Datenschutz-Folgenabschaetzung fuer KI
Erstelle eine Datenschutz-Folgenabschaetzung (DSFA) fuer KI-Projekte — mit Schritt-fuer-Schritt-Anleitung und EU AI Act Risikoklassen.
Premium-Kursinhalt
Diese Lektion gehört zu einem Premium-Kurs. Upgrade auf Pro, um alle Premium-Kurse und Inhalte freizuschalten.
- Zugang zu allen Premium-Kursen
- 1000+ KI-Skill-Vorlagen inklusive
- Jede Woche neue Inhalte
🔄 Kurzer Rueckblick: In der letzten Lektion hast du die konkreten KI-Tools geprueft — Consumer vs. Enterprise, AVV-Pflicht und Konfiguration. Jetzt geht es um die formale Risikobewertung: die DSFA.
Eine Datenschutz-Folgenabschaetzung klingt nach Buerokratie. Ist es auch — aber sie schuetzt dich vor boesen Ueberraschungen. Und mit dem EU AI Act kommt ein zweites Risiko-Framework dazu, das du kennen musst.
Wann ist eine DSFA Pflicht?
Art. 35 DSGVO definiert: Eine DSFA ist Pflicht, wenn die Verarbeitung „voraussichtlich ein hohes Risiko" birgt. Die DSK hat eine Positivliste veroeffentlicht:
| DSFA-Pflicht bei KI | Beispiel |
|---|---|
| Profiling oder Scoring | KI bewertet Kreditwuerdigkeit |
| Automatisierte Einzelentscheidungen (Art. 22) | KI sortiert Bewerber vor |
| Systematische Ueberwachung | KI analysiert Mitarbeiterproduktivitaet |
| Verarbeitung besonderer Kategorien | KI verarbeitet Gesundheitsdaten |
| Daten schutzbeduerftiger Personen | KI in der Pflege oder Kindererziehung |
| Innovative Technologien | Erster KI-Einsatz im Unternehmen |
Zwei oder mehr Kriterien treffen zu? Dann ist die DSFA fast sicher Pflicht.
✅ Quick Check: Trifft einer der Punkte auf dein geplantes KI-Projekt zu? Dann brauchst du eine DSFA — oder zumindest eine dokumentierte Begruendung, warum nicht.
DSFA: Schritt fuer Schritt
Eine DSFA folgt einem klaren Aufbau. Hier ist die Kurzversion:
Schritt 1: Beschreibung der Verarbeitung
Was wird verarbeitet, wie, warum und von wem?
- Welches KI-Tool wird eingesetzt?
- Welche Daten werden eingegeben?
- Wer gibt die Daten ein?
- Wohin fliessen die Daten (Anbieter, Land, Server)?
- Wie lange werden die Daten gespeichert?
Schritt 2: Bewertung der Notwendigkeit
Ist der KI-Einsatz verhaeltnismaessig?
- Gibt es eine weniger datenintensive Alternative?
- Ist die Rechtsgrundlage tragfaehig?
- Werden nur die noetigsten Daten verarbeitet (Datenminimierung)?
Schritt 3: Risikobewertung
Welche Risiken bestehen fuer die Betroffenen?
| Risiko | Eintrittswahrscheinlichkeit | Schwere | Massnahme |
|---|---|---|---|
| Datenleck beim KI-Anbieter | Mittel | Hoch | AVV, Verschluesselung |
| Fehlentscheidung durch KI-Bias | Mittel | Hoch | Menschliche Pruefung |
| Unzulaessige Datenweitergabe an Dritte | Niedrig | Hoch | Vertragliche Regelung |
| Betroffene koennen Rechte nicht ausueben | Niedrig | Mittel | Auskunftsprozess einrichten |
Schritt 4: Massnahmen zur Risikominimierung
Fuer jedes identifizierte Risiko: Welche technischen und organisatorischen Massnahmen setzt du um?
