DSFA bei KI-Einsatz – Wann brauchen Sie eine Datenschutz-Folgenabschätzung?

Der AI Act regelt KI. Die DSGVO regelt Daten. Und wenn Ihre KI personenbezogene Daten verarbeitet, brauchen Sie möglicherweise eine Datenschutz-Folgenabschätzung (DSFA) – noch bevor der AI Act greift.

Was ist eine DSFA?

Eine DSFA (Art. 35 DSGVO) ist eine strukturierte Risikoanalyse. Sie prüft:

• Welche personenbezogenen Daten werden verarbeitet?
• Warum ist die Verarbeitung notwendig?
• Welche Risiken bestehen für die betroffenen Personen?
• Welche Maßnahmen minimieren diese Risiken?

Wichtig: Eine DSFA ist kein einmaliges Dokument zum Abhaken. Sie muss aktuell gehalten werden, besonders wenn sich der KI-Einsatz ändert.

Wann ist eine DSFA Pflicht?

Art. 35 Abs. 3 DSGVO nennt drei Fälle, in denen eine DSFA immer erforderlich ist. Zwei davon treffen häufig auf KI zu:

1. Automatisierte Einzelentscheidungen mit rechtlicher Wirkung

Wenn eine KI Entscheidungen trifft, die Menschen erheblich betreffen – ohne menschliche Überprüfung:

• KI-gestütztes Bewerber-Screening mit automatischer Absage
• Automatische Bonitätsentscheidung
• Algorithmische Leistungsbewertung von Mitarbeitern

2. Umfangreiche Verarbeitung besonderer Datenkategorien

Wenn KI mit sensiblen Daten arbeitet:

• Gesundheitsdaten (Medizin-KI)
• Biometrische Daten (Gesichtserkennung)
• Politische Meinungen, religiöse Überzeugungen

3. Systematische Überwachung öffentlich zugänglicher Bereiche

• KI-Videoüberwachung mit Gesichtserkennung
• Verhaltensanalyse in öffentlichen Räumen

Zusätzlich: Die Blacklist der Aufsichtsbehörden

Jede nationale Datenschutzbehörde veröffentlicht eine Positivliste (Art. 35 Abs. 4) – Verarbeitungen, die immer eine DSFA erfordern. In Deutschland hat die DSK (Datenschutzkonferenz) 17 Kriterien definiert. Treffen zwei oder mehr zu, ist eine DSFA Pflicht.

Für KI relevant sind besonders:

Kriterium	KI-Beispiel
Profiling	KI analysiert Kundenverhalten für Segmentierung
Automatisierte Entscheidung	KI lehnt Kreditantrag ab
Innovative Technologie	Einsatz neuer KI-Modelle
Vulnerable Gruppen	KI-Systeme für Kinder, Patienten, Arbeitnehmer
Umfangreiche Datenmengen	KI trainiert auf großen Datensätzen
Zusammenführen von Daten	KI kombiniert Daten aus verschiedenen Quellen

DSFA und AI Act: Wo sie sich überschneiden

Der AI Act verlangt für Hochrisiko-KI ein Risikomanagementsystem (Art. 9). Die DSFA verlangt eine Risikobewertung für Datenschutz. Beides ist nicht dasselbe – aber sie ergänzen sich:

	DSFA (DSGVO)	Risikomanagement (AI Act)
Fokus	Rechte der betroffenen Personen	Sicherheit und Grundrechte allgemein
Auslöser	Personenbezogene Daten	Einsatz in Hochrisiko-Bereich
Pflicht seit	2018	August 2026
Zuständig	Datenschutzbeauftragter	KI-Verantwortlicher (neu)

Praxis-Tipp: Wenn Sie für ein KI-System sowohl DSFA als auch AI-Act-Risikomanagement brauchen, führen Sie beides zusammen. Ein Dokument, das beide Perspektiven abdeckt, spart Aufwand und ist konsistenter.

Wann brauchen KMUs typischerweise KEINE DSFA?

