Die regulatorische Herausforderung
Ein Versicherungsmakler führt ein KI-Tool zur automatischen Schadensbewertung ein, weil es Bearbeitungszeit spart. Sechs Wochen später meldet sich die Datenschutzaufsicht und fragt nach der Rechtsgrundlage und der Datenschutz-Folgenabschätzung. Der Makler weiß nicht, wovon die Rede ist, obwohl er bereits personenbezogene Gesundheits- und Vertragsdaten durch ein Modell laufen lässt. Genau an dieser Stelle entsteht das Risiko, denn ein Verstoß gegen die DSGVO kann nach Art. 83 Abs. 5 mit bis zu 20 Mio. € oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden, je nachdem welcher Betrag höher ist.
Wann eine DSFA für KI verpflichtend ist
Die Datenschutz-Folgenabschätzung ist nach Art. 35 DSGVO immer dann Pflicht, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Art. 35 Abs. 3 nennt drei eindeutige Auslöser, und mindestens einer davon trifft auf viele KI-Projekte im Mittelstand zu.
- Eine systematische und umfassende Bewertung persönlicher Aspekte, die auf automatisierter Verarbeitung einschließlich Profiling beruht und Rechtswirkung entfaltet, etwa beim KI-gestützten Scoring von Kunden oder Bewerbern.
- Eine umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9, also Gesundheits-, Herkunfts- oder Gewerkschaftsdaten, wie sie bei Versicherungen, Praxen und Kanzleien anfällt.
- Eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche, beispielsweise durch videobasierte Erkennungssysteme.
Zusätzlich veröffentlicht die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) eine sogenannte Muss-Liste mit konkreten Verarbeitungen, die immer eine DSFA erfordern. Dazu zählen unter anderem KI-Systeme zur Bewertung von Personen sowie die umfangreiche Verarbeitung von Beschäftigtendaten zur Verhaltens- oder Leistungskontrolle.
So führen wir die DSFA strukturiert durch
Wir arbeiten die vier gesetzlichen Mindestbestandteile aus Art. 35 Abs. 7 DSGVO ab, sodass die Dokumentation im Ernstfall vor der Aufsichtsbehörde Bestand hat. Zuerst klären wir die Rechtsgrundlage nach Art. 6, also ob die Verarbeitung auf Einwilligung, Vertrag oder berechtigtem Interesse beruht. Anschließend beschreiben wir die Verarbeitung systematisch und bewerten ihre Notwendigkeit und Verhältnismäßigkeit. Im dritten Schritt bewerten wir die konkreten Risiken für die betroffenen Personen, und schließlich legen wir die Abhilfemaßnahmen fest, mit denen das Risiko gesenkt wird. Technisch bedeutet das in der Praxis Datensparsamkeit, Pseudonymisierung, ein Hosting innerhalb der EU sowie eine strikte Zweckbindung. Parallel aktualisieren wir das Verarbeitungsverzeichnis und erfüllen die Transparenzpflichten nach Art. 13 und 14.
Die Verbindung zum EU AI Act
Die DSFA steht nicht allein, weil der EU AI Act für bestimmte Hochrisiko-Anwendungen zusätzlich eine Grundrechte-Folgenabschätzung nach Art. 27 verlangt. Beide Prüfungen überschneiden sich inhaltlich, sodass eine saubere DSFA die spätere AI-Act-Dokumentation deutlich erleichtert. Wer beide Anforderungen von Beginn an zusammen denkt, vermeidet doppelte Arbeit und schließt die Compliance-Lücke, bevor ein hochriskantes System überhaupt produktiv geht.
Aufwand und Ertrag im Verhältnis
Eine fundierte DSFA für eine einzelne KI-Anwendung erfordert nach unserer Projekterfahrung typischerweise einen Aufwand von 1 bis 3 Beratertagen. Dem steht ein Bußgeldrahmen von bis zu 20 Mio. € gegenüber, zu dem im Schadensfall noch Anwalts-, Behörden- und Folgekosten kommen, die schnell sechsstellig werden. Die Folgenabschätzung ist damit keine bürokratische Pflichtübung, sondern die rechtliche Eintrittskarte für den produktiven KI-Einsatz. Wer eine hochriskante KI ohne DSFA einführt, fährt ohne Betriebserlaubnis, und das funktioniert nur so lange, bis die erste Beschwerde oder Prüfung eintrifft.