risiken als auch für technisch induzierte Risiken. Treffen Sie eine formelle Entscheidung und begründen Sie diese.
Schritt 4: Interne Abstimmung und Genehmigung. Eine DPIA ist kein Dokument, das der Datenschutzbeauftragte alleine erstellt. Sie erfordert Input aus der IT, aus den Fachabteilungen, aus dem Legal-Team und – das ist entscheidend – aus dem Management. Persönliche Vorstandshaftung ist kein leeres Schreckgespenst: Wer als Führungskraft Kenntnis von nicht durchgeführten Datenschutz-Folgenabschätzungen hat, trägt Mitverantwortung.
Schritt 5: Dokumentation pflegen und aktuell halten. Eine einmal durchgeführte DPIA ist kein Freifahrtschein. Sie muss regelmäßig überprüft und bei wesentlichen Änderungen des Systems oder der Verarbeitung aktualisiert werden. Das ist keine Ermessensfrage – das ist eine DSGVO-Pflicht.
Bis zum 9. Juni 2026 können Unternehmen, Verbände und Einzelpersonen Feedback zur DPIA-Vorlage einreichen. Der EDPB hat ausdrücklich dazu aufgerufen, Organisationen sollten die Vorlage bereits jetzt nutzen und ihre Erfahrungen in die Konsultation einbringen.
Das ist eine Gelegenheit, die viele Unternehmen nicht ernst nehmen. Dabei wäre sie wertvoll. Wer mit der Vorlage arbeitet und dabei auf Lücken, Unklarheiten oder praktische Probleme stößt, kann diese direkt an die EU-Aufsichtsbehörde rückmelden. Der EDPB ist keine unzugängliche Institution – er sucht aktiv nach Praxisfeedback.
Für mittelständische Unternehmen mit begrenzten Compliance-Ressourcen ist die Konsultation außerdem ein Signal: Man arbeitet nicht im Blindflug. Die Vorlage, die man jetzt nutzt, wird nach dem 9. Juni verfeinert – aber ihre grundlegende Struktur ist stabil. Wer jetzt beginnt, muss später nicht bei null anfangen, sondern anpassen.
Mein Rat an dieser Stelle ist eindeutig: Nutzen Sie die Konsultationsphase aktiv. Nicht nur um Feedback einzureichen, sondern um intern Awareness zu schaffen. Ein DPIA-Prozess, der mit dem Hinweis „wir arbeiten bereits nach der neuen EDPB-Vorlage“ kommuniziert werden kann, signalisiert Aufsichtsbehörden und Geschäftspartnern gleichermaßen, dass Compliance im Unternehmen ernst genommen wird.
Es lohnt sich, die Anforderungen des EU AI Act noch einmal nüchtern zu sortieren. Denn in der öffentlichen Debatte werden oft Dinge vermischt, die auseinandergehalten werden müssen.
Der EU AI Act klassifiziert KI-Systeme nach Risikoklassen. Verbotene Systeme – etwa KI zur sozialen Bewertung von Personen durch Behörden oder Systeme zur unbewussten Beeinflussung – sind bereits seit Februar 2025 untersagt. Hochrisiko-Systeme, also jene aus Anhang III, unterliegen ab dem 2. August 2026 den vollen Compliance-Anforderungen.
Diese Anforderungen umfassen unter anderem: ein Risikomanagement-System, das den gesamten Lebenszyklus des KI-Systems begleitet; Datengovernance-Maßnahmen für die genutzten Trainingsdaten; technische Dokumentation, die die Funktionsweise des Systems für Aufsichtsbehörden nachvollziehbar macht; Logging-Funktionen, die automatische Protokollierung relevanter Ereignisse sicherstellen; Transparenzpflichten gegenüber Nutzern; sowie menschliche Aufsicht über kritische Entscheidungen.
Die Datenschutz-Folgenabschätzung nach DSGVO ergänzt diese Anforderungen. Sie ist nicht im EU AI Act direkt verankert, aber sie überschneidet sich erheblich mit den dort geforderten Dokumentationspflichten. Wer eine saubere DPIA hat, hat bereits einen erheblichen Teil der AI-Act-Dokumentation erledigt.
EU AI Act Compliance ist also kein isoliertes Projekt. Es ist die Integration bestehender Datenschutzpflichten mit neuen KI-spezifischen Anforderungen. Wer beides als separate Silos behandelt, verschwendet Ressourcen und riskiert trotzdem Lücken.
Ab August 2026 wird auch die Kennzeichnungspflicht für KI-generierte Inhalte verbindlich. Das betrifft Deepfakes, Chatbots und KI-verfasste Texte zu öffentlichen Interessen. Redaktionelle Inhalte sind ausgenommen – aber die Grenze ist fließend, und Unternehmen sollten nicht darauf wetten, dass ihre Anwendungsfälle sicher in der Ausnahme landen.
