16.06.2025

Datenschutz-Folgenabschätzung (DSFA) für KI-Tools: Wie Unternehmen rechtssicher KI einsetzen können

Mit dem Vormarsch von KI-Tools wie Microsoft Copilot, ChatGPT oder DeepSeek geraten Unternehmen zunehmend unter regulatorischen Druck. Datenschutz-Folgenabschätzungen (DSFA) werden zum Pflichtprogramm. Doch was bedeutet das konkret? Und worauf müssen Unternehmen achten?

Jetzt unverbindliches Erstgespräch vereinbaren

Inhalt

Ihre ISiCO-Expertin für das Thema:
Tina Ehtechami
Legal Consultant

Wann muss bei KI-Projekten eine Datenschutz-Folgenabschätzung vorgenommen werden?

Grundsätzlich ist für die Frage, ob eine DSFA durchzuführen ist, der Art. 35 Datenschutz-Grundverordnung (DSGVO) einschlägig. Absatz 1 dieses Artikels besagt:

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, […] voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine [Datenschutzfolgen-Abschätzung] durch.“

Hat der Einsatz eines KI-Tools also voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, ist eine DSFA durchzuführen.

Regelbeispiele dafür sind gemäß Art. 35 Abs. 3 DSGVO:

  • Profiling
  • Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten
  • Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

Die Datenschutzkonferenz stellt zudem eine Liste der Verarbeitungstätigkeiten (sogenannte Positivliste ) zur Verfügung, für die eine DSFA durchzuführen ist. In Nr. 11 heißt es dort:

"Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person."

Darüber hinaus gibt es eine sogenannte Schwellenwertanalyse , mit der man anhand von bestimmten Kriterien bestimmen kann, ob eine Datenschutz-Folgenabschätzung durchzuführen ist. Diese Kriterien wurden von der ehemaligen Artikel-29-Gruppe erarbeitet, einem zentralen Datenschutzgremium der Europäischen Union bis zur Einführung der DSGVO. Diese Kriterien wurden vom Folgegremium, dem EDPB (Europäischer Datenschutzausschuss) bestätigt.

Demnach ist eine DSFA in folgenden Fällen durchzuführen:

  • Datenverarbeitung im großen Umfang
  • Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
  • Bewerten und Einstufen
  • Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
  • gegebenenfalls weitere Kriterien (je nach Use Case)

Beim Einsatz von Künstlicher Intelligenz sind dabei in der Regel mindestens zwei Kriterien erfüllt.

Zusammenfassung:

Eine DSFA ist beim Einsatz von KI-Tools also unter anderem durchzuführen, wenn:

  • voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht,
  • Profiling betrieben wird,
  • besondere Kategorien personenbezogener Daten umfangreich verarbeitet werden,
  • öffentlich zugängliche Bereiche umfangreich systematisch überwacht werden,
  • die KI genutzt wird, um personenbezogene Daten zu verarbeiten, um die Interaktion mit Betroffenen zu steuern oder persönliche Aspekte von ihnen zu bewerten,
  • Daten in großem Umfang verarbeitet werden.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zu Datenschutz, Informationssicherheit, KI und Datenstrategien einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte rechnen Sie 3 plus 7.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Schatten-KI und Kontrollverlust

Ein wachsendes Phänomen ist die sogenannte „Schatten-KI“: Beschäftigte nutzen Tools wie ChatGPT oder DeepSeek, ohne dass Unternehmensrichtlinien greifen oder eine zentrale Kontrolle erfolgt.

Das birgt gravierende Risiken für Datenschutz, Informationssicherheit und Geschäftsgeheimnisse und sorgt zunehmend für Unsicherheit im Top-Management.

Wie muss eine DSFA für KI-Tools ablaufen?

Die DSFA basiert auf einem systematischen Verfahren:

  1. Prüfung der Erforderlichkeit einer DSFA
  2. Beschreibung der Datenverarbeitung, der Zwecke, der verarbeiteten Datentypen und Datenkategorien
  3. Prüfung der Rechtsgrundlage(n)
  4. Bewertung der Notwendigkeit und Verhältnismäßigkeit
  5. Analyse der Risiken für Betroffene
  6. Maßnahmen zur Risikominimierung (zum Beispiel Zugriffskontrollen, Richtlinien, Löschfristen)

Bereit für Datenschutz-Beratung, die Sie nicht bremst – sondern weiterbringt?

Im Gespräch mit unseren JuristInnen gewinnen Sie nicht nur Sicherheit, sondern Klarheit über Ihre nächsten Schritte.

unverbindlichen Termin vereinbaren

Typische Fallstricke bei KI-Projekten

Blackbox und Zweckbindung

KI-Systeme basieren auf probabilistischen Modellen, deren Entscheidungen oft nicht nachvollziehbar sind (Blackbox). Gleichzeitig erfolgt der KI-Einsatz häufig zweckoffen, was gegen das Prinzip der Zweckbindung verstößt.

