Datenschutz-Folgenabschätzung (DSFA) für KI-Systeme: Leitfaden

Das Wichtigste in Kürze: Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist für die meisten KI-Systeme Pflicht -- insbesondere bei Profiling, automatisierter Entscheidungsfindung, biometrischer Erkennung und der Verarbeitung großer Datenmengen. Die DSK-Positivliste nennt „innovative Technologien" ausdrücklich als Auslöser. Mit dem AI Act (VO (EU) 2024/1689) kommt für Betreiber von Hochrisiko-KI zusätzlich die Grundrechte-Folgenabschätzung nach Art. 27 hinzu. Dieser Leitfaden erklärt, wann eine DSFA verpflichtend ist, wie sie sich von der Grundrechte-Folgenabschätzung unterscheidet und wie Sie sie in sieben Schritten korrekt durchführen.

KI-Systeme verarbeiten Daten in einem Umfang und einer Geschwindigkeit, die klassische Software bei Weitem übertreffen. Ob Sprachmodelle, Bilderkennungssysteme oder Scoring-Algorithmen -- fast immer sind personenbezogene Daten betroffen. Die Datenschutz-Grundverordnung kennt für solche risikoreichen Verarbeitungen ein spezielles Instrument: die Datenschutz-Folgenabschätzung.

Trotzdem wird die DSFA in der Praxis häufig unterschätzt. Viele Unternehmen führen KI-Tools ein, ohne vorher zu prüfen, ob eine DSFA erforderlich ist. Das kann teuer werden: Art. 83 Abs. 4 DSGVO sieht für Verstöße gegen Art. 35 Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor.

Dieser Leitfaden gibt Ihnen alles an die Hand, was Sie brauchen: von der Pflichtprüfung über die praktische Durchführung bis zur Dokumentation.

Was ist eine DSFA?

Die Datenschutz-Folgenabschätzung (englisch: Data Protection Impact Assessment, DPIA) ist ein strukturiertes Verfahren zur Bewertung von Datenschutzrisiken. Sie ist in Art. 35 DSGVO geregelt und muss vor der Verarbeitung durchgeführt werden.

Die Kernidee: Bevor Sie eine neue Datenverarbeitung starten, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, müssen Sie dieses Risiko systematisch bewerten und Maßnahmen zu seiner Eindämmung festlegen.

Eine DSFA ist kein einmaliges Dokument, das in der Schublade verschwindet. Sie ist ein lebendiger Prozess, der regelmäßig überprüft und aktualisiert werden muss -- insbesondere wenn sich die Verarbeitung ändert (Art. 35 Abs. 11 DSGVO).

Wer ist verantwortlich?

Die DSFA ist Aufgabe des Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO -- also des Unternehmens, das über Zwecke und Mittel der Verarbeitung entscheidet. Bei gemeinsamer Verantwortlichkeit (Art. 26 DSGVO) müssen die Verantwortlichen klären, wer die DSFA durchführt.

Der Datenschutzbeauftragte (DSB) muss gemäß Art. 35 Abs. 2 DSGVO beratend einbezogen werden. Er führt die DSFA nicht selbst durch, sondern gibt eine Stellungnahme ab.

Wann ist eine DSFA für KI Pflicht?

Art. 35 Abs. 1 DSGVO formuliert die Grundregel: Eine DSFA ist erforderlich, wenn eine Form der Verarbeitung -- insbesondere bei Verwendung neuer Technologien -- voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Die drei Regelbeispiele des Art. 35 Abs. 3 DSGVO

Das Gesetz nennt drei Fälle, in denen eine DSFA stets durchzuführen ist:

1. Systematische und umfassende Bewertung persönlicher Aspekte auf Grundlage automatisierter Verarbeitung einschließlich Profiling, die als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder sie in ähnlich erheblicher Weise beeinträchtigen (Art. 35 Abs. 3 lit. a).
2. Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO oder strafrechtlich relevanter Daten nach Art. 10 DSGVO (Art. 35 Abs. 3 lit. b).
3. Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (Art. 35 Abs. 3 lit. c).