Was bedeutet das praktisch? Unternehmen, die KI-generierte Inhalte in der Kundenkommunikation, im Marketing oder im Bereich Public Affairs einsetzen, müssen sicherstellen, dass diese Inhalte als KI-generiert erkennbar sind. Das ist nicht nur eine technische Anforderung – es ist eine Frage der Unternehmenskultur und der Kommunikationsstrategie. Mehr Kontext liefert Erste AI Act Regulierungsbehörde: Was Unternehmen 2026 tun müssen.
Im Kontext der Datenschutz-Folgenabschätzung bedeutet das: Auch KI-Systeme, die Inhalte generieren und dabei personenbezogene Daten verarbeiten – etwa personalisierte E-Mails oder KI-gestützte Chatbots –, müssen auf ihre DPIA-Pflicht hin geprüft werden. Die EDPB-Vorlage kann dabei helfen, diese Prüfung strukturiert durchzuführen.
Wer glaubt, dass Kennzeichnungspflichten nur große Plattformen betreffen, liegt falsch. Auch ein mittelständisches Unternehmen, das KI-generierte Produktbeschreibungen oder automatisierte Kundenkorrespondenz einsetzt, kann in den Anwendungsbereich fallen. Die Frage ist nicht ob, sondern wann und in welchem Umfang.
Sprechen wir offen über Geld. Nicht weil Angst der beste Motivator ist – das ist sie nicht –, sondern weil die Zahlen verdeutlichen, dass Datenschutz-Folgenabschätzungen kein nice-to-have sind.
Unter der DSGVO können fehlende oder unzureichende DPIAs bereits heute Bußgelder von bis zu zwei Prozent des weltweiten Jahresumsatzes nach sich ziehen. Für ein Unternehmen mit einem Jahresumsatz von 500 Millionen Euro wären das bis zu zehn Millionen Euro. Das ist kein theoretisches Risiko – europäische Datenschutzbehörden verhängen diese Bußgelder.
Ab August 2026 kommen AI-Act-Sanktionen hinzu: bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes bei schwerwiegenden Verstößen. Diese Strafandrohungen gelten für Verstöße gegen die Hochrisiko-Anforderungen des EU AI Act – und sie treffen nicht nur den Hersteller eines KI-Systems, sondern auch dessen Betreiber.
Persönliche Vorstandshaftung ist dabei ein Aspekt, der oft unterschätzt wird. In mehreren EU-Mitgliedstaaten können Führungskräfte persönlich haftbar gemacht werden, wenn sie von Verstößen wussten oder hätten wissen müssen. Eine fehlende DPIA für ein nachweislich Hochrisiko-KI-System ist ein Sachverhalt, bei dem „Nichtwissen“ kaum als Schutzschild taugt.
Die Botschaft für Compliance-Verantwortliche ist klar: Bringen Sie diese Zahlen ins Vorstandsgremium. Nicht als Panikmache, sondern als nüchterne Risikodarstellung. Wer die Kosten einer ordentlichen Datenschutz-Folgenabschätzung gegen das Bußgeldrisiko abwägt, kommt zu einem eindeutigen Ergebnis.
Eine Datenschutz-Folgenabschätzung durchzuführen ist das eine. Sie ordentlich durchzuführen ist das andere. In der Praxis begegnen mir immer wieder dieselben Fehler.
Fehler 1: Die DPIA als einmalige Pflichtübung behandeln. Eine DPIA ist kein Dokument, das einmal erstellt und dann archiviert wird. Sie muss bei wesentlichen Änderungen des KI-Systems oder der Verarbeitungssituation aktualisiert werden. Wer nach dem ersten Durchlauf nicht regelmäßig überprüft, ob die Risikobewertung noch aktuell ist, hat ein Problem – spätestens dann, wenn eine Aufsichtsbehörde nachfragt.
Fehler 2: Drittanbieter vergessen. Viele KI-Systeme sind keine Eigenentwicklungen, sondern Produkte oder Dienstleistungen externer Anbieter. Die DPIA muss jedoch die gesamte Datenverarbeitungskette erfassen – auch die Komponenten, die bei Drittanbietern liegen. Fehlende Auftragsverarbeitungsverträge oder unklare Datenflüsse zu Cloud-Anbietern sind klassische DPIA-Lücken.
Fehler 3: Die Risikobewertung zu abstrakt halten. „Das Risiko ist mittel“ ist keine ausreichende Risikobewertung. Die EDPB-Vorlage verlangt eine konkrete Analyse: Was sind die spezifischen Risiken? Für wen entstehen sie? Wie wahrscheinlich sind sie? Welche Maßnahmen reduzieren sie? Ohne diese Tiefe ist die DPIA wertlos – und für Aufsichtsbehörden leicht angreifbar.
