Ab welcher Anzahl von Betroffenen oder Daten liegt ein hohes Risiko des Verfahrens vor?

**Eine feste Zahl gibt es nicht: Ein „hohes Risiko“ wird bei DSGVO-Verfahren gerade nicht ab einer bestimmten Anzahl von Betroffenen oder Datensätzen angenommen, sondern nach Art, Umfang, Kontext und Zweck der Verarbeitung.** Maßgeblich ist also nicht nur „wie viele“, sondern vor allem **welche Daten**, **wie tief der Eingriff ist** und **welche Folgen für die Betroffenen drohen**. ([datenschutzkonferenz-online.de](https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_5.pdf)) ## Entscheidend ist nicht die Menge allein Die verbreitete Annahme „ab X Personen ist es hohes Risiko“ ist zu kurz. Die europäischen Leitlinien nennen zwar die **große Menge bzw. den großen Umfang** als ein Kriterium, aber nicht als starre Schwelle. Relevant sind unter anderem die Zahl der Betroffenen, das Datenvolumen pro Person, die Dauer der Verarbeitung, die geografische Reichweite und ob sensible oder besonders persönliche Daten betroffen sind. ([edpb.europa.eu](https://www.edpb.europa.eu/sme-data-protection-guide/be-compliant_en)) Das hat eine praktische Folge: **10.000 einfache Kontaktdatensätze** sind datenschutzrechtlich oft weniger kritisch als **500 Gesundheitsprofile** oder **2.000 Datensätze mit Bonitäts-, Bewegungs- oder Verhaltensdaten**. Die Menge erhöht das Risiko, aber die **Eingriffsintensität** entscheidet meist stärker. ([edpb.europa.eu](https://www.edpb.europa.eu/sme-data-protection-guide/faq-frequently-asked-questions/answer/what-data-protection-impact_en)) ## Wann spricht vieles für hohes Risiko Ein hohes Risiko liegt besonders nahe, wenn **mindestens zwei Risikokriterien** zusammenkommen, etwa: - Verarbeitung sensibler Daten - systematische Überwachung - Profiling oder Scoring - große Datenmengen - Zusammenführung mehrerer Datenquellen - vulnerable Personen, z. B. Beschäftigte, Kinder oder Patienten - neue oder schwer durchschaubare Technologien ([edpb.europa.eu](https://www.edpb.europa.eu/sme-data-protection-guide/be-compliant_en)) Schon **ein einziges Kriterium** kann im Einzelfall reichen, wenn die Auswirkungen gravierend sind. Genau das ist der Punkt, den viele Kurzantworten im Netz auslassen. ([edpb.europa.eu](https://www.edpb.europa.eu/sites/default/files/decisions/is_sa_-_dpia_list_final_-_formatted_20190829.pdf)) ## Was heißt das konkret für die Anzahl Eine belastbare Faustregel lautet eher: - **Keine feste Untergrenze** in der DSGVO - **Viele Betroffene allein** bedeuten noch nicht automatisch hohes Risiko - **Wenige Betroffene** können trotzdem hohes Risiko bedeuten, wenn die Daten sehr sensibel sind oder Entscheidungen mit erheblicher Wirkung getroffen werden - **Groß angelegte Verarbeitung** ist ein starkes Warnsignal, aber immer nur zusammen mit dem konkreten Schadenspotenzial zu bewerten ([edpb.europa.eu](https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/data-protection-impact-assessments-high-risk-processing_en)) ## Praktische Einordnung Wenn du prüfen musst, ob ein Verfahren als hohes Risiko einzustufen ist, ist die richtige Frage nicht „Ab wie vielen Datensätzen?“, sondern: **Kann die Verarbeitung für die Betroffenen spürbare Nachteile auslösen – etwa Diskriminierung, Kontrollverlust, Identitätsmissbrauch, wirtschaftliche Nachteile oder Überwachung?** Wenn ja, spricht das deutlich eher für ein hohes Risiko und oft auch für eine Datenschutz-Folgenabschätzung. ([datenschutzkonferenz-online.de](https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_5.pdf)) Die klarste Antwort ist deshalb: **Es gibt keine rechtssichere Zahlenschwelle; sobald große Mengen mit sensiblen, überwachenden, bewertenden oder folgenreichen Verarbeitungen zusammenkommen, solltest du von einem hohen Risiko ausgehen.** ([edpb.europa.eu](https://www.edpb.europa.eu/sme-data-protection-guide/be-compliant_en))