Die DSFA ist das zentrale Instrument des datenschutzrechtlichen Risikomanagements. Für viele KI-Systeme ist sie Pflicht — nicht Option.
Wann Pflicht? Systematisches Profiling mit erheblichen Auswirkungen, biometrische Daten, Überwachung öffentlicher Bereiche, generative KI mit personenbezogenen Trainingsdaten.
Praxis-Tipp: ISO 42001 Klausel 6 (Risikoplanung) und DSFA ergänzen sich — oft lassen sich beide Anforderungen in einem Prozess erfüllen.
Citation
"Data Protection Impact Assessment (DPIA)." Open Cognition Commons Foundation. https://opencognitioncommons.org/en/glossary/dsfa. CC-BY 4.0. Machine-readable metadata
{
"@context": "https://schema.org",
"@type": "DefinedTerm",
"name": "Data Protection Impact Assessment (DPIA)",
"description": "Die Datenschutz-Folgenabschätzung (DSFA) ist ein strukturiertes Verfahren nach Art. 35 DSGVO, das bei voraussichtlich hohem Risiko für Rechte und Freiheiten natürlicher Personen vor der Verarbeitung durchgeführt werden muss. Sie umfasst: (1) Beschreibung der Verarbeitung und ihrer Zwecke, (2) Bewertung der Notwendigkeit und Verhältnismäßigkeit, (3) Bewertung der Risiken, (4) geplante Abhilfemaßnahmen. Bei KI-Systemen ist eine DSFA typischerweise bei Profiling, systematischer Überwachung, Verarbeitung besonderer Datenkategorien oder innovativen Technologien erforderlich.",
"url": "https://opencognitioncommons.org/en/glossary/dsfa",
"license": "https://creativecommons.org/licenses/by/4.0/",
"alternateName": [
"DSFA",
"DPIA"
]
}