Wer KI-Tools einsetzt, die personenbezogene Daten in großem Umfang verarbeiten, stößt früher oder später auf eine Pflicht, die viele KMU überrascht: die Datenschutz-Folgenabschätzung, kurz DSFA. Was dahintersteckt, wann sie nötig ist und wie eine Bewertung konkret aussieht, erklärt dieser Artikel.
Was bedeutet DSFA?
Eine DSFA (Datenschutz-Folgenabschätzung) ist eine strukturierte Risikoanalyse, die Unternehmen durchführen müssen, bevor sie eine Datenverarbeitung starten, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Die Rechtsgrundlage ist Art. 35 DSGVO.
Ziel ist es nicht, die Verarbeitung zu verbieten, sondern Risiken zu identifizieren, zu bewerten und durch geeignete Maßnahmen auf ein akzeptables Niveau zu senken. Bleibt trotz aller Maßnahmen ein hohes Restrisiko, muss vor dem Start die zuständige Datenschutzbehörde konsultiert werden (Art. 36 DSGVO).
Wann ist eine DSFA Pflicht?
Art. 35 DSGVO nennt drei Kernszenarien, in denen eine DSFA zwingend durchzuführen ist:
- Systematisches und umfassendes Profiling mit automatisierten Entscheidungen, die Personen erheblich betreffen — z. B. automatische Bonitätsprüfung, KI-gestützte Personalauswahl
- Umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO — z. B. Gesundheitsdaten, biometrische Daten, politische Überzeugungen
- Systematische Überwachung öffentlich zugänglicher Bereiche — z. B. Videoüberwachung mit KI-Auswertung
Die deutschen Datenschutzbehörden (DSK) haben zusätzlich eine Muss-Liste veröffentlicht, die konkrete Verarbeitungstypen nennt, für die eine DSFA immer erforderlich ist — darunter bestimmte HR-KI-Systeme und Predictive-Analytics-Anwendungen.
Warum ist die DSFA für KMU mit KI-Tools relevant?
Viele KI-Tools überschreiten schneller als erwartet die DSFA-Schwelle:
- KI-basierte Bewerbungsauswahl oder Leistungsbewertung von Mitarbeitenden → hohes Risiko, DSFA nötig
- Kundenprofiling mit KI (z. B. automatisierte Segment-Zuordnung, Churn-Prediction) → oft DSFA-pflichtig
- Chatbots mit Zugriff auf Kundendaten und automatisierten Entscheidungen → im Einzelfall prüfen
- Verarbeitung von Gesundheits- oder biometrischen Daten durch KI → fast immer DSFA-pflichtig
Klassische Schreibtools, die anonym oder ohne Personenbezug genutzt werden, lösen die DSFA-Pflicht dagegen typischerweise nicht aus.
Was muss eine DSFA enthalten?
Art. 35 Abs. 7 DSGVO schreibt vier Pflichtbestandteile vor:
| Bestandteil | Inhalt |
|---|---|
| Beschreibung der Verarbeitung | Was wird verarbeitet, zu welchem Zweck, wie lange? |
| Notwendigkeit und Verhältnismäßigkeit | Warum ist diese Art der Verarbeitung erforderlich? |
| Risikoabschätzung | Welche Risiken entstehen für Betroffene — wie wahrscheinlich, wie schwerwiegend? |
| Abhilfemaßnahmen | Welche technischen und organisatorischen Maßnahmen (TOMs) mindern die Risiken? |
Eine DSFA ist kein einmaliges Dokument — sie muss aktualisiert werden, wenn sich die Verarbeitung oder das Risikoumfeld wesentlich ändert.
Praxis-Beispiel
Ein mittelständisches Unternehmen möchte ein KI-System zur automatisierten Vorauswahl von Bewerbungen einführen. Das System analysiert Lebensläufe und erstellt eine Rangfolge — ohne dass ein Mensch jeden Kandidaten einzeln bewertet.
Hier liegen gleich mehrere DSFA-Trigger vor: systematisches Profiling, automatisierte Entscheidungen mit erheblicher Auswirkung auf Betroffene, Verarbeitung sensibler Karrieredaten. Eine DSFA ist Pflicht, bevor das System produktiv geht. Die DSFA müsste u. a. klären: Wie transparent ist der Algorithmus? Gibt es ein Widerspruchsrecht? Werden diskriminierende Muster ausgeschlossen?
Häufige Fragen
Muss jedes KMU eine DSFA durchführen? Nur wenn die Datenverarbeitung ein hohes Risiko auslöst. Für eine Buchhaltungssoftware mit Kundendaten oder einen Newsletter-Verteiler ist typischerweise keine DSFA nötig. Bei KI-gestützten Entscheidungen oder umfangreichem Profiling sollte man die DSFA-Pflicht immer prüfen.
Wer darf eine DSFA durchführen? Das Unternehmen selbst — sofern vorhanden gemeinsam mit dem Datenschutzbeauftragten (DSB). Ein externer DSB oder Datenschutzberater kann unterstützen, die Verantwortung trägt aber immer der Verantwortliche (Art. 35 Abs. 2 DSGVO).
Was passiert, wenn wir keine DSFA machen, obwohl sie nötig wäre? Das ist ein Verstoß gegen die DSGVO. Datenschutzbehörden können Bußgelder verhängen. In Deutschland prüfen die Behörden die DSFA-Pflicht insbesondere bei Datenpannen und Beschwerden.
Wie lange dauert eine DSFA? Das hängt von der Komplexität der Verarbeitung ab. Einfache Fälle lassen sich in einigen Stunden strukturiert dokumentieren; bei komplexen KI-Systemen kann eine gründliche DSFA mehrere Arbeitstage in Anspruch nehmen.
Weiterführendes
- Was ist ein AVV? — Pflichtvertrag wenn externe Dienstleister Daten verarbeiten
- Was sind TOMs? — Technische und organisatorische Maßnahmen zur Risikominderung
- Was sind Personenbezogene Daten? — Grundbegriff für die DSFA-Prüfung