Hat der KI-Output reale Auswirkungen auf Rechte oder Interessen betroffener Personen?

Einordnen: Bewertung, Klassifizierung, faktische Entscheidung oder rein interne Unterstützung? Je stärker die Wirkung nach aussen, desto näher die DSFA-Pflicht.

Werden besonders schützenswerte Personendaten verarbeitet oder lassen sich solche Merkmale aus den Daten ableiten?

KI kann aus scheinbar harmlosen Daten auf sensitive Merkmale schliessen. Das erhöht den Abklärungsbedarf auch bei vermeintlich unproblematischen Inputs.

Ist die Prüfung dokumentiert, auch wenn das Ergebnis keine vollständige DSFA erfordert?

Die Dokumentation der Prüfung ist unabhängig vom Ergebnis wichtig. Sie belegt, dass strukturiert gearbeitet wurde und das Risiko bewusst eingeschätzt wurde.

Wann erfordert ein KI-Einsatz eine Datenschutz-Folgenabschätzung?

David Schneeberger
13. Apr.
4 Min. Lesezeit

Kaum eine Rechtsfrage im KI-Kontext löst in Organisationen mehr Unsicherheit aus als die Datenschutz-Folgenabschätzung. Das Muster ist verbreitet: Ein KI-Use-Case wird geplant, jemand erwähnt die DSFA, alle werden nervös, und zur Sicherheit wird eine vollständige Abschätzung verlangt, auch wenn der Use Case harmlos ist. Das Projekt verzögert sich erheblich.

Die Ursache liegt in einer falschen Gleichung, die sich in der Praxis hartnäckig hält: KI gleich neue Technologie, neue Technologie gleich hohes Risiko, hohes Risiko gleich DSFA-Pflicht. Diese Verkürzung ist unzutreffend und erzeugt falsch gesetzte Aufwände. Was tatsächlich gilt, ist präziser, aber auch handlungsanleitender.

Der rechtliche Ausgangspunkt

Die Datenschutz-Folgenabschätzung ist in Art. 22 DSG geregelt. Absatz 1 legt fest, dass eine DSFA erforderlich ist, wenn eine Datenbearbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Der Auslöser ist das Risiko für Betroffene, nicht die eingesetzte Technologie.

Art. 22 Abs. 2 DSG präzisiert, wann ein solches Risiko insbesondere vorliegen kann: bei der Verwendung neuer Technologien, in Abhängigkeit von Art, Umfang, Umständen und Zweck der Bearbeitung. KI ist regelmässig als neue Technologie zu qualifizieren. Das bedeutet aber nicht, dass jeder KI-Einsatz automatisch ein hohes Risiko begründet. Die Verwendung einer neuen Technologie ist ein Faktor, der erhöhten Abklärungsbedarf auslöst, nicht eine automatische DSFA-Pflicht.

Die Gesamtbetrachtung als Massstab

Massgeblich ist stets die Gesamtbetrachtung der konkreten Datenbearbeitung. Einzelne Risikofaktoren können sich kumulieren oder gegenseitig relativieren. Eine DSFA ist in der Regel angezeigt, wenn mehrere der folgenden Faktoren zusammentreffen: Einsatz von KI zur Bewertung, Klassifizierung oder Prognose von Personen; automatisierte Einzelentscheidungen oder faktisch bindende Empfehlungen; Verarbeitung sensibler oder besonders schützenswerter Personendaten; grosser Umfang oder systematische Bearbeitung sowie eingeschränkte Transparenz oder geringe Einflussmöglichkeiten für Betroffene.

Kumulieren mehrere dieser Faktoren, verstärkt KI die Risiken durch Skalierung, Intransparenz und Entscheidungswirkung in einer Weise, die eine strukturierte Risikoprüfung erforderlich macht. Fehlen diese Faktoren weitgehend, unterscheidet sich der KI-Einsatz nicht wesentlich von klassischer Software.

Wann eine DSFA in der Regel nicht notwendig ist

Eine DSFA ist häufig nicht erforderlich bei rein unterstützenden KI-Funktionen ohne Entscheidwirkung für Betroffene, zum Beispiel interne Recherchetools, automatische Zusammenfassungen oder Entwurfshilfen. Ebenso bei klar zweckgebundener Nutzung mit echter menschlicher Kontrollstufe, bei der Verarbeitung wenig sensibler Daten in überschaubarem Umfang sowie bei klaren Schutzmassnahmen und nachvollziehbaren Prozessen. In diesen Konstellationen ergibt eine summarische Prüfung, dass kein hohes Restrisiko für Betroffene besteht.

