← Alle Insights

DSFA für KI-Systeme wann sie Pflicht ist und wie sie gelingt.

Viele KI-Projekte scheitern nicht an der Technik, sondern an einem übersehenen Pflichtschritt: der Datenschutz-Folgenabschätzung. Sobald ein KI-System personenbezogene Daten verarbeitet und dabei ein voraussichtlich hohes Risiko für die Betroffenen entsteht, verlangt Artikel 35 DSGVO eine dokumentierte DSFA — vor dem Produktivstart, nicht danach. Gerade KI löst diese Pflicht häufig aus: umfangreiche Datenmengen, automatisierte Bewertungen von Personen, neue Technologien. Viele Unternehmen erleben die DSFA als bürokratisches Monster und holen sich teure externe Hilfe für etwas, das sie mit Struktur weitgehend selbst leisten könnten. Dieser Beitrag klärt sachlich, wann eine DSFA für KI zwingend ist, was hineingehört, wie ein realistischer Erstellungsweg aussieht — und wo die Grenzen der Eigenleistung liegen. Er ersetzt keine Rechtsberatung; im Zweifel und bei sensiblen Konstellationen gehört der Datenschutzbeauftragte oder fachkundiger Rat an Bord.

Was eine DSFA ist und warum KI sie oft auslöst.

Die Datenschutz-Folgenabschätzung ist ein in Artikel 35 DSGVO verankertes Instrument: eine vorab durchgeführte, dokumentierte Bewertung der Risiken, die eine Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen mit sich bringt — samt der Maßnahmen, mit denen diese Risiken eingedämmt werden. Sie ist Pflicht, wenn eine Verarbeitung voraussichtlich ein hohes Risiko mit sich bringt.

KI-Systeme treffen diese Schwelle überdurchschnittlich oft, weil gleich mehrere Risikomerkmale zusammenkommen können: die Verarbeitung großer Datenmengen, das systematische Bewerten oder Profiling von Personen, der Einsatz neuer Technologien und manchmal die Verarbeitung besonderer Datenkategorien.

Wichtig ist die Reihenfolge: Die DSFA gehört vor den Beginn der Verarbeitung. Sie nachträglich zu erstellen, wenn das System schon läuft, widerspricht dem Zweck — und ist im Prüfungsfall ein schlechtes Zeichen. Wer KI plant, sollte die DSFA-Frage daher früh im Projekt stellen.

Wann eine DSFA zwingend ist.

Artikel 35 nennt Regelbeispiele, und die Aufsichtsbehörden konkretisieren sie über Kriterienlisten sowie über sogenannte Muss-Listen (Verarbeitungen, bei denen eine DSFA stets erforderlich ist). Sinngemäß deuten unter anderem folgende Merkmale stark auf eine Pflicht hin:

Eine pragmatische Faustregel: Je mehr dieser Merkmale zutreffen, desto eher ist die DSFA Pflicht. Treffen zwei oder mehr gängige Kriterien zu, sollte man von einer Pflicht ausgehen, bis das Gegenteil sauber begründet ist. Maßgeblich sind dabei auch die Listen der jeweils zuständigen Aufsichtsbehörde.

Typische KI-Fälle mit DSFA-Pflicht.

Damit es greifbar wird, einige in der Praxis häufige Konstellationen — ohne Anspruch auf abschließende Bewertung des Einzelfalls.

KI in der Personalauswahl: Ein System, das Bewerbungen bewertet oder rankt, verarbeitet Beschäftigtendaten und betreibt Profiling mit Wirkung für die Person — DSFA in aller Regel erforderlich, und zugleich oft ein Hochrisiko-Fall nach AI Act.

KI-gestützte Bonitäts- oder Risikobewertung: Automatisierte Einschätzungen über Personen mit Entscheidungswirkung sind klassische DSFA-Auslöser.

Kundenservice-KI mit umfangreichen Profilen: Wenn ein System Kundeninteraktionen breit auswertet und personenbezogene Profile bildet, ist die Pflicht ernsthaft zu prüfen.

