Kurze Antwort
Nicht für jeden KI-Tool-Einsatz brauchst du eine DSFA. Art. 35 DS-GVO schreibt eine Datenschutz-Folgenabschätzung vor, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko” für die Rechte und Freiheiten natürlicher Personen birgt. Für einfache Texterstellung ohne Personenbezug ist dieses Risiko in der Regel gering — sobald aber Kundendaten, Gesundheitsinformationen oder automatisiertes Scoring ins Spiel kommen, ändert sich das grundlegend. Ob dein konkreter Einsatz eine DSFA erfordert, muss individuell geprüft werden.
Praxisregeln: Wann brauchst du eine DSFA?
✅ In der Regel kein DSFA nötig: Texterstellung ohne Personenbezug, anonyme Übersetzungen, interne Dokumentenzusammenfassungen ohne Kundendaten
⚠️ DSFA-Pflicht aktiv prüfen: KI-Tool verarbeitet Kunden- oder Mitarbeiterdaten; automatisiertes Lead-Scoring oder Profiling; KI-Training mit Nutzerdaten ist nicht ausgeschlossen
⚠️ Sehr wahrscheinlich DSFA-pflichtig: Biometrische Verarbeitung, systematische Mitarbeiterüberwachung, automatisierte Entscheidungen mit Rechtswirkung (Art. 22 DS-GVO)
ℹ️ Wichtige Reihenfolge: Zuerst klären, ob ein AVV vorliegt — ohne vertragliche Grundlage ist jede weitere DSFA-Prüfung hinfällig.
Wichtig: Ein hoher DSGVO-Score bedeutet nicht automatisch einen aufsichtsbehördlich vertretbaren Einsatz im Einzelfall. Entscheidend sind auch die konkrete Nutzung, ein AVV und interne Datenschutzprozesse. Ob und in welchem Umfang eine DSFA in deinem Fall erforderlich ist, muss individuell geprüft werden.
ℹ️ Begriffliche Klarstellung: Im DACH-Raum wird die DSFA oft als „§ 35 DSGVO” bezeichnet — das ist rechtlich ungenau. Die korrekte Grundlage ist Art. 35 DS-GVO (EU-Verordnung, unmittelbar geltend) in Verbindung mit nationalen Ausfüllungen wie § 67 BDSG in Deutschland.
Was ist eine DSFA und was regelt Art. 35 DS-GVO?
Eine Datenschutz-Folgenabschätzung ist eine strukturierte Risikobewertung, die du vor dem Einsatz einer Datenverarbeitung durchführen musst — nicht danach. Sie beschreibt die geplante Verarbeitung, bewertet deren Notwendigkeit und Verhältnismäßigkeit und identifiziert Risiken für Betroffene inklusive geplanter Abhilfemaßnahmen.
Art. 35 DS-GVO nennt drei Fälle, in denen eine DSFA immer erforderlich ist: systematische und umfangreiche Bewertung persönlicher Aspekte (z.B. Profiling), umfangreiche Verarbeitung besonderer Datenkategorien (Art. 9/10 DS-GVO) sowie systematische Überwachung öffentlicher Bereiche. Über diese Mindestfälle hinaus haben die nationalen Datenschutzbehörden (DSK) für Deutschland verbindliche Black- und Whitelists veröffentlicht, die konkrete Verarbeitungstypen ein- oder ausschließen.
Der entscheidende Unterschied zum freiwilligen Datenschutz-Audit: Die DSFA ist gesetzliche Pflicht (ex-ante), ein Audit ist ein freiwilliger Compliance-Nachweis im Nachhinein (ex-post).
Die 9 EDPB-Kriterien — wann wird eine DSFA ausgelöst?
