Auf einen Blick
- Eine Datenschutz-Folgenabschätzung (englisch Privacy Impact Assessment, PIA) ist eine strukturierte Prüfung, wie ein System personenbezogene Daten erhebt, nutzt, speichert und weitergibt, durchgeführt vor der Inbetriebnahme, um Datenschutzrisiken frühzeitig sichtbar zu machen.
- Der Begriff stammt aus dem US-Bundesrecht (dem E-Government Act von 2002) und bezeichnet im Privatsektor häufig eine interne, freiwillige Praxis.
- Ein PIA ist nicht dasselbe wie die Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO, die bei risikoreicher Verarbeitung gesetzlich vorgeschrieben ist.
- Die KI-Verordnung der EU ergänzt eine dritte Prüfung, die Grundrechte-Folgenabschätzung (GRFA), die bestimmte Betreiber von Hochrisiko-KI ab dem 2. August 2026 durchführen müssen.
- Ein und dasselbe Hochrisiko-KI-System kann zugleich eine DSFA und eine GRFA erfordern. Die GRFA ergänzt die DSFA, sie ersetzt sie nicht.
Was eine Datenschutz-Folgenabschätzung bedeutet
Nach der Definition des US-amerikanischen National Institute of Standards and Technology (NIST) ist eine Datenschutz-Folgenabschätzung eine Analyse, wie Informationen gehandhabt werden, um die Einhaltung der geltenden rechtlichen, regulatorischen und politischen Datenschutzanforderungen sicherzustellen und um die Risiken und Auswirkungen zu bestimmen. Der Begriff geht auf den E-Government Act von 2002 zurück, dessen Titel II, Abschnitt 208, US-Bundesbehörden verpflichtete, vor dem Aufbau oder Einkauf eines Systems mit personenbezogenen Daten eine solche Prüfung durchzuführen.
Hinter der juristischen Sprache steht ein einfaches Ziel. Eine solche Folgenabschätzung stellt vor Projektbeginn eine Frage: Wo könnte dieses System die personenbezogenen Daten von Menschen gefährden, und was muss jetzt geändert werden, um das zu verhindern. Sie bildet ab, wie Daten in ein System gelangen, wie sie sich darin bewegen, wer sie einsehen kann und wie sie am Ende gelöscht werden. Das Ergebnis ist eine dokumentierte Liste der Risiken und der Maßnahmen, die diese verringern.
Im Deutschen sorgt der Begriff selbst für Verwirrung, denn „Datenschutz-Folgenabschätzung“ bezeichnet meist das Instrument der DSGVO. Im US-Bundessektor ist die Prüfung eine gesetzliche Pflicht; im Privatsektor ist sie häufig ein internes Instrument der guten Praxis ohne eigenen gesetzlichen Anker, sodass ein Unternehmen eine PIA freiwillig durchführen und für dasselbe Projekt dennoch zu einer weiteren, verpflichtenden Prüfung gehalten sein kann. Genau in dieser Lücke setzen die beiden folgenden Prüfungen an, dort, wo Datenschutzarbeit auf KI-Governance trifft.
PIA, DSFA und GRFA: drei Prüfungen, eine Frage
PIA, DSFA und GRFA werden in Datenschutzgesprächen oft synonym verwendet, und diese Gewohnheit wird zunehmend teuer. Die drei Prüfungen verfolgen ein gemeinsames Ziel, Menschen vor Schäden im Umgang mit ihren Daten und Rechten zu schützen, beruhen aber auf unterschiedlichen Rechtsgrundlagen und greifen in verschiedenen Situationen.
Eine Privacy Impact Assessment ist der breite, ursprüngliche Begriff. Sie umfasst jede strukturierte Prüfung von Datenschutzrisiken und ist am stärksten in der US-Bundespraxis verankert.
Eine Datenschutz-Folgenabschätzung im Sinne der DSGVO ist enger und verbindlicher. Nach Artikel 35 DSGVO ist sie zwingend, sobald eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Sie muss eine systematische Beschreibung der Verarbeitung, eine Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit, eine Risikobewertung sowie die geplanten Abhilfemaßnahmen enthalten.
