KI-Datenschutz-Compliance

KI-Datenschutz-Folgenabschätzungen sind jetzt Pflicht. Die meisten Organisationen sind nicht bereit.

Der EU AI Act, Artikel 35 DSGVO und neue globale Vorschriften verlangen dokumentierte Datenschutz-Folgenabschätzungen für KI-Systeme, die Personendaten verarbeiten. Da die Pflichten für Hochrisiko-KI-Systeme ab dem 02.08.2026 durchsetzbar sind und Bussen bis zu 7 % des weltweiten Jahresumsatzes erreichen, benötigen Organisationen, die KI über mehrere Einheiten oder Rechtsräume hinweg einsetzen, mehr als eine Tabellenkalkulation. Hier erfahren Sie, was eine belastbare KI-Datenschutz-Folgenabschätzung tatsächlich erfordert und wie Sie sie operationalisieren.

KI-DSFA-Framework-Checkliste herunterladen

Keine Kreditkarte erforderlich. Nur E-Mail-Adresse und Firmenname.

2. Aug. 2026
Durchsetzungsfrist des EU AI Act für Hochrisiko-Systeme
Quelle: Europäische Kommission, Verordnung (EU) 2024/1689
Bis zu 7 %
des weltweiten Jahresumsatzes als Busse
EU AI Act, Bussgeldstufen nach Artikel 99 (DLA Piper, Aug. 2025)
Doppelte Bewertung
DSFA nach DSGVO + FRIA nach EU AI Act für Hochrisiko-KI erforderlich
EU AI Act Artikel 27 + Artikel 35 DSGVO

Vertraut von Datenschutzteams, die mehr als 50 Gruppeneinheiten über mehrere Rechtsräume hinweg verwalten. In der Schweiz entwickelt. In der Schweiz gehostet. ISO 27001 zertifiziert.

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Die 7 Komponenten einer belastbaren KI-DSFA

Was eine belastbare KI-Datenschutz-Folgenabschätzung tatsächlich erfordert

Die meisten Frameworks enden bei einer Checkliste. Eine belastbare KI-DSFA verbindet Inventar, Risikoklassifizierung, grenzüberschreitende Übermittlungen und laufende Überwachung zu einer einzigen, prüfbaren Kette der Rechenschaftspflicht. Hier sind die sieben Komponenten, die Aufsichtsbehörden erwarten.

01

KI-System-Inventar und Datenkartierung

Sie können nicht bewerten, was Sie nicht erfasst haben. Eine belastbare KI-DSFA beginnt mit einem vollständigen Inventar jedes KI-Systems, der von ihm erfassten Personendaten und der Datenflüsse über Einheiten und Auftragsverarbeiter hinweg. Dies muss mit Ihrem Verzeichnis von Verarbeitungstätigkeiten verknüpft sein und nicht in einem separaten Silo geführt werden.

Zugeordnet zu: Verwaltung des Verarbeitungsverzeichnis mit einheitenübergreifender Datenkartierung

02

Analyse von Zweckbindung und Rechtsgrundlage

Dokumentieren Sie für jeden KI-Anwendungsfall den konkreten Zweck, die Rechtsgrundlage der Verarbeitung (Einwilligung, berechtigtes Interesse oder eine andere gültige Grundlage) und wie die Zweckbindung durchgesetzt wird, wenn Modelle neu trainiert oder umgewidmet werden. Die Empfehlungen der CNIL verlangen ausdrücklich, dass jedes KI-System, das Personendaten nutzt, ein klar definiertes, ausdrückliches und legitimes Ziel hat, das zu Projektbeginn festgelegt wird.

Quelle: Empfehlungen der CNIL zur KI-Entwicklung, 2025

03

Algorithmische Risikoklassifizierung

Klassifizieren Sie jedes KI-System nach den Risikostufen des EU AI Act: inakzeptabel, hoch, begrenzt und minimal. Ordnen Sie diese Klassifizierung anschliessend der Schwelle aus Artikel 35 DSGVO zu, wonach eine Verarbeitung «voraussichtlich ein hohes Risiko zur Folge hat». Die CNIL hat erklärt, dass bei allen Hochrisiko-Systemen unter dem AI Act eine DSFA als erforderlich vermutet wird, sofern die Entwicklung oder der Einsatz Personendaten betrifft.

