Lektion 3 von 5·10 Min Lesezeit

Datenschutz-Folgenabschätzung für AI

Eine Datenschutz-Folgenabschätzung (DSFA, englisch DPIA) ist bei vielen AI-Projekten Pflicht — und auch ohne Pflicht ein wertvolles Instrument, um Datenschutzrisiken systematisch zu identifizieren und zu minimieren.

Wann ist eine DSFA Pflicht?

Nach Art. 35 DSGVO ist eine DSFA verpflichtend, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei AI trifft das häufig zu:

Pflicht bei AI, wenn mindestens zwei Kriterien erfüllt:

  1. Profiling und Scoring: AI bewertet oder klassifiziert Personen
  2. Automatisierte Entscheidungen: AI trifft Entscheidungen mit rechtlicher Wirkung
  3. Systematische Überwachung: AI überwacht Verhalten oder Aktivitäten
  4. Sensible Daten: Verarbeitung besonderer Kategorien (Gesundheit, Biometrie)
  5. Große Datenmengen: Verarbeitung von Daten vieler Betroffener
  6. Neue Technologien: AI gilt per se als „neue Technologie"
  7. Vulnerable Gruppen: Betroffene sind Arbeitnehmer, Kinder, Patienten

Praxis-Regel: Bei den meisten AI-Systemen, die personenbezogene Daten verarbeiten, ist eine DSFA empfehlenswert — im Zweifel lieber durchführen.

Wie führt man eine DSFA durch?

Phase 1: Beschreibung der Verarbeitung

  • Was macht das AI-System genau?
  • Welche personenbezogenen Daten werden verarbeitet?
  • Welche Rechtsgrundlage gilt?
  • Wer hat Zugriff auf die Daten?
  • Wie lange werden Daten gespeichert?

Phase 2: Bewertung der Notwendigkeit und Verhältnismäßigkeit

  • Ist AI das mildeste Mittel für den Zweck?
  • Werden nur die notwendigen Daten verarbeitet (Datenminimierung)?
  • Gibt es Alternativen mit weniger Datenschutzrisiko?

Phase 3: Risikobewertung

Für jedes identifizierte Risiko bewerten:

RisikoEintrittswahrscheinlichkeitSchwere der AuswirkungRisiko-Level
Unbeabsichtigte Bias-DiskriminierungMittelHochHoch
Datenleck an ProviderNiedrigHochMittel
Falsche automatisierte EntscheidungMittelMittelMittel

Phase 4: Maßnahmen zur Risikominderung

Für jedes Risiko konkrete Gegenmaßnahmen definieren:

  • Technische Maßnahmen (Verschlüsselung, Anonymisierung, Zugriffskontrollen)
  • Organisatorische Maßnahmen (Schulungen, Vier-Augen-Prinzip, Audits)
  • Vertragliche Maßnahmen (AVV, Haftungsklauseln, SLA)

Phase 5: Dokumentation und Review

  • DSFA schriftlich dokumentieren
  • Datenschutzbeauftragten einbeziehen
  • Regelmäßig aktualisieren (mindestens jährlich oder bei Änderungen)

DSFA-Template für AI-Projekte

Eine praktische Checkliste für Ihre DSFA:

  • ☐ Verarbeitungszweck beschrieben
  • ☐ Datenarten und Betroffene identifiziert
  • ☐ Rechtsgrundlage geprüft und dokumentiert
  • ☐ Notwendigkeit und Verhältnismäßigkeit bewertet
  • ☐ Risiken identifiziert und bewertet
  • ☐ Maßnahmen definiert und implementiert
  • ☐ Datenschutzbeauftragter konsultiert
  • ☐ Nächstes Review-Datum festgelegt

Wann die Aufsichtsbehörde konsultieren?

Wenn nach der DSFA ein hohes Restrisiko verbleibt, das nicht weiter minimiert werden kann, müssen Sie die zuständige Aufsichtsbehörde konsultieren (Art. 36 DSGVO) — vor dem Start der Verarbeitung.

Praxis-Tipp: Führen Sie die DSFA nicht als einmalige Pflichtübung durch, sondern als lebendes Dokument. Jedes Modell-Update, jede Erweiterung des Einsatzbereichs erfordert eine Aktualisierung.

Vorherige LektionNächste Lektion