DSFA-Vorlage für KI-Tools: ChatGPT, Copilot und Claude rechtssicher einsetzen

Die Datenschutz-Folgenabschätzung (DSFA) ist für viele Unternehmen die größte Hürde beim KI-Einsatz. Umfragen zeigen seit Monaten dasselbe Bild: Die DSGVO-Unsicherheit ist die meistgenannte Bremse bei der Einführung generativer KI im Mittelstand. Dabei ist eine DSFA kein bürokratisches Monster, sondern ein strukturierter Denkprozess – wenn man eine brauchbare Vorlage hat.

Genau die liefert dieser Guide. Sie erhalten ein nachvollziehbares Schritt-für-Schritt-Gerüst, das Sie auf die drei häufigsten KI-Anwendungsfälle anwenden können, ergänzt um eine Schrems-II-Einordnung der gängigen Anbieter. Das Ziel: KI rechtssicher einsetzen, statt sie aus Angst vor dem Datenschutz ganz zu meiden.

Wichtiger Hinweis: Dieser Guide ersetzt keine Rechtsberatung. Eine DSFA ist eine rechtliche Bewertung, die im Zweifel von Ihrem Datenschutzbeauftragten oder einer fachkundigen Stelle begleitet werden sollte. Die Vorlage strukturiert den Prozess, ersetzt aber nicht die individuelle Prüfung Ihres konkreten Falls.

Inhaltsverzeichnis

• Wann eine DSFA überhaupt nötig ist
• Die DSFA-Vorlage in sechs Schritten
• Schrems-II-Bewertung der Anbieter
• Drei Praxis-Use-Cases
• Zusammenfassung
• FAQ

Wann eine DSFA überhaupt nötig ist {#wann}

Eine DSFA ist nach Artikel 35 DSGVO verpflichtend, wenn eine Verarbeitung "voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" zur Folge hat. Beim Einsatz neuer Technologien – und generative KI fällt klar darunter – ist das oft der Fall, insbesondere wenn personenbezogene Daten verarbeitet werden.

Konkret sollten Sie eine DSFA durchführen, wenn:

• Sie personenbezogene Daten in ein KI-Tool eingeben (Kundennamen, Bewerberdaten, Mitarbeiterinformationen).
• Die KI zur Bewertung oder Profilbildung von Personen eingesetzt wird (etwa Bewerber-Screening).
• Daten an einen Anbieter außerhalb der EU übermittelt werden.

Wenn Sie ein KI-Tool ausschließlich mit anonymisierten oder rein technischen Daten ohne Personenbezug nutzen, ist eine vollständige DSFA häufig nicht erforderlich – die Prüfung der Notwendigkeit gehört aber dokumentiert.

Die DSFA-Vorlage in sechs Schritten {#vorlage}

Die folgende Struktur orientiert sich an den Vorgaben des Artikels 35 DSGVO und lässt sich als Word- oder Tabellendokument abbilden.

Schritt 1: Beschreibung der Verarbeitung

Halten Sie systematisch fest, was passiert:

• Zweck: Wofür setzen Sie die KI ein? (z. B. "Erstellung von Marketingtexten")

• Datenarten: Welche personenbezogenen Daten werden verarbeitet?

• Betroffene: Wessen Daten sind betroffen (Kunden, Bewerber, Mitarbeiter)?

• Tool und Anbieter: Welches Werkzeug, welcher Anbieter, welcher Serverstandort?

• Datenfluss: Wer gibt was ein, wohin fließen die Daten?

• ☐ Verarbeitung vollständig beschrieben

Schritt 2: Prüfung von Notwendigkeit und Verhältnismäßigkeit

Fragen Sie kritisch: Brauchen Sie für diesen Zweck wirklich personenbezogene Daten? Oft lässt sich das Risiko schon hier drastisch senken.

• Lässt sich der Zweck mit anonymisierten Daten erreichen?

• Ist die Datenmenge auf das Notwendige beschränkt (Datenminimierung)?

