Zum Inhalt springen
12.9Fortgeschritten7 min

Datenschutz-Folgenabschätzung (DSFA) für KI-Agenten: Pflicht, Schwellenwerte und Schritt-für-Schritt-Vorgehen

Blck Alpaca·
Definition

Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 35 DSGVO verpflichtend, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Für KI-Agenten ist sie nahezu immer erforderlich, da diese profilieren, automatisiert entscheiden oder innovative Technologie einsetzen.

Auf einen Blick

  • Eine DSFA ist nach Art. 35 Abs. 1 DSGVO Pflicht, sobald eine Verarbeitung voraussichtlich ein hohes Risiko für Betroffene auslöst; Art. 35 Abs. 3 nennt drei Regelfälle, Art. 35 Abs. 4 erlaubt Aufsichtsbehörden-Listen.
  • KI-Agenten lösen fast immer eine DSFA-Pflicht aus, weil sie profilieren, automatisiert entscheiden, innovative Technologie nutzen oder Daten aus mehreren Quellen kombinieren.
  • Die in der DACH-Praxis (DSK-Kurzpapier Nr. 5, BfDI-DSFA-Tool, EDPB WP248) genannte Vier-Schritt-Methodik beginnt mit der Prüfung von Notwendigkeit und Verhältnismäßigkeit, gefolgt von Risikoidentifikation, Risikobewertung und Risikobehandlung; die Beschreibung der Verarbeitung ist nach Art. 35 Abs. 7 lit. a DSGVO vorgelagerter Pflichtbestandteil.
  • KI-spezifische Risiken umfassen Halluzinationen, Bias, Prompt-Injection, Memory-Leakage zwischen Sessions, Regurgitation von Trainings-PII, Re-Identifikation über Embedding-Inversion und Lieferketten-Risiken.
  • Bleibt nach Maßnahmen ein hohes Restrisiko, ist nach Art. 36 DSGVO eine vorherige Konsultation der Aufsichtsbehörde nötig (in DACH typisch 6 bis 14 Wochen Bearbeitungszeit).
  • Bei Hochrisiko-KI nach Anhang III lässt Art. 27 Abs. 4 EU AI Act zu, die DSFA mit der Grundrechte-Folgenabschätzung (FRIA) zu einem Artefakt zusammenzuführen; das Art.-86-Auskunftsrecht gilt ab 2. August 2026.

Eine Datenschutz-Folgenabschätzung (DSFA, englisch DPIA) ist nach Art. 35 DSGVO verpflichtend, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Für KI-Agenten ist sie in der Praxis fast immer erforderlich, weil diese Systeme profilieren, automatisiert entscheiden, innovative Technologie einsetzen oder Datensätze aus mehreren Quellen kombinieren.

Dieser Artikel ist Teil des Hubs „DSGVO-konformer AI-Agent-Einsatz" und liefert ein belastbares Schritt-für-Schritt-Vorgehen sowie eine Auslöser-Checkliste für DACH-Verantwortliche.

Schnellantworten

  • Schwellenwert: Eine DSFA ist Pflicht, sobald ein hohes Risiko wahrscheinlich ist (Art. 35 Abs. 1). Art. 35 Abs. 3 nennt drei Regelfälle, Art. 35 Abs. 4 erlaubt Aufsichtsbehörden-Listen (BfDI-Blacklist v3.0, BayLDA, DSB Österreich, EDÖB).
  • KI-Realität: KI-Agenten lösen wegen Profiling, automatisierter Entscheidung und innovativer Technologie nahezu immer eine DSFA-Pflicht aus.
  • Verfahren: Die DSFA folgt einem dokumentierten Ablauf — Beschreibung der Verarbeitung als Pflichtbestandteil, dann Notwendigkeit/Verhältnismäßigkeit, Risikoidentifikation, Risikobewertung und Abhilfemaßnahmen. Bei hohem Restrisiko folgt die vorherige Konsultation nach Art. 36.

Was eine DSFA nach Art. 35 DSGVO ist

Art. 35 Abs. 1 DSGVO verpflichtet den Verantwortlichen zu einer DSFA, wenn eine Form der Verarbeitung — insbesondere bei Einsatz neuer Technologien — aufgrund von Art, Umfang, Umständen und Zwecken voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die DSFA ist damit ein vorgelagertes Risikomanagement-Instrument: Sie wird vor Verarbeitungsbeginn erstellt und dokumentiert, ob und wie Risiken beherrscht werden.

