DSFA für KI-Systeme an der Schnittstelle zur KI-Verordnung: Koordination Art
Arbeitsweg
- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: nur die Fristen des konkreten Rechtsgebiets und der Akte verwenden; Widerspruch, Klage, Einspruch, Rechtsmittel, Verjährung, Verwirkung, Rüge-, Anzeige-, Anmelde- und Ausschlussfristen strikt trennen und nie aus einem anderen Fachgebiet übernehmen.
- Tragende Normen verifizieren: DSGVO; BDSG; TDDDG; Art. 44 ff — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.
Fokus: DSFA für KI-Systeme an der Schnittstelle zur KI-Verordnung: Koordination Art. 35 DSGVO mit Art. 26 KI-VO Betreiberpflichten und Art. 27 KI-VO Grundrechte-Folgenabschaetzung. Output: integriertes DSFA-FRIA-Konzept.
DSFA für KI-Systeme an der Schnittstelle zur KI-Verordnung
Zweck
Koordination einer Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO mit den Anwender- bzw. Betreiberpflichten nach Art. 26 KI-VO und der Grundrechte-Folgenabschaetzung (Fundamental Rights Impact Assessment, FRIA) nach Art. 27 KI-VO. Ergebnis ist ein integriertes Konzept, das DSFA und FRIA koordiniert, ohne sie rechtlich zu verschmelzen.
Wann dieses Modul hilft
- Bei Einsatz von Hochrisiko-KI-Systemen nach Anhang III KI-VO (Verordnung EU 2024/1689)
- Bei generativen KI-Diensten, die personenbezogene Daten verarbeiten
- Bei Profiling-Systemen mit Rechtswirkung (Art. 22 DSGVO und Anhang III KI-VO)
- Bei Biometrie, Beschäftigtenscoring, Kreditscoring, Versicherungsrisikobewertung
- Vor Vertragsschluss mit KI-Anbietern (Anbieter- versus Betreiberrolle)
Rechtlicher Rahmen
- Art. 35 DSGVO Pflicht-DSFA bei voraussichtlich hohem Risiko, insbesondere bei neuen Technologien (Art. 35 Abs. 1, Abs. 3 lit. a DSGVO).
- Art. 22 DSGVO automatisierte Einzelentscheidung.
- VO (EU) 2024/1689 KI-VO:
- Art. 6, Anhang III: Hochrisiko-KI-Kategorien
- Art. 26 Betreiberpflichten (englisch: deployers): bestimmungsgemaesse Nutzung, menschliche Aufsicht, Logging, Information Betroffener
- Art. 27 Pflicht zur Grundrechte-Folgenabschaetzung (FRIA) für bestimmte Betreiber (öffentliche Stellen, öffentlich finanzierte Dienste, Kreditwuerdigkeit, Kranken- und Lebensversicherung)
- Art. 50 Transparenzpflichten generative KI
- EDSA-Stellungnahme 28/2024 zu KI-Modellen (Auslegung DSGVO bei KI).
- EDSA-Leitlinien WP 248 rev.01 zur DSFA.
- Anwendungsbeginn KI-VO: gestaffelt. Art. 50 Transparenz ab 02.08.2026; Hochrisiko Anhang III nach aktuellem Digital-Omnibus-Zeitstrahl spätestens 02.12.2027; Hochrisiko Anhang I spätestens 02.08.2028. Vor Außenverwendung finalen Normtext und Kommissionsstand prüfen.
Abgrenzung Anbieter und Betreiber
- Anbieter (provider) entwickelt oder bringt das KI-System in Verkehr und ist primaer adressiert durch Art. 8 bis Art. 21 KI-VO.
- Betreiber (deployer) setzt das KI-System ein und ist adressiert durch Art. 26, 27 KI-VO.
- Die DSGVO-Verantwortlichkeit haengt nicht an dieser Rolle, sondern an der Entscheidung über Zwecke und Mittel der Verarbeitung (Art. 4 Nr. 7 DSGVO).
- Praxisregel: Wer ein KI-System für eigene Personalentscheidung, Kundenbewertung oder Behördenentscheidung nutzt, ist regelmaessig Betreiber nach KI-VO und Verantwortlicher nach DSGVO.
Ablauf 6-Schritte-Methodik
- Verarbeitungsbeschreibung. Welches KI-System, welcher Zweck, welche Datenarten, welche Betroffenenkreise? Anbieter und Betreiber benennen, Anhang-III-Kategorie prüfen.
- Verhältnismäßigkeitspruefung. Notwendigkeit und Verhältnismäßigkeit der KI-gestuetzten Verarbeitung; Prüfung ob ein nicht-automatisiertes Verfahren ausreicht. Art. 5 Abs. 1 DSGVO und Erforderlichkeitspruefung.
- Risikoanalyse. Doppelblick:
- DSGVO-Risiken: Profiling, automatisierte Entscheidung, Trainingsdatenleck, Halluzination über Personen.
