Chief AI Officer / Insights / DSGVO-Folgenabschätzung
DSGVO 3. Mai 2026 11 Min. Lesezeit

DSGVO-Folgenabschätzung für KI-Anwendungen: Eine Anleitung für den Mittelstand

Artikel 35 DSGVO verpflichtet zur Folgenabschätzung bei vielen KI-Anwendungen. Wie Sie das pragmatisch erfüllen: ohne juristisches Doktorat und ohne Konzern-Aufwand.

Es gibt in der DSGVO einen Artikel, der für KI-Anwendungen besonders wichtig geworden ist und den die meisten Mittelständler nicht oder nur halb erfüllen. Artikel 35: Datenschutz-Folgenabschätzung. Im Englischen DPIA, im Deutschen meist abgekürzt als DSFA. Eine Anforderung, die seit 2018 gilt, die aber durch die Verbreitung von KI eine neue Brisanz bekommen hat.

Die Hürde ist nicht das Verständnis. Die Hürde ist die Umsetzung in einem Mittelständler, der weder einen Konzern-Datenschutzbeauftragten hat noch eine eigene Compliance-Abteilung. Dieser Beitrag soll genau diese Lücke schließen. Sechs Schritte, jeder konkret, jeder ohne juristisches Doktorat umsetzbar.

Worum es bei der DSFA wirklich geht

Die Datenschutz-Folgenabschätzung ist im Kern eine strukturierte Risikoanalyse. Sie zwingt das Unternehmen, vor dem Einsatz einer Technologie systematisch durchzudenken, welche personenbezogenen Daten verarbeitet werden, was passieren könnte, wenn etwas schiefläuft, und welche Schutzmaßnahmen notwendig sind. Nicht mehr und nicht weniger.

Die Behörden wollen damit erreichen, dass Unternehmen nicht erst nach einem Schaden über Risiken nachdenken, sondern davor. Die DSFA ist also kein bürokratischer Selbstzweck, sondern ein Werkzeug, das auch ohne Pflicht sinnvoll wäre.

Das Problem im Mittelstand ist meist nicht, dass eine DSFA nicht gemacht wird. Das Problem ist, dass sie entweder gar nicht gemacht wird, oder so überfrachtet wird, dass sie unbrauchbar ist. Die richtige Antwort liegt dazwischen: eine kompakte, strukturierte, im Zweifel zehn Seiten lange Dokumentation, die der echten Praxis genügt.

Wann ist eine DSFA überhaupt verpflichtend?

Artikel 35 DSGVO formuliert die Pflicht so: Wenn eine Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" mit sich bringt, ist eine Folgenabschätzung notwendig. Das ist abstrakt, deswegen haben die Aufsichtsbehörden Listen erstellt, die konkrete Anwendungsfälle benennen. Bei KI gelten typischerweise drei Kriterien als auslösend.

DSFA verpflichtend, wenn mindestens eines zutrifft
Automatisierte Entscheidungen mit Rechtswirkung oder erheblicher Bedeutung KI-gestützte Bonitätsprüfung, automatische Ablehnung von Bewerbungen, algorithmische Preisgestaltung, KI-basierte Versicherungsbewertung
Systematische und umfangreiche Überwachung KI-gestützte Mitarbeiteranalyse, Verhaltensprofiling, Tracking-Systeme, biometrische Erfassung am Arbeitsplatz
Verarbeitung besonders sensibler Datenkategorien Gesundheitsdaten, biometrische Daten, Daten zur Religion oder Gewerkschaftszugehörigkeit, in größerem Umfang verarbeitet

Für die meisten KI-Anwendungen im Mittelstand greift mindestens eines dieser Kriterien, sobald die KI eine Rolle in Personalentscheidungen, Kundenklassifizierung oder Mitarbeiterbewertung spielt. Wer ChatGPT zur Bewerbungssichtung nutzt, fällt unter Kriterium eins. Wer KI-gestützte Zeitanalyse einsetzt, unter Kriterium zwei. Die DSFA ist also kein Randfall, sondern eine breit relevante Verpflichtung.

!
Fehlende DSFA ist eines der häufigsten DSGVO-Bußgelder. Die Aufsichtsbehörden haben in den letzten Jahren mehrfach Bußgelder verhängt, nicht weil die KI-Anwendung selbst problematisch war, sondern weil keine DSFA vorlag. Das Verfahren der Behörde ist einfach: zuerst die Dokumentation prüfen, dann die Anwendung.

Die sechs Schritte einer pragmatischen DSFA

Eine DSFA besteht im Kern aus sechs Bausteinen. Wenn Sie diese sechs Bausteine sauber bearbeiten, haben Sie eine DSFA, die jeder Prüfung standhält. Wir empfehlen, jeden Baustein als eigenen kurzen Abschnitt zu dokumentieren. Eine A4-Seite pro Baustein reicht oft.

Schritt 1

Beschreibung der Verarbeitung

Was passiert genau? Welche KI-Anwendung wird eingesetzt, von welchem Anbieter, mit welcher Datenbasis, für welchen Zweck? Wer ist intern verantwortlich? Welche Datenarten werden verarbeitet? Wo werden die Daten gespeichert? Welche Drittländer sind beteiligt?