Die EU-Datenschutzbehörden haben in ihrer Leitlinie WP248rev.01 neun Kriterien definiert. Sind zwei oder mehr davon erfüllt, empfiehlt der EDPB die Durchführung einer DSFA:
- Evaluierung oder Scoring — z.B. Bonität, Health Score, Lead-Scoring im CRM
- Automatisierte Entscheidung mit Rechtswirkung — z.B. KI-gestützte Kreditablehnung
- Systematische Überwachung — z.B. Mitarbeiter-Monitoring, Videoüberwachung
- Sensible Datenkategorien (Art. 9/10 DS-GVO) — Gesundheit, Religion, Gewerkschaft, Biometrie
- Daten schutzbedürftiger Personen — Kinder, Mitarbeiter, Patienten
- Innovative Technologie — explizit: KI-Systeme, biometrische Verfahren, IoT
- Datenübermittlung in Drittländer ohne Angemessenheitsbeschluss (relevant für US-Tools ohne gültiges EU-US Data Privacy Framework)
- Daten aus verschiedenen Quellen kombiniert — Big-Data-Analysen, Cross-Channel-Profiling
- Große Datenmengen oder viele Betroffene — keine feste Schwelle, aber skaliert mit Reichweite
Für KMU entscheidend: Kriterium 6 (innovative Technologie) trifft auf fast jedes KI-Tool zu — allein reicht es jedoch nicht aus. Erst das Zusammenspiel mit einem zweiten Kriterium löst die Pflicht aus. Nutzt du ein KI-Tool ausschließlich zur Texterstellung ohne Personenbezug, ist eine DSFA in der Regel nicht erforderlich. Sobald Kundendaten ins Spiel kommen, kumulieren sich die Kriterien schnell.
Relevante KI-Tools im Überblick
Unsere DSGVO-Scores zeigen nicht, ob ein Tool „legal” ist — sie geben an, wie viel Prüfaufwand du als Verantwortlicher einplanen solltest. Je niedriger der Score, desto mehr Pflichten (AVV, DSFA, Drittland-Absicherung) kommen auf dich zu.
| Tool | DSGVO-Score | Kostenloser Plan | Typischer KMU-Einsatz |
|---|---|---|---|
| DeepL Pro | 7,0/10 | ✅ Ja | Dokumentenübersetzung, Korrespondenz |
| HubSpot | 6,5/10 | ✅ Ja | CRM, Marketing-Automation, Lead-Scoring |
| Claude (Anthropic) | 6,0/10 | ✅ Ja | Texterstellung, Analyse, Kundenkommunikation |
| ChatGPT Plus | 5,0/10 | ✅ Ja | Texterstellung, Recherche, Assistenz |
| DeepSeek | 1,0/10 | ✅ Ja | Texterstellung (DSGVO-Einsatz: sehr hohes Risiko) |
Preise beim jeweiligen Anbieter prüfen (Stand: 2026-06) — wir nennen keine Tarife, die wir nicht verifiziert haben.
Warum diese Tools?
Die folgenden DSGVO-Scores stammen aus unserer DSGVO-Bewertungsmethodik und sind Risikoeinschätzungen, keine rechtlichen Bewertungen.
DeepL Pro erreicht in unserer Methodik vor allem aufgrund des europäischen Serverstandorts (laut Datenschutzerklärung: Server in der EU), eines verfügbaren AVV-Angebots und begrenzter Datenverarbeitungstiefe einen Score von 7,0/10. Für die Übersetzung anonymisierter Texte ist eine DSFA in der Regel nicht erforderlich; bei Kundenschreiben mit Personenbezug empfehlen wir eine kurze Prüfung anhand der 9 EDPB-Kriterien. Der kostenlose Plan eignet sich für gelegentliche Übersetzungen; wer regelmäßig Geschäftsdokumente übersetzt, benötigt den kostenpflichtigen Tarif inklusive AVV.