KI-Systeme fallen in der Regel unter mindestens eines dieser Regelbeispiele -- häufig unter mehrere gleichzeitig.

Die DSK-Positivliste

Zusätzlich haben die deutschen Datenschutzaufsichtsbehörden gemäß Art. 35 Abs. 4 DSGVO eine sogenannte Positivliste (Blacklist) veröffentlicht. Sie nennt Verarbeitungsvorgänge, für die eine DSFA zwingend erforderlich ist. Besonders relevant für KI:

• Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten, um das Verhalten, die Vorlieben oder die Situation einer Person zu bewerten
• Profiling und automatisierte Entscheidungsfindung mit Rechtswirkung
• Verwendung innovativer Technologien in Kombination mit einem weiteren Kriterium
• Zusammenführung großer Datenmengen aus verschiedenen Quellen

Die Leitlinien des Europäischen Datenschutzausschusses (EDSA, vormals WP29) listen neun Kriterien auf. Werden zwei oder mehr davon erfüllt, ist eine DSFA regelmäßig erforderlich.

KI-Anwendungen, die eine DSFA auslösen

Praxistipp: Führen Sie im Zweifel lieber eine DSFA durch. Eine überflüssige DSFA hat keine negativen Folgen -- eine unterlassene schon.

DSFA vs. Grundrechte-Folgenabschätzung nach AI Act

Mit dem AI Act (VO (EU) 2024/1689) hat die EU ein weiteres Folgenabschätzungs-Instrument geschaffen: die Grundrechte-Folgenabschätzung (Fundamental Rights Impact Assessment, FRIA) nach Art. 27. Sie betrifft Betreiber von Hochrisiko-KI-Systemen, die Einrichtungen des öffentlichen Rechts sind oder private Betreiber, die öffentliche Dienstleistungen erbringen.

Gemäß Art. 26 Abs. 9 AI Act können Betreiber von Hochrisiko-KI-Systemen die DSFA nach Art. 35 DSGVO und die Grundrechte-Folgenabschätzung nach Art. 27 AI Act zusammenführen. Das spart Aufwand -- erfordert aber, dass beide Anforderungssets vollständig abgedeckt werden.

Vergleich: DSFA (DSGVO) vs. Grundrechte-Folgenabschätzung (AI Act)

Wichtig: Die DSFA nach DSGVO und die Grundrechte-Folgenabschätzung nach AI Act ersetzen einander nicht. Wenn beide Pflichten greifen, müssen beide erfüllt werden -- entweder getrennt oder in einem kombinierten Dokument.

DSFA durchführen: 7 Schritte

Die DSGVO gibt in Art. 35 Abs. 7 Mindestinhalte vor, lässt aber Spielraum bei der Methodik. Die folgenden sieben Schritte orientieren sich an den Leitlinien des EDSA (WP 248 rev.01) und der Praxis deutscher Aufsichtsbehörden.

Schritt 1: Beschreibung der Verarbeitung

Dokumentieren Sie systematisch, was Ihr KI-System tut. Art. 35 Abs. 7 lit. a DSGVO verlangt eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung.

Für KI-Systeme sollten Sie festhalten:

• Zweck der Verarbeitung: Welches Ziel verfolgt der Einsatz des KI-Systems? (z. B. Automatisierung der Bewerbervorselektion)
• Art des KI-Systems: Welche Art von KI wird eingesetzt? (z. B. maschinelles Lernen, neuronales Netz, regelbasiertes System)
• Input-Daten: Welche personenbezogenen Daten fließen in das System ein? Woher stammen sie?
• Output-Daten: Welche Ergebnisse erzeugt das System? Haben diese Personenbezug?
• Trainingsdaten: Wurden personenbezogene Daten zum Training verwendet? Wenn ja, welche?
• Beteiligte Akteure: Wer ist Verantwortlicher, wer Auftragsverarbeiter? Gibt es gemeinsame Verantwortlichkeit?
• Datenflüsse: Wohin werden Daten übermittelt? Findet ein Drittlandtransfer statt?
• Betroffene Personen: Welche Personengruppen sind betroffen? Gibt es vulnerable Gruppen (Kinder, Arbeitnehmer, Patienten)?
• Rechtsgrundlage: Auf welche Rechtsgrundlage nach Art. 6 DSGVO stützen Sie die Verarbeitung?