Weitere Herausforderungen:

  • Eingeschränkte Transparenz gegenüber Betroffenen
  • Datenminimierung versus Big Data
  • Fehlerhafte Outputs („Halluzinationen“)
  • Übermittlung in Drittländer bei SaaS-Anbietern

Beispiel Microsoft 365 Copilot

Die Integration von Microsoft Copilot in M365 zeigt, wie komplex KI-gestützte Assistenzsysteme sind.

Microsoft Copilot in M365 hat Zugriff auf umfangreiche unternehmensinterne Daten und verarbeitet diese innerhalb klar definierter Dienstgrenzen (Service Boundaries).

Um Datenschutzrisiken zu minimieren, ist es erforderlich, geeignete technische Maßnahmen zu ergreifen, wie Plug-ins sowie Verknüpfungen zur Bing-Suche zu deaktivieren.

Zusätzlich bieten Konfigurationsmöglichkeiten über das Admin Center gezielte Steuerungsoptionen, um den Einsatz datenschutzkonform zu gestalten.

Microsoft 365 steht besonders im Fokus der Aufsichtsbehörden. Eine DSFA ist hier zwingend erforderlich, um Verantwortlichen rechtliche Absicherung zu bieten.

Die DSFA als Schlüssel zur AI-Compliance

Die Datenschutz-Folgenabschätzung ist nicht nur ein DSGVO-Erfordernis. Sie ist auch ein zentrales Element des AI Acts der EU. Eine gut durchgeführte DSFA:

  • legt Risiken offen
  • fördert Transparenz
  • dokumentiert getroffene Schutzmaßnahmen
  • und schafft belastbare Entscheidungsgrundlagen für Führungskräfte

Sie ermöglicht zudem die Identifikation von Diskriminierungsrisiken, zum Beispiel durch Verzerrungen (Bias) in Trainingsdaten.

Unsere Leistungen zum Thema KI und Datenschutz

Als spezialisierte Unternehmensberatung unterstützen wir Sie dabei, KI-Projekte rechtssicher zu gestalten. Unsere Leistungen im Überblick:

  • Bereitstellung eines externen Datenschutzbeauftragten
  • Risikobewertungen und Schwellenwertanalysen zur Entscheidung über DSFA-Pflicht
  • Durchführung von Datenschutz-Folgenabschätzungen für KI-Anwendungen
  • Entwicklung von KI-Nutzungsrichtlinien , abgestimmt auf Ihr Unternehmen
  • Schulungen für Datenschutzbeauftragte, IT und Management zum rechtssicheren KI-Einsatz
  • Begleitung bei der AI-Act-Compliance und Umsetzung neuer regulatorischer Vorgaben
  • Durchführung von Datenschutzaudits zur Identifizierung von Datenschutz-Gaps

Sprechen Sie uns an! Wir machen Ihre KI-Projekte datenschutzkonform und effizient, damit aus KI-Potenzialen echte Wirkung wird.

Bereit für Datenschutz-Beratung, die Sie nicht bremst – sondern weiterbringt?

Im Gespräch mit unseren JuristInnen gewinnen Sie nicht nur Sicherheit, sondern Klarheit über Ihre nächsten Schritte.

unverbindlichen Termin vereinbaren

Zurück zur Newsübersicht

Weitere Neuigkeiten

22.09.2025

Privacy by Design: Die 10 wichtigsten Maßnahmen

Privacy by Design heißt: Datenschutz muss von Beginn an Teil von Produkt‑, Prozess‑ und IT‑Design sein. Entscheidend sind klare Zwecke und Datenflüsse, echte Datenminimierung mit Löschregeln, datenschutzfreundliche Defaults sowie praktikable Prozesse für Sicherheit, Betroffenenrechte und Dienstleister. Dieser Beitrag zeigt die zehn wichtigsten Maßnahmen für eine schlanke, prüfbare Umsetzung.

Weiterlesen …

18.09.2025

KI und Ransomware: Wie Cyberkriminelle Künstliche Intelligenz zur Waffe machen

Ransomware bleibt eine der disruptivsten Cyberbedrohungen für Unternehmen weltweit. Was einst als einfache Schadsoftware begann, die Dateien für schnelles Lösegeld verschlüsselte, hat sich zu einer milliardenschweren kriminellen Industrie entwickelt. Der neueste Trend, der Ransomware noch gefährlicher macht, ist der Einsatz von Künstlicher Intelligenz (KI) durch Cyberkriminelle. KI ist längst nicht mehr nur ein Werkzeug der Verteidiger – Angreifer lernen, ihre Fähigkeiten auszunutzen, um schneller, ausgefeilter und wirkungsvoller anzugreifen.

Weiterlesen …

09.09.2025

Risikomanagement nach ISO 27005 in 6 Schritten umsetzen

Risikomanagement ist das Herzstück eines wirksamen Informationssicherheits-Managementsystems (ISMS). Die ISO/IEC 27005 liefert dafür einen praxistauglichen Leitfaden – flexibel, skalierbar und direkt anschlussfähig an ISO/IEC 27001. In diesem Beitrag zeigen wir, wie Sie strukturiert vorgehen und welche Vorteile sich daraus für Ihr Unternehmen ergeben.

Weiterlesen …