Bevor du ein KI-Tool im Betrieb einführst, lohnt eine einfache Frage: Verarbeitet es personenbezogene Daten mit hohem Risiko? Wenn ja, schreibt Artikel 35 DSGVO eine Datenschutz-Folgenabschätzung vor. Standard-Büro-KI ohne echte Kundendaten braucht oft keine. KI, die mit Kunden- oder Mitarbeiterdaten arbeitet oder Menschen bewertet, kann eine auslösen. Diese Einordnung hilft dir zu erkennen, wann du genauer hinschauen musst.
Viele kleine Betriebe führen ein neues KI-Tool ein, weil es im Alltag Zeit spart, und denken über Datenschutz erst nach, wenn etwas schiefläuft. Dabei steht im Gesetz seit Jahren ein Werkzeug, das genau für solche Situationen gedacht ist: die Datenschutz-Folgenabschätzung, kurz DSFA. Sie ist keine Strafe und auch kein bürokratisches Monster, sondern eine strukturierte Prüfung, die dir vorab zeigt, ob ein Tool ein Risiko für die Menschen schafft, deren Daten es verarbeitet. Mit KI bekommt diese Prüfung neue Bedeutung, weil viele KI-Systeme genau die Merkmale haben, die ein hohes Risiko ausmachen.
Was Artikel 35 DSGVO verlangt
Die Rechtsgrundlage ist Artikel 35 der Datenschutz-Grundverordnung. Er sagt im Kern: Wenn eine Form der Verarbeitung "voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" mit sich bringt, musst du vorab eine Folgenabschätzung durchführen. Das gilt unabhängig davon, ob ein Mensch oder eine KI die Daten verarbeitet. Entscheidend ist, was mit den Daten passiert und wie heikel das für die Betroffenen ist.
Wann ist das Risiko hoch? Die Verordnung und die Aufsichtsbehörden nennen typische Auslöser. Dazu gehören eine umfangreiche oder systematische Verarbeitung, das Profiling und die Bewertung von Personen, der Umgang mit besonderen Datenkategorien wie Gesundheitsdaten und der Einsatz neuer Technologien. KI fällt unter den letzten Punkt fast automatisch, und je nach Anwendung treffen auch die anderen zu. Ein System, das Bewerber automatisch vorsortiert, betreibt Profiling. Ein Tool, das Patientendaten auswertet, arbeitet mit besonderen Kategorien.
Damit du nicht raten musst, führen die deutschen Datenschutz-Aufsichtsbehörden sogenannte Muss-Listen, also Positivlisten mit Verarbeitungen, für die eine DSFA verpflichtend ist. Wenn deine geplante KI-Nutzung in einer solchen Liste auftaucht, ist die Frage entschieden. Ein Blick in die Liste der für dich zuständigen Landesbehörde ist deshalb ein guter erster Schritt, bevor du in lange Abwägungen einsteigst.
Wo die Grenze in der Praxis verläuft
Die wichtigste Unterscheidung im Alltag ist die nach dem Personenbezug. Nicht jedes KI-Tool berührt überhaupt personenbezogene Daten.
Nimm einen Handwerksbetrieb, der KI nutzt, um aus Stichpunkten Textbausteine für Angebote und Leistungsbeschreibungen zu formulieren. Hier fließen allgemeine Beschreibungen von Arbeiten in das Tool, keine echten Kundendaten. Solange der Betrieb keine Namen, Adressen oder andere personenbezogene Angaben in die KI gibt, verarbeitet er an dieser Stelle gar keine personenbezogenen Daten in einem riskanten Sinn. Eine DSFA ist dann in der Regel kein Thema.
Anders sieht es bei einem ambulanten Pflegedienst aus, der ein KI-System einsetzen will, um Pflegedokumentationen auszuwerten oder Tourenpläne aus Patientendaten zu erstellen. Hier sind Gesundheitsdaten im Spiel, also eine besondere Datenkategorie, und die Verarbeitung ist systematisch und umfangreich. Das ist ein klassischer Fall, in dem die DSFA-Pflicht greift. Der Pflegedienst sollte vor der Einführung prüfen, ob das geplante System überhaupt zulässig ist und welche Schutzmaßnahmen nötig sind.
In unseren DigiMan-Kursen sehen wir regelmäßig, dass dieser Schritt am Anfang übersprungen wird. Ein Betrieb ist begeistert von einem Tool, testet es mit echten Kundendaten und merkt erst Monate später, dass er eine Prüfung hätte machen müssen. Das nachzuholen ist mühsam und manchmal teuer, vor allem wenn das Tool schon tief in den Abläufen steckt. Die Reihenfolge sollte umgekehrt sein: erst die kurze Frage nach dem Risiko, dann der Test.
So läuft eine schlanke DSFA ab
Eine Folgenabschätzung muss kein dickes Gutachten sein. Für die meisten KMU reicht eine strukturierte, übersichtliche Variante, die sich an vier Punkten entlanghangelt.
Der erste Schritt ist die Beschreibung der Verarbeitung. Du hältst fest, welches Tool zum Einsatz kommt, welche Daten hineingehen, woher sie stammen, wer Zugriff hat und was das System damit macht. Der zweite Schritt prüft Notwendigkeit und Verhältnismäßigkeit: Brauchst du diese Daten wirklich für den Zweck, oder ginge es auch mit weniger? Der dritte Schritt bewertet die Risiken für die Betroffenen, also was im schlimmsten Fall passieren kann, wenn die Daten missbraucht werden, verloren gehen oder die KI eine falsche Bewertung abgibt. Im vierten Schritt legst du Schutzmaßnahmen fest, die das Risiko senken, etwa Zugriffsbeschränkungen, Löschfristen oder eine menschliche Kontrolle über automatische Entscheidungen.