Wichtig: Der Verantwortliche (Controller) bleibt für die DSFA zuständig, auch wenn er den KI-Agenten nicht selbst entwickelt hat. Die DSK stellt in ihrer Orientierungshilfe „Künstliche Intelligenz und Datenschutz" (Version 1.0, 6. Mai 2024) ausdrücklich klar, dass die DSFA für die meisten LLM-Deployments erforderlich ist und der Verantwortliche zuständig bleibt, selbst wenn er nicht zugleich Systemanbieter ist.

Wann die DSFA für KI-Agenten Pflicht wird

Art. 35 Abs. 3 nennt drei gesetzliche Regelfälle (Vermutungstatbestände):

  1. Systematische und umfassende Bewertung persönlicher Aspekte einschließlich Profiling mit erheblicher Wirkung.
  2. Umfangreiche Verarbeitung besonderer Kategorien (Art. 9) oder von Daten über strafrechtliche Verurteilungen (Art. 10).
  3. Systematische weiträumige Überwachung öffentlich zugänglicher Bereiche.

Zusätzlich ermächtigt Art. 35 Abs. 4 die Aufsichtsbehörden, Listen verpflichtender Verarbeitungen zu veröffentlichen. Konsistent über die BfDI-Blacklist (aktuelle Version v3.0), die BayLDA-Blacklist, die DSB-Verordnungsliste in Österreich, die EDÖB-Praxis zu Art. 22 revDSG und das DSK-Kurzpapier Nr. 5 werden folgende KI-relevante Verarbeitungstypen als DSFA-auslösend geführt:

  • Automatisierte Entscheidungen mit rechtlicher oder erheblicher Wirkung
  • Großflächiges Profiling, einschließlich agentenbasierter Verhaltensanalyse
  • Verarbeitung biometrischer oder genetischer Daten zur Identifizierung
  • Innovativer Technologieeinsatz, insbesondere KI
  • Kombination von Datensätzen aus mehreren Quellen
  • Beschäftigten-Überwachungsszenarien

Die praktische Konsequenz: KI-Agenten lösen aufgrund eines oder mehrerer dieser Punkte fast immer eine DSFA-Pflicht aus.

Auslöser-Checkliste für KI-Agenten

Auslöser-Kriterium

Beispiel KI-Agent

DSFA-Indikation

Profiling mit erheblicher Wirkung

Lead-Scoring-, HR-Ranking-, Dynamic-Pricing-Agent

Hoch — Regelfall Art. 35 Abs. 3 lit. a

Automatisierte Entscheidung (Art. 22)

Kredit-Entscheidungs-, Underwriting-Agent

Hoch — Listen-Eintrag

Besondere Kategorien (Art. 9) umfangreich

Gesundheits-Triage-, Voice-Emotion-Agent

Hoch — Regelfall Art. 35 Abs. 3 lit. b

Innovative Technologie

Jeder LLM-/agentische Einsatz

Hoch — Listen-Eintrag

Datensätze aus mehreren Quellen

RAG über CRM plus HR plus Web

Mittel bis hoch

Beschäftigten-Monitoring

Copilot-Rollout, Browser-Agent

Hoch — plus Betriebsrat-Beteiligung

Trifft auch nur ein Kriterium klar zu, ist die DSFA durchzuführen. Im Zweifel empfiehlt sich eine dokumentierte Vorab-Schwellenwertprüfung („threshold assessment"), die begründet, warum keine DSFA nötig wäre — dies adressiert die Rechenschaftspflicht nach Art. 5 Abs. 2.

Die DSFA-Methodik Schritt für Schritt

Die Beschreibung der Verarbeitung ist nach Art. 35 Abs. 7 lit. a DSGVO ein vorgelagerter Pflichtbestandteil jeder DSFA: eine systematische Darstellung des KI-Agenten samt Daten-Fluss-Diagramm, das jeden Personendaten-Hop abbildet (Nutzer → Agent-Runtime → Modell-API → Vektorspeicher → MCP-Server → Observability-Backend → Logs), dazu Systemarchitektur mit Sub-Prozessor-Karte und Rollen-Mapping (Verantwortlicher, gemeinsam Verantwortliche, Auftragsverarbeiter, Sub-Prozessoren mit ununterbrochener Kette nach Art. 28 Abs. 4).

