Überblick

Diese Vorlage dient als strukturierte Arbeitshilfe zur Erstellung einer Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO für KI-Systeme.

Sie orientiert sich an den gesetzlichen Mindestanforderungen und erweitert diese um KI-spezifische Aspekte wie:

• Trainingsdaten
• Modellarchitektur
• Bias- und Diskriminierungsrisiken
• Human Oversight
• Post-Market Monitoring

Datenschutz-Folgenabschätzung (DSFA)

1️⃣ Systematische Beschreibung der Verarbeitung

1.1 Projektbezeichnung

• Name des KI-Systems:
• Version:
• Verantwortliche Organisation:
• Ansprechpartner:

1.2 Zweck der Verarbeitung

• Welchem konkreten Zweck dient das KI-System?
• Beeinflusst es Entscheidungen über Personen?
• Besteht Art.-22-Relevanz?

1.3 Beschreibung des Systems

• Art des Systems (z. B. Scoring, Klassifikation, Generative KI)
• Einsatzkontext (z. B. HR, Finance, Healthcare)
• Automatisierungsgrad (unterstützend / entscheidend)

1.4 Datenkategorien

• Personenbezogene Daten:
• Besondere Kategorien (Art. 9 DSGVO)?
• Sensible Ableitungen möglich?
• Datenquellen (direkt, Drittquelle, Web Scraping)?

1.5 Betroffene Personengruppen

• Bewerbende
• Kund:innen
• Patient:innen
• Mitarbeitende
• Sonstige

1.6 Datenflüsse

• Erhebung
• Speicherung
• Training
• Inferenz
• Drittlandtransfer (ja/nein)
• Sub-Processor beteiligt?

2️⃣ Bewertung von Notwendigkeit und Verhältnismäßigkeit

2.1 Rechtsgrundlage

• Art. 6 DSGVO:
• Art. 9-Ausnahme (falls relevant):

Begründung:

2.2 Zweckbindung

• Ist der Trainingszweck klar definiert?
• Liegt eine Zweckänderung vor?

2.3 Datenminimierung

• Welche Maßnahmen zur Minimierung wurden ergriffen?
• Können Daten reduziert oder anonymisiert werden?

2.4 Speicherbegrenzung

• Speicherdauer definiert?
• Löschkonzept vorhanden?

3️⃣ Risikobewertung

3.1 Identifizierte Risiken

3.2 KI-spezifische Risiken

• Proxy-Diskriminierung
• Trainingsdaten-Bias
• Modell-Drift
• Fehlklassifikation
• Übervertrauen in KI-Output
• Manipulation (Data Poisoning, Prompt Injection)

3.3 Bewertung der Auswirkungen

• Wirtschaftliche Auswirkungen
• Reputationsschäden
• Grundrechtsbeeinträchtigungen
• Psychologische Auswirkungen

4️⃣ Maßnahmen zur Risikominimierung

4.1 Technische Maßnahmen

• Pseudonymisierung
• Verschlüsselung
• Zugriffsbeschränkung
• Logging
• Bias-Tests
• Drift-Detection

4.2 Organisatorische Maßnahmen

• Schulungen
• Human Oversight
• Vier-Augen-Prinzip
• Incident-Response-Prozess
• Rollen- und Verantwortlichkeitsdefinition

4.3 Transparenzmaßnahmen

• Datenschutzhinweise aktualisiert
• Logikerklärung bereitgestellt
• Information über automatisierte Entscheidungen

4.4 Drittlandtransfer-Maßnahmen

• SCC abgeschlossen
• DPF-Zertifizierung geprüft
• Transfer Impact Assessment durchgeführt

5️⃣ Restrisiko-Bewertung

• Besteht trotz Maßnahmen ein hohes Risiko?
• Falls ja: Konsultation der Aufsichtsbehörde erforderlich? (Art. 36 DSGVO)

6️⃣ Verbindung zum EU AI Act (optional)

• Hochrisiko-Einstufung geprüft?
• Risikomanagementsystem vorhanden?
• Technische Dokumentation vorhanden?
• Konformitätsbewertung erforderlich?

7️⃣ Freigabe & Dokumentation

• Datum der Erstellung:
• Verantwortliche Person:
• Datenschutzbeauftragte:r eingebunden?
• Letzte Aktualisierung:

Nächste Schritte

1. Nutzen Sie diese Vorlage als Basis für Ihr konkretes KI-Projekt.
2. Füllen Sie alle Felder vollständig und nachvollziehbar aus.
3. Binden Sie Datenschutz- und Fachabteilungen frühzeitig ein.
4. Prüfen Sie parallel AI-Act-Risikoklassifizierung.
5. Lassen Sie Ihre DSFA bei Bedarf von qualifizierten Expert:innen unter /experts prüfen.