Entscheidend ist die Unterscheidung zwischen erhöhtem Abklärungsbedarf und DSFA-Pflicht. Der erhöhte Abklärungsbedarf ist bei KI regelmässig gegeben, weil die neue Technologie eine Auseinandersetzung mit der Frage erzwingt, ob das Restrisiko hoch ist. Diese Auseinandersetzung kann rasch zu dem Ergebnis kommen, dass keine vollständige DSFA erforderlich ist. Das ist ein legitimes Ergebnis, es sollte aber dokumentiert sein.

Was die DSFA leistet

Die Datenschutz-Folgenabschätzung ist kein formales Freigabeinstrument, das ein Projekt freigibt oder blockiert. Sie ist ein Risikoinstrument: Sie dient dazu, Risiken systematisch zu identifizieren, geeignete Massnahmen festzulegen und zu beurteilen, ob ein vertretbares Restrisiko verbleibt. Ergibt die DSFA, dass trotz Massnahmen ein hohes Risiko bestehen bleibt, darf die Bearbeitung nicht umgesetzt werden oder es sind zusätzliche Schritte erforderlich, etwa eine Vorabkonsultation beim zuständigen Datenschutzbeauftragten.

In diesem Sinne ist die DSFA kein Innovationshemmnis, sondern der Mechanismus, der rechtssichere Umsetzung trotz neuer Technologien ermöglicht. Wer die DSFA als Genehmigungsverfahren missversteht, verliert ihre eigentliche Funktion: die strukturierte Auseinandersetzung mit Risiken im Vorfeld, bevor Schäden entstehen.

Besonderheiten im öffentlichen Bereich

Für öffentliche Organe und Behörden gelten häufig verschärfte Anforderungen. Viele kantonale Datenschutzgesetze sehen bei Bearbeitungen mit erhöhtem Risiko eine Vorabkonsultation oder Vorabkontrolle durch die kantonale Datenschutzaufsichtsstelle vor. In der Praxis verlangen kantonale Aufsichtsstellen solche Konsultationen teilweise standardmässig bei neuen Technologien, also auch bei KI oder Cloud-Lösungen.

Für Behörden ist die DSFA damit nicht nur ein Risikoinstrument, sondern oft auch ein verfahrensrechtlicher Pflichtschritt, bevor ein Projekt produktiv geht. Der Zeitbedarf für diesen Schritt ist in der Projektplanung einzukalkulieren, nicht als Hindernis, sondern als regulärer Bestandteil des Einführungsprozesses.

Der richtige Prüfungsansatz in der Praxis

Statt reflexartig zu fragen «Brauchen wir eine DSFA?», empfiehlt sich folgende Prüflogik. Zunächst: Welche Personendaten werden konkret bearbeitet, und sind besonders schützenswerte Kategorien betroffen? Dann: Welche Wirkung hat der KI-Output für betroffene Personen, insbesondere: entsteht eine faktische Entscheidungswirkung? Weiter: Besteht Automatisierung ohne echte menschliche Kontrollstufe, oder ist eine inhaltliche Überprüfung vorgesehen? Und schliesslich: Lassen sich erkennbare Risiken durch konkrete Massnahmen wirksam reduzieren?

Erst wenn diese Prüfung ergibt, dass trotz Massnahmen ein hohes Restrisiko für Persönlichkeitsrechte oder Grundrechte bestehen bleibt, ist eine vollständige DSFA zwingend. Diese Prüfung selbst ist zu dokumentieren, denn die Dokumentation zeigt im Nachhinein, dass strukturiert gearbeitet wurde.

KI löst keine automatische DSFA-Pflicht aus. Sie erhöht aber regelmässig den Abklärungsbedarf. Entscheidend ist nicht die Technologie, sondern das Restrisiko für Betroffene nach Berücksichtigung der getroffenen Massnahmen.

Selbsttest

Hat der KI-Output reale Auswirkungen auf Rechte oder Interessen betroffener Personen?	Einordnen: Bewertung, Klassifizierung, faktische Entscheidung oder rein interne Unterstützung? Je stärker die Wirkung nach aussen, desto näher die DSFA-Pflicht.
Werden besonders schützenswerte Personendaten verarbeitet oder lassen sich solche Merkmale aus den Daten ableiten?	KI kann aus scheinbar harmlosen Daten auf sensitive Merkmale schliessen. Das erhöht den Abklärungsbedarf auch bei vermeintlich unproblematischen Inputs.
Ist die Prüfung dokumentiert, auch wenn das Ergebnis keine vollständige DSFA erfordert?	Die Dokumentation der Prüfung ist unabhängig vom Ergebnis wichtig. Sie belegt, dass strukturiert gearbeitet wurde und das Risiko bewusst eingeschätzt wurde.

Weiterführende Beratung & Kurse

Sie möchten KI rechtssicher in Ihrer Organisation einführen und nutzen? Dr. David Schneeberger begleitet Kanzleien, Behörden und Rechtsdienste mit Workshops, KI-Rechtsberatung und dem Kurs «Rechtssicher mit KI».