Auf dieser Grundlage folgt das DSK-Kurzpapier Nr. 5 zusammen mit dem BfDI-DSFA-Tool einer Vier-Schritt-Struktur, die mit der EDPB-Leitlinie WP248 konsistent ist:

  1. Notwendigkeit und Verhältnismäßigkeit. Ist die Verarbeitung strikt erforderlich? Würden anonyme, pseudonyme oder synthetische Daten genügen? Sind Datenmenge und Speicherdauer minimiert? Konkret bei RAG: Indexierung pseudonymisierter Chunks und Minimierung der Kontext-Payloads.
  2. Risikoidentifikation. Erfassung der KI-spezifischen Risiken (siehe nächster Abschnitt), bezogen auf die jeweiligen Betroffenengruppen.
  3. Risikobewertung. Bewertung jedes Risikos nach Eintrittswahrscheinlichkeit mal Schwere.
  4. Risikobehandlung und Restrisiko-Akzeptanz. Technische Maßnahmen nach Art. 32 (Verschlüsselung, Pseudonymisierung, Zugriffskontrollen, Logging, Prompt-Injection-Abwehr), organisatorische Maßnahmen (Schulung, Governance) und vertragliche Maßnahmen (AVV-Klauseln) sowie die dokumentierte Akzeptanz des Restrisikos.

Erforderliche Konsultationsnachweise gehören dazu: die Stellungnahme des Datenschutzbeauftragten (Art. 35 Abs. 2), die Beteiligung des Betriebsrats bzw. der Personalvertretung, wo einschlägig (§ 87 BetrVG, österreichisches ArbVG, Schweizer Mitwirkungsregeln), sowie — wo durchführbar — die Anhörung betroffener Personengruppen (Art. 35 Abs. 9).

KI-spezifische Risiken im Risikoregister

Für KI-Agenten ist der Risikokatalog deutlich breiter als bei klassischer Datenverarbeitung. Die DSFA muss mindestens berücksichtigen:

  • Halluzination — frei erfundene, aber plausible Personendaten; zugleich unrichtig (Art. 5 Abs. 1 lit. d) und Re-Identifikationsrisiko
  • Bias und Diskriminierung in Scoring- und Ranking-Ausgaben
  • Prompt-Injection, einschließlich mandantenübergreifender Angriffe, die fremde Daten extrahieren
  • Memory-Leakage zwischen Sessions über geteilten Speicher oder System-Prompts
  • Output-Regurgitation von Trainings-PII
  • Scope-Creep und unbefugte Inferenz
  • Daten-Exfiltration über Tool-Calls an undokumentierte Sub-Prozessoren
  • Re-Identifikation über Embedding-Inversion — Embeddings sind nicht automatisch anonym und gelten als pseudonyme Personendaten
  • Lieferketten-Risiko über den fünf- bis achtstufigen Sub-Prozessor-Stack

Die DSK-Orientierungshilfe RAG (2025) ergänzt zwei RAG-spezifische Risiken: Membership-Inference-Attacks und Data Poisoning. Die DSK-Publikation „Datenschutzrechtliche Anforderungen an KI-Systeme" (17. Juni 2025) liefert zusätzlich die operative Zuordnung zum Standard-Datenschutzmodell (SDM).

Konkretes Beispiel mit Zahlen: Customer-Service-Agent

Ein Mittelständler (800 Beschäftigte) in Österreich plant einen Kundenservice-Agenten auf Basis von Azure OpenAI. Pro Monat verarbeitet der Agent rund 40.000 Konversationen, davon enthalten schätzungsweise 30 Prozent (also etwa 12.000) identifizierende Kundendaten in Prompts. Eskalationsentscheidungen werden zunächst automatisiert vorbereitet.

