Zurück zum Blog
Datenschutz
DSGVO

Was ist eine DSFA? Datenschutz-Folgenabschätzung einfach erklärt

Die DSFA nach Art. 35 DSGVO ist Pflicht bei hohen Datenschutzrisiken. Wir erklären, was eine Datenschutz-Folgenabschätzung ist, wann sie nötig wird und wie der Prozess abläuft -- mit besonderem Blick auf KI-Systeme.

KCT
KI Comply TeamKI-Compliance Experten
17. März 20265 Min. Lesezeit
Was ist eine DSFA? Datenschutz-Folgenabschätzung einfach erklärt

Das Wichtigste in Kürze

  • Eine DSFA (Datenschutz-Folgenabschätzung) ist ein strukturiertes Verfahren nach Art. 35 DSGVO, um Risiken für die Rechte und Freiheiten betroffener Personen zu bewerten.
  • Sie ist Pflicht, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für Betroffene birgt -- etwa bei Profiling, systematischer Überwachung oder der Verarbeitung sensibler Daten im großen Umfang.
  • Die DSK Positivliste (auch "Muss-Liste") benennt konkret Verarbeitungstätigkeiten, für die in Deutschland eine DSFA zwingend durchzuführen ist.
  • KI-Systeme lösen nahezu immer eine DSFA-Pflicht aus, da sie typischerweise automatisierte Entscheidungen, Profiling oder Scoring umfassen.
  • Die DSFA ist nicht mit der Grundrechte-Folgenabschätzung (FRIA) nach Art. 27 AI Act zu verwechseln -- beide Instrumente ergänzen sich jedoch.

Was ist eine DSFA? Definition und Zweck

Die Abkürzung DSFA steht für Datenschutz-Folgenabschätzung (englisch: Data Protection Impact Assessment, kurz DPIA). Es handelt sich um ein strukturiertes Verfahren, mit dem Verantwortliche die Risiken einer geplanten Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen systematisch bewerten.

Art. 35 Abs. 1 DSGVO formuliert die Pflicht so:

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch."

-- Art. 35 Abs. 1 DSGVO

Die DSFA ist also kein freiwilliges Qualitätsinstrument, sondern eine gesetzliche Pflicht. Sie muss vor Beginn der Verarbeitung durchgeführt werden -- nicht erst, wenn das System bereits im Einsatz ist.

Ziel der DSFA

Das Ziel ist es, Datenschutzrisiken frühzeitig zu erkennen und geeignete Maßnahmen zu ergreifen, um diese Risiken auf ein akzeptables Niveau zu senken. Die DSFA zwingt Unternehmen dazu, sich proaktiv mit den Auswirkungen ihrer Datenverarbeitung auseinanderzusetzen, statt erst bei einer Datenpanne zu reagieren.

Wann ist eine DSFA Pflicht?

Art. 35 DSGVO nennt drei Fallgruppen, in denen eine DSFA jedenfalls durchzuführen ist:

1. Systematische und umfassende Bewertung persönlicher Aspekte (Abs. 3 lit. a)

Darunter fällt insbesondere Profiling, also die automatisierte Verarbeitung personenbezogener Daten zur Bewertung persönlicher Aspekte wie Arbeitsleistung, wirtschaftliche Lage, Gesundheit, Interessen, Zuverlässigkeit oder Verhalten. Typische Beispiele: Kreditscoring, automatisierte Bewerberauswahl oder Verhaltensanalysen im Personalwesen.

2. Umfangreiche Verarbeitung besonderer Datenkategorien (Abs. 3 lit. b)

Werden sensible Daten nach Art. 9 DSGVO (z. B. Gesundheitsdaten, biometrische Daten, politische Meinungen) oder strafrechtlich relevante Daten nach Art. 10 DSGVO in großem Umfang verarbeitet, ist eine DSFA zwingend.