Praxistipp für KI: Viele KI-Systeme sind „Black Boxes". Beschreiben Sie die Funktionsweise so detailliert wie möglich -- aber gestehen Sie auch offen ein, wo die Nachvollziehbarkeit endet. Die Aufsichtsbehörden erwarten keine vollständige Erklärbarkeit, wohl aber eine ehrliche Einschätzung der Transparenzgrenzen.

Schritt 2: Bewertung der Notwendigkeit und Verhältnismäßigkeit

Art. 35 Abs. 7 lit. b DSGVO verlangt eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.

Prüfen Sie konkret:

• Notwendigkeit: Ist der Einsatz des KI-Systems zur Erreichung des Zwecks tatsächlich erforderlich? Gibt es datensparsamere Alternativen?
• Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Werden nur die Daten verarbeitet, die für den Zweck unbedingt nötig sind?
• Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Werden die Daten ausschließlich für den definierten Zweck verwendet -- oder nutzt das KI-System sie auch für andere Zwecke (z. B. Modelltraining)?
• Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO): Wie lange werden Input- und Output-Daten gespeichert? Gibt es automatische Löschroutinen?
• Betroffenenrechte: Wie wird sichergestellt, dass Betroffene ihre Rechte (Auskunft, Berichtigung, Löschung, Widerspruch) effektiv ausüben können -- auch gegenüber einem KI-System?

Gerade bei KI-Systemen ist die Verhältnismäßigkeitsprüfung anspruchsvoll: Häufig werden weit mehr Daten verarbeitet, als für den eigentlichen Zweck nötig wäre. Dokumentieren Sie, warum das Datenvolumen gerechtfertigt ist oder welche Maßnahmen Sie zur Reduktion ergreifen.

Schritt 3: Bewertung der Risiken

Das Kernstück der DSFA: Art. 35 Abs. 7 lit. c DSGVO verlangt eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen.

Typische Risiken bei KI-Systemen:

• Diskriminierung: Algorithmische Verzerrungen (Bias) können dazu führen, dass bestimmte Personengruppen systematisch benachteiligt werden -- etwa bei Kreditentscheidungen oder Bewerbungsverfahren.
• Intransparenz: Betroffene verstehen nicht, warum eine Entscheidung getroffen wurde, und können sie deshalb nicht wirksam anfechten.
• Fehlentscheidungen: KI-Systeme können falsche Ergebnisse liefern -- mit gravierenden Folgen, wenn darauf basierend automatisierte Entscheidungen getroffen werden.
• Überwachung: KI ermöglicht Formen der Überwachung, die ohne sie nicht möglich wären (z. B. Emotionserkennung, Verhaltensanalyse).
• Kontrollverlust: Daten, die einmal in ein KI-System eingespeist wurden, lassen sich oft nicht mehr gezielt löschen oder korrigieren.
• Chilling Effects: Allein das Wissen um KI-basierte Überwachung kann dazu führen, dass Menschen ihr Verhalten ändern und Grundrechte nicht ausüben.
• Re-Identifizierung: Auch anonymisierte Daten können durch KI-gestützte Analyse re-identifiziert werden.

Bewerten Sie jedes Risiko nach Eintrittswahrscheinlichkeit und Schwere. Nutzen Sie eine Risikomatrix (z. B. gering/mittel/hoch/sehr hoch) und dokumentieren Sie Ihre Bewertung nachvollziehbar.

Schritt 4: Maßnahmen zur Risikominderung

Art. 35 Abs. 7 lit. d DSGVO verlangt die Festlegung von Abhilfemaßnahmen einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, mit denen der Schutz personenbezogener Daten sichergestellt wird.