In der DSFA wird das Risiko „Output-Regurgitation von Trainings-PII" mit Wahrscheinlichkeit „mittel" und Schwere „hoch" bewertet. Abhilfe: Output-Filter, Red-Team-Test auf Memorisierung, dokumentierte Interessenabwägung. Beim Risiko „Memory-Leakage zwischen Sessions" senkt eine strikte Mandanten-Isolation die Wahrscheinlichkeit von „mittel" auf „gering". Die Prompt-Aufbewahrung wird auf 30 Tage mit Redaktion vor dauerhafter Speicherung begrenzt — konsistent mit dem OpenAI-API-Standard von maximal 30 Tagen; bei Anthropic-API-Logs greifen seit 14. September 2025 7 Tage (zuvor 30). Da jede konsequenzielle Entscheidung an einen Menschen eskaliert und der Agent vorbereitet statt entscheidet, sinkt das Art.-22-Restrisiko auf ein akzeptables Niveau. Ergebnis: keine vorherige Konsultation nach Art. 36 erforderlich.

Vorherige Konsultation nach Art. 36

Bleibt nach allen Maßnahmen ein hohes Restrisiko, ist vor Verarbeitungsbeginn die Aufsichtsbehörde nach Art. 36 zu konsultieren. Im KI-Agenten-Kontext ist das selten, aber plausibel bei HR-Screening-Agenten mit erheblicher Wirkung auf Bewerber, bei autonomen Gesundheits-Triage-Agenten und bei Versicherungs-Underwriting-Agenten. In DACH ist mit Bearbeitungszeiten von 6 bis 14 Wochen bei BfDI, LfDI, DSB oder EDÖB zu rechnen.

Integration mit der FRIA des EU AI Act

Für Deployer von Hochrisiko-Systemen nach Anhang III, die öffentliche Stellen oder private Anbieter öffentlicher Dienste sind oder in spezifizierten Domänen tätig sind, verlangt Art. 27 EU AI Act eine Grundrechte-Folgenabschätzung (FRIA). Art. 27 Abs. 4 erlaubt ausdrücklich, dass die FRIA die DSGVO-DSFA ergänzt und überlappende Inhalte wiederverwendet. Empfohlener Ablauf:

  • Die DSFA zuerst (oder parallel) nach der DSGVO-Methodik durchführen.
  • Um FRIA-spezifische Elemente erweitern: Auswirkungen auf Grundrechte über den Datenschutz hinaus (Nichtdiskriminierung, Würde, Meinungsfreiheit, wirksamer Rechtsbehelf), betroffene Personengruppen, Schäden, Aufsicht, Beschwerdemechanismen.
  • Ein einziges zusammengeführtes Artefakt mit Querverweisen auf Art. 35 DSGVO und Art. 27 AI Act erstellen.

Hinweis zum Zusammenspiel: Das Auskunftsrecht des Betroffenen über Einzelentscheidungen nach Art. 86 EU AI Act gilt ab dem 2. August 2026. Es ist im Anwenderkreis breiter — es steht jeder von einer Hochrisiko-KI-Entscheidung betroffenen Person zu, während das Recht aus Art. 22 DSGVO nur DSGVO-Betroffenen zukommt.

Für Agenturen und B2B

Marketing-Agenturen und B2B-Anbieter, die KI-Agenten für Kunden ausrollen, sind häufig selbst Auftragsverarbeiter oder gemeinsam Verantwortliche — und unterschätzen, dass die DSFA-Pflicht beim Kunden als Verantwortlichem liegt, sie aber die belastbare Verarbeitungsbeschreibung und Sub-Prozessor-Karte liefern müssen. Wer bereits in der Angebotsphase ein DSFA-Template, ein Daten-Fluss-Diagramm und einen geprüften Maßnahmenkatalog mitbringt, verkürzt Freigabezyklen erheblich und reduziert die häufigste Audit-Beanstandung: ein Copilot- oder Agenten-Rollout ohne DSFA und ohne Betriebsrats-Konsultation. Blck Alpaca unterstützt DACH-Unternehmen dabei, die DSFA von der Schwellenwertprüfung bis zum zusammengeführten DSFA/FRIA-Artefakt aufzusetzen.

Rechtshinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die verbindliche Beurteilung einer konkreten KI-Agenten-Verarbeitung ziehen Sie bitte qualifizierten Rechtsrat und Ihre zuständige Aufsichtsbehörde heran.

