Schritt-für-Schritt-Anleitung

Dieser Hilfe-Center-Artikel führt dich durch den DSFA-Assistenten — ein interaktives Tool, das dich Schritt für Schritt durch die Datenschutz-Folgenabschätzung vor der Einführung eines KI-Dienstes in deiner Organisation begleitet.

Die folgenden Texte werden im Hilfe-Center als Stützfelder verwendet, eines pro Schritt. Jedes Feld erklärt warum der Schritt durchgeführt wird und worauf du achten solltest. In jedem Schritt stellt der Assistent gezielte Fragen, bezieht automatisch relevante Informationen aus Gesetzen und der Intric-Dokumentation ein und fasst deine Antworten in einem DSFA-Dokument zusammen, das zur Vorlage deiner Organisation passt.

Nutze die Schrittauswahl unten, um den Ablauf in deinem eigenen Tempo durchzugehen.

1 Einführung und Vorlage 2 Zweck 3 Inhalt und Technik 4 Einstufung und Risiko 5 Rechtliche Bewertung 6 Datenschutzgrundsätze 7 Sicherheit und Zugriffssteuerung 8 Inbetriebnahme und Konfiguration 9 Prüfung 10 Abschlussdokument

Einführung und Vorlage

Wähle eine Vorlage für das Abschlussdokument und lade interne Richtlinien hoch, z. B. eine KI- oder Datenschutzrichtlinie. Der Assistent nutzt sie später als Kontext für die rechtlichen Bewertungen. Wenn ihr keine eigenen Richtlinien habt, wählt eine der integrierten Vorlagenoptionen und arbeitet ohne sie weiter.

Der Assistent:

• Liest die Vorlagenstruktur ein und identifiziert alle auszufüllenden Felder
• Fragt, ob die Kommune (oder eure Organisation) interne Richtlinien zu DSGVO oder KI hat
• Speichert Vorlage und Richtlinien als Referenz für den gesamten Bewertungsprozess

📌 Beispielszenario: Die Beispiele in dieser Anleitung stammen aus einer DSFA zur KI-gestützten Analyse und Zusammenfassung von Stellungnahmen in einem Anhörverfahren, durchgeführt von einer Kommune mit Intric.

Zweck

Der Zweck ist der Ausgangspunkt der gesamten DSFA. Beschreibe konkret: „KI-Assistent für Lehrkräfte“ ist zu vage; „KI-Assistent, der Lehrkräften hilft, individuelles Feedback zu Schülertexten zu formulieren“ schafft die richtige Grundlage. Drei Klassifizierungsfragen steuern dann, wie gründlich die Bewertung in den folgenden Schritten sein muss.

Der Assistent:

• Bittet um eine konkrete Beschreibung dessen, was der KI-Dienst tun soll und für wen
• Stellt drei Klassifizierungsfragen zu personenbezogenen Daten, Auswirkungen auf Betroffene und interner vs. externer Nutzung
• Prüft einschlägige Gesetze, ob der Zweck rechtmäßig ist

✏️ Beispiel:

Die Kommune nutzt einen auf Intric aufgebauten KI-Assistenten, um Sachbearbeiter:innen bei Analyse und Zusammenfassung eingehender Stellungnahmen zu unterstützen. Der Dienst ist ein internes Unterstützungstool im Vorgangsbearbeitungsprozess.

• Personenbezogene Daten werden verarbeitet: Ja
• Beeinflusst Einzelfallentscheidungen: Nein
• Interne Nutzung

Inhalt und Technik

Hier erfasst du, welche personenbezogenen Daten verarbeitet werden, in welchen Systemen und wie Daten fließen. Gib an, welche Intric-Funktionen aktiv sind, z. B. Websuche oder Bildanalyse. Bedenke, dass Nutzer:innen sensible Angaben im Freitext machen können, auch wenn das System dafür nicht ausgelegt ist.

Mehr dazu in der Dokumentation zu Plattformarchitektur und Datenflüssen pro Funktion.

Der Assistent:

• Erfasst Verarbeitungstätigkeiten, Datenquellen und vorkommende Kategorien personenbezogener Daten
• Bezieht Plattform- und Datenflussinformationen automatisch aus der Intric-Dokumentation
• Kennzeichnet Warnhinweise zu sensiblen Daten, schutzbedürftigen Betroffenen und Drittlandübermittlungen

✏️ Beispiel:

Einbezogene Systeme:

• ACOS Websak — Aktenführung und Primärspeicher
• Intric — ein KI-Assistent (GleSys AB, Schweden)
• Word — abschließende Zusammenfassung

Aktivierte Funktionen in Intric: Tools zum Suchen in Gesetzestexten, Websuche.
Sensible Stellungnahmen (ca. 1 von 100) werden manuell bearbeitet und sind nicht Teil des KI-Flows.