Quelle: DSFA-Leitlinien der CNIL für KI-Systeme; Risiko-Framework des EU AI Act (Verordnung 2024/1689)

04

Transfer Impact Assessment (TIA)

Wenn Trainingsdaten, Modellausgaben oder Personendaten Grenzen überschreiten, ist neben Ihrer DSFA ein TIA erforderlich. Dies ist besonders kritisch für Organisationen, die cloudbasierte KI-Dienste mit Unterauftragsverarbeitern in Ländern ohne angemessenes Datenschutzniveau nutzen. Ein KI-Modell, das auf EU-Mitarbeiterdaten trainiert, in einer US-Tochtergesellschaft eingesetzt und von einem Auftragsverarbeiter in Singapur gehostet wird, löst sich überschneidende Pflichten nach der DSGVO, nach US-amerikanischen Datenschutzgesetzen einzelner Bundesstaaten und nach lokalen Vorschriften aus.

Zugeordnet zu: integrierte DSFA-/TIA-Workflows und SCC-Verwaltung

05

Stakeholder-Konsultation und Freigabe

Artikel 35(9) DSGVO verlangt von Verantwortlichen, gegebenenfalls die Ansichten der betroffenen Personen einzuholen. Über dieses regulatorische Minimum hinaus sollte eine KI-DSFA ML-Engineers, Product Owner, die Rechtsabteilung und den Datenschutzbeauftragten einbeziehen, mit dokumentierter Freigabe in jeder Phase. Aufsichtsbehörden erwarten nicht nur den Nachweis, dass eine Konsultation stattfand, sondern auch, wer wann konsultiert wurde.

Quelle: Artikel 35(9) DSGVO; ICO-Leitlinien zu DSFA-Anforderungen

06

Dokumentation von Abhilfemassnahmen und Restrisiko

Dokumentieren Sie für jedes identifizierte Risiko die Abhilfemassnahme, den verantwortlichen Owner, die Umsetzungsfrist und das verbleibende Restrisiko. Aufsichtsbehörden erwarten, dass Risiken bearbeitet und nicht nur identifiziert werden. Unter dem EU AI Act erfordern Hochrisiko-KI-Systeme eine kontinuierliche Identifizierung, Analyse, Einschätzung und Minderung von Risiken über den gesamten Lebenszyklus des Systems hinweg.

Quelle: EU AI Act, Artikel 9 (Risikomanagement); Bussen bei Nichteinhaltung bis zu 35 Mio. EUR oder 7 % des weltweiten Umsatzes

07

Auslöser für Rezertifizierung und kontinuierliche Überwachung

Definieren Sie die Ereignisse, die eine Neubewertung auslösen: erneutes Training von Modellen, neue Datenquellen, Expansion in neue Rechtsräume oder regulatorische Änderungen. Der EU AI Act verpflichtet Anbieter von Hochrisiko-KI-Systemen, ein System zur Beobachtung nach dem Inverkehrbringen einzurichten, das während der gesamten Lebensdauer des Systems aktiv und systematisch Leistungsdaten erhebt und analysiert. Eine einmalige Bewertung reicht nicht mehr aus.

Quelle: EU AI Act, Artikel 72 (Pflichten zur Beobachtung nach dem Inverkehrbringen)

Möchten Sie das vollständige Framework als druckfertige Checkliste, die Ihr Team noch heute nutzen kann?

KI-DSFA-Framework-Checkliste herunterladen

Belegte Ergebnisse

Die Zahlen hinter dem Wechsel zu Priverion

200+

Eingesparte Stunden bei der ISO-27001-Vorbereitung

Medtec hat die Dokumentation und Nachweissammlung von monatelanger manueller Arbeit auf Wochen reduziert – dank automatisierter Workflows und vorgefertigter Vorlagen.

Medtec, erste 6 Monate mit Priverion

60 %

Niedrigere Gesamtkosten gegenüber Enterprise-Plattformen

Planbare Preise auf Basis der Anzahl Gesellschaften und der Organisationsgrösse – keine Gebühren pro Nutzer oder pro Modul, die mit dem Wachstum Ihres Programms eskalieren.

Verglichen mit typischen OneTrust-Mid-Market-Implementierungen (Vendr, Feb. 2026)

3 Mte.

Schneller als geplant zur ISO 27001

Die meisten Organisationen benötigen 6 bis 12 Monate bis zur Zertifizierung. Die prüfbereiten Nachweispakete und die automatisierte Zuordnung von Massnahmen von Priverion verkürzen den Zeitrahmen erheblich.

Medtec; Branchen-Benchmark via ISMS.online (2026)

Vergleich

Warum Mid-Market-Teams von OneTrust wechseln

Die DSGVO-Durchsetzung erreichte bis Januar 2026 kumulierte Bussen von über 7,1 Milliarden Euro. Datenschutzprogramme müssen robust sein, doch die Plattform, die sie betreibt, sollte kein sechsstelliges Budget und ein dediziertes Implementierungsteam erfordern. So schneidet Priverion im Vergleich ab.

