30 Tage Risikoerkennung für generative KI:Jetzt starten
Demo buchen
Kostenlose Vorlage · DSGVO und Datenschutz

KI-DSFA-VorlageBewerten Sie KI-Verarbeitungen vor dem Go-live

KI-Projekte lösen Artikel 35 DSGVO häufiger aus als fast jede andere Verarbeitung: Modelltraining mit personenbezogenen Daten, automatisierte Entscheidungen, systematische Überwachung, RAG über personenbezogene Datenbestände. Diese Vorlage liefert eine vollständige, KI-spezifische Datenschutz-Folgenabschätzung: eine Screening-Checkliste auf Basis der EDSA-Kriterien, eine Verarbeitungsbeschreibung entlang von Training und Inferenz, ein vorbefülltes Risikoregister sowie die Konsultations- und Freigabenachweise, die eine Aufsichtsbehörde erwartet.

Wann ein KI-Projekt eine DSFA braucht

Eine DSFA ist Pflicht, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die betroffenen Personen zur Folge hat. Drei Fälle nach Artikel 35(3) DSGVO erfordern sie immer, und nach den EDSA-Leitlinien ist eine DSFA erforderlich, sobald zwei der neun Risikokriterien erfüllt sind. Diese KI-Muster überschreiten die Schwelle am häufigsten.

Immer erforderlich nach Artikel 35(3)
A
Systematische und umfassende Bewertung mit erheblichen Auswirkungen
Automatisierte Verarbeitung einschließlich Profiling, die Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung speist: KI-gestützte Bewerberauswahl, Kredit-Scoring, Leistungsansprüche.
B
Umfangreiche Verarbeitung besonderer Datenkategorien
Training oder Betrieb von KI mit Gesundheits-, biometrischen oder anderen Artikel-9-Daten in großem Umfang, etwa klinische Triage-Chatbots oder biometrische Identifizierung.
C
Systematische Überwachung öffentlich zugänglicher Bereiche
Großflächige KI-Videoanalysen, intelligente Videoüberwachung und Verhaltensanalysen im öffentlichen Raum.
KI-Muster, die in der Regel eine DSFA auslösen
Modelltraining mit personenbezogenen Daten
Aufbau oder Feintuning von Modellen mit Daten identifizierbarer Personen. Die CNIL wertet bereits den Aufbau einer Trainingsdatenbank als potenziell hohes Risiko.
Automatisierte Entscheidungsfindung
Modellausgaben, die Entscheidungen über Einstellung, Kredit, Preise oder Zugang bestimmen oder stark beeinflussen.
Systematische Überwachung
KI-Auswertung von Nachrichten, Bildschirmen, Anrufen oder Produktivitätssignalen von Beschäftigten.
Ableitung sensibler Merkmale
Modelle, die Gesundheitszustand, politische Meinungen oder sexuelle Orientierung aus scheinbar harmlosen Eingaben ableiten können.
RAG über personenbezogene Datenbestände
Retrieval-Augmented Generation über Postfächer, CRM-Daten, Personalakten oder Support-Tickets.
Externe und Schatten-KI-Tools
Beschäftigte geben personenbezogene Daten in externe KI-Dienste ein, deren Speicherung, Weiterverwendung und Hosting außerhalb Ihrer Kontrolle liegen.

Faustregel aus den EDSA-Leitlinien: Ab zwei der neun Kriterien ist eine DSFA erforderlich, eines kann genügen. Die britische ICO stuft KI als innovative Technologie ein: KI plus ein weiteres Kriterium erfordert nach ihrer Liste eine DSFA. Im Zweifel: DSFA durchführen.

Was die Vorlage abdeckt

Sieben Teile führen vom Screening bis zur Freigabe, jede Tabelle ist für KI-Verarbeitungen vorstrukturiert.

1
Screening-Checkliste

Die Fälle des Artikels 35(3), die neun EDSA-Kriterien mit KI-spezifischer Auslegung und ein dokumentiertes Screening-Ergebnis.

2
Verarbeitungsbeschreibung

Zweck, Rechtsgrundlage, Datenkategorien und -quellen, Trainings- und Inferenzdatenflüsse, Modellanbieter und Hosting-Standorte, Speicherfristen und Unterauftragsverarbeiter.

3
Erforderlichkeit und Verhältnismäßigkeit

Zehn evidenzbasierte Fragen zu Datenminimierung, Alternativen zur KI, Transparenz, Betroffenenrechten und den Garantien des Artikels 22.

4
Risikobewertung

Ein vorbefülltes Register mit zehn KI-spezifischen Risiken für betroffene Personen, bewertet nach Wahrscheinlichkeit und Schwere: Memorierung, Bias, sensible Ableitungen, RAG-Überexposition und mehr.

5
Abhilfemaßnahmen und Restrisiko

Eine Maßnahmentabelle je Risiko mit Verantwortlichen, Status und Restrisikobewertung, plus dem Auslöser für die Konsultation nach Artikel 36.

6
Freigabe und Überprüfung

Nachweis der DSB-Konsultation, Freigabetabelle, Checkliste zur Umsetzung der Ergebnisse und ein Überprüfungsplan mit KI-spezifischen Auslösern wie Modellwechseln.

DSFA vs. KI-Folgenabschätzung

Beide Bewertungen überschneiden sich, beantworten aber unterschiedliche Fragen. Die meisten KI-Governance-Programme brauchen beide: die KI-Folgenabschätzung für die Entscheidung, ob und wie verantwortungsvoll eingeführt wird, und die DSFA zur Erfüllung der DSGVO-Pflichten, sobald personenbezogene Daten betroffen sind.

Datenschutz-Folgenabschätzung (DSFA)

Diese Vorlage

  • Gesetzlich vorgeschrieben durch Artikel 35 DSGVO bei voraussichtlich hohem Risiko
  • Gegenstand: Risiken für betroffene Personen durch die Verarbeitung personenbezogener Daten
  • Verantwortung beim Datenschutz: der DSB wird konsultiert, die Aufsichtsbehörde bei fortbestehendem hohem Restrisiko
  • Ergebnis: eine dokumentierte Compliance-Entscheidung, die Aufsichtsbehörden prüfen können

KI-Folgenabschätzung (AIA)

Breiter, freiwillig oder durch Richtlinien vorgegeben

  • Best Practice nach Rahmenwerken wie NIST AI RMF und ISO/IEC 42001, von manchen Beschaffungsrichtlinien verlangt
  • Gegenstand: alle Auswirkungen eines KI-Systems, einschließlich Fairness, Sicherheit und gesellschaftlicher Effekte, mit oder ohne personenbezogene Daten
  • Verantwortung bei der KI-Governance: ein funktionsübergreifendes Prüfgremium
  • Ergebnis: eine Einführungsentscheidung mit Auflagen, Monitoring und Verantwortlichkeiten
Erste Schritte

Kennen Sie jedes KI-System, das eine DSFA braucht

Was man nicht sieht, kann man nicht bewerten. Aona erkennt jedes KI-Tool in Ihrem Unternehmen, zeigt, welche personenbezogenen Daten hineinfließen, und liefert das prüfungsbereite Inventar, auf dem Ihre DSFAs aufbauen.