AI Act & DSGVO: Datenschutz-Folgenabschätzung in der Praxis 

Was ist der AI Act?

Der AI Act ist die erste umfassende KI-Verordnung weltweit und wurde im Juni 2024 von der EU beschlossen. Ziel der Verordnung ist es, klare und einheitliche Regeln für den Einsatz von künstlicher Intelligenz in Europa zu schaffen. Dabei steht im Fokus, dass KI menschenzentriert, vertrauenswürdig und sicher sein muss.

Das Gesetz unterscheidet KI-Systeme nach ihrem Risikoniveau – von minimal bis unzulässig – und legt unterschiedliche Pflichten für Anbieter und Nutzer fest. Unternehmen, die KI-Systeme entwickeln, einsetzen oder nutzen, müssen künftig strengere Vorschriften einhalten.

Worauf musst du beim Einsatz von KI-Tools achten?

Wenn du KI in deinem Unternehmen nutzt, solltest du dir folgende Fragen stellen:

Wie hoch ist das Risiko des KI-Systems?

Grafik 1: Darstellung des risikobasierten Ansatzes des AI ACT. 

Der AI Act unterscheidet vier Risikokategorien:

• Verbotene KI: z. B. soziale Bewertungssysteme, Emotionserkennung am Arbeitsplatz oder in der Schule

• Hochrisiko-KI: z. B. in der Personalrekrutierung, Kreditvergabe oder medizinischen Diagnostik

• KI mit Transparenzpflichten: z. B. Chatbots oder Deepfakes

• Geringes Risiko: z. B. Empfehlungssysteme für Produkte

➡️ Nutzt du ein Hochrisiko-KI-System, musst du besondere Anforderungen erfüllen: Transparenz, Nachvollziehbarkeit, Risikomanagement und technische Dokumentation.

Gibt es eine menschliche Aufsicht?

Alle KI-Systeme müssen so gestaltet sein, dass sie vom Menschen kontrolliert werden können. Es reicht nicht, die Technik einfach einzusetzen sondern du brauchst klare Regeln zur Verantwortlichkeit.

Wie gehst du mit personenbezogenen Daten um?

Der AI Act greift besonders dort ein, wo KI auf biometrische Daten (Gesicht, Stimme, Fingerabdruck) zugreift. Hier gelten zusätzliche Datenschutzpflichten gemäß DSGVO.

➡️ Du musst sicherstellen, dass die Datenverarbeitung rechtmäßig ist, z. B. durch Einwilligung oder gesetzliche Grundlage.

Datenschutz-Folgenabschätzung bei KI-Tools: Wann musst du aktiv werden?

Wenn du ein Hochrisiko-KI-System einsetzt und dabei personenbezogene Daten verarbeitest, ist eine Datenschutzfolgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich. Du möchtest z.B. ein KI-Tool in deinem Unternehmen einsetzen – vielleicht für automatisierte Kundenanfragen, Datenanalysen oder sogar Recruiting? 

Doch bevor du loslegst, solltest du dir eine wichtige Frage stellen: Muss ich eine Datenschutz-Folgenabschätzung (DSFA) durchführen?

💡Kurz gesagt: Ja, wenn durch die Nutzung des Tools ein hohes Risiko für die Rechte und Freiheiten von Personen besteht, insbesondere dann, wenn personenbezogene Daten verarbeitet werden.

Was prüft die DSFA?:

• ob das System Risiken für die Rechte und Freiheiten natürlicher Personen birgt,

• wie schwer diese Risiken sind,

• wie sie minimiert oder verhindert werden können.

Was bedeutet das konkret?

Eine DSFA ist laut DSGVO immer dann notwendig, wenn neue Technologien eingesetzt werden, die systematisch und umfangreich sensible Daten verarbeiten  und KI-Tools gehören meist genau dazu. Besonders bei Tools, die z. B. Profile erstellen, Verhaltensmuster analysieren oder automatisierte Entscheidungen treffen, musst du genau hinsehen.

Typische Fälle, bei denen du eine DSFA durchführen musst:

• Du verwendest ein KI-Tool zur automatisierten Analyse von Mitarbeiterdaten, etwa zur Leistungsbewertung.

• Du nutzt KI im Recruiting, z. B. zur Vorauswahl von Bewerber:innen. (Laut EU-AI-Act: Hochrisiko-Anwendung!)

