Wer muss eine Datenschutz-Folgenabschätzung laut Art. 26. Abs. 9 KI-VO durchführen?

Artikel 26 der EU-KI-Verordnung (KI-VO) regelt die Pflichten von Betreibern hochriskanter KI-Systeme. Diese müssen sicherstellen, dass ihre Systeme sicher betrieben, überwacht und im Falle erkannter Risiken außer Betrieb genommen werden.

Ein wichtiger Aspekt findet sich in Absatz 9: Die KI-VO verpflichtet die Betreiber zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 der Datenschutz-Grundverordnung (DSGVO) sowie Artikel 27 der Richtlinie (EU) 2016/680.

Eine solche Abschätzung ist immer dann erforderlich, wenn ein Einsatz voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt – wie beispielsweise durch Profilings, automatisierte Entscheidungsfindungen oder Überwachungen. Denn diese Systeme verarbeiten sensible, personenbezogene Daten.

Ziel ist es, diese Risiken frühzeitig zu erkennen, zu bewerten und durch geeignete technische und organisatorische Maßnahmen zu minimieren.

Praktisch bedeutet es, dass Betreiber

• Ggf. (kein Muss) die nach Art. 13 KI-VO zusammengestellten Informationen wie eine Betriebsanleitung für die Datenschutz-Folgenabschätzung nutzen,
• Art, Zweck und Notwendigkeit der Datenverarbeitung dokumentieren,
• mögliche Risiken analysieren,
• und konkrete Schutzmaßnahmen – wie etwa Pseudonymisierung, Zugriffskontrollen oder Einschränkung der Datenspeicherung – planen.

Wenn trotz dieser Maßnahmen ein hohes Restrisiko besteht, ist vor der Inbetriebnahme die zuständige Datenschutzaufsichtsbehörde zu konsultieren – Rechtsgrundlage dafür ist Art. 36 DSGVO.

Art. 26 Abs. 9 der KI-VO stellt damit klar: Betreiber, die Hochrisiko-KI einsetzen und in diesem Rahmen (sensible) Daten verarbeiten, müssen auch den Datenschutz umfassend mitdenken – dazu gehört auch die Durchführung einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO.

Veröffentlicht am 6. August 2025