Compliance

Datenschutz-Folgenabschätzung für KI: Wann sie Pflicht ist und wie Sie sie durchführen

Wann ist die Datenschutz-Folgenabschätzung für KI Pflicht? DSFA nach Art. 35 DSGVO, DSK-Muss-Liste und EU AI Act erklärt. Jetzt Schwellenwert prüfen lassen.

~ 6 Min. Lesezeit

Kurz und direkt

Eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO ist bei KI-Anwendungen Pflicht, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte betroffener Personen bedeutet. Das trifft regelmäßig auf Profiling, umfangreiche Verarbeitung sensibler Daten oder systematische Überwachung zu und deckt sich weitgehend mit den Hochrisiko-Fällen des EU AI Act. Die DSK-Muss-Liste nennt die konkreten Auslöser; im Zweifel entscheidet der Schwellenwert-Check.

Die regulatorische Herausforderung

Ein Versicherungsmakler führt ein KI-Tool zur automatischen Schadensbewertung ein, weil es Bearbeitungszeit spart. Sechs Wochen später meldet sich die Datenschutzaufsicht und fragt nach der Rechtsgrundlage und der Datenschutz-Folgenabschätzung. Der Makler weiß nicht, wovon die Rede ist, obwohl er bereits personenbezogene Gesundheits- und Vertragsdaten durch ein Modell laufen lässt. Genau an dieser Stelle entsteht das Risiko, denn ein Verstoß gegen die DSGVO kann nach Art. 83 Abs. 5 mit bis zu 20 Mio. € oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden, je nachdem welcher Betrag höher ist.

Wann eine DSFA für KI verpflichtend ist

Die Datenschutz-Folgenabschätzung ist nach Art. 35 DSGVO immer dann Pflicht, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Art. 35 Abs. 3 nennt drei eindeutige Auslöser, und mindestens einer davon trifft auf viele KI-Projekte im Mittelstand zu.

  • Eine systematische und umfassende Bewertung persönlicher Aspekte, die auf automatisierter Verarbeitung einschließlich Profiling beruht und Rechtswirkung entfaltet, etwa beim KI-gestützten Scoring von Kunden oder Bewerbern.
  • Eine umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9, also Gesundheits-, Herkunfts- oder Gewerkschaftsdaten, wie sie bei Versicherungen, Praxen und Kanzleien anfällt.
  • Eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche, beispielsweise durch videobasierte Erkennungssysteme.

Zusätzlich veröffentlicht die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) eine sogenannte Muss-Liste mit konkreten Verarbeitungen, die immer eine DSFA erfordern. Dazu zählen unter anderem KI-Systeme zur Bewertung von Personen sowie die umfangreiche Verarbeitung von Beschäftigtendaten zur Verhaltens- oder Leistungskontrolle.

So führen wir die DSFA strukturiert durch

Wir arbeiten die vier gesetzlichen Mindestbestandteile aus Art. 35 Abs. 7 DSGVO ab, sodass die Dokumentation im Ernstfall vor der Aufsichtsbehörde Bestand hat. Zuerst klären wir die Rechtsgrundlage nach Art. 6, also ob die Verarbeitung auf Einwilligung, Vertrag oder berechtigtem Interesse beruht. Anschließend beschreiben wir die Verarbeitung systematisch und bewerten ihre Notwendigkeit und Verhältnismäßigkeit. Im dritten Schritt bewerten wir die konkreten Risiken für die betroffenen Personen, und schließlich legen wir die Abhilfemaßnahmen fest, mit denen das Risiko gesenkt wird. Technisch bedeutet das in der Praxis Datensparsamkeit, Pseudonymisierung, ein Hosting innerhalb der EU sowie eine strikte Zweckbindung. Parallel aktualisieren wir das Verarbeitungsverzeichnis und erfüllen die Transparenzpflichten nach Art. 13 und 14.

