DPIA für Cookie-Einwilligung: Wann Publisher eine Datenschutz-Folgenabschätzung durchführen müssen
Die meisten Publisher betrachten eine Datenschutz-Folgenabschätzung als Compliance-Aufgabe für jemand anderen — den Datenschutzbeauftragten, externe Rechtsberater, das seltene Technikprojekt, das Biometrie berührt. In der Realität verlangt die DSGVO eine DPIA für ein weitaus breiteres Spektrum von Tätigkeiten, als die meisten Adtech-Betreiber erkennen, und viele Cookie-Einwilligungs- und verhaltensbasierte Werbeabläufe fallen direkt in den Auslöserbereich. Die Frage, die Aufsichtsbehörden Publishern jetzt bei Prüfungen und Beschwerdeuntersuchungen stellen, ist direkt: Haben Sie eine DPIA durchgeführt, bevor Sie dieses Tracking eingesetzt haben, und können Sie sie uns vorlegen? Dieser Leitfaden erklärt, wann eine DPIA verpflichtend ist, was sie enthalten muss und wie Sie eine erstellen, die einer behördlichen Prüfung standhält.
Was eine DPIA ist und warum sie existiert
Die Datenschutz-Folgenabschätzung ist in Artikel 35 der DSGVO definiert. Es handelt sich um eine dokumentierte Analyse, die ein Verantwortlicher durchführen muss, bevor er eine Verarbeitungstätigkeit aufnimmt, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Die DPIA zwingt den Verantwortlichen, die Verarbeitung zu beschreiben, ihre Notwendigkeit und Verhältnismäßigkeit zu bewerten, Risiken zu identifizieren und die zur Minderung ergriffenen Maßnahmen zu dokumentieren. Bleibt das Restrisiko hoch, muss der Verantwortliche die Aufsichtsbehörde konsultieren, bevor er die Verarbeitung aufnimmt.
Für Publisher ist die DPIA kein einmaliges Rechtsdokument. Sie ist das zentrale Dokument, das eine Aufsichtsbehörde bei der Untersuchung einer Cookie- oder Tracking-Beschwerde anfordern wird, und das Dokument, das bestimmt, ob der Publisher Rechenschaftspflicht nach Artikel 5(2) nachweisen kann. Ohne sie verschiebt sich die Beweislast entschieden gegen Sie.
Wann eine DPIA für Cookie- und Einwilligungsabläufe verpflichtend ist
Artikel 35(3) nennt drei ausdrückliche DPIA-Auslöser. Die Leitlinien der Article 29 Working Party (jetzt vom EDPB übernommen) fügen eine Liste von neun indikativen Kriterien hinzu. Bei einer Verarbeitungstätigkeit, die zwei dieser Kriterien erfüllt, wird vermutet, dass sie eine DPIA erfordert. Für Cookie- und Adtech-Abläufe sind die relevantesten Kriterien:
- Systematische und umfassende Bewertung — einschließlich Profiling für Werbung und Inhaltspersonalisierung.
- Umfangreiche Verarbeitung — gemessen an Datenvolumen, Anzahl der betroffenen Personen, geografischer Reichweite und Dauer. Publisher-Websites mit siebenstelligen monatlichen Nutzern erfüllen die Voraussetzungen fast immer.
- Innovative Nutzung von Technologien — umfasst Fingerprinting, geräteübergreifende Identifizierung, föderiertes Lernen, Aufmerksamkeitsmessung, KI-basierte Verhaltensrückschlüsse.
- Verfolgung von Standort oder Verhalten — direkt durch verhaltensbasierte Werbung und Retargeting erfasst.
- Zusammenführen oder Abgleichen von Datensätzen — einschließlich serverseitiger Anreicherung, Identity Graphs, Data Clean Rooms, Customer Data Platform-Verknüpfung.