Quelle: DLA Piper GDPR Fines and Data Breach Survey, Januar 2026

Priverion

Entwickelt für Mid-Market-Teams mit mehreren Einheiten

Schweizer Datensouveränität, garantiert

In der Schweiz entwickelt, in der Schweiz gehostet. Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur, ausserhalb der Reichweite des US CLOUD Act und der FISA Section 702. In einer Welt nach Schrems II ist das kein Marketing-Häkchen, sondern eine rechtliche Voraussetzung für grenzüberschreitende Datenübermittlungen.

Einsatzbereit in Wochen, nicht Monaten

Kein dediziertes Implementierungsteam erforderlich. Ein Flugzeughersteller hat innerhalb der ersten sechs Monate vom Tabellenchaos über mehrere Tochtergesellschaften hinweg zu einer vollständig automatisierten Rezertifizierung des Verarbeitungsverzeichnis gewechselt und die Verwaltungszeit für Compliance um 60 % gesenkt.

Flugzeughersteller, erste 6 Monate

Planbare Preise, keine Expansionsfallen

Preise auf Basis der Anzahl Gesellschaften und der Organisationsgrösse. Nicht pro Nutzer, nicht pro Modul. Ihr CFO erhält nie eine überraschende Rechnung, wenn Ihr Team oder Ihr Datenbestand wächst.

All-in-one-Verwaltung des Datenschutzprogramms

Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisiko, Incident-Management, Bearbeitung von Betroffenenanfragen, KI-Register und einheitenübergreifende Datenkartierung in einer einzigen Plattform. Keine Module zum Nachrüsten. Keine separaten Bestellungen für jede Funktion.

KI-gestützt, menschlich kontrolliert

KI unterstützt beim Entwurf von DSFA, beim Risiko-Scoring und bei der regulatorischen Zuordnung. Jede KI-Ausgabe wird geprüft, bevor sie zu einem Compliance-Datensatz wird. Es werden niemals Kundendaten für das Training von Modellen verwendet.

Konzipiert für die gruppenweite Verwaltung

Speziell entwickelt für Organisationen, die den Datenschutz über 5, 15 oder mehr als 50 Tochtergesellschaften hinweg verwalten. Einheitenübergreifende Dashboards, zentrale Aufsicht und automatisierte Rezertifizierung über jede Gruppeneinheit hinweg.

Klassische Enterprise-Plattformen

Was Mid-Market-Teams häufig berichten

In den USA gehostete Infrastruktur

Selbst «Sovereign Cloud»-Angebote von US-Anbietern können weiterhin unter den CLOUD Act und die FISA Section 702 fallen, was bedeutet, dass US-Behörden Zugriff auf europäische Daten verlangen können, die innerhalb der EU gespeichert sind.

Quelle: Wire.com, Analyse zur digitalen Souveränität, 2025

Komplexe, zeitintensive Einrichtung

Nutzer berichten durchgängig von steilen Lernkurven und wochenlanger Konfiguration. Wie ein Mid-Market-Rezensent anmerkte: «Die Konfiguration und Wartung der Plattform erfordert erheblichen Zeit- und Arbeitsaufwand, insbesondere für kleinere Teams.»

Quelle: Verifizierte Nutzerbewertungen auf Capterra, 2025

Intransparente, eskalierende Kosten

Keine öffentlichen Preise. Jedes Modul wird nach eigener Metrik abgerechnet. Mid-Market-Organisationen zahlen typischerweise einen niedrigen bis mittleren sechsstelligen Betrag pro Jahr, und Implementierungsdienste können zusätzlich 20 bis 40 % auf die Lizenzkosten aufschlagen.

Quelle: Vendr-Marktdaten, Februar 2026

Modulare Preise, Bezahlung pro Funktion

Fünf separate Produktlinien, jede unabhängig bepreist. Die Kosten können in Richtungen wachsen, die Sie nicht erwartet haben, wenn Ihr Team oder Ihr Datenbestand expandiert. OneTrust veröffentlicht keine Listenpreise; Käufer sollten vorab ein mehrjähriges Angebot anfordern, das alle Module und Plätze abdeckt.

Quelle: Enzuzo-Preisanalyse, März 2026

Entwickelt für Fortune-500-Käufer

Umfassend, mit Abdeckung von mehr als 300 Rechtsräumen, KI-Governance, ESG und Ethik-Hotlines. Doch für Mid-Market-Organisationen, die eine fokussierte Verwaltung des Datenschutzprogramms benötigen, bleibt ein Grossteil dieser Breite ungenutzt und erhöht gleichzeitig Komplexität und Kosten.

Gemischte Support-Erfahrung

Bewertungen erwähnen Account Manager, die sich vorwiegend bei Preiserhöhungen melden, sowie langsame Reaktionszeiten. Mid-Market-Teams ohne eigene Datenschutzabteilung können dies als frustrierend empfinden.