Du musst das nicht allein stemmen. Wenn dein Betrieb einen Datenschutzbeauftragten hat, ist er die richtige Anlaufstelle und gesetzlich sogar einzubeziehen. Hast du keinen, lohnt sich für heikle Fälle eine externe Beratung. Hilfreich ist außerdem die Orientierungshilfe zu KI, die die Datenschutzkonferenz veröffentlicht hat, das Gremium der deutschen Aufsichtsbehörden. Sie beschreibt technische und organisatorische Maßnahmen für Entwicklung und Betrieb von KI-Systemen und gibt eine Vorstellung davon, was die Behörden erwarten. Diese Einordnung ersetzt keine Rechtsberatung, sie zeigt dir nur, wo du im Zweifel nachfragst.
DSGVO und EU AI Act sind zwei Baustellen
Beim Stichwort KI-Recht werfen viele Betriebe DSGVO und EU AI Act in einen Topf. Das sind zwei getrennte Regelwerke, die sich überlappen, aber unterschiedliche Fragen stellen. Die DSGVO kümmert sich um personenbezogene Daten und damit um die DSFA. Der AI Act regelt KI-Systeme als solche, gestaffelt nach ihrem Risiko.
Für KMU sind aus dem AI Act zwei Punkte schon konkret. Die Transparenzpflicht nach Artikel 50 gilt ab dem 2. August 2026. Sie verlangt unter anderem, dass sich Chatbots als KI zu erkennen geben und dass klar KI-generierte Inhalte gekennzeichnet werden. Davon getrennt gilt die KI-Kompetenzpflicht nach Artikel 4 bereits seit dem 2. Februar 2025. Sie verlangt, dass die Menschen, die mit KI arbeiten, über ausreichende Kompetenz dafür verfügen. Beides hat mit der DSFA nichts direkt zu tun, gehört aber auf dieselbe Checkliste, wenn du ein KI-Tool einführst. Wer beides zusammen denkt, spart sich doppelte Arbeit und vermeidet, dass eine Baustelle die andere übersieht.
Praktisch heißt das: Bevor ein KI-Tool in den Echtbetrieb geht, klärst du in einem Aufwasch drei Dinge. Verarbeitet es personenbezogene Daten mit hohem Risiko, also ist eine DSFA fällig? Muss es nach Artikel 50 als KI gekennzeichnet werden? Und sind die Mitarbeiter, die es bedienen, dafür geschult? Diese drei Fragen vor der Einführung kosten eine halbe Stunde Nachdenken und ersparen dir später viel Ärger. Bei Unsicherheit holst du den Datenschutzbeauftragten oder die zuständige Aufsichtsbehörde dazu, statt auf gut Glück zu starten.
Häufige Fragen
Braucht jedes KI-Tool eine Datenschutz-Folgenabschätzung?
Nein. Eine DSFA nach Artikel 35 DSGVO ist nur Pflicht, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringt. Standard-Büro-KI, die zum Beispiel Textentwürfe ohne echte Kundendaten erstellt, braucht oft keine. KI, die mit Kunden- oder Mitarbeiterdaten arbeitet oder Menschen bewertet, kann dagegen eine auslösen.
Woran erkenne ich, dass ein hohes Risiko vorliegt?
Typische Auslöser sind eine umfangreiche oder systematische Verarbeitung, das Profiling und die Bewertung von Personen, besondere Datenkategorien wie Gesundheitsdaten und der Einsatz neuer Technologien. Die Aufsichtsbehörden führen außerdem Muss-Listen mit Verarbeitungen, für die eine DSFA verpflichtend ist. Ein Blick in die Liste deiner zuständigen Landesbehörde gibt schnell Klarheit.
Wie läuft eine schlanke DSFA ab und wer hilft dabei?
Vier Schritte reichen für die meisten KMU: die Verarbeitung beschreiben, Notwendigkeit und Verhältnismäßigkeit prüfen, die Risiken für die Betroffenen bewerten und passende Schutzmaßnahmen festlegen. Dein Datenschutzbeauftragter ist die richtige Anlaufstelle und gesetzlich einzubeziehen. Bei Unsicherheit fragst du die zuständige Aufsichtsbehörde.
Was hat der EU AI Act mit der DSFA zu tun?
DSGVO und EU AI Act sind getrennte Regelwerke, die sich überlappen. Die DSFA stammt aus der DSGVO und betrifft personenbezogene Daten. Der AI Act regelt KI-Systeme selbst: Die Transparenzpflicht nach Artikel 50 gilt ab dem 2. August 2026, die KI-Kompetenzpflicht nach Artikel 4 schon seit dem 2. Februar 2025. Bei der Einführung eines KI-Tools prüfst du alle Punkte am besten zusammen.
Mehr über KI im Mittelstand lernen?
Im kostenlosen KI-Schnupperkurs zeigen wir in fünf Lektionen, wie kleine und mittlere Firmen KI praktisch einsetzen. Für den Überblick gibt es ausserdem unseren kostenlosen Leitfaden zum KI-Einsatz im Unternehmen. Vollkurs Digitalisierungsmanager mit Bildungsgutschein. Förderwege: Bildungsgutschein, QCG und AFBG im Vergleich.
Zuletzt aktualisiert: 16.06.2026. Stand der Recherche: 16.06.2026.