KI-Systeme, die personenbezogene Daten verarbeiten, lösen häufig eine DSFA-Pflicht aus — systematische und umfassende Bewertung, Verarbeitung besonderer Datenkategorien, umfangreiches Monitoring öffentlicher Bereiche. EAB erkennt diese Auslöser aus dem Systemprofil und initiiert den DSFA-Workflow automatisch.
Der DSFA-Workflow in EAB ist nicht ein Formular zum Ausfüllen — er ist ein strukturierter Risikobewertungs-Prozess: Beschreibung, Notwendigkeitsprüfung, Risikobewertung, Mitigationsmaßnahmen, DPO-Konsultation. Alles dokumentiert, versioniert, dem KI-System zugeordnet.
KI-Systeme, die automatisierte Entscheidungen treffen, die rechtliche Wirkung entfalten oder Personen erheblich beeinträchtigen — Credit-Scoring, Bewerbungsauswahl, Versicherungseinstufung, Rezidiv-Risikoeinschätzung. EAB erkennt diesen Auslöser aus dem Entscheidungsausgabe-Typ und dem Einsatzbereich im Systemprofil.
Gesundheitsdaten, biometrische Daten zur eindeutigen Identifizierung, politische Meinungen, Gewerkschaftszugehörigkeit, genetische Daten — wenn das KI-System mit solchen Daten arbeitet, ist die DSFA-Pflicht nahezu immer ausgelöst. EAB erfasst Datenkategorien im technischen Profil und triggert den DSFA-Workflow automatisch.
Videoüberwachungs-KI in öffentlichen Räumen, Bewegungsprofil-Tracking, Social-Media-Monitoring im großen Maßstab. Dieser Auslöser ist direkt mit den EU-AI-Act-Verbotspraktiken verknüpft — EAB prüft im selben Workflow sowohl DSGVO-DSFA-Pflicht als auch Art. 5 AI Act Anwendbarkeit.
Beschreibung der geplanten Verarbeitungsvorgänge, ihrer Zwecke, der Natur der Verarbeitung, des Umfangs, des Kontexts und der Zwecke. EAB zieht relevante Felder aus dem KI-Systemprofil automatisch ein — keine Doppeleingabe der bereits erfassten Systeminformationen.
Ist die Verarbeitung notwendig für den verfolgten Zweck? Ist sie verhältnismäßig? Gibt es weniger eingriffsintensive Alternativen? EAB führt durch diese Prüfung mit strukturierten Fragen — die Antworten werden dokumentiert und begründet.
Identifikation und Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen: Vertraulichkeitsrisiken, Integritätsrisiken, Verfügbarkeitsrisiken, Diskriminierungsrisiken. Wahrscheinlichkeit und Schwere jedes Risikos werden strukturiert bewertet.
Für jedes identifizierte Risiko werden Mitigationsmaßnahmen definiert und mit konkreten TOM-Profilen oder organisatorischen Maßnahmen verknüpft. Der verbleibende Restrisiko-Score nach Mitigation wird dokumentiert.
Die Konsultation des Datenschutzbeauftragten ist bei einer DSFA nach Art. 35 Abs. 2 DSGVO obligatorisch. EAB dokumentiert die DPO-Einbindung, den Zeitpunkt der Konsultation und die DPO-Stellungnahme — und im Bedarfsfall die Begründung, wenn die Organisation keinen DPO hat.
EAB erkennt DSFA-pflichtige KI-Systeme aus dem Systemprofil und führt durch den vollständigen Bewertungs-Workflow — von der Beschreibung bis zur DPO-Konsultation.
EU-gehostet · Verankert in CELEX 32024R1689
Erzählen Sie uns von Ihrer Organisation und Ihrem Anliegen. Wir melden uns mit den relevanten Informationen.
