Datenschutz-Folgenabschätzung KI: Wann sie Pflicht wird

Wenn Sie überlegen, ein KI-Tool im Unternehmen einzuführen, hat Ihre Datenschutzbeauftragte vermutlich irgendwann das Wort “DSFA” gesagt. Manche Geschäftsführer winken da ab, manche bekommen ein flaues Gefühl. Beides ist unnötig. Die Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO ist kein Bürokratie-Monster, sondern ein strukturiertes Risiko-Gespräch mit sich selbst. Wer es richtig anlegt, hat zwei Stunden Arbeit und ein Dokument, das im Ernstfall vor Schmerzen schützt.

Wir machen das in unseren Kundenprojekten regelmäßig, weil immer mehr Mittelständler KI-Tools auf Bewerber-Daten, Kunden-Mails oder HR-Akten loslassen. Hier ist, was Sie wissen müssen, bevor Sie loslegen.

Wann eine DSFA Pflicht wird

Artikel 35 DSGVO verlangt eine DSFA, wenn eine Datenverarbeitung “voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen” zur Folge hat. Das klingt schwammig, ist es aber nicht. Die deutschen Aufsichtsbehörden haben eine sogenannte Muss-Liste herausgegeben, die in der Praxis als Filter funktioniert.

Für KI-Anwendungen greift die Pflicht typischerweise in vier Fällen.

Erstens: Sie nutzen KI für Profiling oder automatisierte Einzelentscheidungen. Beispiel: Lead-Scoring, das automatisch entscheidet, welcher Kontakt im CRM auf “Hot” springt, oder ein Bewerber-Filter, der Lebensläufe ohne menschliche Vorprüfung aussortiert.

Zweitens: Sie verarbeiten besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO. Dazu zählen Gesundheitsdaten, biometrische Daten, ethnische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit. Wenn Sie Krankschreibungen, Therapieberichte oder Mitarbeitendenfotos in ein KI-Tool laden, ist eine DSFA fällig.

Drittens: Sie verarbeiten Daten von schutzbedürftigen Personen. Bewerbende, Auszubildende, Minderjährige. Wer ein KI-gestütztes Onboarding-Tool für Azubis einsetzt, sollte ehrlich prüfen.

Viertens: Sie kombinieren Datenquellen, die ursprünglich getrennt erhoben wurden. Das ist häufiger als gedacht. Vertriebsstammdaten plus Kundenservice-Tickets plus Marketing-Tracking in einem KI-Tool zur “360-Grad-Kundensicht”: klassischer DSFA-Fall.

Was nicht automatisch DSFA-pflichtig ist

Ein ChatGPT-Account für allgemeine Recherche fällt nicht unter die Pflicht, solange Sie keine personenbezogenen Daten eintippen. Eine Übersetzung allgemeiner Texte mit DeepL Pro auch nicht. Ein KI-Termin-Assistent, der nur den eigenen Kalender liest, ebenfalls nicht. Was zählt, ist die konkrete Verarbeitung personenbezogener Daten, nicht die Tatsache, dass irgendwo KI im Spiel ist.

Die DSFA in fünf Schritten

Eine DSFA ist kein Dokument, sondern ein Prozess. Sie können sie auf fünf strukturierte Schritte herunterbrechen, die jeweils 20 bis 40 Minuten Zeit kosten.

Schritt eins: Beschreiben Sie die Verarbeitung. Welches System, welche Daten, welcher Anbieter, welche Rechtsgrundlage, wie viele Betroffene, wie lange. Konkret. Keine Marketing-Sprache. Wir nutzen dafür in der Regel eine A4-Seite mit acht Feldern.

Schritt zwei: Bewerten Sie die Notwendigkeit und Verhältnismäßigkeit. Brauchen Sie wirklich diese Daten in dieser Tiefe für den genannten Zweck. Gibt es eine weniger eingriffsintensive Variante. Oft entdecken Sie hier, dass Sie 60 Prozent der Felder weglassen können, ohne den Use Case zu beschädigen.