3. Systematische Überwachung öffentlich zugänglicher Bereiche (Abs. 3 lit. c)

Beispiele sind Videoüberwachung öffentlicher Plätze, WLAN-Tracking in Einkaufszentren oder die systematische Erfassung von Bewegungsdaten.

Die Zwei-von-Neun-Regel

Die europäischen Datenschutzbehörden (Art.-29-Datenschutzgruppe, heute EDPB) haben neun Kriterien entwickelt, die auf ein hohes Risiko hindeuten. Werden mindestens zwei dieser Kriterien erfüllt, ist in der Regel eine DSFA erforderlich:

  1. Bewertung oder Scoring
  2. Automatisierte Entscheidungsfindung mit rechtlicher Wirkung
  3. Systematische Überwachung
  4. Verarbeitung sensibler Daten
  5. Datenverarbeitung in großem Umfang
  6. Abgleich oder Zusammenführung von Datensätzen
  7. Daten schutzbedürftiger Personen (Kinder, Arbeitnehmer, Patienten)
  8. Innovative Nutzung oder Anwendung neuer Technologien
  9. Verarbeitungen, die Betroffene an der Ausübung eines Rechts hindern

Für KI-Systeme bedeutet das: In der Praxis erfüllen KI-basierte Verarbeitungen fast immer mindestens zwei dieser Kriterien -- typischerweise "Bewertung oder Scoring", "automatisierte Entscheidungsfindung" und "innovative Nutzung neuer Technologien".

Die DSK Positivliste: Wann die DSFA in Deutschland Pflicht ist

Art. 35 Abs. 4 DSGVO verpflichtet die nationalen Aufsichtsbehörden, Listen von Verarbeitungstätigkeiten zu veröffentlichen, für die eine DSFA obligatorisch ist. In Deutschland hat die Datenschutzkonferenz (DSK) eine solche Positivliste (auch "Muss-Liste") beschlossen.

Die DSK-Liste enthält unter anderem folgende Verarbeitungstypen, die für KI-Anwendungen besonders relevant sind:

VerarbeitungstypBeispiel
Profiling mit Scoring oder BewertungKI-gestütztes Bewerber-Ranking
Automatisierte Entscheidungen mit RechtswirkungKreditentscheidungen durch Algorithmen
Verarbeitung biometrischer Daten zur IdentifizierungGesichtserkennung am Arbeitsplatz
Zusammenführung großer DatenbeständeTraining von ML-Modellen mit mehreren Datenquellen
Einsatz von KI zur Verarbeitung personenbezogener DatenJede KI-Anwendung mit Personenbezug

Praxis-Tipp: Prüfen Sie bei jeder neuen KI-Anwendung zuerst die DSK Positivliste. In den meisten Fällen werden Sie dort einen passenden Eintrag finden -- und damit steht die DSFA-Pflicht fest.

Der DSFA-Prozess Schritt für Schritt

Art. 35 Abs. 7 DSGVO legt den Mindestinhalt einer DSFA fest. In der Praxis hat sich ein sechsstufiger Prozess bewährt:

Schritt 1: Systematische Beschreibung der Verarbeitung

Dokumentieren Sie die geplante Verarbeitung vollständig: Welche Daten werden verarbeitet? Zu welchem Zweck? Mit welchen Mitteln? Wie lange? Wer hat Zugriff? Bei KI-Systemen gehört hierzu auch die Beschreibung des Modells, der Trainingsdaten und der Funktionsweise.

Schritt 2: Bewertung der Notwendigkeit und Verhältnismäßigkeit

Ist die Verarbeitung für den angegebenen Zweck erforderlich? Gibt es mildere Mittel, die denselben Zweck erfüllen? Hier prüfen Sie die Rechtsgrundlage nach Art. 6 DSGVO und die Einhaltung der Grundsätze aus Art. 5 DSGVO (Datenminimierung, Zweckbindung, Speicherbegrenzung).