Für KI-Systeme kommen insbesondere in Betracht:

Technische Maßnahmen:

• Pseudonymisierung und Anonymisierung der Input-Daten
• Verschlüsselung bei Übertragung und Speicherung
• Zugriffskontrollen und Rollenkonzepte
• Automatische Löschung von Verarbeitungsprotokollen nach definierten Fristen
• Bias-Tests und Fairness-Audits vor dem Produktiveinsatz
• Human-in-the-Loop: Keine vollautomatisierten Entscheidungen ohne menschliche Überprüfung
• Logging und Audit-Trail für Nachvollziehbarkeit

Organisatorische Maßnahmen:

• Interne Richtlinien für den Umgang mit dem KI-System
• Schulung der Mitarbeitenden (Art. 4 AI Act: KI-Kompetenzpflicht)
• Prozess für die Bearbeitung von Betroffenenanfragen
• Verfahren zur regelmäßigen Überprüfung der KI-Ergebnisse
• Auftragsverarbeitungsvertrag mit dem KI-Anbieter (Art. 28 DSGVO)
• Regelungen zum Drittlandtransfer, falls der KI-Anbieter Daten außerhalb der EU verarbeitet

Dokumentieren Sie für jede Maßnahme, welches Risiko sie adressiert und welches Restrisiko nach Umsetzung verbleibt.

Schritt 5: Dokumentation

Die DSFA muss vollständig und nachvollziehbar dokumentiert werden. Art. 35 DSGVO schreibt kein bestimmtes Format vor, aber das Dokument muss mindestens die in Art. 35 Abs. 7 genannten Inhalte abdecken.

Bewahren Sie die DSFA so auf, dass sie der Aufsichtsbehörde auf Anfrage vorgelegt werden kann (Art. 5 Abs. 2 DSGVO -- Rechenschaftspflicht). Versionieren Sie das Dokument, damit nachvollziehbar bleibt, wann welche Änderungen vorgenommen wurden.

Schritt 6: Stellungnahme des DSB

Der Datenschutzbeauftragte muss gemäß Art. 35 Abs. 2 DSGVO bei der Durchführung der DSFA um Rat gefragt werden. In der Praxis bedeutet das:

• Legen Sie dem DSB den Entwurf der DSFA vor.
• Der DSB gibt eine schriftliche Stellungnahme ab -- diese kann zustimmend, ablehnend oder mit Auflagen versehen sein.
• Weichen Sie von der Empfehlung des DSB ab, dokumentieren Sie die Gründe.

Die Stellungnahme des DSB wird Teil der DSFA-Dokumentation.

Schritt 7: Regelmäßige Überprüfung

Art. 35 Abs. 11 DSGVO stellt klar: Der Verantwortliche muss die DSFA regelmäßig überprüfen -- mindestens wenn sich das mit der Verarbeitung verbundene Risiko ändert.

Bei KI-Systemen gibt es zahlreiche Anlässe für eine Überprüfung:

• Das Modell wird aktualisiert oder neu trainiert
• Der Einsatzbereich wird erweitert
• Neue Datenkategorien werden verarbeitet
• Der KI-Anbieter ändert seine Verarbeitungsbedingungen
• Es treten Vorfälle auf (z. B. diskriminierende Ergebnisse, Datenleck)
• Die Aufsichtsbehörde gibt neue Leitlinien heraus
• Der AI Act stellt zusätzliche Anforderungen

Empfehlung: Überprüfen Sie die DSFA mindestens jährlich -- bei dynamischen KI-Systemen häufiger.

Was tun, wenn das Risiko hoch bleibt?

Ergibt die DSFA, dass trotz aller Maßnahmen ein hohes Restrisiko verbleibt, müssen Sie gemäß Art. 36 DSGVO die zuständige Aufsichtsbehörde konsultieren, bevor Sie die Verarbeitung starten. Die Behörde hat dann bis zu acht Wochen Zeit, eine Stellungnahme abzugeben -- in komplexen Fällen verlängerbar um weitere sechs Wochen.

In der Praxis sollten Sie diesen Schritt ernst nehmen. Die Konsultationspflicht zu ignorieren ist ein eigenständiger Bußgeldtatbestand (Art. 83 Abs. 4 lit. a DSGVO).

