dpia-risikoampel-und-gegenargumente

name: dpia-risikoampel-und-gegenargumente description: "Dpia: Risikoampel, Gegenargumente und Verteidigungslinien. Liefert ein belastbares Arbeitsprodukt mit Rückfragen, Normencheck und nächstem Schritt."

Dpia: Risikoampel, Gegenargumente und Verteidigungslinien

Arbeitsweg

• Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
• Fristen und Eilrisiken zuerst markieren: KI-VO Geltungsbeginn gestaffelt (02.02.2025 Verbote, 02.08.2025 GPAI, 02.08.2026 Hochrisiko Anhang III), schwerwiegender Vorfall 15 Tage, DSGVO DPIA vorab.
• Tragende Normen verifizieren: EU KI-VO 2024/1689 Art. 9, 10, 14, 22, 27, 50, ISO/IEC 42001, NIST AI RMF 1.0, OECD AI Principles, DSGVO Art. 22, 35, Produkthaftungs-RL 2024/2853 — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
• Zuständige Stelle bestimmen und Adressaten richtig wählen: Geschäftsleitung, KI-Officer, Datenschutzbeauftragter, Compliance, Aufsichtsrat, Marktüberwachung, externer Auditor, betroffene Personen.
• Dokumente und Beweismittel sammeln und auf Lücken prüfen: KI-Inventar, Risikoanalyse, FRIA (Fundamental Rights Impact Assessment), AI Governance Policy, Modellkarten, Audit-Bericht, DSGVO-DPIA, Schulungsnachweis — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

Spezialwissen: Dpia: Risikoampel, Gegenargumente und Verteidigungslinien

• Normen-/Quellenanker: EU, KI, VO, DSGVO, AIA, DPIA.

Fallweichen

Wenn Unterlagen vorhanden sind, arbeite zuerst aus den Unterlagen. Stelle nur Rückfragen, die die nächste Weiche verändern:

1. Welche Rolle hat die fragende Person und wer ist Gegenüber?
2. Welches konkrete Ziel soll erreicht oder verhindert werden?
3. Welche Frist, Zustellung, Schwelle, Zahlung, Sanktion oder Verfahrensstufe ist kritisch?
4. Welche Dokumente, Registerauszüge, Bescheide, Verträge, Tabellen, Screenshots oder Nachrichten belegen den Punkt?
5. Welcher Output wird gebraucht: Memo, Checkliste, Tabelle, Entwurf, Schriftsatzbaustein, Mandantenbrief oder Entscheidungsvorlage?

Arbeitsworkflow

1. Fallbild bilden: Sachverhalt, Rollen, Zeitachse und Dokumente in eine kurze Matrix bringen.
2. Rechtsrahmen setzen: Normen, Zuständigkeiten, Fristen, Formfragen und Verfahrensstand zum Themenfeld DPIA / FRIA prüfen.
3. Prüfpunkte abarbeiten: Tatbestandsmerkmale, Beweisfragen, typische Fehler, Gegenargumente und Ermessens- oder Wertungsfragen trennen.
4. Risiko bewerten: Grün/Gelb/Rot mit Begründung, Annahmen, fehlenden Belegen und möglichen Alternativwegen ausgeben.
5. Anschluss bauen: Passende weitere Skills desselben Plugins vorschlagen, wenn eine Vertiefung, ein Schreiben, eine Tabelle, ein Fristenblatt oder eine Verhandlungsstrategie sinnvoll ist.

Wann ist DSFA / FRIA verpflichtend?

• Art. 35 Abs. 1 DSGVO: Pflicht bei voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen.
• Art. 35 Abs. 3 DSGVO: insb. bei systematischer und umfassender Bewertung (Profiling), Verarbeitung besonderer Kategorien (Art. 9) oder systematischer Überwachung öffentlich zugänglicher Bereiche.
• Listen der Aufsichtsbehörden ("Muss-Liste" der DSK und Listen der LDA): Verarbeitungen, für die DSFA stets erforderlich ist — Profilbildung, KI-gestützte Bewertung von Bewerbern, Bonität, automatisierte Einzelentscheidung mit Rechtsfolge etc.
• Art. 27 KI-VO Grundrechte-Folgenabschätzung (FRIA): für Betreiber bestimmter Hochrisiko-KI-Systeme — öffentliche Einrichtungen oder Anhang-III-Systeme aus Bereichen wie Kreditwürdigkeit (Anhang III Nr. 5 lit. b), Lebens-/Krankenversicherung-Pricing.

Risikoampel DPIA-Ergebnis

• Grün: Risiko niedrig, Schutzmaßnahmen ausreichend; DPIA dokumentiert, kein vorherige Konsultation Art. 36 DSGVO nötig.
• Gelb: Risiko mittel, Schutzmaßnahmen identifiziert, Restrisiko vertretbar; engmaschiges Review.
• Rot: Voraussichtlich hohes Restrisiko trotz Schutzmaßnahmen — vorherige Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO zwingend; Aufsicht antwortet innerhalb von 8 Wochen, ggf. um 6 Wochen verlängerbar.

Gegenargumente und Erwiderung

• "Wir nutzen Standardsoftware, daher kein DPIA-Bedarf" — falsch. Maßgeblich ist die Verarbeitung im konkreten Kontext, nicht die Software selbst.
• "Anbieter hat schon DPIA gemacht" — Verantwortlicher bleibt der Verantwortliche (Art. 4 Nr. 7). DPIA des Anbieters dient als Vorlage, ersetzt aber nicht die eigene Bewertung.
• "Pseudonymisierung reicht" — Pseudonymisierte Daten sind weiterhin personenbezogen (Art. 4 Nr. 5); DPIA bleibt erforderlich, wenn die Schwellen erreicht sind.
• "Klein-Use-Case, geringe Datenmenge" — Maßstab ist nicht die Menge, sondern Eingriffsintensität und Schutzbedürftigkeit.

Verteidigungslinien gegen Aufsichtsbehörde

1. Vollständige DPIA mit Methodik (z. B. EDSA-Leitlinien 4/2017 i. d. F. 2017).
2. Risikobewertung mit nachvollziehbarer Wahrscheinlichkeit/Schwere-Matrix.
3. Schutzmaßnahmen nach Art. 32 DSGVO (Verschlüsselung, Zugriffskontrolle, Audit-Logs).
4. Dokumentierte Einbindung der/des DSB nach Art. 39 Abs. 1 lit. c.
5. Periodisches Re-Assessment bei wesentlichen Änderungen (Best Practice: jährlich).

Trade-off

Schlanke DPIA-Templates beschleunigen die Compliance, lassen aber bei Hochrisiko-Use-Cases Lücken; ausführliche DPIA bindet Ressourcen, schützt aber bei Aufsichtsverfahren. Empfehlung: DPIA-Tier-Modell (Light/Standard/Deep) anhand der Risikoampel.