Schritt 3: Risikobewertung

Identifizieren Sie die Risiken für die betroffenen Personen. Dabei bewerten Sie die Eintrittswahrscheinlichkeit und die Schwere möglicher Schäden. Typische Risiken bei KI-Systemen sind: Diskriminierung, fehlerhafte Entscheidungen, mangelnde Transparenz, unerwünschtes Profiling und Verlust der informationellen Selbstbestimmung.

Schritt 4: Abhilfemaßnahmen festlegen

Für jedes identifizierte Risiko definieren Sie konkrete technische und organisatorische Maßnahmen (TOMs), um das Risiko zu minimieren. Beispiele: Bias-Monitoring, menschliche Überprüfung automatisierter Entscheidungen, Anonymisierung, Zugriffsbeschränkungen oder regelmäßige Audits.

Schritt 5: Stellungnahme des Datenschutzbeauftragten

Der Datenschutzbeauftragte (DSB) muss gemäß Art. 35 Abs. 2 DSGVO in den DSFA-Prozess einbezogen werden. Seine Stellungnahme ist zu dokumentieren.

Schritt 6: Dokumentation und Überprüfung

Die gesamte DSFA wird schriftlich dokumentiert und bei Bedarf der Aufsichtsbehörde vorgelegt. Wichtig: Die DSFA ist kein einmaliges Dokument, sondern muss bei wesentlichen Änderungen der Verarbeitung aktualisiert werden (Art. 35 Abs. 11 DSGVO).

Sonderfall Art. 36 DSGVO: Ergibt die DSFA, dass die Verarbeitung trotz aller Maßnahmen ein hohes Restrisiko birgt, muss der Verantwortliche vor der Verarbeitung die zuständige Aufsichtsbehörde konsultieren (vorherige Konsultation).

DSFA und KI-Systeme: Warum der Zusammenhang so wichtig ist

KI-Systeme stellen die DSFA vor besondere Herausforderungen:

  • Mangelnde Transparenz: Viele ML-Modelle arbeiten als "Black Box" -- die Entscheidungslogik ist schwer nachvollziehbar. Das erschwert die Risikobewertung.
  • Dynamische Verarbeitung: KI-Systeme können sich durch fortlaufendes Lernen verändern. Eine einmal durchgeführte DSFA kann daher schnell veralten.
  • Große Datenmengen: KI-Training erfordert oft umfangreiche Datensätze, was die Risiken für Betroffene erhöht.
  • Automatisierte Entscheidungen: Viele KI-Anwendungen treffen eigenständige Entscheidungen, die erhebliche Auswirkungen auf Betroffene haben können.

Aus diesen Gründen sollten Unternehmen bei KI-Systemen die DSFA nicht als lästige Pflicht betrachten, sondern als zentrales Steuerungsinstrument für verantwortungsvolle KI-Nutzung.

DSFA vs. FRIA: Was ist der Unterschied?

Mit dem AI Act kommt ein neues Instrument hinzu: die Grundrechte-Folgenabschätzung (Fundamental Rights Impact Assessment, kurz FRIA) nach Art. 27 VO (EU) 2024/1689. Beide Instrumente werden in der Praxis häufig verwechselt -- sie verfolgen jedoch unterschiedliche Ziele.

MerkmalDSFA (Art. 35 DSGVO)FRIA (Art. 27 AI Act)
RechtsgrundlageDSGVOAI Act (VO (EU) 2024/1689)
FokusDatenschutzrisikenAuswirkungen auf Grundrechte insgesamt
Wer muss sie durchführen?Der Verantwortliche (Datenverarbeitung)Betreiber von Hochrisiko-KI-Systemen
GegenstandJede risikoreiche DatenverarbeitungHochrisiko-KI-Systeme nach Art. 6 AI Act
BetrachtungswinkelSchutz personenbezogener DatenBreite Grundrechtebetrachtung (Diskriminierung, Meinungsfreiheit, Menschenwürde)

In der Praxis: Wer ein Hochrisiko-KI-System einsetzt, das personenbezogene Daten verarbeitet, muss beide Folgenabschätzungen durchführen. Art. 27 Abs. 4 AI Act erlaubt ausdrücklich, die FRIA mit der DSFA zu kombinieren, um Doppelarbeit zu vermeiden. Nutzen Sie diese Möglichkeit -- eine integrierte Folgenabschätzung spart Zeit und sorgt für ein konsistentes Bild der Risiken.