Fehler 4: Den Datenschutzbeauftragten zu spät einbinden. Der DSB muss an der DPIA beteiligt werden – und zwar frühzeitig. Nicht erst, wenn das System bereits in Betrieb ist. Bei Hochrisiko-KI-Systemen sollte die Datenschutz-Folgenabschätzung in die Projektplanung integriert werden, nicht nachgelagert als Dokumentationspflicht.
Fehler 5: Die Entscheidungsdokumentation vernachlässigen. Am Ende der DPIA steht eine formelle Entscheidung: Fortführung, Fortführung unter Auflagen oder Abbruch. Diese Entscheidung muss dokumentiert und begründet sein. Fehlende Entscheidungsdokumentation macht die gesamte DPIA angreifbar – selbst wenn die inhaltliche Analyse solide war.
Fehler 6: Nationale Varianten ohne Kompatibilitätsprüfung weiternutzen. Wer bisher eine nationale DPIA-Vorlage genutzt hat, muss nach Abschluss der EDPB-Konsultation prüfen, ob diese Variante mit der neuen europäischen Meta-Vorlage kompatibel ist. Das ist kein kosmetisches Problem – Inkonsistenzen können als Compliance-Lücke ausgelegt werden.
Deutschland hat eine besondere Datenschutzlandschaft: 16 Landesdatenschutzbehörden plus die Bundesdatenschutzbeauftragte. Das macht einheitliche Compliance-Anforderungen historisch schwierig. Die EDPB-Vorlage ändert das strukturell – nicht sofort, aber mittelfristig.
Nach Abschluss der Konsultation bis zum 9. Juni 2026 werden die nationalen Behörden schrittweise die europäische Vorlage übernehmen. Entweder direkt als einheitliche Vorlage oder als Meta-Vorlage, mit der bestehende nationale Varianten kompatibel sein müssen. Für Unternehmen bedeutet das: Die Zersplitterung der nationalen DPIA-Anforderungen wird abnehmen, aber nicht sofort verschwinden.
In der Übergangszeit – also für den Zeitraum zwischen jetzt und der vollständigen Adoption durch nationale Behörden – ist es klug, direkt mit der EDPB-Vorlage zu arbeiten. Das sichert Zukunftskompatibilität und zeigt regulatorischen Behörden, dass man proaktiv handelt.
Für Unternehmen mit grenzüberschreitendem Betrieb innerhalb der EU ist die Vereinheitlichung besonders wertvoll: Eine einzige strukturierte Datenschutz-Folgenabschätzung nach der EDPB-Vorlage kann zukünftig für alle betroffenen Mitgliedstaaten gelten – statt für jede nationale Behörde eine angepasste Variante erstellen zu müssen.
Es gibt einen Aspekt der DPIA-Diskussion, der in der Compliance-Hektik häufig untergeht: Die Datenschutz-Folgenabschätzung ist eigentlich ein Instrument des Privacy-by-Design-Ansatzes. Sie soll nicht dokumentieren, was bereits schiefgelaufen ist – sie soll verhindern, dass es schiefläuft.
Das bedeutet: Eine ordentlich durchgeführte DPIA beginnt nicht dann, wenn ein KI-System kurz vor der Inbetriebnahme steht. Sie beginnt in der Konzeptionsphase – wenn noch Entscheidungen über Architektur, Datenquellen und Algorithmen getroffen werden können. Zu diesem Zeitpunkt ist es noch möglich, datenschutzfreundliche Alternativen zu wählen, Datenminimierung strukturell zu verankern und Hochrisiko-Verarbeitungen von vornherein zu vermeiden.
Der EU AI Act schreibt für Hochrisiko-Systeme ein Risikomanagement vor, das den gesamten Lebenszyklus begleitet. Das korrespondiert direkt mit dem DPIA-Ansatz: Beide Instrumente sind nicht auf ein einmaliges Ereignis ausgelegt, sondern auf einen kontinuierlichen Prozess.
Unternehmen, die KI entwickeln oder beschaffen, sollten die Datenschutz-Folgenabschätzung in ihre Entwicklungs- und Beschaffungsprozesse integrieren – als festen Schritt, nicht als nachgelagerte Pflichtübung. Das ist nicht nur regulatorisch geboten, es ist auch praktisch sinnvoll: Fehler, die früh im Prozess entdeckt werden, sind billiger zu korrigieren als solche, die erst bei der Aufsichtsbehörde auffallen.