Eine Grundrechte-Folgenabschätzung ist die jüngste Säule. Eingeführt durch Artikel 27 der KI-Verordnung, ist sie von bestimmten Betreibern von Hochrisiko-KI-Systemen zu erstellen und richtet den Blick auf die betroffenen Menschen: ob das System sie fair behandelt, ob es systematische Benachteiligung schafft und ob diejenigen, über die es entscheidet, dies wirksam anfechten können.
| Prüfung | Rechtsgrundlage | Auslöser | Wer sie durchführt | Ergebnis |
|---|---|---|---|---|
| PIA | E-Government Act 2002 (US); intern andernorts | Jedes neue System mit personenbezogenen Daten | US-Bundesbehörden; freiwillig private Unternehmen | Dokumentierte Datenschutzrisiken und Maßnahmen |
| DSFA | Artikel 35 DSGVO (EU) | Verarbeitung mit voraussichtlich hohem Risiko | Verantwortliche | Risikobewertung samt Abhilfemaßnahmen |
| GRFA | Artikel 27 KI-Verordnung | Einsatz bestimmter Hochrisiko-KI-Systeme | Bestimmte Betreiber von Hochrisiko-KI | Grundrechtliche Risikobewertung, der Behörde gemeldet |
Wann jede Prüfung gesetzlich vorgeschrieben ist
Wann eine PIA erforderlich ist
In den USA verpflichtet der E-Government Act von 2002 Bundesbehörden, vor der Entwicklung oder Beschaffung von IT-Systemen mit personenbezogenen Daten eine PIA durchzuführen. Sektorgesetze ergänzen eigene Auslöser: Der Health Insurance Portability and Accountability Act (HIPAA) prägt Datenschutzprüfungen im Gesundheitswesen, und mehrere US-Bundesstaatengesetze, darunter der California Privacy Rights Act, verlangen Bewertungen vor bestimmten Verarbeitungen von Verbraucherdaten. Außerhalb dieser Regime bleibt die PIA freiwillig, ist aber weiterhin ein solider Bestandteil jedes Risikomanagements.
Wann eine DSFA erforderlich ist
Unter der DSGVO ist die DSFA nicht mehr optional, sobald eine Verarbeitung voraussichtlich ein hohes Risiko mit sich bringt. Aufsichtsbehörden behandeln die umfangreiche Verarbeitung sensibler Daten, die systematische Überwachung öffentlicher Bereiche und das systematische Profiling mit rechtlicher oder ähnlich erheblicher Wirkung als klare Auslöser. Viele automatisierte Entscheidungssysteme fallen unmittelbar in diese Kategorie, was der erste Grund dafür ist, dass sich KI- und Datenschutzprüfungen zu überschneiden begannen.
Wann eine GRFA erforderlich ist
Artikel 27 erfasst einen klar umrissenen Kreis von Betreibern von Hochrisiko-KI-Systemen: Einrichtungen des öffentlichen Rechts, private Betreiber, die öffentliche Dienste erbringen, sowie Betreiber, die Hochrisiko-Systeme zur Bonitätsbewertung oder zur Risikobewertung und Preisbildung in der Lebens- und Krankenversicherung einsetzen. Die Pflicht gilt ab dem 2. August 2026. Der Betreiber muss die Prüfung vor der ersten Nutzung durchführen, sie bei veränderten Bedingungen aktuell halten und das Ergebnis über die offizielle Vorlage an die Marktüberwachungsbehörde melden.
Wie eine Datenschutzprüfung mit KI-Governance zusammenhängt
Was die gängigen Definitionen verschweigen: Sobald personenbezogene Daten durch ein KI-System fließen, kann ein einziges Projekt mehrere Prüfungen zugleich auslösen. Ein Hochrisiko-KI-System, das Menschen profiliert, erfordert oft eine DSFA, weil es personenbezogene Daten mit hohem Risiko verarbeitet, und eine GRFA, weil es ein Hochrisiko-KI-Einsatz im Anwendungsbereich von Artikel 27 ist.
