Datenschutz-Folgenabschätzung (DSFA) für KI-Tools: Wie Unternehmen rechtssicher KI einsetzen können

Wann muss bei KI-Projekten eine Datenschutz-Folgenabschätzung vorgenommen werden?

Grundsätzlich ist für die Frage, ob eine DSFA durchzuführen ist, der Art. 35 Datenschutz-Grundverordnung (DSGVO) einschlägig. Absatz 1 dieses Artikels besagt:

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, […] voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine [Datenschutzfolgen-Abschätzung] durch.“

Hat der Einsatz eines KI-Tools also voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, ist eine DSFA durchzuführen.

Regelbeispiele dafür sind gemäß Art. 35 Abs. 3 DSGVO:

• Profiling
• Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten
• Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

Die Datenschutzkonferenz stellt zudem eine Liste der Verarbeitungstätigkeiten (sogenannte Positivliste ) zur Verfügung, für die eine DSFA durchzuführen ist. In Nr. 11 heißt es dort:

"Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person."

Darüber hinaus gibt es eine sogenannte Schwellenwertanalyse , mit der man anhand von bestimmten Kriterien bestimmen kann, ob eine Datenschutz-Folgenabschätzung durchzuführen ist. Diese Kriterien wurden von der ehemaligen Artikel-29-Gruppe erarbeitet, einem zentralen Datenschutzgremium der Europäischen Union bis zur Einführung der DSGVO. Diese Kriterien wurden vom Folgegremium, dem EDPB (Europäischer Datenschutzausschuss) bestätigt.

Demnach ist eine DSFA in folgenden Fällen durchzuführen:

• Datenverarbeitung im großen Umfang
• Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
• Bewerten und Einstufen
• Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
• gegebenenfalls weitere Kriterien (je nach Use Case)

Beim Einsatz von Künstlicher Intelligenz sind dabei in der Regel mindestens zwei Kriterien erfüllt.

Zusammenfassung:

Eine DSFA ist beim Einsatz von KI-Tools also unter anderem durchzuführen, wenn:

• voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht,
• Profiling betrieben wird,
• besondere Kategorien personenbezogener Daten umfangreich verarbeitet werden,
• öffentlich zugängliche Bereiche umfangreich systematisch überwacht werden,
• die KI genutzt wird, um personenbezogene Daten zu verarbeiten, um die Interaktion mit Betroffenen zu steuern oder persönliche Aspekte von ihnen zu bewerten,
• Daten in großem Umfang verarbeitet werden.

Schatten-KI und Kontrollverlust

Ein wachsendes Phänomen ist die sogenannte „Schatten-KI“: Beschäftigte nutzen Tools wie ChatGPT oder DeepSeek, ohne dass Unternehmensrichtlinien greifen oder eine zentrale Kontrolle erfolgt.

Das birgt gravierende Risiken für Datenschutz, Informationssicherheit und Geschäftsgeheimnisse und sorgt zunehmend für Unsicherheit im Top-Management.

Wie muss eine DSFA für KI-Tools ablaufen?

Die DSFA basiert auf einem systematischen Verfahren:

1. Prüfung der Erforderlichkeit einer DSFA
2. Beschreibung der Datenverarbeitung, der Zwecke, der verarbeiteten Datentypen und Datenkategorien
3. Prüfung der Rechtsgrundlage(n)
4. Bewertung der Notwendigkeit und Verhältnismäßigkeit
5. Analyse der Risiken für Betroffene
6. Maßnahmen zur Risikominimierung (zum Beispiel Zugriffskontrollen, Richtlinien, Löschfristen)

Typische Fallstricke bei KI-Projekten

Blackbox und Zweckbindung

KI-Systeme basieren auf probabilistischen Modellen, deren Entscheidungen oft nicht nachvollziehbar sind (Blackbox). Gleichzeitig erfolgt der KI-Einsatz häufig zweckoffen, was gegen das Prinzip der Zweckbindung verstößt.

Weitere Herausforderungen:

• Eingeschränkte Transparenz gegenüber Betroffenen
• Datenminimierung versus Big Data
• Fehlerhafte Outputs („Halluzinationen“)
• Übermittlung in Drittländer bei SaaS-Anbietern

Beispiel Microsoft 365 Copilot

Die Integration von Microsoft Copilot in M365 zeigt, wie komplex KI-gestützte Assistenzsysteme sind.

Microsoft Copilot in M365 hat Zugriff auf umfangreiche unternehmensinterne Daten und verarbeitet diese innerhalb klar definierter Dienstgrenzen (Service Boundaries).

Um Datenschutzrisiken zu minimieren, ist es erforderlich, geeignete technische Maßnahmen zu ergreifen, wie Plug-ins sowie Verknüpfungen zur Bing-Suche zu deaktivieren.

Zusätzlich bieten Konfigurationsmöglichkeiten über das Admin Center gezielte Steuerungsoptionen, um den Einsatz datenschutzkonform zu gestalten.

Microsoft 365 steht besonders im Fokus der Aufsichtsbehörden. Eine DSFA ist hier zwingend erforderlich, um Verantwortlichen rechtliche Absicherung zu bieten.

Die DSFA als Schlüssel zur AI-Compliance

Die Datenschutz-Folgenabschätzung ist nicht nur ein DSGVO-Erfordernis. Sie ist auch ein zentrales Element des AI Acts der EU. Eine gut durchgeführte DSFA:

• legt Risiken offen
• fördert Transparenz
• dokumentiert getroffene Schutzmaßnahmen
• und schafft belastbare Entscheidungsgrundlagen für Führungskräfte

Sie ermöglicht zudem die Identifikation von Diskriminierungsrisiken, zum Beispiel durch Verzerrungen (Bias) in Trainingsdaten.

Unsere Leistungen zum Thema KI und Datenschutz

Als spezialisierte Unternehmensberatung unterstützen wir Sie dabei, KI-Projekte rechtssicher zu gestalten. Unsere Leistungen im Überblick:

• Bereitstellung eines externen Datenschutzbeauftragten
• Risikobewertungen und Schwellenwertanalysen zur Entscheidung über DSFA-Pflicht
• Durchführung von Datenschutz-Folgenabschätzungen für KI-Anwendungen
• Entwicklung von KI-Nutzungsrichtlinien , abgestimmt auf Ihr Unternehmen
• Schulungen für Datenschutzbeauftragte, IT und Management zum rechtssicheren KI-Einsatz
• Begleitung bei der AI-Act-Compliance und Umsetzung neuer regulatorischer Vorgaben
• Durchführung von Datenschutzaudits zur Identifizierung von Datenschutz-Gaps

Sprechen Sie uns an! Wir machen Ihre KI-Projekte datenschutzkonform und effizient, damit aus KI-Potenzialen echte Wirkung wird.