01
KI-System-Inventar und Datenkartierung
Sie können nicht bewerten, was Sie nicht erfasst haben. Eine belastbare KI-DSFA beginnt mit einem vollständigen Inventar jedes KI-Systems, der von ihm erfassten Personendaten und der Datenflüsse über Einheiten und Auftragsverarbeiter hinweg. Dies muss mit Ihrem Verzeichnis von Verarbeitungstätigkeiten verknüpft sein und nicht in einem separaten Silo geführt werden.
Zugeordnet zu: Verwaltung des Verarbeitungsverzeichnis mit einheitenübergreifender Datenkartierung
02
Analyse von Zweckbindung und Rechtsgrundlage
Dokumentieren Sie für jeden KI-Anwendungsfall den konkreten Zweck, die Rechtsgrundlage der Verarbeitung (Einwilligung, berechtigtes Interesse oder eine andere gültige Grundlage) und wie die Zweckbindung durchgesetzt wird, wenn Modelle neu trainiert oder umgewidmet werden. Die Empfehlungen der CNIL verlangen ausdrücklich, dass jedes KI-System, das Personendaten nutzt, ein klar definiertes, ausdrückliches und legitimes Ziel hat, das zu Projektbeginn festgelegt wird.
Quelle: Empfehlungen der CNIL zur KI-Entwicklung, 2025
03
Algorithmische Risikoklassifizierung
Klassifizieren Sie jedes KI-System nach den Risikostufen des EU AI Act: inakzeptabel, hoch, begrenzt und minimal. Ordnen Sie diese Klassifizierung anschliessend der Schwelle aus Artikel 35 DSGVO zu, wonach eine Verarbeitung «voraussichtlich ein hohes Risiko zur Folge hat». Die CNIL hat erklärt, dass bei allen Hochrisiko-Systemen unter dem AI Act eine DSFA als erforderlich vermutet wird, sofern die Entwicklung oder der Einsatz Personendaten betrifft.
Quelle: DSFA-Leitlinien der CNIL für KI-Systeme; Risiko-Framework des EU AI Act (Verordnung 2024/1689)
04
Transfer Impact Assessment (TIA)
Wenn Trainingsdaten, Modellausgaben oder Personendaten Grenzen überschreiten, ist neben Ihrer DSFA ein TIA erforderlich. Dies ist besonders kritisch für Organisationen, die cloudbasierte KI-Dienste mit Unterauftragsverarbeitern in Ländern ohne angemessenes Datenschutzniveau nutzen. Ein KI-Modell, das auf EU-Mitarbeiterdaten trainiert, in einer US-Tochtergesellschaft eingesetzt und von einem Auftragsverarbeiter in Singapur gehostet wird, löst sich überschneidende Pflichten nach der DSGVO, nach US-amerikanischen Datenschutzgesetzen einzelner Bundesstaaten und nach lokalen Vorschriften aus.
Zugeordnet zu: integrierte DSFA-/TIA-Workflows und SCC-Verwaltung
05
Stakeholder-Konsultation und Freigabe
Artikel 35(9) DSGVO verlangt von Verantwortlichen, gegebenenfalls die Ansichten der betroffenen Personen einzuholen. Über dieses regulatorische Minimum hinaus sollte eine KI-DSFA ML-Engineers, Product Owner, die Rechtsabteilung und den Datenschutzbeauftragten einbeziehen, mit dokumentierter Freigabe in jeder Phase. Aufsichtsbehörden erwarten nicht nur den Nachweis, dass eine Konsultation stattfand, sondern auch, wer wann konsultiert wurde.
Quelle: Artikel 35(9) DSGVO; ICO-Leitlinien zu DSFA-Anforderungen
06
Dokumentation von Abhilfemassnahmen und Restrisiko
Dokumentieren Sie für jedes identifizierte Risiko die Abhilfemassnahme, den verantwortlichen Owner, die Umsetzungsfrist und das verbleibende Restrisiko. Aufsichtsbehörden erwarten, dass Risiken bearbeitet und nicht nur identifiziert werden. Unter dem EU AI Act erfordern Hochrisiko-KI-Systeme eine kontinuierliche Identifizierung, Analyse, Einschätzung und Minderung von Risiken über den gesamten Lebenszyklus des Systems hinweg.
Quelle: EU AI Act, Artikel 9 (Risikomanagement); Bussen bei Nichteinhaltung bis zu 35 Mio. EUR oder 7 % des weltweiten Umsatzes
07
Auslöser für Rezertifizierung und kontinuierliche Überwachung
Definieren Sie die Ereignisse, die eine Neubewertung auslösen: erneutes Training von Modellen, neue Datenquellen, Expansion in neue Rechtsräume oder regulatorische Änderungen. Der EU AI Act verpflichtet Anbieter von Hochrisiko-KI-Systemen, ein System zur Beobachtung nach dem Inverkehrbringen einzurichten, das während der gesamten Lebensdauer des Systems aktiv und systematisch Leistungsdaten erhebt und analysiert. Eine einmalige Bewertung reicht nicht mehr aus.
Quelle: EU AI Act, Artikel 72 (Pflichten zur Beobachtung nach dem Inverkehrbringen)