Quelle: Verifizierte Nutzerbewertungen auf G2, 2025

Europäische Datenschutzbehörden erhalten mittlerweile über 443 Meldungen von Datenschutzverletzungen pro Tag, ein Anstieg von 22 % gegenüber dem Vorjahr. Mit dem EU AI Act, der im August 2026 die volle Durchsetzung für Hochrisiko-Systeme erreicht, wächst die Compliance-Oberfläche weiter. Ihre Plattform sollte dies vereinfachen, nicht verschärfen.

Quelle: DLA Piper GDPR Fines and Data Breach Survey, Januar 2026

Ehrlicher Hinweis: Wir decken weder ESG, Ethik-Hotlines noch Cookie-Einwilligung ab. Wir sind nicht für Unternehmen mit nur einer Einheit gemacht. Unsere Stärke ist die Verwaltung von Datenschutzprogrammen über mehrere Einheiten hinweg – richtig gemacht.

Kostenlose Vorlage

Vorlage für die KI-Datenschutz-Folgenabschätzung: Bereit für DSGVO und EU AI Act

Da die Anforderungen des EU AI Act an Hochrisiko-Systeme ab dem 02.08.2026 durchsetzbar sind, benötigt jedes KI-System, das Personendaten verarbeitet, eine dokumentierte Datenschutz-Folgenabschätzung. Diese kostenlose Vorlage gibt Ihnen die Struktur, um es gleich beim ersten Mal richtig zu machen.

Das ist enthalten:

  1. 1. Ein schrittweises DSFA-Framework, das die Auslöser nach Artikel 35 DSGVO, KI-spezifische Risikokategorien (Modell-Intransparenz, Verzerrung der Trainingsdaten, automatisierte Entscheidungsfindung) und Verhältnismässigkeitsprüfungen abdeckt
  2. 2. Eine einheitliche Bewertungsstruktur, die sowohl der DSFA nach DSGVO als auch der Grundrechte-Folgenabschätzung (FRIA) nach Artikel 27 des EU AI Act entspricht, sodass Sie sich überschneidende Anforderungen in einem Dokument erfüllen
  3. 3. Vorgefertigte Risiko-Scoring-Kriterien, abgestimmt auf die Leitlinien von ICO und CNIL, einschliesslich Abschnitten zu Datenminimierung, Dokumentation der Rechtsgrundlage und Bewertung des Restrisikos
  4. 4. Ein Arbeitsblatt zur Abhilfeplanung, das Bewertungsergebnisse in umsetzbare technische und organisatorische Massnahmen überführt, nicht nur in ein Risikoregister

Warum jetzt? Wie die Europäische Kommission bestätigt, treten die Pflichten für Hochrisiko-KI nach Anhang III im August 2026 in Kraft, mit Bussen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei schweren Verstössen. Eine dokumentierte Folgenabschätzung ist Ihre erste Verteidigungslinie.

Kostenlose Vorlage für die KI-Datenschutz-Folgenabschätzung herunterladen

Genutzt von Datenschutzbeauftragten und Datenschutzteams, die KI-Compliance über mehrere Einheiten hinweg verwalten.

Kostenloses PDF. Keine Demo erforderlich. Wir senden es an Ihr Postfach.

Müssen Sie KI-Folgenabschätzungen in Ihrer gesamten Gruppe automatisieren?

30-minütige Demo buchen

Ihre Daten bleiben in der Schweiz. Wir geben Ihre E-Mail-Adresse niemals an Dritte weiter. Siehe unsere Datenschutzerklärung.

Ihre Compliance-Transformation beginnt hier

Schluss mit der Verwaltung von Datenschutz-Compliance in Tabellen

Mit über 2'245 erfassten DSGVO-Bussen und einer Durchsetzung, die sich über Big Tech hinaus auf Mid-Market-Unternehmen ausweitet, sind manuelle Compliance-Prozesse ein Haftungsrisiko. Buchen Sie eine 30-minütige Demo und sehen Sie, wie Organisationen wie ein Flugzeughersteller die Verwaltungszeit für Compliance in nur sechs Monaten um 60 % gesenkt haben.

60 %
Weniger Verwaltungszeit für Compliance
Flugzeughersteller, erste 6 Monate
200+
Eingesparte Stunden bei der ISO-27001-Vorbereitung
Medtec
100 %
Rezertifizierungsrate des Verarbeitungsverzeichnis
AXA, vollständig automatisiert

Keine Verpflichtung erforderlich. Erleben Sie die Plattform mit Ihren eigenen Datenszenarien.

The Privacy Compliance Briefing

Monatliche Einblicke in die DSGVO-Durchsetzung, revDSG-Updates und Automatisierungsstrategien für Datenschutzbeauftragte und Compliance-Teams.

Kein Spam. Jederzeit abbestellbar.