Lassen Sie uns das Bisherige in konkrete Handlungsschritte übersetzen. Diese Checkliste ist kein Ersatz für eine professionelle Rechts- oder Datenschutzberatung – aber sie gibt eine Orientierung, wo man anfangen kann.
Wer die DPIA-Vorlage des EDPB als Allheilmittel für alle KI-Compliance-Fragen betrachtet, wird enttäuscht sein. Das Dokument ist ein strukturierendes Werkzeug – es ersetzt keine inhaltliche Expertise.
Die Vorlage sagt Ihnen, was Sie dokumentieren müssen. Sie sagt Ihnen nicht, wie Sie ein KI-System technisch absichern. Sie strukturiert die Risikobewertung – aber sie liefert nicht die Risikoanalyse selbst. Sie gibt vor, welche Entscheidung am Ende stehen muss – aber sie hilft Ihnen nicht, die richtige zu treffen.
Das ist keine Kritik an der Vorlage. Es ist eine Klarstellung, die für die Ressourcenplanung wichtig ist. Eine ordentliche DPIA für ein komplexes KI-System erfordert Expertise in Datenschutzrecht, KI-Technik und Risikomanagement. Wer glaubt, ein ausgefülltes Formular reiche aus, wird spätestens bei einer behördlichen Prüfung eines Besseren belehrt.
Besonders für kleinere Unternehmen ohne eigene Datenschutzabteilung bedeutet das: Externe Beratung kann hier sinnvoll und kosteneffizient sein. Die Kosten einer professionell durchgeführten DPIA sind überschaubar im Vergleich zu dem, was eine unzureichende Datenschutz-Folgenabschätzung bei einer Behördenprüfung auslösen kann.
Außerdem: Die DPIA-Vorlage deckt den DSGVO-Pflichtteil ab. Die technischen und organisatorischen Anforderungen des EU AI Act – Risikomanagement-System, Konformitätsbewertung, technische Dokumentation – sind davon getrennt und erfordern zusätzliche Arbeit. Beides zusammenzudenken ist klug, aber man darf nicht den Fehler machen, das eine für das andere zu halten.
Die DPIA-Vorlage des EDPB ist kein isolierter Schritt. Sie ist Teil eines größeren Plans, den der EDPB mit dem Helsinki Action Plan verfolgt. Ziel ist die Harmonisierung der DSGVO-Anwendung in Europa – weniger Flickenteppich, mehr einheitliche Standards.
Das ist ambitioniert. Europa hat 27 Mitgliedstaaten, 27 Datenschutzbehörden mit teilweise sehr unterschiedlichen Durchsetzungstraditionen und einen bemerkenswert uneinheitlichen Umgang mit DSGVO-Verstößen. Eine einheitliche DPIA-Vorlage ist ein kleiner, aber signifikanter Schritt in Richtung echter Harmonisierung.
Was das für Unternehmen bedeutet: Die Erwartungen, die Aufsichtsbehörden an eine ordentliche Datenschutz-Folgenabschätzung stellen, werden europaweit ähnlicher. Das ist grundsätzlich eine gute Nachricht für Unternehmen, die grenzüberschreitend tätig sind. Es bedeutet aber auch, dass der Ermessensspielraum, der bisher in manchen Mitgliedstaaten existierte, kleiner wird. Mehr Kontext liefert EU AI Act + KI-MIG: Der deutsche Sonderweg bei der KI-Regulierung.
Im Kontext der EU AI Act Compliance ist diese Harmonisierung besonders relevant. Der AI Act ist ein EU-weit einheitliches Gesetz – und die DPIA-Vorlage schafft jetzt auch auf der Datenschutzseite eine europaweit einheitliche Grundlage. Das macht Compliance-Strategien planbarer und konsistenter.
Die EDPB-DPIA-Vorlage ist da. Die Konsultationsfrist läuft bis zum 9. Juni 2026. Der August-Stichtag des EU AI Act rückt näher. Die Bußgeldrisen unter DSGVO und AI Act sind keine Drohgebärden – sie sind Realität.
Was bleibt, ist eine unbequeme Wahrheit: Datenschutz-Folgenabschätzungen für Hochrisiko-KI-Systeme sind kein Projekt, das man „irgendwann“ angeht. Sie sind eine unmittelbare Compliance-Pflicht, für die jetzt die Struktur, die Vorlage und der regulatorische Druck vorhanden sind.
Die Frage ist nicht, ob Ihr Unternehmen eine DPIA braucht. Die Frage ist, ob Sie bereits eine haben – und ob sie den Anforderungen standhält, die Aufsichtsbehörden nach August 2026 anlegen werden.
Welches KI-System in Ihrem Unternehmen ist bisher noch nicht auf seine DPIA-Pflicht geprüft worden – und wer ist dafür verantwortlich, das zu ändern?
