Datenschutz-Folgenabschätzung (DSFA) für KI-Systeme

Eine DSFA ist Pflicht bei: systematischen und umfassenden Bewertungen persönlicher Aspekte (z.B. Profiling, Scoring), umfangreicher Verarbeitung besonderer Kategorien (Gesundheit, Ethnizität, biometrische Daten), systematischer Überwachung öffentlich zugänglicher Bereiche. Bei KI-Systemen fallen besonders an: KI-Kreditscoring und Bonitätsbewertung, KI-Recruiting und HR-Analysen, KI-Gesundheitsanwendungen, KI-basierte Verhaltensanalyse, biometrische Identifikationssysteme.

Eine vollständige DSFA für KI-Systeme umfasst: systematische Beschreibung des Verarbeitungsvorgangs (Zweck, Art der Daten, Empfänger), Bewertung der Notwendigkeit und Verhältnismäßigkeit, Bewertung der Risiken (Schwere, Eintrittswahrscheinlichkeit), geplante Abhilfemaßnahmen. KI-spezifische Ergänzungen: Beschreibung des KI-Modells und seiner Entscheidungslogik, Bias-Risikoanalyse, Analyse von Datendrift-Risiken, Erklärbarkeitsmaßnahmen für Betroffene.

Empfohlenes Vorgehen für eine integrierte Bewertung: 1. Beide Teams (Datenschutz + KI-Compliance) führen die Bewertungen gemeinsam durch. 2. Verwenden Sie ein gemeinsames Dokument mit getrennten Abschnitten für DSGVO und EU AI Act. 3. Teilen Sie Risikobeschreibungen und Maßnahmen zwischen beiden Dokumenten. 4. Lassen Sie beide Dokumente von denselben Experten reviewen. 5. Terminieren Sie Überprüfungen gemeinsam. Durch diese Koordination vermeiden Sie Doppelarbeit und stellen Konsistenz sicher.

Soweit ein Datenschutzbeauftragter (DSB) bestellt ist, muss er nach Art. 35 Abs. 2 DSGVO bei der DSFA einbezogen werden. Für KI-Systeme empfiehlt sich eine frühzeitige Einbindung: bereits in der Konzeptionsphase, nicht erst kurz vor dem Launch. Der DSB bringt datenschutzrechtliche Expertise ein, die KI-Entwickler oft nicht haben. Umgekehrt sollte der DSB von technischen Experten über die KI-Systemspezifika informiert werden.