Einstufung und Risiko

Der Assistent führt auf Basis der Schritte 1 und 2 eine automatische Risikobewertung durch; du bestätigst, dass sie passt. Achte besonders auf KI-spezifische Risiken wie falsche Ausgaben (Halluzination) und verzerrte Ergebnisse. Ein formal nur unterstützendes Tool kann schnell dominant werden, wenn Nutzer:innen ihm zu stark vertrauen.

Der Assistent:

• Stuft den Schutzbedarf der Information in drei Dimensionen ein: Vertraulichkeit, Integrität und Verfügbarkeit
• Bewertet KI-spezifische Faktoren wie Autonomiegrad und Auswirkungen auf Betroffene
• Erstellt eine Risikomatrix mit Eintrittswahrscheinlichkeit und Schaden pro identifiziertem Risiko

✏️ Beispiel:

• Vertraulichkeit: 2 — Stellungnahmen sind öffentliche Dokumente, enthalten aber Namen, Adressen und Meinungen
• Autonomie: Unterstützung — KI erzeugt Vorschläge; alle Entscheidungen trifft die Sachbearbeitung
• Risiko Halluzination: Wahrscheinlichkeit Mittel / Auswirkung Niedrig
• Gesamtrisiko: Mittel

Rechtliche Bewertung

Der Assistent sucht automatisch in der DSGVO und relevantem nationalen Recht nach einer geeigneten Rechtsgrundlage. Deine Aufgabe ist zu bestätigen, dass die Bewertung zu eurer tatsächlichen Arbeitsweise passt. Prüfe, ob die Grundlage alle personenbezogenen Daten und den gesamten Anwendungsfall abdeckt. Werden besondere Kategorien nach Art. 9 verarbeitet, ist zusätzlich eine Ausnahme erforderlich.

Der Assistent:

• Sucht automatisch in DSGVO und relevantem nationalen Recht nach einer geeigneten Rechtsgrundlage
• Prüft, ob die Grundlage alle Zwecke, Datenkategorien und Vorgänge abdeckt
• Kennzeichnet, ob die Verarbeitung eine Ausnahme nach DSGVO Art. 9 erfordert

✏️ Beispiel:

• Rechtsgrundlage: DSGVO Art. 6 Abs. 1 lit. e — Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse
• Ergänzende Grundlage (schwedisches Kommunalbeispiel): Förvaltningslagen 37 § (Anhörpflicht) und Plan- och bygglagen Kap. 5 § 2
• Art. 9: im KI-Flow nicht zu erwarten
• Die Kontrollroutine der Poststelle stellt sicher, dass sensible Vorgänge nicht veröffentlicht werden und nie in den KI-Flow gelangen

Datenschutzgrundsätze

Der Assistent geht jeden Grundsatz aus DSGVO Artikel 5 durch und schlägt Maßnahmen auf Basis eurer Beschreibung und der Gesetze vor. Zu jedem Grundsatz bezieht er relevante Informationen, wie Intric funktioniert — z. B. wie Aufbewahrung, Zugriffssteuerung und Zweckbindung in der Plattform umgesetzt sind — und ordnet sie den DSGVO-Anforderungen zu. Ergänzt den Kontext eurer Organisation, damit die Vorschläge passen.

Der Assistent:

• Bezieht automatisch Informationen, wie Intric jeden Datenschutzgrundsatz erfüllt, z. B. zu Aufbewahrung, Zugriffssteuerung und Zweckbindung in der Plattform
• Ordnet Intric-Funktionen den DSGVO-Anforderungen zu und schlägt ergänzende Maßnahmen für eure Organisation vor
• Stützt die Bewertung pro Grundsatz auf den DSGVO-Text

✏️ Beispiel:

• Transparenz: Die Kommune aktualisiert die Anhörvorlage mit: „Stellungnahmen werden mit KI-Tools zu einer Zusammenfassung verarbeitet. Eingaben mit sensiblen personenbezogenen Daten wurden aus der KI-Verarbeitung entfernt.“
• Zweckbindung: Intrics Unterauftragsverarbeiter nutzen Kundendaten nie zum KI-Training und wenden Zero Data Retention an.
• Datenminimierung: Namen und Adressen werden nur dort beibehalten, wo geografische Relevanz sachlich begründet ist.

Sicherheit und Zugriffssteuerung

Die Verantwortung teilt sich zwischen eurer Organisation und Intric. Beide Teile müssen vorhanden sein.

Maßnahmen eurer Organisation

Prüft, dass dokumentierte Abläufe für Incident-Management und Log-Nachverfolgung bestehen und relevante Schulungen vor Inbetriebnahme abgeschlossen sind.

Maßnahmen von Intric

Intrics technische Schutzmaßnahmen wie Verschlüsselung, Protokollierung und Zertifizierungen werden automatisch aus der Intric-Dokumentation bezogen. Eure Aufgabe ist zu bestätigen, dass sie für euer Risikoniveau ausreichen.

