Datenschutz-Folgenabschätzung (DPIA)
Vorschau: Dies ist eine Vorschau der Pro-Inhalte. Die vollständige, anpassbare Version erhalten Sie mit der Pro-Version.
Diese Vorlage dient zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO für KI-Systeme. Eine DPIA ist insbesondere erforderlich für Hochrisiko-KI gemäß EU AI Act oder bei systematischer und umfangreicher Verarbeitung personenbezogener Daten.
1. Projektbeschreibung
| Name des KI-Systems: | {{SYSTEM_NAME}} |
| Verantwortliche Abteilung: | {{ABTEILUNG}} |
| Projektleitung: | {{PROJEKTLEITUNG}} |
| Erstellungsdatum: | {{DATUM}} |
| Version: | {{VERSION}} |
Kurzbeschreibung des KI-Systems
{{BESCHREIBUNG}}
Beschreiben Sie hier kurz das KI-System, seine Funktionsweise und den Einsatzbereich.
2. Zweck & Rechtsgrundlage
Zweck der Verarbeitung
{{ZWECK}}
Beschreiben Sie den Zweck der Datenverarbeitung durch das KI-System.
Rechtsgrundlage
| Rechtsgrundlage | Anwendbar? | Begründung |
|---|---|---|
| Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) | {{JA/NEIN}} | {{BEGRÜNDUNG}} |
| Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) | {{JA/NEIN}} | {{BEGRÜNDUNG}} |
| Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) | {{JA/NEIN}} | {{BEGRÜNDUNG}} |
| Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) | {{JA/NEIN}} | {{BEGRÜNDUNG}} |
3. Beschreibung der Verarbeitung
Datenarten & Kategorien betroffener Personen
| Datenkategorie | Betroffene Personen | Besondere Datenkategorien? |
|---|---|---|
| {{DATENKATEGORIE_1}} | {{BETROFFENE_1}} | {{JA/NEIN}} |
| {{DATENKATEGORIE_2}} | {{BETROFFENE_2}} | {{JA/NEIN}} |
| {{DATENKATEGORIE_3}} | {{BETROFFENE_3}} | {{JA/NEIN}} |
Datenquellen & Datenfluss
{{DATENQUELLEN}}
Beschreiben Sie, woher die Daten stammen und wie sie durch das System fließen.
Beteiligte Akteure & Systeme
| Akteur/System | Rolle | Zugriffsberechtigung |
|---|---|---|
| {{AKTEUR_1}} | {{ROLLE_1}} | {{ZUGRIFF_1}} |
| {{AKTEUR_2}} | {{ROLLE_2}} | {{ZUGRIFF_2}} |
Speicherdauer & Löschkonzept
{{SPEICHERDAUER}}
Beschreiben Sie, wie lange die Daten gespeichert werden und wie die Löschung erfolgt.
4. Risikoanalyse
Risiko-Matrix
Bewerten Sie die identifizierten Risiken nach Eintrittswahrscheinlichkeit und Auswirkung:
| Geringe Auswirkung | Mittlere Auswirkung | Hohe Auswirkung | |
| Hohe Wahrscheinlichkeit | Mittleres Risiko | Hohes Risiko | Hohes Risiko |
| Mittlere Wahrscheinlichkeit | Niedriges Risiko | Mittleres Risiko | Hohes Risiko |
| Geringe Wahrscheinlichkeit | Niedriges Risiko | Niedriges Risiko | Mittleres Risiko |
Identifizierte Risiken
| Risiko | Eintrittswahrscheinlichkeit | Auswirkung | Gesamtrisiko |
|---|---|---|---|
| Unberechtigter Datenzugriff | {{WAHRSCHEINLICHKEIT}} | {{AUSWIRKUNG}} | {{GESAMTRISIKO}} |
| Fehlerhafte KI-Entscheidungen | {{WAHRSCHEINLICHKEIT}} | {{AUSWIRKUNG}} | {{GESAMTRISIKO}} |
| Diskriminierende Verzerrungen (Bias) | {{WAHRSCHEINLICHKEIT}} | {{AUSWIRKUNG}} | {{GESAMTRISIKO}} |
| Mangelnde Transparenz | {{WAHRSCHEINLICHKEIT}} | {{AUSWIRKUNG}} | {{GESAMTRISIKO}} |
| {{WEITERES_RISIKO}} | {{WAHRSCHEINLICHKEIT}} | {{AUSWIRKUNG}} | {{GESAMTRISIKO}} |
5. Maßnahmen
Technische Maßnahmen
| Maßnahme | Adressiertes Risiko | Umsetzungsstatus |
|---|---|---|
| Verschlüsselung der Daten | Unberechtigter Datenzugriff | {{STATUS}} |
| Zugriffskontrollen & MFA | Unberechtigter Datenzugriff | {{STATUS}} |
| Bias-Prüfung der Trainingsdaten | Diskriminierende Verzerrungen | {{STATUS}} |
| Logging & Audit-Trails | Mangelnde Transparenz | {{STATUS}} |
| {{WEITERE_MASSNAHME}} | {{RISIKO}} | {{STATUS}} |
Organisatorische Maßnahmen
| Maßnahme | Adressiertes Risiko | Umsetzungsstatus |
|---|---|---|
| Schulung der Mitarbeitenden | Fehlerhafte KI-Entscheidungen | {{STATUS}} |
| Menschliche Überprüfung kritischer Entscheidungen | Fehlerhafte KI-Entscheidungen | {{STATUS}} |
| Regelmäßige Überprüfung der KI-Outputs | Diskriminierende Verzerrungen | {{STATUS}} |
| Dokumentation der Modellparameter | Mangelnde Transparenz | {{STATUS}} |
| {{WEITERE_MASSNAHME}} | {{RISIKO}} | {{STATUS}} |
6. Bewertung Rest-Risiko
Nach Implementierung der oben genannten Maßnahmen verbleiben folgende Restrisiken:
| Restrisiko | Bewertung | Begründung |
|---|---|---|
| {{RESTRISIKO_1}} | {{BEWERTUNG}} | {{BEGRÜNDUNG}} |
| {{RESTRISIKO_2}} | {{BEWERTUNG}} | {{BEGRÜNDUNG}} |
Gesamtbewertung des Restrisikos: {{GESAMTBEWERTUNG}}
7. Einbindung DSB
Der/Die Datenschutzbeauftragte wurde wie folgt eingebunden:
| Name DSB: | {{NAME_DSB}} |
| Datum der Konsultation: | {{DATUM_KONSULTATION}} |
| Stellungnahme: | {{STELLUNGNAHME}} |
8. Ergebnis
Gesamtergebnis der DPIA:
Begründung:
{{BEGRÜNDUNG}}
Erforderliche Folgemaßnahmen:
{{FOLGEMASSNAHMEN}}
Nächste Überprüfung: {{NÄCHSTE_ÜBERPRÜFUNG}}
9. Unterschriften
| Erstellt durch: | {{NAME}}, {{POSITION}} | {{DATUM}} | _____________________ |
| Geprüft durch DSB: | {{NAME_DSB}} | {{DATUM}} | _____________________ |
| Genehmigt durch: | {{NAME_GENEHMIGUNG}}, {{POSITION}} | {{DATUM}} | _____________________ |
Hinweis: Diese Vorlage dient als Ausgangspunkt für eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und muss an die spezifischen Anforderungen Ihres Unternehmens und des jeweiligen KI-Systems angepasst werden. Sie ersetzt keine rechtliche Beratung.