Zum Inhalt springen
>_<
AI EngineeringWiki
DEEN

Datenschutz-Folgenabschätzung (DPIA)

Compliance · 8 min · Stand: März 2026

📋 Überblick
DPIA (Data Protection Impact Assessment) nach Art. 35 DSGVO: Wann ist sie Pflicht, wie führt man sie in 6 Schritten durch, und was bedeutet der EU AI Act für die Folgenabschätzung bei KI-Systemen. Inklusive Risikomatrix und Vorteil Self-Hosted KI.

Eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) ist nach Art. 35 DSGVO Pflicht, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei KI-Systemen ist das häufig der Fall.

Diagramm wird geladen...

Wann ist eine DPIA Pflicht?

Eine DPIA ist insbesondere erforderlich bei:

  • Automatisierten Einzelentscheidungen mit rechtlicher Wirkung (Art. 22 DSGVO)
  • Umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten
  • Systematischer Überwachung öffentlich zugänglicher Bereiche
  • Profiling mit erheblichen Auswirkungen auf Betroffene
  • Neuen Technologien (KI-Systeme gelten als neue Technologie)

Faustregel: Wenn dein KI-System personenbezogene Daten verarbeitet und automatisierte Entscheidungen trifft oder Nutzerverhalten analysiert, brauchst du eine DPIA.

DPIA 6-Schritte Flow — Von der Beschreibung bis zur Überprüfung
DPIA in 6 Schritten: Der komplette Prozess für KI-Systeme

DPIA-Prozess in 6 Schritten

  1. 1. Verarbeitung beschreiben

    Welche Daten, welcher Zweck, welche Rechtsgrundlage, welche Empfänger?

  2. 2. Notwendigkeit und Verhältnismäßigkeit prüfen

    Ist die Verarbeitung für den Zweck erforderlich? Gibt es mildere Mittel?

  3. 3. Risiken für Betroffene bewerten

    Eintrittswahrscheinlichkeit und Schwere möglicher Schäden.

  4. 4. Maßnahmen zur Risikominimierung definieren

    Technische und organisatorische Maßnahmen (TOM), Pseudonymisierung, Zugriffskontrollen.

  5. 5. Dokumentation erstellen

    Ergebnisse schriftlich festhalten, Maßnahmen und Restrisiken dokumentieren.

  6. 6. Regelmäßig überprüfen

    DPIA ist kein einmaliges Dokument — bei Änderungen am System aktualisieren.

DPIA Risikomatrix — Eintrittswahrscheinlichkeit vs Schwere
DPIA Risikomatrix: Eintrittswahrscheinlichkeit und Schwere bewerten

DPIA und EU AI Act

Der EU AI Act ergänzt die DSGVO-DPIA um KI-spezifische Anforderungen:

  • High-Risk KI-Systeme brauchen eine DPIA und zusätzlich eine KI-spezifische Risikobewertung
  • Art. 27 EU AI Act verlangt eine Grundrechte-Folgenabschätzung für bestimmte Deployer
  • Die DPIA kann mit der KI-Risikobewertung kombiniert werden

Vorteil Self-Hosted KI

Bei Self-Hosted KI (z.B. Ollama lokal) fällt die DPIA deutlich einfacher aus: Keine Drittlandtransfers, keine Auftragsverarbeitung, volle Kontrolle über die Daten. Das Restrisiko ist geringer als bei Cloud-KI.

Weiterführend

Quellen

Weiterfuehrende Artikel: DSGVO Grundlagen · Datenschutz Praxis · EU AI Act Checkliste

Fuer die Umsetzung gibt es Ressourcen auf ai-engineering.at.

War dieser Artikel hilfreich?

Auf GitHub bearbeiten

Nächster Schritt: Compliance in den Betrieb bringen

Nutze fertige DSGVO-Templates, Checklisten und Praxis-Guides für AI-Systeme, die dokumentiert und auditierbar sein müssen.

Produkte ansehenAlle Produkte ansehen
Warum AI Engineering
  • Lokal und self-hosted gedacht
  • Dokumentiert und auditierbar
  • Aus eigener Runtime entwickelt
  • Made in Austria
Kein Ersatz für Rechtsberatung.