Schritt 5: Dokumentation und Freigabe
DSFA dokumentieren, DSB einbeziehen, Freigabe durch die Geschaeftsfuehrung.
Der EU AI Act: Risikoklassen
Seit August 2024 gilt der EU AI Act. Er teilt KI-Systeme in vier Risikoklassen ein:
| Risikoklasse | Beispiele | Pflichten | Ab wann |
|---|---|---|---|
| Unannehmbares Risiko | Social Scoring, biometrische Echtzeitueberwachung | Verboten | Feb. 2025 |
| Hohes Risiko | KI in HR, Kreditvergabe, Bildung, Justiz | Risikomanagement, Aufsicht, Registrierung | Aug. 2026 |
| Begrenztes Risiko | Chatbots, Deepfakes | Transparenzpflicht | Aug. 2025 |
| Minimales Risiko | Spamfilter, KI-Uebersetzung | Keine besonderen Pflichten | — |
Hochrisiko: Was bedeutet das konkret?
Ab August 2026 muessen Hochrisiko-KI-Systeme:
- Risikomanagement-System einrichten (kontinuierlich, nicht einmalig)
- Datenqualitaet sicherstellen (keine verzerrten Trainingsdaten)
- Technische Dokumentation erstellen
- Menschliche Aufsicht gewaehrleisten
- Genauigkeit, Robustheit, Cybersicherheit nachweisen
- In der EU-Datenbank registriert werden
DSFA + EU AI Act: Doppelte Pflicht
Fuer Hochrisiko-KI-Systeme brauchst du beides: Eine DSFA nach DSGVO UND eine Konformitaetsbewertung nach EU AI Act. Die gute Nachricht: Viele Anforderungen ueberlappen sich.
KI-Prompt: DSFA erstellen lassen
Erstelle eine Datenschutz-Folgenabschaetzung (DSFA)
fuer folgendes KI-Projekt:
KI-TOOL: [z.B. ChatGPT Enterprise, Microsoft Copilot]
EINSATZZWECK: [z.B. Bewerbervorsortierung, Kundensupport]
VERARBEITETE DATEN: [z.B. Bewerbernamen, Lebenslaeufe]
BETROFFENE PERSONEN: [z.B. Bewerber, Kunden, Mitarbeiter]
DATENUEBERMITTLUNG: [z.B. USA, EU, lokal]
RECHTSGRUNDLAGE: [z.B. Berechtigtes Interesse, Einwilligung]
ERSTELLE:
1. Beschreibung der Verarbeitung
2. Notwendigkeit und Verhaeltnismaessigkeit
3. Risikomatrix (Risiko, Wahrscheinlichkeit, Schwere)
4. Technische und organisatorische Massnahmen
5. Restrisiko-Bewertung
6. Empfehlung: DSFA erforderlich ja/nein?
Wichtig: KI kann eine DSFA-Vorlage erstellen, aber die finale Bewertung und Freigabe muss durch den DSB oder eine qualifizierte Person erfolgen.
Key Takeaways
- DSFA ist Pflicht bei hohem Risiko: Profiling, automatisierte Entscheidungen, sensible Daten, systematische Ueberwachung
- Auch wenn keine DSFA noetig ist: Die Pruefung dokumentieren — Aufsichtsbehoerden wollen den Nachweis
- EU AI Act bringt vier Risikoklassen: Verboten, Hoch, Begrenzt, Minimal — Hochrisiko-Pflichten ab August 2026
- HR-KI (Bewerbersortierung, Leistungsbewertung) ist automatisch Hochrisiko nach EU AI Act
- KI kann DSFA-Vorlagen erstellen, aber die finale Bewertung ist Menschensache
Up Next
In der naechsten Lektion wird es ganz praktisch: Wie du ChatGPT, Copilot und andere KI-Tools in der taeglichen Arbeit datenschutzkonform nutzt — mit konkreten Do’s und Don’ts.
Wissenscheck
Erst das Quiz oben abschließen
Lektion abgeschlossen!