DSFA bei KI-Einsatz - Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung
Zugriffe: 24

DSGVO-Gazette #53: Wie wichtig ist eine Datenschutz-Folgenabschätzung (DSFA) beim Einsatz von KI-Tools

Liebe Leserinnen und Leser,

mit dem zunehmenden Einsatz von KI-Tools wie ChatGPT oder Microsoft Copilot steigt der regulatorische Druck auf Unternehmen deutlich an. Die Systeme versprechen Effizienzgewinne, Automatisierung und neue Geschäftsmodelle, gleichzeitig bringen sie erhebliche datenschutzrechtliche Herausforderungen mit sich. Wer KI-Anwendungen im Unternehmen einsetzt, sollte sich daher frühzeitig mit der Frage befassen, ob eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist.

Vorab: Eine DSFA ist eine vertiefte Risikoprüfung, die vor bestimmten Verarbeitungen personenbezogener Daten durchgeführt werden muss. Ihr Zweck besteht darin, Risiken für die Rechte und Freiheiten natürlicher Personen systematisch zu identifizieren, zu bewerten und durch geeignete Maßnahmen zu minimieren. Sie ist damit ein zentrales Instrument präventiver Datenschutz-Compliance.

Wann muss ich eine DSFA durchführen?

Ob eine DSFA durchzuführen ist, ergibt sich aus Art. 35 Abs. 1 Satz 1 DSGVO. Danach ist eine DSFA erforderlich, wenn der Einsatz eines KI-Tools voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Beispiele hierfür sind insbesondere:

  • Profiling,
  • die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO,
  • die systematische Überwachung öffentlich zugänglicher Bereiche.

Die ehemalige Artikel-29-Gruppe, ein zentrales Datenschutzgremium der Europäischen Union vor Einführung der DSGVO, hat die sogenannte Schwellenwertanalyse entwickelt. Anhand bestimmter Kriterien kann damit bestimmt werden, ob ein hohes Risiko vorliegt und somit eine DSFA durchzuführen ist. Diese Kriterien wurden vom Europäischen Datenschutzausschuss bestätigt.

Kriterien zur Orientierung:

  • Datenverarbeitung in großem Umfang
  • innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
  • Bewerten und Einstufen von Personen
  • automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
  • gegebenenfalls weitere Kriterien je nach Use Case
  • In der Praxis wird häufig davon ausgegangen, dass beim Vorliegen von zwei oder mehr Kriterien regelmäßig ein hohes Risiko anzunehmen ist.

Wenn weiterhin Unsicherheit besteht, ob für den Einsatz eines KI-Tools eine DSFA erforderlich ist, lohnt sich ein Blick in die Liste der Datenschutzkonferenz (DSK). Dort sind Verarbeitungstätigkeiten aufgeführt, für die eine DSFA verpflichtend durchzuführen ist. Nr. 11 dieser Liste erfasst ausdrücklich auch den Einsatz von KI-Tools:

„Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person.“

Warum stellt der Einsatz von KI-Tools ein erhöhtes Risiko dar?

Viele KI-Systeme arbeiten nach dem sogenannten „Black-Box“-Prinzip. Die internen Entscheidungslogiken sind für Nutzer und teilweise selbst für Anbieter nur eingeschränkt nachvollziehbar. Dies erschwert die Transparenz gegenüber Betroffenen sowie die Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO.

Hinzu kommt die Problematik der Trainingsdaten. KI-Modelle werden häufig mit großen, teils intransparenten Datensätzen trainiert. Nicht immer ist eindeutig nachvollziehbar, ob und in welchem Umfang personenbezogene Daten verarbeitet wurden.

Zudem besteht das Risiko von Verzerrungen (Bias), die zu diskriminierenden oder sachlich unzutreffenden Ergebnissen führen können. Besonders kritisch sind KI-Anwendungen, wenn sie Grundlage automatisierter Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne des Art. 22 DSGVO sind.

Schließlich kann es durch Weiterverarbeitung oder Nachnutzung eingegebener Daten zu Zweckänderungen kommen, die mit dem ursprünglichen Erhebungszweck nicht vereinbar sind. All diese Faktoren können ein hohes Risiko für die Rechte und Freiheiten betroffener Personen begründen und damit eine DSFA erforderlich machen.

Was muss eine DSFA enthalten?

Grundsätzlich lässt sich eine DSFA in drei Phasen unterteilen, die den Mindestanforderungen des Art. 35 Abs. 7 DSGVO entsprechen.