Inhalt einer DSFA für KI: Template-Struktur

Art. 35 Abs. 7 DSGVO legt die Mindestinhalte fest. Für KI-Systeme empfiehlt sich folgende erweiterte Struktur:

1. Deckblatt und Metadaten

• Name und Version des KI-Systems
• Verantwortlicher, ggf. Auftragsverarbeiter
• Datum der Erstfassung, Datum der letzten Überprüfung
• Versionsnummer

2. Beschreibung der Verarbeitung

• Zweck und Rechtsgrundlage
• Art des KI-Systems und Funktionsweise
• Input-Daten, Output-Daten, Trainingsdaten
• Betroffene Personengruppen
• Datenflüsse und beteiligte Stellen
• Speicherdauer und Löschkonzept

3. Notwendigkeit und Verhältnismäßigkeit

• Begründung der Erforderlichkeit
• Prüfung datensparsamerer Alternativen
• Einhaltung der Datenschutzgrundsätze (Art. 5 DSGVO)
• Gewährleistung der Betroffenenrechte

4. Risikobewertung

• Identifizierte Risiken mit Beschreibung
• Bewertung nach Eintrittswahrscheinlichkeit und Schwere
• Risikomatrix

5. Maßnahmen

• Technische Maßnahmen
• Organisatorische Maßnahmen
• Zuordnung Maßnahme-Risiko
• Bewertung des Restrisikos

6. Stellungnahme des DSB

• Datum und Inhalt der Stellungnahme
• Ggf. abweichende Entscheidung mit Begründung

7. Konsultation der Aufsichtsbehörde

• Falls erforderlich: Dokumentation der Konsultation und des Ergebnisses

8. Überprüfungsplan

• Nächster Überprüfungstermin
• Auslöser für außerplanmäßige Überprüfungen
• Verantwortlichkeiten

9. Anhänge

• Verarbeitungsverzeichnis-Eintrag (Art. 30 DSGVO)
• Auftragsverarbeitungsvertrag
• Technische Dokumentation des KI-Systems
• Ggf. Grundrechte-Folgenabschätzung nach Art. 27 AI Act

Häufige Fehler bei KI-DSFAs

Aus der Praxis und den Prüfberichten der Aufsichtsbehörden lassen sich typische Fehler identifizieren, die Sie vermeiden sollten:

1. DSFA wird gar nicht durchgeführt Der häufigste Fehler. Viele Unternehmen setzen KI-Tools ein, ohne überhaupt zu prüfen, ob eine DSFA erforderlich ist. Die Schwellwertanalyse (Prüfung, ob eine DSFA nötig ist) sollte für jedes neue KI-System dokumentiert werden -- selbst wenn das Ergebnis „keine DSFA nötig" lautet.

2. DSFA wird erst nachträglich erstellt Art. 35 Abs. 1 DSGVO ist eindeutig: Die DSFA muss vor der Verarbeitung durchgeführt werden. Eine nachträgliche DSFA ist besser als keine -- heilt aber den Verfahrensverstoß nicht.

3. Zu oberflächliche Risikobewertung „Risiko: mittel" ohne Begründung genügt nicht. Beschreiben Sie konkret, welches Risiko Sie sehen, warum Sie die Eintrittswahrscheinlichkeit so bewerten und welche Konsequenzen ein Eintritt hätte.

4. Black-Box-Problem wird ignoriert Wenn Sie nicht erklären können, wie Ihr KI-System zu einem Ergebnis kommt, ist das selbst ein Risiko -- und muss in der DSFA adressiert werden. Dokumentieren Sie die Grenzen der Erklärbarkeit und beschreiben Sie, welche Maßnahmen Sie ergreifen (z. B. Human-in-the-Loop, Plausibilitätsprüfungen).

5. Kein DSB einbezogen Art. 35 Abs. 2 DSGVO verlangt die Einbeziehung des Datenschutzbeauftragten. Eine DSFA ohne DSB-Stellungnahme ist formell fehlerhaft.

6. Keine regelmäßige Überprüfung Eine DSFA aus dem Jahr 2024 ist für ein KI-System, das seitdem mehrfach aktualisiert wurde, wertlos. Legen Sie von Anfang an einen Überprüfungsrhythmus fest.

