KI-Projekte lösen Artikel 35 DSGVO häufiger aus als fast jede andere Verarbeitung: Modelltraining mit personenbezogenen Daten, automatisierte Entscheidungen, systematische Überwachung, RAG über personenbezogene Datenbestände. Diese Vorlage liefert eine vollständige, KI-spezifische Datenschutz-Folgenabschätzung: eine Screening-Checkliste auf Basis der EDSA-Kriterien, eine Verarbeitungsbeschreibung entlang von Training und Inferenz, ein vorbefülltes Risikoregister sowie die Konsultations- und Freigabenachweise, die eine Aufsichtsbehörde erwartet.
Eine DSFA ist Pflicht, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die betroffenen Personen zur Folge hat. Drei Fälle nach Artikel 35(3) DSGVO erfordern sie immer, und nach den EDSA-Leitlinien ist eine DSFA erforderlich, sobald zwei der neun Risikokriterien erfüllt sind. Diese KI-Muster überschreiten die Schwelle am häufigsten.
Faustregel aus den EDSA-Leitlinien: Ab zwei der neun Kriterien ist eine DSFA erforderlich, eines kann genügen. Die britische ICO stuft KI als innovative Technologie ein: KI plus ein weiteres Kriterium erfordert nach ihrer Liste eine DSFA. Im Zweifel: DSFA durchführen.
Sieben Teile führen vom Screening bis zur Freigabe, jede Tabelle ist für KI-Verarbeitungen vorstrukturiert.
Die Fälle des Artikels 35(3), die neun EDSA-Kriterien mit KI-spezifischer Auslegung und ein dokumentiertes Screening-Ergebnis.
Zweck, Rechtsgrundlage, Datenkategorien und -quellen, Trainings- und Inferenzdatenflüsse, Modellanbieter und Hosting-Standorte, Speicherfristen und Unterauftragsverarbeiter.
Zehn evidenzbasierte Fragen zu Datenminimierung, Alternativen zur KI, Transparenz, Betroffenenrechten und den Garantien des Artikels 22.
Ein vorbefülltes Register mit zehn KI-spezifischen Risiken für betroffene Personen, bewertet nach Wahrscheinlichkeit und Schwere: Memorierung, Bias, sensible Ableitungen, RAG-Überexposition und mehr.
Eine Maßnahmentabelle je Risiko mit Verantwortlichen, Status und Restrisikobewertung, plus dem Auslöser für die Konsultation nach Artikel 36.
Nachweis der DSB-Konsultation, Freigabetabelle, Checkliste zur Umsetzung der Ergebnisse und ein Überprüfungsplan mit KI-spezifischen Auslösern wie Modellwechseln.
Beide Bewertungen überschneiden sich, beantworten aber unterschiedliche Fragen. Die meisten KI-Governance-Programme brauchen beide: die KI-Folgenabschätzung für die Entscheidung, ob und wie verantwortungsvoll eingeführt wird, und die DSFA zur Erfüllung der DSGVO-Pflichten, sobald personenbezogene Daten betroffen sind.
Diese Vorlage
Breiter, freiwillig oder durch Richtlinien vorgegeben
Was man nicht sieht, kann man nicht bewerten. Aona erkennt jedes KI-Tool in Ihrem Unternehmen, zeigt, welche personenbezogenen Daten hineinfließen, und liefert das prüfungsbereite Inventar, auf dem Ihre DSFAs aufbauen.