HubSpot landet mit 6,5/10 im mittleren Bereich. Das Unternehmen betreibt nach eigenen Angaben Server in der EU und bietet einen AVV an. Kritisch wird es bei KI-gestütztem Lead-Scoring: Hier sind Kriterium 1 (Evaluierung) und Kriterium 8 (Datenkombination) gleichzeitig erfüllt — eine DSFA ist in diesem Szenario sorgfältig zu prüfen. Der kostenlose Plan eignet sich für Basis-CRM und einfache Kontaktverwaltung; für automatisiertes Scoring und erweiterte KI-Workflows ist ein kostenpflichtiger Tarif erforderlich — der dann auch eine vertiefte DSFA-Prüfung nach sich zieht.
Claude (Anthropic) erzielt 6,0/10. Anthropic ist ein US-Unternehmen und nimmt nach eigenen Angaben am EU-US Data Privacy Framework teil und bietet einen AVV an. Die Cloud-Act-Anwendbarkeit durch die US-Unternehmensstruktur bleibt dadurch nicht vollständig ausgeschlossen. Für die Verarbeitung sensibler Kundendaten empfehlen wir den Einsatz von Standardvertragsklauseln (SCCs) und eine individuelle DSFA-Prüfung. Der kostenlose Plan eignet sich für interne Recherche und anonymisierte Texterstellung; für Kundendaten-Verarbeitung im geschäftlichen Kontext ist ein Business-Zugang mit AVV notwendig.
ChatGPT Plus (OpenAI) erreicht 5,0/10. OpenAI ist ein US-Unternehmen. Für bestimmte geschäftliche Tarife stellt OpenAI einen AVV bereit — Unternehmen sollten vor dem Einsatz prüfen, in welchem Tarif ein AVV verfügbar ist. Der Serverstandort variiert laut Datenschutzerklärung. Das Cloud-Act-Risiko ist durch die US-Muttergesellschaft nicht vollständig ausschließbar. Ob KI-Training mit Nutzerdaten stattfindet, lässt sich konfigurieren — diese Einstellung muss aktiv dokumentiert werden. Für Geschäftsdaten mit Personenbezug ist eine DSFA-Prüfung empfehlenswert.
Was andere Tools problematisch macht
DeepSeek (1,0/10) ist das deutlichste Beispiel für einen Hochrisiko-Fall. Das chinesische Unternehmen bietet laut Überprüfung (Stand: 2026-06) keinen standardisierten AVV für europäische Kunden an; der Serverstandort liegt nach eigenen Angaben in China, was eine Datenübermittlung in ein Drittland ohne EU-Angemessenheitsbeschluss bedeutet (Kriterium 7). Hinzu kommen potenzielle staatliche Datenzugriffsrechte nach chinesischem Recht. Für die Verarbeitung personenbezogener Daten entsteht aufgrund fehlender dokumentierter Datenschutzgrundlagen ein erheblicher zusätzlicher Prüfaufwand.
Tools mit DSGVO-Scores unter 4,0/10 weisen typischerweise mindestens zwei der folgenden Merkmale auf: fehlender oder unvollständiger AVV, Serverstandort außerhalb der EU ohne SCCs, unklare KI-Training-Policy.
Muss ich als Freelancer oder KMU eine DSFA machen?
Für viele Standardeinsätze lautet die ehrliche Antwort: nein. Wer ChatGPT oder Claude nutzt, um eigene interne Texte zu verfassen oder anonyme Fachtexte zusammenzufassen, kommt selten in den Bereich hoher Risiken. Sobald aber Mandanten-, Kunden- oder Patientendaten in den Prompt fließen, ändert sich die Lage — und zwar unabhängig davon, ob das Tool ein hohes oder ein niedriges Preisniveau hat.
Schnell-Orientierung nach Anwendungsfall:
Interne Texterstellung ohne Namen oder Adressen → Tool prüfen, AVV abschließen, DSFA in der Regel nicht nötig
Kundenkommunikation (Briefe, E-Mails mit Personenbezug) → AVV Pflicht, DSFA-Kriterien prüfen
Lead-Scoring oder CRM-Analyse → Kriterium 1 + 8 häufig erfüllt → DSFA sehr empfehlenswert
Mitarbeiter-Feedback oder HR-Analyse → Kriterium 3 + 5, DSFA in der Regel erforderlich
Kann HubSpot eine DSFA auslösen?