7. DSFA und Grundrechte-Folgenabschätzung verwechselt Die DSFA nach DSGVO und die Grundrechte-Folgenabschätzung nach AI Act sind unterschiedliche Instrumente mit unterschiedlichem Fokus. Eine DSFA allein erfüllt nicht die Anforderungen des Art. 27 AI Act -- und umgekehrt. Prüfen Sie, ob beide Pflichten greifen, und decken Sie beide ab.

8. Auftragsverarbeitung nicht berücksichtigt Viele KI-Systeme werden als Cloud-Service genutzt. Die DSFA muss auch die Datenverarbeitung durch den Anbieter (als Auftragsverarbeiter) einbeziehen -- einschließlich Drittlandtransfer, Unterauftragsverarbeiter und technisch-organisatorischer Maßnahmen des Anbieters.

Häufig gestellte Fragen (FAQ)

Brauche ich für jede KI-Anwendung eine eigene DSFA?

Nicht zwingend. Art. 35 Abs. 1 DSGVO erlaubt, eine DSFA für ähnliche Verarbeitungsvorgänge mit ähnlichen Risiken zusammenzufassen. Wenn Sie z. B. dasselbe KI-Tool in mehreren Abteilungen für denselben Zweck einsetzen, genügt eine DSFA. Unterscheiden sich Zweck, Datenkategorien oder Risiken wesentlich, brauchen Sie separate DSFAs.

Muss ich die DSFA veröffentlichen?

Nein, es besteht keine gesetzliche Veröffentlichungspflicht. Sie müssen die DSFA aber auf Anfrage der Aufsichtsbehörde vorlegen können (Art. 5 Abs. 2 DSGVO). Erwägen Sie dennoch, eine Zusammenfassung zu veröffentlichen -- das stärkt das Vertrauen Ihrer Kunden und Geschäftspartner.

Was passiert, wenn ich keine DSFA durchführe, obwohl sie erforderlich ist?

Ein Verstoß gegen Art. 35 DSGVO kann mit einem Bußgeld von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden (Art. 83 Abs. 4 lit. a DSGVO). Darüber hinaus kann die Aufsichtsbehörde die Verarbeitung untersagen (Art. 58 Abs. 2 lit. f DSGVO) -- das bedeutet im Ernstfall: KI-System abschalten.

Kann die DSFA auch ergeben, dass die Verarbeitung unzulässig ist?

Ja. Wenn die Risikobewertung ergibt, dass trotz aller Maßnahmen ein unverhältnismäßig hohes Risiko verbleibt und auch die Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO zu keiner Lösung führt, dürfen Sie die Verarbeitung nicht starten. Die DSFA ist kein Freibrief, sondern kann auch zum Ergebnis haben, dass ein KI-System nicht eingesetzt werden darf.

Wie hängen DSFA und das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) zusammen?

Das Verarbeitungsverzeichnis ist die Grundlage: Es liefert die Übersicht aller Verarbeitungsvorgänge, aus der hervorgeht, welche eine DSFA erfordern. Umgekehrt sollte das Verarbeitungsverzeichnis auf die vorhandene DSFA verweisen. Beide Dokumente müssen konsistent sein.

DSFA als Chance begreifen

Die DSFA ist mehr als eine regulatorische Pflichtübung. Richtig durchgeführt hilft sie Ihnen, die Risiken Ihrer KI-Systeme zu verstehen, Schwachstellen zu identifizieren und Datenschutz systematisch in Ihren KI-Einsatz zu integrieren. In einer Zeit, in der Datenschutzbehörden KI-Systeme verstärkt in den Fokus nehmen und der AI Act zusätzliche Pflichten schafft, ist eine sorgfältige DSFA auch ein wirksamer Schutz vor Bußgeldern und Reputationsschäden.

---

Benötigen Sie Unterstützung bei der Datenschutz-Folgenabschätzung für Ihre KI-Systeme? KI Comply hilft Ihnen, die regulatorischen Anforderungen der DSGVO und des AI Act systematisch zu erfüllen -- von der Schwellwertanalyse über die Risikobewertung bis zur fertigen Dokumentation. Kontaktieren Sie uns für eine unverbindliche Erstberatung.