KI-Datenschutz-Folgenabschätzung (KI-DSFA): So erfüllst du gleichzeitig die DSGVO und den AI-Act mit Privacy als dein digitales Datenschutz-Cockpit.

Gerade in einer Zeit, in der neue KI-Tools, -Systeme und -Prozesse im Wochentakt eingeführt werden, braucht es Orientierung, denn sie bringen gleichzeitig neue Chancen sowie neue Pflichten mit sich. Besonders bei sensiblen Anwendungen und deren Verarbeitungstätigkeiten wie beispielsweise im Bewerbungsmanagement stellen sich schnell die Fragen: 

❔Sind unsere Prozesse rechtskonform? 

❔Wie bewerten wir die Risiken für die betroffenen Personen?

Mit dem Inkrafttreten des AI-Acts verschärft sich der Handlungsdruck. Auch wenn der AI-Act keine eigene Datenschutz-Folgenabschätzung (DSFA) verlangt, bleibt die DSFA nach DSGVO überall dort ein zentrales Instrument, wo Künstliche Intelligenz mit personenbezogenen Daten arbeitet. Und das ist häufig der Fall.

Was ist eine KI-DSFA?

Die KI-DSFA ist im Grunde eine klassische Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO, erweitert um die besonderen Risikofaktoren von Künstlicher Intelligenz:

• Intransparente Entscheidungsprozesse

• Diskriminierungspotential

• Automatisierte Bewertungen

• Einfluss auf Grundrechte wie Fairness oder Chancengleichheit

Sie hilft dir dabei, diese Risiken strukturiert zu erkennen, zu bewerten und geeignete Maßnahmen zu ergreifen.

Wichtig: Auch bei KI-Systemen mit begrenztem Risiko (z. B. Chatbots oder generative KI) gelten ab August 2026 Transparenzpflichten gemäß Art. 50 des AI-Act. Z.B. ein klarer Hinweis darauf, dass ein Text oder Bild von KI erzeugt wurde.

Für wen ist eine KI-DSFA überhaupt relevant?

Eine Datenschutz-Folgenabschätzung bei Einsatz von Künstlicher Intelligenz (KI-DSFA) ist immer dann relevant, wenn personenbezogene Daten mit Hilfe eines KI-Systems verarbeitet werden und dabei ein hohes Risiko für die Rechte und Freiheiten von Menschen entstehen kann.

Das betrifft zum Beispiel:

• Unternehmen, die KI in sensiblen Bereichen einsetzen, wie etwa im Bewerbungsprozess, zur Leistungsbewertung oder für Kundenanalysen.

• Behörden oder öffentliche Stellen, z. B. im Sozial- oder Bildungsbereich.

• Entwickler:innen oder Anbieter von KI-Lösungen, deren Systeme von anderen mit personenbezogenen Daten genutzt werden.

• Forschungseinrichtungen oder NGOs, die KI-basierte Analysen mit Personenbezug durchführen.

Sobald die Nutzung öffentlich, geschäftlich oder institutionell erfolgt, greifen die Regeln der DSGVO und damit auch die DSFA-Pflicht bei hohem Risiko.

Welche Risikostufen sieht der AI-Act vor?

Der AI-Act unterscheidet vier Risikostufen, von denen jeweils unterschiedliche Pflichten ausgehen:

• Inakzeptables Risiko (verboten): z. B. Social Scoring, Predictive Policing oder subtile Verhaltensmanipulation.

• Hohes Risiko (reguliert): z. B. KI im Bewerbungsmanagement, in kritischer Infrastruktur, bei biometrischer Identifikation

• Begrenztes Risiko (Transparenzpflicht): z. B. Chatbots, generative KI, Empfehlungssysteme.

• Minimales oder kein Risiko (frei): z. B. Spam-Filter, Videospiele, intelligente Rechtschreibkorrektur.

Die Risikostufe ergibt sich aus der Kombination von Schadenswahrscheinlichkeit und -schwere. Hochrisiko-KI-Systeme müssen u. a. ein Risikomanagement, technische Dokumentation, menschliche Aufsicht und Transparenz sicherstellen.

Was ist mit KI-Modellen mit allgemeinem Verwendungszweck (GPAI)?

KI-Modelle wie GPT-4 oder Claude, die für verschiedenste Zwecke trainiert wurden, gelten als GPAI (General Purpose AI). Für diese gelten zusätzliche Anforderungen:

• Technische Dokumentation,

• Transparenz über Trainingsdaten,

• Schutz vor Missbrauch,

• Informationspflichten für Anbieter, die GPAI weiterverwenden.