Eine typische Publisher-Website im mittleren Segment, die verhaltensbasierte Werbung nutzt und mehr als eine Handvoll Drittanbieter-Pixel betreibt, wird mindestens drei dieser Kriterien gleichzeitig erfüllen. Die Vermutung, dass eine DPIA erforderlich ist, ist in der Praxis nahezu sicher. Mehrere nationale Datenschutzbehörden haben eigene Pflichtlisten für DPIAs veröffentlicht; der italienische Garante, die französische CNIL und der deutsche DSK haben programmatische Werbung und seitenübergreifendes Profiling als Standard-DPIA-Auslöser benannt.
Was das DPIA-Dokument enthalten muss
Artikel 35(7) legt vier Pflichtinhalte fest. Eine DPIA, der einer dieser Inhalte fehlt, wird von Aufsichtsbehörden so behandelt, als wäre sie überhaupt nicht durchgeführt worden.
Eine systematische Beschreibung der Verarbeitung
Dies ist keine einseitige Zusammenfassung. Die Beschreibung muss jede Kategorie verarbeiteter personenbezogener Daten, jeden Zweck, jeden Empfänger, jeden Aufbewahrungszeitraum und jede grenzüberschreitende Übermittlung abdecken. Für einen Adtech-Ablauf bedeutet das, jeden Anbieter in Ihrem TCF-String aufzulisten, die Daten, die jeder erhält, und den für jeden beanspruchten rechtlichen Grundsatz. Publisher, die die TCF v2.2-Anbieterliste direkt in den DPIA-Anhang kopieren, haben brauchbare Dokumente erstellt; diejenigen, die sie in zwei Sätzen zusammenfassen, nicht.
Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit
Die Notwendigkeit fragt, ob der gleiche Zweck mit weniger Daten oder mit nicht-personenbezogenen Daten erreicht werden kann. Für einen verhaltensbasierten Werbeablauf bedeutet das ehrlich zu prüfen, ob kontextbezogene Werbung demselben Zweck dienen würde. Das EDPB Opinion 28/2024 stellt ausdrücklich klar, dass eine DPIA kontextbezogene Werbung nicht in einer einzigen Zeile abtun kann — der Verantwortliche muss nachweisen, dass die Alternative erwogen wurde, und erklären, warum sie abgelehnt wurde.
Eine Bewertung der Risiken für die betroffenen Personen
Die Risikoanalyse muss rechtswidrigen Zugang, unbefugte Offenlegung, Veränderung, Verlust und die weitreichenderen gesellschaftlichen Risiken des Profilings berücksichtigen — abschreckende Wirkungen, Diskriminierung, Lock-in. Für jedes identifizierte Risiko muss die Bewertung Wahrscheinlichkeit, Schwere und das Restrisiko nach den Minderungsmaßnahmen angeben.
Die zur Bewältigung der Risiken getroffenen Maßnahmen
Hier taucht die Consent-Management-Plattform in der DPIA auf. Granulare Einwilligungserfassung, anbieterspezifisches Opt-out, einfacher Widerruf, Aufbewahrungsbeschränkungen, Verschlüsselung bei der Übertragung und im Ruhezustand, vertragliche Sicherungen gegenüber Auftragsverarbeitern — jede Maßnahme muss mit einem spezifischen identifizierten Risiko verknüpft sein. Die generische Aussage, dass der Publisher eine CMP nutzt, ist keine Maßnahme.
Die Rolle des Datenschutzbeauftragten
Artikel 35(2) verlangt, dass der Verantwortliche bei der Durchführung einer DPIA den Rat des DPO einholt. Für Publisher mit einem benannten DPO ist das unkompliziert. Für kleinere Publisher ohne DPO kann die DPIA dennoch durchgeführt werden, muss aber mit dokumentiertem externen Rat erfolgen — externer Rechtsberater, Branchenberater oder das Compliance-Team eines CMP-Anbieters. Die Aufgabe des DPO ist es, die Notwendigkeitsanalyse des Verantwortlichen zu hinterfragen, nicht sie formell zu bestätigen.