• Gibt es eine Rechtsgrundlage (Einwilligung, berechtigtes Interesse, Vertrag)?

• ☐ Notwendigkeit geprüft und begründet

Schritt 3: Risikobewertung

Identifizieren Sie die Risiken für die betroffenen Personen:

• Vertraulichkeit: Könnten Daten in falsche Hände geraten oder zum Training des Modells genutzt werden?
• Zweckentfremdung: Werden Eingaben anderweitig verwendet?
• Drittlandtransfer: Verlassen Daten den EU-Raum (siehe Schrems-II-Abschnitt)?
• Transparenz: Wissen die Betroffenen vom KI-Einsatz?

Bewerten Sie jedes Risiko nach Eintrittswahrscheinlichkeit und Schwere.

• ☐ Risiken identifiziert und bewertet

Schritt 4: Technische und organisatorische Maßnahmen (TOM)

Legen Sie fest, wie Sie die Risiken senken:

• Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter abschließen.

• Trainings-Opt-out bzw. eine Geschäftslizenz nutzen, bei der Eingaben nicht zum Modelltraining verwendet werden.

• Interne Richtlinie: Welche Daten dürfen eingegeben werden, welche nicht?

• Schulung der Mitarbeiter (deckt zugleich die AI-Literacy-Pflicht ab).

• ☐ Maßnahmen definiert

Schritt 5: Bewertung des Restrisikos

Prüfen Sie, ob die verbleibenden Risiken nach den Maßnahmen vertretbar sind. Ist das Restrisiko trotz Maßnahmen hoch, ist gegebenenfalls die Aufsichtsbehörde zu konsultieren.

• ☐ Restrisiko bewertet, Konsultationsbedarf geprüft

Schritt 6: Dokumentation und Review

Halten Sie das Ergebnis schriftlich fest und legen Sie einen Überprüfungszyklus fest. Eine DSFA ist kein einmaliges Dokument, sondern wird bei Änderungen am Tool oder Prozess aktualisiert.

• ☐ DSFA dokumentiert, Review-Termin gesetzt

Schrems-II-Bewertung der Anbieter {#schrems}

Der Kern des Drittlandproblems: Werden personenbezogene Daten in die USA übermittelt, greift das Schrems-II-Urteil. Seit dem EU-US Data Privacy Framework ist ein Transfer an zertifizierte US-Anbieter grundsätzlich möglich, sollte aber im Einzelfall geprüft und dokumentiert werden.

Praxis-Hinweis: Der entscheidende Hebel ist fast immer die Lizenzstufe. Die kostenlosen oder Privatkunden-Varianten der KI-Tools sind für den Unternehmenseinsatz mit personenbezogenen Daten in aller Regel ungeeignet. Erst die Geschäfts- und Enterprise-Tarife bieten AVV, Trainings-Opt-out und die nötigen Datenschutzgarantien.

Drei Praxis-Use-Cases {#use-cases}

Use-Case 1: KI-Recherche und Texterstellung

Ein Marketingteam nutzt ein KI-Tool zum Verfassen von Blogartikeln und zur Recherche. Risiko niedrig, sofern keine personenbezogenen Daten eingegeben werden. Die DSFA fällt schlank aus: Hauptmaßnahme ist eine interne Richtlinie, die das Einfügen von Kundendaten untersagt, plus ein Geschäftstarif mit Trainings-Opt-out.

Use-Case 2: KI-gestützte Kundenkommunikation

Ein Serviceteam lässt sich Antwortentwürfe für Kundenanfragen erstellen und gibt dabei Kundennamen und Anliegen ein. Risiko mittel. Hier sind AVV, EU-Hosting und eine klare Datenschutzinformation an die Kunden zentral. Die Datenminimierung – nur das Nötigste eingeben – senkt das Risiko erheblich.