Hinweis: Auch wenn du keine eigene KI entwickelst, musst du diese GPAI-Pflichten beachten, sobald du ein solches Modell in eine eigene Anwendung integrierst.

Umsetzung einer KI- Datenschutz-Folgenabschätzung mit der Datenschutzmanagement-Software „Privacy“ von Datareporter in der Praxis:  

Viele Datenschutzbeauftragte, sowohl intern in Unternehmen als auch externe Berater:innen, schätzen Privacy als praxisorientiertes, gut strukturiertes und zeitsparendes Tool. 

Julia Andonie (Datenschutzbeauftragte | Datenschutzauditorin DSA-TÜV & CEO, DataFreshup) fasst die Arbeit mit unserer DSGVO-Software wie folgt zusammen: 

✅ 1. Endlich ein Tool aus der Praxis und für die Praxis:

„Man merkt, dass Privacy nicht im Elfenbeinturm entstanden ist, sondern direkt aus der Praxis heraus entwickelt wurde. Es ist pragmatisch, verständlich und auf das Wesentliche fokussiert.“

✅ 2. Zentrale Verwaltung statt Tool-Wildwuchs:

„Viele arbeiten nach wie vor mit Word oder Excel. Mit Privacy habe ich Verarbeitungsverzeichnisse, TOMs, DSFA, Risikobewertungen und Betroffenenrechte an einem Ort, was sowohl mir als auch meinen Kund:innen Zeit und Nerven spart.“

✅ 3. Ideal für strukturierte Datenschutz-Folgenabschätzungen (DSFA):

„Gerade bei komplexen Fällen wie KI im Bewerbungsprozess oder Kameraüberwachung hilft mir Privacy dabei, Schwellenwertanalysen, Risikoabschätzungen und Maßnahmenplanung nachvollziehbar und dokumentiert abzubilden.“

✅ 4. Sofort bereit für Prüfungen:

„Wenn die Aufsichtsbehörde nach Dokumentation fragt, habe ich meinen DSFA Report mit einem Klick. Keine Panik, keine Eile, sondern einfach abrufbar. Das ist echte Entlastung.“

✅ 5. Auch für Kund:innen verständlich:

„Wenn ich Mandanten oder Fachabteilungen etwas erklären will, ist Privacy hilfreich: die Oberfläche ist klar, Begriffe sind nicht übertechnisiert, und man sieht sofort, wo man steht. Das schafft Vertrauen.“

Privacy (DSMS) wird von Datenschutzbeauftragten als verlässliches Cockpit für die operative Datenschutzarbeit besonders dann geschätzt, wenn dokumentierte Prozesse, strukturierte DSFA und Revisionssicherheit gefragt sind. Es reduziert Komplexität, bringt Struktur in den Datenschutz-Alltag und spart spürbar Zeit.

Synergien: Wie AI-Act und DSGVO zusammenspielen

• Risikomanagement: Die DSFA kann zentrale Anforderungen des AI Act abdecken.

• KI-Managementsystem = erweitertes Datenschutzsystem: Viele Unternehmen können bestehende DSGVO-Strukturen für KI adaptieren.

• Datenschutzbeauftragte als KI-Verantwortliche: Oft ist es sinnvoll, diese Rolle zu erweitern – zumindest koordinierend.

Fazit

Die KI-DSFA ist kein bürokratisches Hindernis, sondern ein wirksames Instrument zur Risikominimierung. In Kombination mit der Datenschutzmanagement-Software Privacy (DSMS) wird sie zum zentralen Werkzeug, um Vorgaben aus DSGVO und AI-Act praxisnah, strukturiert und revisionssicher umzusetzen.

Statt nur auf aktuelle Prozesse zu schauen, eröffnet sie einen Blick in mögliche Szenarien: 

• Was passiert, wenn etwas schiefläuft? 

• Welche Auswirkungen hätte das auf unsere Kundschaft, Geschäftspartner oder interne Teams? 

Wer frühzeitig Risiken erkennt und vorbeugt, schützt nicht nur Daten – sondern auch Vertrauen, Reputation und unternehmerische Handlungsfähigkeit.

Du hast Fragen zur DSGVO-Software Privacy? 

Kontaktiere uns. Wir beraten dich gerne. 

—----

Quellen: 

• EU Artificial Intelligene Act, https://artificialintelligenceact.eu/de/ (abgerufen am 1.7.25) 

• Jusline, https://www.jusline.at/gesetz/dsgvo/paragraf/5 (abgerufen am 1.7.25)

• www.rtr.at