Häufig gestellte Fragen

Wann ist eine DSFA für einen KI-Agenten verpflichtend?
Sobald die Verarbeitung voraussichtlich ein hohes Risiko auslöst (Art. 35 Abs. 1 DSGVO). Art. 35 Abs. 3 nennt drei Regelfälle: systematische, umfassende Bewertung inklusive Profiling mit erheblicher Wirkung; großflächige Verarbeitung von Art.-9- oder Art.-10-Daten; systematische Überwachung öffentlicher Bereiche. Zusätzlich greifen die Listen der Aufsichtsbehörden (BfDI-Blacklist v3.0, BayLDA, DSB-Verordnung in Österreich, EDÖB-Praxis). Da KI-Agenten regelmäßig profilieren, automatisiert entscheiden oder als innovative Technologie gelten, ist die DSFA praktisch fast immer Pflicht.
Welche Schritte umfasst die DSFA-Methodik?
Die in der DACH-Praxis (DSK-Kurzpapier Nr. 5, BfDI-DSFA-Tool, EDPB-Leitlinie WP248) genannte Vier-Schritt-Methodik ist: erstens Prüfung von Notwendigkeit und Verhältnismäßigkeit (genügen anonyme, pseudonyme oder synthetische Daten?), zweitens Risikoidentifikation, drittens Risikobewertung nach Eintrittswahrscheinlichkeit mal Schwere, viertens Risikobehandlung mit technischen Maßnahmen nach Art. 32, organisatorischen und vertraglichen AVV-Regelungen samt dokumentierter Restrisiko-Akzeptanz. Vorgelagert und nach Art. 35 Abs. 7 lit. a DSGVO Pflicht ist die Beschreibung der Verarbeitung mit Daten-Fluss-Diagramm und Sub-Prozessor-Karte.
Welche KI-spezifischen Risiken muss die DSFA abdecken?
Halluzinationen, Bias und Diskriminierung, Prompt-Injection, Memory-Leakage zwischen Sessions, Output-Regurgitation von Trainings-PII, Scope-Creep, Daten-Exfiltration über Tool-Calls, unbefugte Inferenz, Re-Identifikation über Embedding-Inversion und Lieferketten-Risiken. Die DSK-Orientierungshilfe RAG (2025) ergänzt Membership-Inference-Attacks und Data Poisoning als RAG-spezifische Risiken.
Was passiert, wenn nach den Maßnahmen ein hohes Restrisiko bleibt?
Dann ist nach Art. 36 DSGVO eine vorherige Konsultation der Aufsichtsbehörde vor Verarbeitungsbeginn erforderlich. Im KI-Agenten-Kontext ist das selten, aber plausibel bei HR-Screening-Agenten mit erheblicher Wirkung, Gesundheits-Triage-Agenten mit Autonomie oder Versicherungs-Underwriting-Agenten. In DACH ist mit 6 bis 14 Wochen Bearbeitungszeit bei BfDI, LfDI, DSB oder EDÖB zu rechnen.
Wie verhält sich die DSFA zur Grundrechte-Folgenabschätzung (FRIA) des EU AI Act?
Art. 27 EU AI Act verlangt für Deployer bestimmter Hochrisiko-Systeme nach Anhang III eine FRIA. Art. 27 Abs. 4 erlaubt ausdrücklich, dass die FRIA die DSGVO-DSFA ergänzt und überlappende Inhalte wiederverwendet. Empfohlen wird ein einziges zusammengeführtes Artefakt mit Querverweisen auf Art. 35 DSGVO und Art. 27 AI Act. Das Art.-86-Auskunftsrecht zu Einzelentscheidungen gilt ab 2. August 2026 und ist im Anwenderkreis breiter (jede betroffene Person) als das Recht aus Art. 22 DSGVO, das nur DSGVO-Betroffenen zusteht.

Tiefer einsteigen?

Erhalte neue Analysen direkt ins Postfach – oder sieh dir an, wie wir dieses Wissen für Unternehmen umsetzen.

Newsletter abonnierenUnsere Services
VorherigerDrittlandtransfer in die USA: Data Privacy Framework und KI