Die beiden sind keine Dubletten, und keine hebt die andere auf. Die Leitlinien der Europäischen Kommission zur KI-Verordnung sind ausdrücklich: die GRFA ersetzt die bestehende Datenschutz-Folgenabschätzung nicht, die Verantwortliche nach dem Datenschutzrecht durchführen müssen. Artikel 27 Absatz 4 fasst das Verhältnis genauso: Wo eine DSFA bereits einen Teil dessen abdeckt, was die GRFA verlangt, ergänzt die Grundrechteprüfung die DSFA, statt sie aufzunehmen. Eine DSFA fragt, ob Sie personenbezogene Daten schützen. Eine GRFA stellt die weitergehende Frage: ob das System gegenüber den betroffenen Menschen fair ist und ob diese seine Entscheidungen anfechten können.
Der Rahmen kann sich noch weiten. Die HUDERIA-Methodik des Europarats bewertet die Auswirkungen eines KI-Systems auf Menschenrechte, Demokratie und Rechtsstaatlichkeit, eine Perspektive, die über den reinen Datenschutz hinaus Diskriminierung, Zugang zum Recht und Verfahrensfairness erfasst. Für Organisationen außerhalb der EU oder solche, die eine einzige belastbare Methode suchen, bietet sie einen strukturierten Weg, Wirkungen auf Rechtsebene zu durchdenken.
Die Folge ist vor allem organisatorisch. Der Datenschutzbeauftragte, der früher die PIA verantwortete, und der KI-Governance-Verantwortliche, der nun die GRFA trägt, prüfen dasselbe System aus zwei Blickwinkeln. Diese Prüfungen in getrennten Tabellen zu führen, lädt zu Lücken und Widersprüchen ein. Deshalb steuern Betreiber regulierter KI ihre Datenschutz- und Grundrechteprüfungen zunehmend auf einer gemeinsamen Plattform für KI-Governance, damit Nachweise, Risiken und Maßnahmen über beide Pflichten hinweg stimmig bleiben.
Wie man eine Datenschutz-Folgenabschätzung Schritt für Schritt durchführt
Die folgende Methode passt zu einer klassischen PIA und lässt sich bruchlos auf KI-Systeme erweitern.
- Den Umfang festlegen. Das Projekt, die betroffenen Kategorien personenbezogener Daten und die Grenzen der Prüfung beschreiben. Bei einem KI-System das Modell, seine Trainingsdaten und die automatisierten Entscheidungen ergänzen.
- Die Datenflüsse abbilden. Nachverfolgen, wo personenbezogene Daten eintreten, wo sie gespeichert werden, wie sie sich bewegen und wer auf sie zugreift, einschließlich Dritter und Dienstleister.
- Richtigkeit und Zugriff prüfen. Klären, wie Daten aktuell gehalten werden, wie lange sie aufbewahrt werden und welche Personen oder Werkzeuge sie erreichen können.
- Die Risiken bewerten. Die Sensibilität der Daten sowie Wahrscheinlichkeit und Schwere eines Schadens abwägen. Bei KI die betroffenen Personengruppen und die konkreten Risiken unfairer oder schädlicher Ergebnisse ergänzen.
- Maßnahmen umsetzen. Die Erhebung verringern, Aufbewahrungsfristen straffen, Übermittlungen einschränken und menschliche Aufsicht über automatisierte Entscheidungen vorsehen.
- Das Ergebnis dokumentieren. Restrisiken und getroffene Maßnahmen festhalten. Bei einer GRFA ist diese Dokumentation zugleich das, was der Marktüberwachungsbehörde gemeldet wird.
- Regelmäßig überprüfen. Die Prüfung wiederholen, wenn sich System, Daten oder Recht ändern. KI-Systeme driften, daher ist die wiederkehrende Überprüfung keine Kür.
Ein hilfreicher Hinweis zur Abstimmung: Diese Schritte einmal durchlaufen und jeden Befund nach der Pflicht kennzeichnen, die er erfüllt, damit ein einziger Arbeitsablauf eine PIA, eine DSFA und eine GRFA speist statt drei getrennter Anläufe. Genau dieses Modell soll eine spezialisierte Governance-Plattform tragen.
