Brauchen wir für unseren KI-Einsatz eine Datenschutz-Folgenabschätzung (DSFA)?

Häufig ja. Nach Artikel 35 DSGVO ist eine Datenschutz-Folgenabschätzung Pflicht, wenn die Verarbeitung voraussichtlich hohe Risiken für Betroffene birgt. KI-Systeme, die personenbezogene Daten verarbeiten, fallen oft in diese Kategorie — insbesondere bei automatisierter Entscheidungsfindung oder systematischer Überwachung.

Brauchen wir eine Datenschutz-Folgenabschätzung für KI?

Die Datenschutz-Folgenabschätzung (DSFA) ist in Artikel 35 DSGVO geregelt. Sie ist verpflichtend, wenn die Verarbeitung voraussichtlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen birgt. Bei KI-Einsatz greift die Pflicht häufig, aber nicht immer.

Wann eine DSFA nötig ist

Die Aufsichtsbehörden der Länder führen Listen von Verarbeitungen, die grundsätzlich DSFA-pflichtig sind. Dazu gehören systematische und umfassende Bewertungen persönlicher Aspekte (Profiling), Verarbeitung besonderer Datenkategorien in großem Umfang, systematische Überwachung öffentlich zugänglicher Bereiche und neue Technologien mit neuartigen Risiken. KI-Systeme fallen oft in diese letzte Kategorie — insbesondere wenn sie neu sind, Entscheidungen vorbereiten oder sensible Daten verarbeiten.

Wann eine DSFA nicht nötig ist

Ein internes Wissensmanagement-System, das Arbeitsanweisungen und Prüfprotokolle indexiert — ohne personenbezogene Daten oder mit streng kontrollierten Zugriffen —, ist in der Regel nicht DSFA-pflichtig. Eine grundsätzliche Risikoeinschätzung sollte dennoch in der Verarbeitungsübersicht dokumentiert werden.

Was in eine DSFA gehört

Artikel 35 Absatz 7 DSGVO gibt die Mindestinhalte vor: systematische Beschreibung der Verarbeitungsvorgänge, Bewertung der Notwendigkeit und Verhältnismäßigkeit, Risikobewertung für Betroffene und die zur Risikominderung geplanten Maßnahmen. In der Praxis umfasst eine DSFA 15 bis 50 Seiten, abhängig vom Anwendungsfall.

DSFA und Betriebsrat

Wenn KI-Systeme Mitarbeiterdaten verarbeiten, trifft die DSFA häufig mit der Mitbestimmung des Betriebsrats zusammen. Beide Prozesse lassen sich parallel führen, sollten aber nicht vermischt werden — sie adressieren unterschiedliche Schutzinteressen.

Wer die DSFA durchführt

Verantwortlich ist der Verantwortliche im Sinne der DSGVO, also das Unternehmen selbst. Der Datenschutzbeauftragte ist nach Artikel 39 DSGVO zu beteiligen. Externe Unterstützung durch Datenschutzberatung oder spezialisierte Kanzleien ist üblich, entbindet aber nicht von der Verantwortung. Haberstroh Systems kann die technisch-organisatorische Beschreibung des KI-Systems für die DSFA aufbereiten; die datenschutzrechtliche Bewertung gehört in die Hand eines Datenschutzspezialisten.