Schritt drei: Identifizieren Sie die Risiken. Mindestens drei Fragen. Was passiert, wenn das Modell falsch entscheidet. Was passiert, wenn die Daten an Dritte gelangen. Was passiert, wenn die Verarbeitung unbefristet weiterläuft. Bewerten Sie Eintrittswahrscheinlichkeit und Schwere jeweils auf einer Skala von 1 bis 4. Das Produkt aus beiden ergibt den Risiko-Score.

Schritt vier: Definieren Sie technische und organisatorische Maßnahmen, die das Risiko senken. Pseudonymisierung, Berechtigungskonzept, Aufbewahrungsfristen, Human-in-the-Loop bei Entscheidungen, Audit-Logs, Schulungspflicht für Nutzende. Die Maßnahmen müssen zum Risiko passen, nicht zu einer abstrakten Best-Practice-Liste.

Schritt fünf: Holen Sie eine Stellungnahme Ihrer Datenschutzbeauftragten ein und dokumentieren Sie die Entscheidung. Wenn ein Restrisiko bleibt, das Sie nicht sinnvoll absenken können, müssen Sie nach Artikel 36 DSGVO die Aufsichtsbehörde konsultieren. Das ist selten der Fall, sollten Sie aber nicht unter den Teppich kehren.

Häufige Fehler in der Praxis

Wir sehen vier Muster, die zuverlässig in Audits Ärger machen.

Erstens: Die DSFA wird einmal geschrieben und dann nie wieder angefasst. Wenn sich das System ändert, der Anbieter wechselt oder ein neuer Use Case dazukommt, ist sie veraltet. Setzen Sie eine jährliche Review fest. Im Kalender. Mit Erinnerung.

Zweitens: Die Risiken werden generisch beschrieben, statt konkret. “Es könnte ein Datenschutzvorfall passieren” ist kein Risiko. “Ein Mitarbeiter kopiert per Drag and Drop einen Bewerber-Lebenslauf in die ChatGPT-Weboberfläche, die OpenAI in den USA verarbeitet” ist eines.

Drittens: Die Maßnahmen werden geplant, aber nicht umgesetzt. Ein “Berechtigungskonzept ist in Vorbereitung” reicht zwölf Monate später nicht mehr. Setzen Sie Deadlines und Verantwortliche pro Maßnahme.

Viertens: Es wird vergessen, dass die DSFA auch die Anbieterseite beleuchten muss. Auftragsverarbeitungsvertrag, Sub-Auftragsverarbeiter, Drittstaaten-Transfer, Speicherort. Wer einen US-Anbieter ohne EU-Datacenter nutzt, kommt um eine Transfer Impact Assessment nicht herum, und die gehört in die DSFA.

Realistischer Outcome

Eine sauber gemachte DSFA ist 6 bis 12 Seiten lang, kostet einmalig 4 bis 8 Stunden Arbeitszeit und schützt Sie bei einer Aufsichtsbehörden-Anfrage, einer Betroffenen-Beschwerde oder einem Audit. Sie kostet nicht 40.000 Euro Beratungshonorar, wenn Sie sich nicht einreden lassen, dass nur eine externe Großkanzlei das darf. Eine erfahrene Datenschutzbeauftragte plus eine fachlich kompetente Person aus der IT reichen für den Mittelstand in 90 Prozent der Fälle.

Was White Fox dabei macht

In unseren Kundenprojekten begleiten wir die DSFA aus zwei Richtungen. Einmal aus der technischen Sicht: Datenflüsse aufzeichnen, Anbieter prüfen, Maßnahmen wie Pseudonymisierung oder Audit-Logs konkret bauen. Und einmal aus der Prozess-Sicht: strukturierte Vorlagen, Risiko-Workshops mit der Geschäftsleitung, finale Abstimmung mit Ihrer Datenschutzbeauftragten. Wir liefern keine Mustertexte aus der Schublade, sondern arbeiten gegen Ihr konkretes System.

Wenn Sie überlegen, KI im Unternehmen einzuführen und unsicher sind, ob eine DSFA fällig ist, rufen Sie an. Telefon 040 468 967 680, oder Kontaktformular unter whitefox-automations.com/kontakt. Wir klären in 20 Minuten am Telefon, ob Sie eine DSFA brauchen und wenn ja, in welcher Tiefe.