Häufige Fragen
Was ist der Zweck einer Datenschutz-Folgenabschätzung? Ihr Zweck ist es, Datenschutzrisiken zu erkennen und zu verringern, bevor ein System mit personenbezogenen Daten in Betrieb geht. Sie dokumentiert, wie Daten erhoben, genutzt, gespeichert, geteilt und gelöscht werden, markiert Stellen, an denen Personen geschädigt werden könnten, und hält die Maßnahmen zur Verhinderung fest. Sie ist eine vorbeugende Kontrolle, kein Bericht nach einem Vorfall.
Ist eine Datenschutz-Folgenabschätzung gesetzlich vorgeschrieben? Das hängt davon ab, wer Sie sind und wo Sie tätig sind. US-Bundesbehörden müssen nach dem E-Government Act von 2002 eine PIA durchführen, und Gesetze wie HIPAA oder mehrere Bundesstaatengesetze begründen eigene Pflichten. Im Privatsektor außerhalb dieser Regime ist die PIA oft freiwillig, doch eine verwandte verpflichtende Prüfung, eine DSFA nach der DSGVO oder eine GRFA nach der KI-Verordnung, kann für dasselbe Projekt gelten.
Worin unterscheiden sich PIA und DSFA? Die PIA ist der breite Begriff für jede strukturierte Datenschutzprüfung und in der US-Bundespraxis verwurzelt, wo sie oft ein internes Instrument ist. Die DSFA ist eine konkrete Rechtspflicht nach Artikel 35 DSGVO, zwingend bei voraussichtlich hohem Risiko für Rechte und Freiheiten, mit vorgeschriebenem Inhalt. Kurz: Jede DSFA ist eine Datenschutzprüfung, aber nicht jede PIA erreicht die rechtliche Schwelle einer DSFA.
Wann muss eine PIA durchgeführt werden? Eine PIA sollte vor dem Start eines neuen Systems oder Prozesses durchgeführt werden, der personenbezogene Daten verarbeitet, und erneut, sobald eine wesentliche Änderung die Erhebung oder Nutzung dieser Daten verändert. Entscheidend ist der frühe Zeitpunkt: Die Prüfung soll das System bereits in der Entwurfsphase formen, bevor Risiken eingebaut sind, und nicht erst im Nachhinein dokumentieren.
Braucht ein KI-System eine GRFA und eine DSFA? Häufig ja. Ein Hochrisiko-KI-System, das personenbezogene Daten verarbeitet, kann zugleich eine DSFA nach der DSGVO und eine GRFA nach Artikel 27 der KI-Verordnung erfordern. Beide überschneiden sich, sind aber nicht austauschbar: Die GRFA ergänzt die DSFA und fügt die Grundrechteperspektive hinzu. Betroffene Betreiber sollten beide einplanen, statt anzunehmen, eine genüge.
Was ist eine Grundrechte-Folgenabschätzung? Eine Grundrechte-Folgenabschätzung (GRFA) ist eine Prüfung vor dem Einsatz, die bestimmte Betreiber von Hochrisiko-KI-Systemen nach der KI-Verordnung der EU vornehmen müssen. Sie beschreibt, wo und wie das System genutzt wird, die betroffenen Personen und Gruppen, die konkreten Schadensrisiken, die vorhandene menschliche Aufsicht und die Maßnahmen für den Fall, dass Risiken eintreten. Das Ergebnis wird der Marktüberwachungsbehörde gemeldet, und die Pflicht gilt ab dem 2. August 2026.
Fazit
Die Bedeutung einer Datenschutz-Folgenabschätzung ist über ihre ursprüngliche Definition hinausgewachsen. Sie begann als US-Bundeskontrolle dafür, wie Behörden personenbezogene Daten handhaben, und das bleibt sie. Doch für jede Organisation, die KI einsetzt, steht der Begriff nun am Anfang einer Familie von Prüfungen: der PIA, der rechtsverbindlichen DSFA und der neuen Grundrechte-Folgenabschätzung nach der KI-Verordnung. Sie zu einem unscharfen Konzept zu verschmelzen, öffnet Compliance-Lücken. Sie zu einem abgestimmten Arbeitsablauf zu verbinden, schließt sie. Steuern Sie Ihre Datenschutz- und Grundrechteprüfungen für dasselbe Hochrisiko-KI-System an einem Ort, mit AI Sigil.