DAllgemein

Datenschutzfolgeabschätzung (DSFA/DPIA) – Praxis für KI

Risikoprüfung, ob KI-Verarbeitung hohe Risiken für Personen erzeugt.

Eine Datenschutzfolgeabschätzung (DSFA, engl. DPIA) ist eine strukturierte Risikoprüfung nach DSGVO, mit der Sie vor dem Einsatz einer KI-Anwendung bewerten, ob die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für Betroffene erzeugt – und welche Maßnahmen dieses Risiko senken. Für KMU ist die DSFA vor allem ein praxisnahes „Vorab-Check-up“, bevor Daten in Tools wie ChatGPT oder andere Generative KI (Generative AI)-Lösungen fließen.

Was bedeutet DSFA/DPIA im KI-Alltag?

Viele KI-Use-Cases wirken harmlos („E-Mails zusammenfassen“, „Support-Antworten vorschlagen“). Kritisch wird es, sobald personenbezogene Daten (z. B. Kundendaten, Mitarbeiterdaten, Gesundheitsdaten, Bewerbungen) verarbeitet werden oder wenn KI Entscheidungen vorbereitet, die Menschen spürbar betreffen (z. B. Scoring, Priorisierung, Profiling).

Die DSFA hilft Ihnen dabei, Risiken wie Datenabfluss, unklare Zweckänderungen, zu breite Datensammlung, fehlende Transparenz oder unkontrollierte Weiterverarbeitung durch Anbieter systematisch zu erkennen und zu reduzieren. Sie ist damit ein Kernbaustein von AI Governance und ergänzt eine allgemeine AI Risk Assessment (KI-Risikobewertung).

Wie funktioniert eine DSFA für KI? (Praxis-Check in 5 Schritten)

Use Case & Datenfluss beschreiben: Was soll die KI tun? Welche Daten gehen hinein (Prompts, Uploads, Tickets), was kommt heraus, wo wird gespeichert (Tool, Logs, E-Mail, CRM)?
Notwendigkeit & Verhältnismäßigkeit prüfen: Brauchen Sie diese Daten wirklich? Geht es mit weniger? (Stichwort Data Minimization (Datenminimierung))
Risiken für Betroffene bewerten: z. B. falsche Auskünfte, Diskriminierung, unberechtigte Offenlegung, Kontrollverlust, Reputationsschäden.
Schutzmaßnahmen festlegen: z. B. PII Redaction (PII-Schwärzung), Zugriffskonzepte, klare Löschfristen, Schulungen, Freigabeprozesse, Vertragsprüfung (AVV/DPA).
Rest-Risiko dokumentieren & Entscheidung treffen: Reicht das Niveau? Wenn weiterhin „hoch“, müssen Sie ggf. die Aufsichtsbehörde konsultieren (je nach Fall) oder den Use Case ändern.

Typische KI-Szenarien, in denen eine DSFA sinnvoll oder nötig ist

HR & Recruiting: KI wertet Bewerbungen aus, priorisiert Kandidaten oder erstellt Profile.
Kundensupport: Tickets/Chats mit personenbezogenen Inhalten werden an ein LLM gesendet; Antworten werden automatisiert versendet.
RAG/Unternehmenswissen: Interne Dokumente (z. B. Verträge, Personalthemen) werden per RAG (Retrieval-Augmented Generation) durchsuchbar gemacht.
Überwachung/Profiling: Verhaltensanalyse, Leistungsmonitoring oder Scoring von Kunden/Mitarbeitern.

Welche Maßnahmen senken DSFA-Risiken bei KI besonders effektiv?

Datensparsamkeit: Keine unnötigen personenbezogenen Daten in Prompts; Standard-Templates ohne Klarnamen.
Schwärzung/Maskierung: Vor dem Senden an die KI PII entfernen (z. B. Namen, Telefonnummern).
Anbieter- und Vertragscheck: AVV/DPA, Datenstandort, Unterauftragsverarbeiter, Lösch- und Logging-Regeln (siehe Data Processing Agreement (DPA/AVV) und Data Residency (Datenresidenz)).
Logging kontrollieren: Prompt- und Antwort-Logs minimieren und schützen (siehe Prompt-Response Logging (LLM-Logging)).
Human-in-the-Loop: Kritische Ausgaben prüfen lassen, bevor sie rausgehen (siehe Human-in-the-Loop (HITL)).

Warum ist die DSFA für Geschäftsführer wichtig?

Die DSFA ist nicht „Papierkram“, sondern eine Management-Entscheidungshilfe: Sie macht Risiken sichtbar, reduziert Haftungs- und Reputationsrisiken und schafft Klarheit, welche KI-Use-Cases Sie verantwortbar skalieren können. Gerade ohne IT-Abteilung ist sie ein pragmatischer Rahmen, um KI-Einsatz kontrolliert, nachvollziehbar und DSGVO-konform zu gestalten (siehe Datenschutz (DSGVO/GDPR) & KI).

← Zurück zur Übersicht