Start
KI in der Praxis
Impuls & Orientierung Inhouse-Formate Strategische Begleitung
Kurse & Programme
Rechtssicher mit KI Massgeschneiderte Inhouse-Schulungen
Rechtsberatung
Wissen
Blog Best of LinkedIn Publikationen & Fachbeiträge
Über mich Kontakt

Wann ein KI-Einsatz eine Datenschutz-Folgenabschätzung (DSFA) erfordert – und wann nicht

cloud compliance datenschutz datenschutz-folgenabschätzung ki governance legal tech risikomanagement Jan 23, 2026
Entscheidungslogik zur Datenschutz-Folgenabschätzung bei KI-Einsatz

Kurzantwort

Ein KI-Einsatz löst nicht automatisch eine Datenschutz-Folgenabschätzung aus.
Erhöhtes Abklärungsbedürfnis besteht aber häufig, weil KI regelmässig als neue Technologie gilt. Entscheidend bleibt, ob die konkrete Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte betroffener Personen mit sich bringen kann.

Warum diese Frage so häufig gestellt wird

In der Praxis zeigt sich ein klares Muster:

  • Ein KI-Use-Case wird geplant

  • Die Frage nach der DSFA taucht auf

  • Unsicherheit entsteht

  • Vorsorglich wird eine DSFA verlangt

  • Das Projekt verzögert sich erheblich

Der Gedanke dahinter ist nachvollziehbar, aber oft unscharf.

Der rechtliche Ausgangspunkt

Nach Art. 22 Abs. 1 DSG ist eine Datenschutz-Folgenabschätzung erforderlich, wenn eine Bearbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann.

Art. 22 Abs. 2 DSG präzisiert, wann ein solches Risiko vorliegen kann:
Es ergibt sich insbesondere bei der Verwendung neuer Technologien aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung.

KI ist regelmässig als neue Technologie zu qualifizieren.
Das bedeutet jedoch nicht, dass jeder KI-Einsatz automatisch ein hohes Risiko begründet.

Der zentrale Denkfehler

Die verbreitete Annahme lautet:

KI = neue Technologie = hohes Risiko = DSFA-Pflicht

Diese Verkürzung ist unzutreffend.

Richtig ist:

  • KI kann ein Risikofaktor sein

  • Sie ist aber nicht der alleinige Auslöser

  • Massgeblich ist die Gesamtbetrachtung der konkreten Datenbearbeitung

Wann eine DSFA bei KI naheliegend ist

Eine DSFA ist in der Regel angezeigt, wenn mehrere der folgenden Elemente zusammentreffen:

  • Einsatz von KI zur Bewertung, Klassifizierung oder Prognose von Personen

  • Automatisierte Einzelentscheidungen oder faktisch bindende Empfehlungen

  • Verarbeitung sensibler oder besonders schützenswerter Personendaten

  • Grosser Umfang oder systematische Bearbeitung

  • Eingeschränkte Transparenz oder geringe Einflussmöglichkeiten für Betroffene

Hier verstärkt KI Risiken durch Skalierung, Intransparenz oder Entscheidungswirkung.

Wann eine DSFA bei KI meist nicht erforderlich ist

Eine DSFA ist häufig nicht notwendig bei:

  • rein unterstützenden KI-Funktionen ohne Entscheidwirkung

  • internen Effizienz- oder Recherchetools

  • klar zweckgebundener Nutzung mit menschlicher Kontrolle

  • Verarbeitung wenig sensibler Daten

  • überschaubarem Umfang und klaren Schutzmassnahmen

In diesen Konstellationen unterscheidet sich KI nicht wesentlich von klassischer Software.

Die Rolle der DSFA richtig verstanden

Die Datenschutz-Folgenabschätzung ist kein formales Freigabeinstrument, sondern ein Risikoinstrument.

Sie dient dazu,

  • Risiken systematisch zu identifizieren,

  • geeignete Massnahmen festzulegen und

  • zu beurteilen, ob ein vertretbares Restrisiko verbleibt.

Ergibt die DSFA, dass trotz Massnahmen ein hohes Risiko bestehen bleibt, darf die Bearbeitung nicht umgesetzt werden oder es sind zusätzliche Schritte erforderlich.

Die DSFA ist damit kein Innovationshemmnis, sondern der Mechanismus, der rechtssichere Umsetzung trotz neuer Technologien ermöglicht.

Besonderheiten im öffentlichen Bereich und im kantonalen Recht

Für öffentliche Organe gelten häufig verschärfte Anforderungen:

  • Viele kantonale Datenschutzgesetze sehen bei Bearbeitungen mit erhöhtem Risiko eine Vorabkonsultation oder Vorabkontrolle vor.

  • In der Praxis verlangen kantonale Datenschutzaufsichtsstellen solche Konsultationen teilweise standardmässig bei neuen Technologien wie KI oder Cloud-Lösungen.

  • Die Frage lautet dort weniger, ob eine DSFA erforderlich ist, sondern wann und wie früh die Aufsichtsbehörde einzubeziehen ist.

Für Behörden ist die DSFA daher nicht nur ein Risikoinstrument, sondern oft auch ein verfahrensrechtlicher Pflichtschritt.

Der richtige Prüfungsansatz

Statt reflexartig zu fragen „Brauchen wir eine DSFA?“ ist folgende Logik zielführend:

  1. Welche Personendaten werden konkret bearbeitet?

  2. Welche Wirkung hat der KI-Output für betroffene Personen?

  3. Besteht Automatisierung ohne echte Einflussmöglichkeit?

  4. Lassen sich Risiken durch Massnahmen wirksam reduzieren?

Erst wenn nach dieser Prüfung ein hohes Restrisiko verbleibt, ist eine DSFA zwingend.

Kurze Einordnung für die Praxis

  • KI löst keine automatische DSFA-Pflicht aus

  • KI erhöht aber häufig den Abklärungsbedarf

  • Entscheidend ist das Risiko für Betroffene

  • Die DSFA prüft nicht das Tool, sondern das Restrisiko

Einordnung

Die Datenschutz-Folgenabschätzung ist kein Automatismus bei KI.
Sie ist jedoch bei KI überdurchschnittlich häufig angezeigt, weil KI regelmässig als neue Technologie im Sinne von Art. 22 Abs. 2 DSG einzustufen ist.

Entscheidend ist nicht die Technologie, sondern ob nach der DSFA ein vertretbares Restrisiko verbleibt.

Selbsttest

  1. Hat der KI-Output reale Auswirkungen auf betroffene Personen?

  2. Können Betroffene Entscheidungen beeinflussen oder korrigieren?

  3. Bleibt trotz Massnahmen ein hohes Risiko bestehen?

Wenn nicht, ist eine DSFA in der Regel nicht erforderlich.

Autor

David Schneeberger

RA Dr.

... unterstützt juristische Teams dabei, KI sinnvoll einzusetzen und ihre Arbeitsweise zu modernisieren. Er bietet Impulse, Workshops und langfristige Beratung – praxisnah, rechtssicher und auf die Realität von Kanzleien, Behörden und Rechtsdiensten abgestimmt.