Die Leitlinien der Artikel-29-Datenschutzgruppe (WP 248), die vom Europäischen Datenschutzausschuss (EDSA) übernommen wurden, stellen klar: Eine Datenschutz-Folgenabschätzung (DSFA) ist „regelmäßig erforderlich“, wenn mindestens zwei der neun genannten Kriterien erfüllt sind.
Da der Einsatz von Künstlicher Intelligenz in Unternehmen fast immer die Kriterien „Innovative Nutzung“ (neue Technologien) und häufig auch „Datenverarbeitung in großem Umfang“ oder „systematische Überwachung“ erfüllt, ist die DSFA bei KI-Projekten meist der Standard.
Zusammenspiel mit der Grundrechte-Folgenabschätzung
Wer Hochrisiko-KI einsetzt, muss künftig „zweigleisig“ planen. Neben der bekannten Datenschutz-Folgenabschätzung (DSFA) nach der DSGVO fordert die neue KI-Verordnung (Art. 27) zusätzlich eine Grundrechte-Folgenabschätzung (GRFA).
Das Wichtigste auf einen Blick:
- Erweiterter Fokus: Während die DSFA den Schutz personenbezogener Daten prüft, bewertet die GRFA umfassendere Risiken – etwa für die Meinungsfreiheit, das Diskriminierungsverbot oder die soziale Teilhabe.
- Kein Entweder-oder: Die GRFA ist kein Ersatz für den Datenschutz-Check, sondern eine notwendige Ergänzung.
- Synergien nutzen: Da sich beide Prüfungen in Bereichen wie Transparenz und automatisierter Entscheidungsfindung überschneiden, sollten Unternehmen beide Verfahren gemeinsam planen und dokumentieren.
Praxisempfehlungen für die Durchführung
Die BfDI betont: Die DSFA darf nicht nachgelagert „abgehakt“ werden. Sie muss integraler Bestandteil der KI-Beschaffung und -Entwicklung sein. Planen Sie diese Prüfprozesse also ein, bevor die erste Datenverarbeitung startet. Nur so vermeiden Sie kostspielige Nachbesserungen oder gar Nutzungsuntersagungen durch die Aufsichtsbehörden.