Der Assistent:

• Bezieht automatisch Intrics technische und organisatorische Maßnahmen (TOMs) aus der Intric-Dokumentation
• Dokumentiert die eigenen Maßnahmen der Kommune (oder eurer Organisation) anhand eurer Antworten
• Prüft, ob der Schutz angemessen zum Risikoniveau aus Schritt 3 ist

✏️ Beispiel:

Maßnahmen eurer Organisation:

• MFA über kommunales AD/Entra ID aktiviert
• SSO-Anbindung an Intric
• RBAC konfiguriert — nur zuständige Sachbearbeiter:innen haben Zugriff
• Pflichtschulung (KI-Grundlagen und praktische Nutzung) durchgeführt

Maßnahmen von Intric:

• ISO 27001:2022 zertifiziert
• TLS 1.2+ während der Übertragung, branchenübliche Verschlüsselung im Ruhezustand
• Keine Datenspeicherung bei KI-Modellanbietern — Prompts werden unmittelbar nach der Antwort gelöscht

Inbetriebnahme und Konfiguration

Setzt die Bewertung in konkrete Einstellungen um. Ein häufiges Risiko ist die Inbetriebnahme mit Standardwerten, die nicht zur Risikobewertung passen — z. B. aktivierte Websuche oder nie gesetzte Aufbewahrungsfristen.

Maßnahmen eurer Organisation

Stellt sicher, dass eine verantwortliche Person benannt ist, die DSFA-Stelle zugestimmt hat, Nutzer:innen geschult sind und die Löschroutine getestet wurde.

In Intric verfügbare Funktionen

Konfiguriert RBAC, Aufbewahrungsfristen, Protokollierung und KI-Funktionen gemäß eurer Bewertung. Siehe Intrics Leitfaden zur sicheren Konfiguration für eine vollständige Checkliste vor Inbetriebnahme.

Der Assistent:

• Prüft, ob die Konfiguration den Anforderungen aus den Schritten 3 bis 5 entspricht
• Füllt die Checkliste vor Inbetriebnahme aus und erkennt Lücken
• Verifiziert Aufbewahrung, RBAC, Protokollierung und KI-Funktionen gegen die Bewertung

✏️ Beispiel:

• Aufbewahrungsregel: 120 Tage, automatische und endgültige Löschung
• KI-Modellanbieter: sofortige Löschung (keine Datenspeicherung)
• RBAC konfiguriert
• Insights deaktiviert (verifiziert)
• Auftragsverarbeitungsvertrag mit Intric AB geschlossen und vor Inbetriebnahme aktenkundig gemacht

Prüfung

Die Bewertung wird von zwei unabhängigen KI-Prüfer:innen — einer juristischen und einer technischen — geprüft, ohne dass sie die Ergebnisse der anderen sehen. Bei Mängeln geht ihr zurück und ergänzt den betreffenden Schritt. Die endgültige Verantwortung liegt immer bei eurer Organisation und der Datenschutzbeauftragten Person.

Der Assistent:

• Sendet die Bewertung an zwei unabhängige KI-Prüfer:innen (juristisch und technisch), die ohne Kenntnis der jeweils anderen arbeiten
• Erzeugt eine Gesamtentscheidung: Genehmigt / Nicht genehmigt / Ergänzung erforderlich
• Benennt bei Mängeln, welche Schritte ergänzt werden müssen

✏️ Beispiel:

Die Prüfung ergab drei offene Punkte vor Inbetriebnahme:

1. Modellwahl und Drittlandbewertung nicht geklärt
2. Juristische Klärung nötig, ob KI-Arbeitsmaterial öffentliche Unterlagen sind
3. Insights muss als deaktiviert am Assistenten verifiziert werden

Abschlussdokument

Der Assistent füllt die gewählte Vorlage mit allen Informationen aus dem Prozess. Prüft, dass keine Felder leer sind und der Maßnahmenplan den Verantwortlichen mitgeteilt wurde. Ändert sich der Dienst wesentlich — neues Modell, neuer Zweck oder mehr Daten — muss die DSFA neu gemacht werden.

Der Assistent:

• Füllt die gewählte Vorlage mit allen in den vorherigen Schritten gesammelten Informationen
• Kennzeichnet Felder, die manuell ergänzt werden müssen
• Erstellt einen Maßnahmenplan mit offenen Punkten zur Nachverfolgung

✏️ Beispiel:

Die Verarbeitung kann in Betrieb gehen, sobald:

• ☐ Auftragsverarbeitungsvertrag mit Intric AB geschlossen ist
• ☐ Die Anhörvorlage um Hinweise zur KI-Nutzung ergänzt wurde
• ☐ Die Modellwahl inkl. Drittlandbewertung geklärt ist
• ☐ Die Stellungnahme der Datenschutzbeauftragten Person eingeholt wurde

1 / 10

← ZurückWeiter →