Wann eine vorherige Konsultation erforderlich ist
Artikel 36 schreibt eine vorherige Konsultation der Aufsichtsbehörde vor, wenn die DPIA zeigt, dass die Verarbeitung ein hohes Risiko mit sich bringen würde, das der Verantwortliche nicht mindern kann. In der Praxis ist dies bei Cookie- und Einwilligungsabläufen selten — die meisten Risiken können durch granulare Einwilligung, Anbietereduzierung, Aufbewahrungsbeschränkungen und vertragliche Sicherungen gemindert werden. Aber es ist nicht null. Zwei Fälle, die 2024 und 2025 eine vorherige Konsultation ausgelöst haben: ein fingerprinting-basierter Identifikator, der ohne TCF-Integration eingesetzt wurde, und ein geräteübergreifender Identity Graph, der First-Party-Daten mit Drittanbieter-Datenbrokern kombinierte. Publisher, die eines dieser Muster erkunden, sollten mit einem Konsultationszeitraum von sechs bis zwölf Wochen planen.
Wie Aufsichtsbehörden die DPIA bei Untersuchungen nutzen
Die DPIA ist das einzige Dokument, das eine Aufsichtsbehörde zuerst anfordert, wenn eine Cookie-Beschwerde das formale Untersuchungsstadium erreicht. Der italienische Garante, die französische CNIL, die belgische APD und die bayerische BayLDA eröffnen ihre Verfahrensakten alle mit einer Anforderung der DPIA für die betreffende Tätigkeit. Aus jüngsten Entscheidungen ergeben sich drei Muster:
Nachträglich erstellte DPIAs werden stark abgewertet
Eine DPIA, die nach der Anforderung der Behörde datiert ist, wird nicht als Beweis für eine Vorab-Bewertung behandelt. Mehrere Entscheidungen aus 2025 haben ausdrücklich darauf hingewiesen, dass das Dokument nachträglich erstellt wurde, und es entsprechend gewichtet. Die DPIA muss dem Start der Verarbeitung vorausgehen, und die Metadaten oder Versionshistorie des Dokuments sollten das deutlich machen.
Generische DPIAs werden als nicht vorhanden behandelt
Eine Vorlage-DPIA, die ohne standortspezifische Analyse aus dem Portal eines CMP-Anbieters kopiert wurde, wird zunehmend abgelehnt. Die Garante-Entscheidung von 2025 gegen eine italienische Verlegergruppe nannte sechs der neun Websites im Geltungsbereich und stellte fest, dass eine einzige gemeinsame DPIA, die alle abdeckte, Artikel 35 nicht erfüllte.
Minderungsmaßnahmen müssen dem tatsächlich Eingesetzten entsprechen
Wenn die DPIA eine Cookie-Aufbewahrung von 60 Tagen beschreibt, die eingesetzten Cookies aber eine Lebensdauer von 24 Monaten nutzen, wird die Aufsichtsbehörde die DPIA als ungenau betrachten. Die vierteljährliche Prüfung der eingesetzten Konfiguration gegenüber der DPIA-Beschreibung ist nicht mehr optional.
Zusammenfassung
Für die meisten Publisher ist die praktische Antwort dieselbe: eine DPIA ist erforderlich, sie sollte vor dem Start jedes neuen Trackings erstellt werden, und sie sollte vierteljährlich gegen die eingesetzte Konfiguration überprüft werden. Das Dokument muss nicht lang sein, aber es muss standortspezifisch, vor dem Launch erstellt, vom DPO oder einem dokumentierten externen Berater gegengezeichnet und auf das abgestimmt sein, was tatsächlich in der Produktion läuft. Publisher, die diese vier Punkte richtig umsetzen, verwandeln die DPIA von einer Compliance-Last in die stärkste Verteidigung, die sie haben, wenn eine Aufsichtsbehörde fragt.