Praktische Tipps für die DSFA

  1. Frühzeitig starten: Beginnen Sie die DSFA bereits in der Planungsphase, nicht erst vor dem Go-live. So können Sie Risiken noch durch Designänderungen minimieren ("Privacy by Design").

  2. Interdisziplinäres Team: Binden Sie nicht nur den DSB ein, sondern auch IT, Fachbereich und -- bei KI-Projekten -- Data Scientists. Nur so erhalten Sie ein vollständiges Risikobild.

  3. Vorlagen nutzen: Die Aufsichtsbehörden stellen Vorlagen und Leitfäden bereit. Das PIA-Tool der französischen Aufsichtsbehörde CNIL ist auch für deutsche Unternehmen ein hilfreicher Ausgangspunkt.

  4. Schwellwertanalyse dokumentieren: Auch wenn Sie zu dem Ergebnis kommen, dass keine DSFA erforderlich ist, dokumentieren Sie die Gründe. So können Sie Ihre Entscheidung gegenüber der Aufsichtsbehörde nachweisen.

  5. Regelmäßig aktualisieren: Insbesondere bei KI-Systemen, die sich durch Lernen weiterentwickeln, sollten Sie die DSFA mindestens jährlich überprüfen und bei wesentlichen Änderungen sofort aktualisieren.

  6. DSFA und FRIA zusammen denken: Wenn Sie ein KI-System einsetzen, das unter den AI Act fällt, führen Sie DSFA und FRIA gemeinsam durch. Das spart Ressourcen und stellt sicher, dass keine Risiken übersehen werden.

Häufig gestellte Fragen (FAQ)

Was passiert, wenn ich keine DSFA durchführe, obwohl sie Pflicht wäre?

Ein Verstoß gegen die DSFA-Pflicht kann nach Art. 83 Abs. 4 lit. a DSGVO mit einem Bußgeld von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden. Zudem kann die Aufsichtsbehörde die Verarbeitung untersagen.

Muss ich die DSFA veröffentlichen?

Nein, eine Veröffentlichungspflicht besteht nicht. Die DSFA muss jedoch auf Anfrage der Aufsichtsbehörde vorgelegt werden können. Einige Unternehmen veröffentlichen Zusammenfassungen freiwillig -- das stärkt das Vertrauen von Kunden und Betroffenen.

Brauche ich für jedes KI-System eine eigene DSFA?

Grundsätzlich ja. Art. 35 Abs. 1 DSGVO bezieht sich auf einzelne Verarbeitungsvorgänge. Allerdings erlaubt Art. 35 Abs. 1 Satz 2, eine einzelne DSFA für ähnliche Verarbeitungen durchzuführen. Wenn Sie beispielsweise mehrere KI-Tools mit vergleichbarer Funktionsweise und Risikoprofil einsetzen, können Sie diese in einer gemeinsamen DSFA bewerten.

Wer ist für die Durchführung der DSFA verantwortlich?

Der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO -- also das Unternehmen, das über Zwecke und Mittel der Datenverarbeitung entscheidet. Der Datenschutzbeauftragte berät und überwacht den Prozess, trägt aber nicht die Verantwortung.

Was ist der Unterschied zwischen DSFA und Datenschutz-Audit?

Eine DSFA wird vor einer geplanten Verarbeitung durchgeführt und bewertet künftige Risiken. Ein Datenschutz-Audit prüft bestehende Verarbeitungen auf Einhaltung der DSGVO. Beide Instrumente ergänzen sich, ersetzen einander aber nicht.