  1. Vorbereitungsphase

In dieser Phase wird der Prüfgegenstand definiert. Es wird die Rechtsgrundlage bestimmt und geprüft, welche Kategorien personenbezogener Daten verarbeitet werden und welche Kategorien betroffener Personen betroffen sind. Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge sowie deren Zweck ist zwingender Bestandteil. Unternehmen können sich beispielweise Fragen: Welche betrieblichen Prozesse sollen mit Hilfe der Verarbeitungstätigkeit unterstützt werden? Woher stammen die Kategorien personenbezogener Daten? Wer hat Zugriff auf diese Daten?

  1. Bewertungsphase

Hier wird die Notwendigkeit und Verhältnismäßigkeit der geplanten Verarbeitung im Verhältnis zum Zweck untersucht. Zudem werden die Risiken für die Rechte und Freiheiten der betroffenen Personen identifiziert und bewertet. Gleichzeitig ist zu prüfen, welche technischen und organisatorischen Maßnahmen geeignet sind, diese Risiken zu reduzieren. Hier stellen sich Fragen, wie beispielsweise Wie werden betroffene Personen nach Art 13 DSGVO informiert? Haben Sie den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitungstätigkeit eingeholt?

  1. Maßnahmenphase

In dieser Phase werden konkrete Abhilfemaßnahmen festgelegt, um die in Phase 2 identifizierten Risiken zu minimieren oder zu vermeiden. Zudem muss nachvollziehbar dokumentiert werden, dass die Rechte der Betroffenen gewahrt werden.

Bleibt trotz geplanter Maßnahmen ein hohes Restrisiko bestehen, ist gemäß Art. 36 DSGVO eine Konsultation der zuständigen Aufsichtsbehörde erforderlich.

Eine DSFA ist keine einmalige Angelegenheit. Sie sollte aktualisiert werden, wenn sich wesentliche Faktoren ändern, beispielsweise durch neue KI-Tools oder neue Verarbeitungstätigkeiten. Als Faustregel kann eine Überprüfung im Abstand von etwa drei Jahren sinnvoll sein.

Zudem unterliegt die DSFA der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Die einzelnen Prüfschritte müssen dokumentiert und auf Verlangen der Aufsichtsbehörde vorgelegt werden können.

Wer muss eine DSFA erstellen?

Grundsätzlich ist der Verantwortliche gemäß Art. 24 DSGVO verpflichtet, eine DSFA durchzuführen. Die praktische Umsetzung kann intern oder durch externe Unterstützung erfolgen. Sofern ein Datenschutzbeauftragter benannt wurde, ist dieser gemäß Art. 35 Abs. 2 DSGVO einzubeziehen.

Welche Konsequenzen drohen bei unterlassener DSFA?

Die Nichtdurchführung einer verpflichtenden DSFA kann sowohl rechtliche als auch wirtschaftliche Folgen haben.

Bei Verstößen gegen Art. 35 DSGVO kann die zuständige Aufsichtsbehörde gemäß Art. 58 Abs. 2 DSGVO Maßnahmen ergreifen. Nach Art. 83 Abs. 4 DSGVO können Geldbußen von bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes verhängt werden.

Darüber hinaus kann die Aufsichtsbehörde die weitere Datenverarbeitung untersagen, die Löschung verarbeiteter Daten anordnen oder verlangen, dass die DSFA nachgeholt wird. Hinzu kommen mögliche Beschwerden von Betroffenen, Schadensersatzansprüche sowie Reputationsschäden. Eine nicht durchgeführte DSFA wirkt unprofessionell und kann das Vertrauen in die datenschutzrechtliche Compliance eines Unternehmens erheblich beeinträchtigen.

Fazit: DSFA als strategisches Compliance-Instrument

Der Einsatz von KI-Tools ist nicht nur eine technologische, sondern vor allem eine rechtliche Herausforderung. Eine sorgfältig durchgeführte Datenschutz-Folgenabschätzung ist kein bürokratisches Hindernis, sondern ein strategisches Instrument, um Innovation und Datenschutz in Einklang zu bringen. Wer KI verantwortungsvoll und rechtssicher einsetzen möchte, sollte die DSFA daher nicht als lästige Pflicht, sondern als integralen Bestandteil moderner Compliance verstehen.

Bei Fragen dazu wenden Sie sich gerne an mich.

Viele Grüße aus Aachen
Ingo Goblirsch

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz | Compliance | Informationssicherheit
52064 Aachen

Das Beitragsbild wurde mithilfe von OpenAI's ChatGPT generiert. Die kommerziellen Nutzungsrechte liegen vollständig beim Ersteller. OpenAI erhebt kein Urheberrecht an diesem Inhalt. Alle dargestellten Elemente sind frei erfunden und dienen ausschließlich illustrativen Zwecken. Marken oder Persönlichkeitsrechte Dritter werden nicht verletzt.

Tags: , , , , , , , , , ,

Navigation