• Du verarbeitest besondere Kategorien personenbezogener Daten mit KI – z. B. Gesundheitsdaten oder Gewerkschaftszugehörigkeit.

• Du setzt KI-Systeme ein, deren Entscheidungen rechtliche oder ähnlich erhebliche Auswirkungen auf betroffene Personen haben.

💡 Wenn du feststellst, dass ein hohes Risiko besteht – und du es nicht ausreichend mindern kannst –, ist die DSFA verpflichtend.

➡️ Die DSFA sollte in jedem Fall vor dem Einsatz des Systems erfolgen – und unbedingt dokumentiert sein. Das ist nicht nur gesetzlich verpflichtend, sondern kann im Fall einer Prüfung entscheidend sein. 

Wie und wo kann ich am besten eine DSFA durchführen? 

Die DSGVO Software Privacy von Datareporter bietet dir eine integrierte Datenschutz-Folgenabschätzung (DSFA) an. Gerade wenn du mit sensiblen Daten oder komplexen Technologien wie KI-Systemen arbeitest, ist ein durchdachtes Datenschutzmanagement unverzichtbar. Die DSGVO-Software Privacy von Datareporter hilft dir nicht nur, den Überblick über deine Verarbeitungstätigkeiten zu behalten, sondern stellt dir auch eine vollständig integrierte Datenschutz Folgenabschätzung zur Verfügung. Und das bringt dir gleich mehrere handfeste Vorteile:

Deine Vorteile auf einen Blick:

✅ Lückenlose Dokumentation von KI-Systemen

Mit Privacy kannst du die Verarbeitungstätigkeiten deiner KI-Systeme zentral erfassen und direkt in die DSFA überführen. Zusätzliche Tools oder manuelle Exporte sind nicht erforderlich. So bleibt alles an einem Ort und du behältst die volle Kontrolle.

✅  Einfache und geführte Durchführung der DSFA

Du wirst durch den gesamten Prozess geführt mit klaren Fragen, verständlicher Unterstützung und konkreten Vorschlägen für die nächsten Schritte. Auch ohne juristische Vorkenntnisse kannst du so eine fundierte und DSGVO-konforme Bewertung durchführen.

✅ DSFA-Report mit einem Klick erstellen

Nach Abschluss deiner DSFA kannst du mit nur einem Klick einen vollständigen Report generieren. Genau so, wie es die Aufsichtsbehörden erwarten. Das spart Zeit und macht deine Dokumentation revisionssicher.

✅  Keine Systembrüche, keine Medienbrüche

Alles passiert direkt in der Software, von der Risikoanalyse bis zur fertigen Dokumentation. Du musst keine Informationen doppelt pflegen oder zwischen verschiedenen Tools hin- und herwechseln.

✅ Effizient, sicher, zukunftsfähig

Mit der integrierten DSFA Funktion bist du bestens aufgestellt, besonders bei innovativen Projekten mit hohem Risiko. Du sparst Aufwand, minimierst Fehler und erfüllst gleichzeitig alle gesetzlichen Anforderungen.

Fazit: Der AI Act betrifft (fast) jedes Unternehmen

Egal ob du KI selbst entwickelst oder einfach nur Tools nutzt, der AI Act wird dein Unternehmen betreffen. Jetzt ist der richtige Zeitpunkt, um aktiv zu werden um:

✅ deine KI-Anwendungen zu überprüfen,

✅ deine Dokumentation und Prozesse anzupassen,

✅ deine Mitarbeitenden fit zu machen für den verantwortungsvollen Umgang mit KI.

🛠️ Je früher du dich vorbereitest, desto sicherer bist du in rechtlicher und technologischer Hinsicht.

—-

Quellen:  

• VERORDNUNG (EU) 2024/1689 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 13. Juni 2024, https://eur-lex.europa.eu/eli/reg/2024/1689/oj?locale=de, abgerufen am 10. Juni 2025

• KI-Guidelines für KMU, https://www.wko.at/digitalisierung/ki-guidelines-fuer-kmu, abgerufen am 10. Juni 2025

• Artikel 35 Datenschutz-Folgenabschätzung, https://www.jusline.at/gesetz/dsgvo/paragraf/35 , abgerufen am 10. Juni 2025

• Bilder: canva.com, Datareporter, KI-generierte Statue