Nächste Schritte: DSFA für Ihre KI-Systeme

Die DSFA ist eines der wichtigsten Compliance-Instrumente für Unternehmen, die KI-Systeme einsetzen. Doch viele Organisationen tun sich schwer damit, den Prozess strukturiert aufzusetzen -- besonders bei komplexen KI-Anwendungen.

KI Comply unterstützt Sie dabei:

  • DSFA-Pflicht prüfen: Wir helfen Ihnen zu bewerten, welche Ihrer KI-Systeme eine DSFA erfordern.
  • Prozess aufsetzen: Von der Schwellwertanalyse bis zur vollständigen DSFA -- strukturiert und aufsichtsbehördenkonform.
  • DSFA und FRIA integrieren: Wir zeigen Ihnen, wie Sie beide Folgenabschätzungen effizient kombinieren.
  • Mitarbeitende schulen: Mit unserer Plattform vermitteln Sie DSFA-Kompetenz praxisnah und nachweisbar.

Jetzt kostenlos starten und Ihre Datenschutz-Folgenabschätzung auf ein solides Fundament stellen.

Rechtsquellen

  • Datenschutz-FolgenabschätzungArt. 35 DSGVO (Quelle)
  • Vorherige KonsultationArt. 36 DSGVO
  • Grundrechte-Folgenabschätzung KIArt. 27 VO (EU) 2024/1689
  • DSK PositivlisteDSK Muss-Liste (Art. 35 Abs. 4 DSGVO) (Quelle)

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine rechtliche Bewertung Ihres konkreten Falls wenden Sie sich bitte an einen spezialisierten Rechtsanwalt.

Artikel teilen:

Weiterlesen

Bild
Datenschutz

Datenschutz-Folgenabschätzung (DSFA) für KI-Systeme: Leitfaden

Wann brauchen Sie eine DSFA für Ihre KI-Anwendungen? Dieser Leitfaden erklärt die Pflicht nach Art. 35 DSGVO und zeigt Schritt für Schritt, wie Sie vorgehen.

Checkliste: DSFA für KI-Systeme durchführen
Datenschutz

Checkliste: DSFA für KI-Systeme durchführen

Praxisnahe Checkliste für die Datenschutz-Folgenabschätzung bei KI-Anwendungen. Schritt für Schritt durch alle Pflichtinhalte nach Art. 35 DSGVO -- mit Vorlage und Muster.

Bild
Compliance

KI-Risikobewertung: So klassifizieren Sie Ihre KI-Anwendungen

Jedes Unternehmen muss seine KI-Systeme nach Risikoklassen einordnen. Wir zeigen Schritt für Schritt, wie Sie eine KI-Risikobewertung durchführen.

Bild
Datenschutz

Privacy by Design bei KI-Systemen: Umsetzungsleitfaden

Art. 25 DSGVO fordert Datenschutz durch Technikgestaltung — auch bei KI. Wie Sie Privacy by Design bei KI-Projekten von Anfang an umsetzen.

Bild
Compliance

Grundrechte-Folgenabschätzung nach Art. 27 AI Act: Leitfaden

Bestimmte KI-Betreiber müssen eine Grundrechte-Folgenabschätzung durchführen. Wer betroffen ist, was sie enthalten muss und wie der Prozess abläuft.

Bild
Regulierung

AI Act vs. DSGVO: Wie die beiden Regulierungen zusammenspielen

AI Act und DSGVO — zwei EU-Verordnungen, ein Ziel: verantwortungsvolle KI. Wir erklären die Unterschiede, Überschneidungen und was Unternehmen beachten müssen.

Machen Sie Ihr Team KI-fit

Mit unserer Online-Schulung erfüllen Sie die Anforderungen der KI-Verordnung - einfach und effizient.

Preise ansehen