Nicht jeder KI-Einsatz erfordert eine DSFA. Klar ausgenommen sind:

• ChatGPT für interne E-Mails – keine personenbezogenen Daten Dritter, keine Entscheidung über Personen
• DeepL für Übersetzungen – reine Textverarbeitung ohne Personenbezug
• KI-gestützte Buchhaltungssoftware – verarbeitet Geschäftsdaten, nicht Profiling
• Spam-Filter – keine erhebliche Auswirkung auf Betroffene
• KI-Bildgenerierung (Midjourney, DALL-E) – keine personenbezogenen Daten (sofern keine realen Personen abgebildet werden)

Aber Achtung: Sobald Sie personenbezogene Daten in KI-Tools eingeben (z.B. Kundendaten in ChatGPT), ändert sich die Bewertung. Dann brauchen Sie zumindest eine Verarbeitungstätigkeit im Verzeichnis (Art. 30 DSGVO) und sollten die DSFA-Pflicht prüfen.

DSFA in 6 Schritten durchführen

Schritt 1: Verarbeitung beschreiben

• Welches KI-System wird eingesetzt?
• Welche Daten fließen ein?
• Wer ist betroffen?
• Was passiert mit den Ergebnissen?

Schritt 2: Notwendigkeit und Verhältnismäßigkeit prüfen

• Ist der KI-Einsatz für den Zweck erforderlich?
• Gibt es datenschutzfreundlichere Alternativen?
• Welche Rechtsgrundlage (Art. 6 DSGVO) nutzen Sie?

Schritt 3: Risiken identifizieren

• Welche Schäden könnten Betroffenen entstehen? (Diskriminierung, Fehlentscheidung, Datenverlust, Reputationsschaden)
• Wie wahrscheinlich sind diese Risiken?
• Wie schwer wären die Folgen?

Schritt 4: Maßnahmen definieren

• Technische Maßnahmen: Verschlüsselung, Pseudonymisierung, Zugriffskontrollen
• Organisatorische Maßnahmen: Schulung, Vier-Augen-Prinzip, regelmäßige Überprüfung
• KI-spezifisch: Bias-Tests, menschliche Aufsicht, Erklärbarkeit der Ergebnisse

Schritt 5: Datenschutzbeauftragten einbinden

Art. 35 Abs. 2 DSGVO verlangt, dass der DSB konsultiert wird. Haben Sie keinen DSB? Dann prüfen Sie, ob Sie einen bestellen müssen (Art. 37 DSGVO – ab 20 Personen, die regelmäßig personenbezogene Daten verarbeiten).

Schritt 6: Dokumentieren und aktualisieren

• DSFA schriftlich festhalten
• Bei Änderungen am KI-System: aktualisieren
• Empfehlung: jährliche Überprüfung

Die Konsultationspflicht (Art. 36 DSGVO)

Wenn Ihre DSFA ergibt, dass trotz aller Maßnahmen ein hohes Restrisiko bleibt, müssen Sie die Aufsichtsbehörde vorher konsultieren. In der Praxis kommt das selten vor – aber bei experimentellen KI-Anwendungen mit sensiblen Daten ist es möglich.

Bußgelder bei fehlender DSFA

Eine fehlende oder mangelhafte DSFA ist ein DSGVO-Verstoß:

• Bis zu 10 Millionen Euro oder 2% des Jahresumsatzes (Art. 83 Abs. 4 DSGVO)
• Plus mögliche Bußgelder nach AI Act, wenn das KI-System auch dort reguliert ist

Fazit

Die DSFA ist keine bürokratische Übung – sie ist Ihr Sicherheitsnetz beim KI-Einsatz mit personenbezogenen Daten. Für die meisten KMUs, die Standard-KI-Tools nutzen, ist keine DSFA nötig. Aber sobald automatisierte Entscheidungen über Menschen getroffen werden oder sensible Daten ins Spiel kommen, führt kein Weg daran vorbei.

Erster Schritt: Prüfen Sie mit dem kostenlosen KI-Kompass, welche Ihrer KI-Systeme in Hochrisiko-Bereiche fallen. Dort ist eine DSFA fast immer Pflicht.