- KI-VO-Risiken: Diskriminierung durch Datenbias, fehlende menschliche Aufsicht, fehlende Robustheit.
- Maßnahmen. TOMs nach Art. 32 DSGVO plus KI-VO-Maßnahmen: menschliche Aufsicht, Logging, Transparenz, Information Betroffener (Art. 26 Abs. 11 KI-VO).
- Restrisiko. Doppelte Restrisikobewertung — für DSFA (Art. 35 DSGVO) und für FRIA (Art. 27 KI-VO), wenn diese Pflicht besteht.
- Konsultation / Genehmigung. DSB Anhörung Art. 35 Abs. 2 DSGVO. Bei hohem Restrisiko: Art. 36 DSGVO Vorabkonsultation. Nach KI-VO: nationale Marktueberwachungsbehoerde nach Art. 70 KI-VO ggf. einbinden. Integration in Verarbeitungsverzeichnis und KI-Bestandsverzeichnis.
Integriertes DSFA-FRIA-Konzept Template
INTEGRIERTES DSFA-FRIA-KONZEPT [DATUM]
KI-System: [BEZEICHNUNG, Version, Anbieter]
Betreiber (Verantwortlicher): [NAME]
Anhang-III-Kategorie: [Nummer, Beschreibung]
1. Beschreibung
- KI-Funktion: [Klassifikation / Regression / Generation / Profiling]
- Trainingsdaten Herkunft: [Anbieterangabe]
- Personenbezogene Eingabedaten: [Datenarten, Betroffenenkreise]
- Personenbezogene Ausgabe: [...]
2. Rechtsgrundlage DSGVO
- Art. 6 / Art. 9 DSGVO: [...]
- Art. 22 DSGVO Schutzmechanismus: [Menschenentscheidung / Einwilligung / Vertragserforderlichkeit / Rechtsvorschrift]
3. DSFA nach Art. 35 DSGVO
- Schwellwert: erfuellt durch [Profiling / neue Technologien / sensible Daten]
- Risikoanalyse: [Verweis auf Risikomatrix]
- Massnahmen: [TOMs Art. 32 DSGVO]
- Restrisiko: [GRUEN / GELB / ORANGE / ROT]
4. KI-VO Betreiberpflichten Art. 26
- Bestimmungsgemaesse Nutzung: [...]
- Menschliche Aufsicht Art. 14 KI-VO: [Rollen, Eingriffsmoeglichkeiten]
- Logging Art. 26 Abs. 6 KI-VO: [Aufbewahrungsdauer, Inhalt]
- Information Betroffener Art. 26 Abs. 11 KI-VO: [Form, Zeitpunkt]
- Datenqualitaet bei Inputdaten Art. 26 Abs. 4 KI-VO: [...]
5. FRIA nach Art. 27 KI-VO (falls einschlaegig)
- Beschreibung Einsatz: [Zweck, Zeitraum, Betroffenenkreise]
- Auswirkungen Grundrechte: [Wuerde, Gleichheit, Datenschutz, Meinungsaeusserung]
- Risikomindernde Massnahmen: [...]
- Beobachtung: [...]
- Meldung an nationale Marktueberwachungsbehoerde: [Datum, Aktenzeichen]
6. Vorab-Konsultation
- Art. 36 DSGVO: erforderlich ja / nein
- KI-VO Konsultation Marktueberwachung: erforderlich ja / nein
Unterschrift Verantwortlicher: ____________________
Unterschrift DSB: ____________________
Unterschrift KI-Beauftragter (falls bestellt): ____________________
Typische Fehler
- DSFA und FRIA werden vermischt — beide Instrumente sind rechtlich eigenstaendig und müssen getrennt nachweisbar sein.
- Betreiberpflichten Art. 26 KI-VO werden auf den Anbieter abgeschoben — die Pflicht trifft den Einsetzenden.
- Logging-Pflicht Art. 26 Abs. 6 KI-VO wird mit DSGVO-Loeschpflichten konfligierend behandelt, ohne Prüfung der Rechtsgrundlage des Loggings.
- Anhang III KI-VO wird nicht geprueft — Kategorisierung fehlt.
- KI-Anbieter im Drittland: zusaetzliche Transferpruefung uebersehen (Skill dsfa-für-internationale-datentransfers).
- Generative KI: Art. 50 KI-VO Transparenzpflichten uebersehen.
Quellen Stand 06/2026
- Art. 35, 36, 22 DSGVO
- VO (EU) 2024/1689 KI-VO, insbesondere Art. 6, 14, 26, 27, 50, Anhang III
- EDSA-Stellungnahme 28/2024 zu KI-Modellen
- EDSA-Leitlinien WP 248 rev.01
- Literatur: Kommentar- und Aufsatzfundstellen nur bei eigener Quelle
Quellenregel: Entscheidungen nur nach Prüfung einer amtlichen oder frei zugänglichen Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage ausgeben.