Wichtig: Diese Beschreibung muss präzise sein, aber nicht technisch tief. Eine Person mit gesundem Menschenverstand muss verstehen, was im Unternehmen passiert.

Praktisch Format: zwei bis drei Seiten, fließend formuliert. Vermeiden Sie technische Abkürzungen, die niemand versteht. Das ist kein technisches Dokument.
Schritt 2

Prüfung der Notwendigkeit und Verhältnismäßigkeit

Ist die Verarbeitung wirklich notwendig, oder geht es auch anders? Lässt sich der Zweck mit weniger Daten erreichen? Lässt sich der Zweck ohne KI erreichen? Dies ist der Schritt, der oft übersprungen wird, der aber besonders wichtig ist.

Was Sie hier dokumentieren: Sie haben geprüft, ob die KI notwendig ist und welche Alternativen es gibt. Wenn die KI die beste Lösung ist, begründen Sie es. Wenn nicht, dokumentieren Sie, warum Sie sie trotzdem nutzen.

Praktisch Format: eine Seite. Hilfsmittel: der Entscheidungsbaum aus dem Beitrag über Workflow, Prozess, Automation, KI. Wenn Sie diesen durchlaufen haben, haben Sie diesen Baustein faktisch erledigt.
Schritt 3

Identifikation der Risiken

Was kann konkret schiefgehen? Welche Risiken bestehen für die betroffenen Personen? Drei Kategorien: Vertraulichkeit (unbefugter Zugriff), Integrität (Veränderung von Daten), Verfügbarkeit (Verlust oder Nichterreichbarkeit).

Bei KI besonders relevant: Risiken durch automatisierte Entscheidungen (falsche Klassifizierung), Risiken durch Datenübertragung in Drittländer (USA-Transfer bei OpenAI, Anthropic), Risiken durch Modell-Training (Daten werden Teil eines Trainingsdatensatzes), Risiken durch Halluzinationen (KI generiert falsche personenbezogene Aussagen).

Praktisch Format: eine Tabelle mit zwei Spalten. Links das Risiko, rechts eine Einschätzung der Schwere (gering, mittel, hoch). Drei bis sechs Risiken sind typisch.
Schritt 4

Bewertung der Risiken

Für jedes identifizierte Risiko: Wie wahrscheinlich ist es, dass es eintritt? Wie schwer wäre der Schaden für die betroffene Person, wenn es eintritt? Das Zusammenspiel von Wahrscheinlichkeit und Schwere ergibt die Risikoeinstufung.

Praktischer Hinweis: Wir empfehlen eine einfache 3x3-Matrix. Wahrscheinlichkeit (niedrig, mittel, hoch) gegen Schwere (gering, mittel, hoch). Jedes Risiko wird in einer Zelle eingeordnet. Risiken in den oberen rechten Zellen sind die kritischen.

Praktisch Format: eine Tabelle oder eine 3x3-Matrix. Nicht überanalysieren. Drei Stufen reichen. Wer fünf oder sieben Stufen einführt, schafft Pseudo-Genauigkeit ohne Erkenntnisgewinn.
Schritt 5

Maßnahmen zur Risikominderung

Für jedes nicht-vernachlässigbare Risiko: Welche Maßnahmen ergreifen Sie, um das Risiko zu reduzieren? Technische Maßnahmen (Verschlüsselung, Zugriffskontrollen, Anonymisierung), organisatorische Maßnahmen (Schulungen, Richtlinien, Rollen), vertragliche Maßnahmen (Auftragsverarbeitungsverträge, Datenschutzgarantien).

Wichtig: Beschreiben Sie nicht nur was, sondern auch wer und wann. Eine Maßnahme ohne Verantwortlichen und Termin ist keine Maßnahme, sondern ein Vorhaben.

Praktisch Format: Tabelle mit den Spalten Risiko, Maßnahme, Verantwortlich, Termin, Status. Diese Tabelle ist später Ihr operatives Steuerungsinstrument.
Schritt 6

Beteiligung des Datenschutzbeauftragten und Restrisiko-Bewertung

Die DSGVO verlangt, dass der Datenschutzbeauftragte einbezogen wird, sofern bestellt. Seine Stellungnahme ist Teil der DSFA. Abschließend bewerten Sie das Restrisiko nach den geplanten Maßnahmen. Wenn das Restrisiko trotz aller Maßnahmen hoch bleibt, ist eine vorherige Konsultation der Aufsichtsbehörde nach Artikel 36 DSGVO erforderlich.

In der Praxis: Bei den meisten KI-Anwendungen lässt sich das Risiko durch geeignete Maßnahmen so weit reduzieren, dass keine Aufsichtsbehörden-Konsultation nötig ist. Wenn doch, ist das ein klares Signal, das Vorhaben grundsätzlich zu überdenken.

Praktisch Format: kurze Stellungnahme des Datenschutzbeauftragten, dann eine Seite mit der Restrisiko-Bewertung und der Entscheidung über das weitere Vorgehen.