Ja — bei aktiviertem KI-Scoring. Sobald HubSpot personenbezogene Daten automatisiert bewertet (Lead-Score, Kundenpotenzial), sind Kriterium 1 (Evaluierung) und Kriterium 8 (Datenkombination aus CRM + Kampagnendaten) gleichzeitig erfüllt. Das Standardmodell ohne KI-Scoring liegt in der Regel unterhalb der DSFA-Schwelle — vorausgesetzt, es liegt ein gültiger AVV vor.
Muss ich für DeepL eine DSFA durchführen?
Für reine Textübersetzungen ohne Personenbezug ist eine DSFA in der Regel nicht erforderlich. DeepL erreicht in unserer Methodik 7,0/10 und bietet EU-Serverstandorte laut eigener Datenschutzerklärung. Sobald du Kundenbriefe, Verträge mit Personenbezug oder Mitarbeiterdokumente übersetzt, empfehlen wir eine kurze Prüfung der EDPB-Kriterien und den Abschluss eines AVV.
Offizielle Vorlagen und Checklisten
Für die praktische Durchführung einer DSFA empfehlen wir diese behördlichen Quellen:
- ULD Schleswig-Holstein — kostenlose Excel-Vorlage und Kurzcheck speziell für KMU; gilt als praxistauglich und ist kostenlos verfügbar
- LfDI Baden-Württemberg — Fragebogen und Muster-Ergebnispapier für die strukturierte Durchführung
- CNIL PIA-Software — Open-Source-Tool mit deutschsprachiger Version; eignet sich gut für eine dokumentierte, schrittweise Abarbeitung
- DSK Standarddatenschutzmodell — methodischer Baustein für systematische DSFA-Durchführungen
- BfDI — allgemeiner Leitfaden zu Kriterien und Grundprinzipien (www.bfdi.bund.de)
⚠️ Eine spezifische Behörden-Vorlage für „DSFA bei KI-Tools für KMU” existiert nach aktuellem Stand (2026-06) nicht. Wir empfehlen: eine der oben genannten Standardvorlagen als Grundgerüst verwenden und die DSGVO-Score-Auswertung unserer Tooltests für die Risikobeschreibung einzelner Tools heranziehen.
Methodik
Unsere DSGVO-Scores basieren auf einer systematischen Auswertung der Datenschutzerklärung, AVV-Verfügbarkeit, Serverstandort, KI-Training-Policy und Cloud-Act-Risiko. Sie sind Risikoeinschätzungen, keine Rechtsgutachten. Alle Scores werden regelmäßig aktualisiert. Detaillierte Methodik: ai-finden.de/methodik.
Fazit & Empfehlung
Eine DSFA ist kein bürokratisches Schreckgespenst — sondern ein konkretes Werkzeug, das dich als Verantwortliche:n vor übersehbaren Haftungsrisiken schützt. Die wichtigste Faustregel: Sobald Kundendaten, Mitarbeiterdaten oder automatisiertes Scoring im Spiel sind, prüfe die 9 EDPB-Kriterien. Treffen zwei oder mehr zu, führe die DSFA durch — am besten mit einer der kostenlosen ULD- oder CNIL-Vorlagen als Basis.
Unser DSGVO-Score zeigt dir auf einen Blick, mit welchem Prüfaufwand ein Tool verbunden ist. DeepL Pro (7,0/10) und HubSpot (6,5/10) eignen sich aus DSGVO-Sicht für viele Standard-Einsätze besser als Tools mit Score unter 3,0 — bei denen bereits der AVV-Abschluss eine unüberwindbare Hürde darstellt.
Du willst nicht jeden Vertrag selbst prüfen? Unsere Tooltests zeigen pro KI-Tool: AVV, DPA, KI-Training, Cloud-Act-Risiko, DSGVO-Score.