Demgegenüber löst ein KI-Werkzeug, das nur unternehmensinterne, nicht personenbezogene Dokumente zusammenfasst, in der Regel keine DSFA aus. Die Abgrenzung hängt am Personenbezug und am Risiko, nicht am Schlagwort KI.

Was in eine DSFA hineingehört.

Artikel 35 gibt einen Mindestinhalt vor. Eine brauchbare DSFA enthält im Kern:

Bei KI lohnt es sich, einige Aspekte besonders ernst zu nehmen: die Datenqualität und mögliche Verzerrungen (Bias), die Erklärbarkeit der Ergebnisse, die Rolle menschlicher Aufsicht und den Umgang mit fehlerhaften Ausgaben. Genau hier liegt der Mehrwert einer DSFA über die reine Pflichterfüllung hinaus.

Ein realistischer Erstellungsweg ohne Beraterheer.

Eine DSFA ist Aufwand, aber kein Hexenwerk. Ein gangbarer Weg für ein mittelständisches Unternehmen:

Realistisch sind für einen klar umrissenen KI-Anwendungsfall einige Personentage. Vorlagen der Aufsichtsbehörden und etablierte Methoden helfen, das Rad nicht neu zu erfinden.

Grenzen der Eigenleistung.

So viel sich selbst erledigen lässt — es gibt Situationen, in denen externe oder fachkundige Unterstützung angebracht ist. Dazu zählen die Verarbeitung besonderer Datenkategorien in größerem Umfang, neuartige Verfahren ohne Praxiserfahrung und Konstellationen, in denen trotz Maßnahmen ein hohes Restrisiko bleibt.

Im letztgenannten Fall ist ohnehin die vorherige Konsultation der zuständigen Aufsichtsbehörde vorgesehen, bevor die Verarbeitung beginnt. Das ist kein Makel, sondern Teil des vorgesehenen Verfahrens — und besser, als ein Risiko sehenden Auges einzugehen.

Ehrlich gesagt: Die Versuchung, eine DSFA als Formalie abzuhaken, ist groß. Ein Dokument, das die echten Risiken eines KI-Systems nicht ernsthaft durchdenkt, erfüllt zwar formal die Pflicht, schützt aber weder die Betroffenen noch das Unternehmen, wenn es zum Vorfall kommt.

Zusammenspiel mit dem EU AI Act.

DSGVO und AI Act sind getrennte Regelwerke mit unterschiedlichem Fokus — Schutz personenbezogener Daten auf der einen, Sicherheit und Grundrechtskonformität von KI-Systemen auf der anderen Seite. In der Praxis überlappen sie sich häufig: Ein KI-System, das nach AI Act hochriskant ist, verarbeitet oft personenbezogene Daten und löst zugleich eine DSFA-Pflicht aus.

Sinnvoll ist, beide Bewertungen zusammen zu denken und Dokumentation, wo möglich, gemeinsam zu nutzen — etwa die Beschreibung des Systems, die Risikobetrachtung und die Maßnahmen zur menschlichen Aufsicht. Das spart Aufwand und vermeidet widersprüchliche Aussagen in zwei Dokumenten.

Die konkreten Anforderungen, Listen und Fristen entwickeln sich weiter; tagesaktuelle Details sollten Sie aus offiziellen Quellen oder von Ihrem Datenschutzbeauftragten beziehen. Wer die DSFA früh und ernsthaft angeht, baut nebenbei genau das Risikoverständnis auf, das ein verantwortungsvoller KI-Einsatz ohnehin braucht.

Sie planen ein KI-System mit personenbezogenen Daten und wollen klären, ob eine DSFA Pflicht ist und wie Sie sie schlank erstellen? Unverbindlich anfragen — wir prüfen gemeinsam die Auslöser, strukturieren Beschreibung, Risiken und Maßnahmen und zeigen, was Sie selbst leisten können und wo fachkundige Unterstützung sinnvoll ist.