Use-Case 3: KI-Bewerber-Screening

Eine HR-Abteilung setzt KI zur Vorauswahl von Bewerbungen ein. Risiko hoch. Dieser Fall berührt nicht nur die DSGVO (Profilbildung, Artikel 22), sondern auch den EU AI Act, der Bewerber-Screening als Hochrisiko-Anwendung einstuft. Eine vollständige DSFA ist hier zwingend, ebenso eine menschliche Letztentscheidung und besondere Transparenz gegenüber den Bewerbern. In diesem Fall ist fachkundige Begleitung dringend zu empfehlen.

Zusammenfassung {#zusammenfassung}

Die wichtigsten Erkenntnisse:

• Eine DSFA ist bei KI-Einsatz mit personenbezogenen Daten häufig Pflicht – aber mit Vorlage gut beherrschbar.
• Der größte Risiko-Hebel ist die Datenminimierung: Keine personenbezogenen Daten eingeben, wenn nicht nötig.
• Die Lizenzstufe entscheidet: Nur Geschäfts- und Enterprise-Tarife bieten AVV und Trainings-Opt-out.
• Bewerber-Screening ist ein Hochrisiko-Fall, der zusätzlich den EU AI Act berührt.
• Die DSFA ist ein lebendes Dokument und wird bei Änderungen aktualisiert.

Ihre nächsten Schritte:

1. Erfassen Sie alle KI-Tools, die im Unternehmen genutzt werden (KI-Inventar).
2. Klären Sie pro Tool, ob personenbezogene Daten verarbeitet werden.
3. Führen Sie für die relevanten Fälle eine DSFA nach dieser Vorlage durch.
4. Schließen Sie die nötigen AVV ab und stellen Sie die richtige Lizenzstufe sicher.

Weiterführende Inhalte auf DigitalChecker.de:

• DSGVO-konforme KI: 12 Anbieter im Praxis-Check
• KI-Inventar erstellen: Vorlage und Tools für die AI-Act-Pflicht
• AI Literacy nach EU AI Act: Schulungspflicht für KMU

FAQ {#faq}

Brauche ich für jedes KI-Tool eine eigene DSFA?

Nicht zwingend für jedes Tool, aber für jede risikorelevante Verarbeitung. Mehrere ähnliche Anwendungsfälle lassen sich bündeln. Entscheidend ist das Risiko der Verarbeitung, nicht die Zahl der Tools.

Reicht ein Auftragsverarbeitungsvertrag aus, um KI rechtssicher zu nutzen?

Nein. Der AVV ist eine notwendige, aber nicht hinreichende Maßnahme. Hinzu kommen die Rechtsgrundlage der Verarbeitung, Datenminimierung, Transparenz gegenüber Betroffenen und – bei hohem Risiko – die DSFA selbst.

Darf ich ChatGPT, Copilot oder Claude für personenbezogene Daten nutzen?

Grundsätzlich ja, sofern Sie einen Geschäfts- oder Enterprise-Tarif mit AVV und Trainings-Opt-out nutzen, eine Rechtsgrundlage haben und die Verarbeitung dokumentieren. Die kostenlosen Varianten sind dafür in der Regel nicht geeignet.

Was ist mit dem EU-US Data Privacy Framework?

Es erlaubt Datentransfers an zertifizierte US-Anbieter und entschärft das Schrems-II-Problem deutlich. Dennoch sollten Sie den Transfer im Einzelfall bewerten und dokumentieren, da die rechtliche Lage dynamisch bleibt.

Wer muss die DSFA durchführen – wir selbst oder ein externer Dienstleister?

Die Verantwortung liegt beim verarbeitenden Unternehmen. Die Durchführung kann intern (idealerweise mit Datenschutzbeauftragtem) oder mit externer fachkundiger Unterstützung erfolgen. Bei Hochrisiko-Fällen ist externe Begleitung ratsam.

Stand: Juni 2026. Die rechtliche Bewertung von KI-Tools und Drittlandtransfers entwickelt sich fortlaufend (u. a. durch EDSA-Vorgaben und den EU AI Act). Prüfen Sie den aktuellen Stand vor verbindlichen Entscheidungen.