Wer macht die DSFA in einem Mittelständler?

Eine Frage, die in jedem Erstgespräch fällt. Die Antwort ist nüchtern: Die DSFA ist eine Verantwortung des Unternehmens, nicht des Datenschutzbeauftragten. Der DSB ist beratend einzubeziehen, aber die Verantwortung trägt die Geschäftsführung.

In der Praxis funktioniert es so: Der Chief AI Officer (intern oder extern), der Datenschutzbeauftragte und der fachlich verantwortliche Bereich erstellen die DSFA gemeinsam. Der CAIO bringt die Sachkenntnis über die KI-Anwendung mit, der DSB die juristische Bewertung, der Fachbereich die operative Realität. Diese Konstellation funktioniert. Sie lässt sich auch in kleinen Unternehmen umsetzen.

Was nicht funktioniert: die DSFA dem Datenschutzbeauftragten allein zu überlassen. Er kennt die KI-Anwendung in der Regel nicht im Detail. Eine DSFA, die ohne den fachlich Verantwortlichen entsteht, ist meist juristisch korrekt formuliert, aber praktisch nutzlos.

Häufige Fehlannahme
Viele Geschäftsführer glauben, der externe Datenschutzbeauftragte „kümmere sich um das alles". Tatsächlich ist die DSFA Pflicht des Verantwortlichen, also des Unternehmens. Der DSB berät, er entscheidet nicht.

Die vier häufigsten Fehler bei DSFA für KI-Anwendungen

Aus unserer Mandatspraxis vier Fehlermuster, die wir immer wieder sehen:

Fehler 1: Generische Textbausteine statt konkrete Beschreibung

Die DSFA besteht aus juristischen Standardformulierungen, die für jede beliebige Anwendung gelten könnten. Eine echte Risikoanalyse findet nicht statt. Aufsichtsbehörden erkennen das sofort.

Fehler 2: Datenflüsse in die USA werden nicht ehrlich adressiert

ChatGPT, Claude, Gemini, alle verarbeiten Daten in den USA. Das ist ein eigenständiges Risiko, das in der DSFA dokumentiert und mit Schutzmaßnahmen versehen werden muss. Es zu verschweigen oder zu verharmlosen, ist der häufigste Mangel.

Fehler 3: Trainingsdaten-Risiko wird übersehen

Bei vielen KI-Anbietern werden die Eingaben standardmäßig zur Verbesserung der Modelle genutzt. Bei kostenlosen oder Privat-Tarifen praktisch immer. Dieses Risiko muss adressiert werden, in der Regel durch den Wechsel auf Business- oder Enterprise-Tarife mit ausgeschlossener Trainingsnutzung.

Fehler 4: Die DSFA wird einmal erstellt und nie aktualisiert

Eine DSFA ist ein lebendes Dokument. Sobald sich die Verarbeitung ändert (neuer Anbieter, neue Funktion, neuer Zweck), ist sie zu prüfen und gegebenenfalls anzupassen. In den meisten Unternehmen liegt die DSFA von 2022 unverändert im Ordner, während die KI-Nutzung sich dreimal grundlegend gewandelt hat.

Was bleibt

Die DSGVO-Folgenabschätzung wird im Mittelstand oft als Bürokratie empfunden. Sie kann sie sein. Sie kann aber auch ein nützliches Werkzeug sein, um eine geplante KI-Anwendung einmal grundsätzlich durchzudenken. Wer die sechs Schritte ernsthaft durchgeht, stellt häufig fest, dass die Anwendung anders gestaltet werden sollte als ursprünglich gedacht. Genau das ist der Sinn der DSFA. Nicht ein Stück Papier zu produzieren, sondern eine bessere Entscheidung zu treffen.

Und sie kostet nicht viel. Eine sauber gemachte DSFA für eine typische Mittelstands-KI-Anwendung braucht zehn bis fünfzehn Arbeitsstunden, verteilt auf zwei bis drei Personen. Das ist machbar. Was nicht machbar ist: sie nicht zu machen und im Ernstfall ohne Dokumentation dazustehen.

Brauchen Sie eine DSFA für ein KI-Vorhaben?

Die DSFA-Erstellung ist Teil unserer CAIO-Mandate. Mit klaren Vorlagen, mit Beteiligung Ihres Datenschutzbeauftragten, in zwei bis drei Wochen.

Erstgespräch vereinbaren
CAO
Veröffentlicht von
Chief AI Officer
Strategische KI-Führung für den Mittelstand · Münster
Weiterlesen

Verwandte Beiträge

DSGVO 7 Min. Lesezeit

Schatten-KI: Warum ChatGPT auf privaten Accounts Ihr größtes ungelöstes Risiko ist

Schatten-KI ist im Mittelstand 2026 die Regel, nicht die Ausnahme. Was tatsächlich passiert und wie Sie es lösen.
AI Act 10 Min. Lesezeit

Artikel 4 AI Act: Warum Ihre Mitarbeiter seit Februar 2025 KI-Kompetenz nachweisen müssen

Eine Verpflichtung, die seit Februar 2025 gilt und die kaum ein Mittelständler auf dem Schirm hat.