Die Verbindung zum EU AI Act

Die DSFA steht nicht allein, weil der EU AI Act für bestimmte Hochrisiko-Anwendungen zusätzlich eine Grundrechte-Folgenabschätzung nach Art. 27 verlangt. Beide Prüfungen überschneiden sich inhaltlich, sodass eine saubere DSFA die spätere AI-Act-Dokumentation deutlich erleichtert. Wer beide Anforderungen von Beginn an zusammen denkt, vermeidet doppelte Arbeit und schließt die Compliance-Lücke, bevor ein hochriskantes System überhaupt produktiv geht.

Aufwand und Ertrag im Verhältnis

Eine fundierte DSFA für eine einzelne KI-Anwendung erfordert nach unserer Projekterfahrung typischerweise einen Aufwand von 1 bis 3 Beratertagen. Dem steht ein Bußgeldrahmen von bis zu 20 Mio. € gegenüber, zu dem im Schadensfall noch Anwalts-, Behörden- und Folgekosten kommen, die schnell sechsstellig werden. Die Folgenabschätzung ist damit keine bürokratische Pflichtübung, sondern die rechtliche Eintrittskarte für den produktiven KI-Einsatz. Wer eine hochriskante KI ohne DSFA einführt, fährt ohne Betriebserlaubnis, und das funktioniert nur so lange, bis die erste Beschwerde oder Prüfung eintrifft.

Kennzahl
bis 20 Mio. €
Bußgeldrisiko bei fehlender DSFA
Quelle: Art. 83 Abs. 5 DSGVO
Einsparpotential
15.000 – 100.000 €/Jahr
Markt-Insight Signal via LinkedIn
"Die meisten IT-Leiter verwechseln die DSFA mit dem Verzeichnis von Verarbeitungstätigkeiten. Bei KI geht die DSFA deutlich tiefer und verlangt eine echte Risikobewertung."

Unser Ansatz für DSGVO Folgenabschaetzung KI Anwendung Pflicht

1. Schwellenwert-Analyse
Wir prüfen anhand von Art. 35 Abs. 3 DSGVO und der Muss-Liste der Datenschutzkonferenz (DSK), ob Ihre KI-Anwendung eine formale Folgenabschätzung auslöst.
2. Architektur-Mapping
Wir dokumentieren alle Datenströme von der Eingabe über Embeddings bis zu den API-Aufrufen in einem rechtssicheren Flussdiagramm.
3. Mitigation und Maßnahmenplan
Wir konzipieren technische Schutzmaßnahmen wie Pseudonymisierung und Zero-Data-Retention-Vereinbarungen, um das Risiko auf ein rechtmäßiges Minimum zu senken.

Häufige Fragen

Sobald personenbezogene Kundendaten wie Namen, Verträge oder Gesundheitsdaten verarbeitet werden, ist das kritisch zu bewerten, weil beim Standard-Web-Client von OpenAI Eingaben in das Training fließen können. Für den professionellen Einsatz raten wir zur API-Nutzung mit Auftragsverarbeitungsvertrag und Zero-Data-Retention.

Ja, aber nur unter Bedingungen. Es muss ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen werden, der Anbieter sollte unter dem EU-US Data Privacy Framework zertifiziert sein, und über die API lässt sich vertraglich ausschließen, dass an Ihren Daten trainiert wird.

In Deutschland unterliegen Systeme, die zur Leistungs- oder Verhaltenskontrolle von Mitarbeitern geeignet sind, nach § 87 Abs. 1 Nr. 6 BetrVG der Mitbestimmung. Eine frühe und offene Einbindung des Betriebsrats ist deshalb gezielt unerlässlich.

Die Datenschutz-Folgenabschätzung wird in der Regel vom Verantwortlichen der Verarbeitung, also der Geschäftsführung, gemeinsam mit dem internen oder externen Datenschutzbeauftragten freigegeben. Bleibt trotz Maßnahmen ein hohes Restrisiko bestehen, ist nach Art. 36 DSGVO vorab die Aufsichtsbehörde zu konsultieren.

Kostenlose Potenzialanalyse anfragen

Ihre Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet. Datenschutzerklärung