DSGVO Art. 35 und KI: Wann eine Datenschutz-Folgenabschätzung Pflicht wird — und warum sie nicht die FRIA ersetzt

Es gibt zwei Abkürzungen, die im KI-Compliance-Kontext ständig durcheinandergeworfen werden: DPIA (Datenschutz-Folgenabschätzung nach DSGVO Art. 35) und FRIA (Fundamental Rights Impact Assessment nach AI Act Art. 27). Ich erlebe in Mandaten regelmäßig, dass beide für dasselbe gehalten werden — oder dass angenommen wird, das eine erledige das andere.

Diese Verwechslung ist teuer. Wer glaubt, eine DPIA erfülle automatisch die FRIA-Pflicht, baut eine Compliance-Lücke ein, die bei der ersten ernsthaften Prüfung auffliegt. Dieser Artikel sortiert die beiden Instrumente sauber — und erklärt die „Absorptionsklausel", die fast jeder falsch versteht.

Vorweg die wichtigste Botschaft, falls Sie nur einen Satz mitnehmen: Die DPIA-Pflicht für KI-Systeme gilt heute, nicht erst mit dem AI Act. Sie folgt aus der DSGVO und ist seit 2018 scharf. Wer KI mit personenbezogenen Daten einsetzt und auf den AI Act wartet, ist möglicherweise schon jetzt im Verzug.

Die DPIA: Wann sie nach DSGVO Art. 35 zur Pflicht wird

Eine Datenschutz-Folgenabschätzung ist immer dann erforderlich, wenn eine Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Das ist die Generalklausel. Konkreter wird es durch drei Regel-Trigger in Art. 35 Abs. 3:

1. Systematische und umfassende Bewertung persönlicher Aspekte auf Basis automatisierter Verarbeitung (einschließlich Profiling), die als Grundlage für Entscheidungen mit Rechtswirkung oder ähnlich erheblicher Beeinträchtigung dient.
2. Umfangreiche Verarbeitung besonderer Kategorien (Art. 9 — Gesundheit, Religion, politische Meinung, biometrische Daten zur Identifikation u. a.) oder von Daten über strafrechtliche Verurteilungen.
3. Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Zusätzlich hat die deutsche Datenschutzkonferenz (DSK) eine „Muss-Liste" mit 16 Fallgruppen für den nicht-öffentlichen Bereich veröffentlicht, bei denen eine DPIA in Deutschland verpflichtend ist. Darunter: KI-Einsatz zur Verhaltens- oder Leistungsbewertung von Beschäftigten, umfangreiche Verarbeitung biometrischer Daten, Scoring-Verfahren. (Nicht zu verwechseln mit den neun Risiko-Kriterien der früheren Art.-29-Datenschutzgruppe, bei denen bereits das Erfüllen von zwei Kriterien regelmäßig eine DPIA auslöst.)

Warum KI-Systeme fast immer einen DPIA-Trigger auslösen

Hier liegt der Punkt, den viele Mittelständler unterschätzen: Die typischen KI-Use-Cases im Unternehmen treffen fast zwangsläufig einen der drei Trigger. Drei Beispiele aus der Praxis:

• KI-gestützte Bewerber-Vorauswahl → systematische Bewertung persönlicher Aspekte mit Entscheidungsrelevanz (Trigger 1). DPIA-Pflicht.
• KI im Kunden-Scoring / Bonitätsprüfung → automatisierte Entscheidung mit erheblicher Beeinträchtigung (Trigger 1, oft auch Art. 22). DPIA-Pflicht.
• KI-Analyse von Mitarbeiter-Kommunikation oder -Leistung → DSK-Muss-Liste, plus mitbestimmungsrechtliche Implikationen (§ 87 BetrVG). DPIA-Pflicht.

Die Faustregel, die ich Mandanten gebe: Wenn ein KI-System personenbezogene Daten verarbeitet UND auch nur indirekt Entscheidungen über Menschen beeinflusst, gehen Sie von einer DPIA-Pflicht aus, bis das Gegenteil bewiesen ist. Die umgekehrte Annahme ist riskanter als der Aufwand der Prüfung.

Die FRIA: Was der AI Act zusätzlich verlangt

Die Fundamental Rights Impact Assessment nach AI Act Art. 27 ist ein anderes Instrument mit anderem Fokus. Während die DPIA datenzentriert ist — was wird erhoben, wie gespeichert, ist die Verarbeitung rechtmäßig — ist die FRIA menschenzentriert: Behandelt das System Menschen fair? Erzeugt es systematische Benachteiligung? Haben Betroffene einen echten Weg, Entscheidungen anzufechten?

Die FRIA bewertet ausdrücklich Grundrechte, die eine DPIA gar nicht im Blick hat: Nicht-Diskriminierung, Meinungsfreiheit, Zugang zur Justiz, das Recht auf gute Verwaltung, Menschenwürde. Das ist ein deutlich breiteres Feld als reiner Datenschutz.

Wichtig für die Praxis: Die FRIA-Pflicht trifft Deployer von Hochrisiko-KI-Systemen — und ihre Geltung hängt an der Hochrisiko-Deadline. Die wurde durch den Digital Omnibus vom 7. Mai 2026 von August 2026 auf voraussichtlich Dezember 2027 verschoben (Details dazu im Artikel zum EU AI Act). Die DPIA-Pflicht dagegen gilt unabhängig davon, schon heute.

Die Absorptionsklausel — der Punkt, den fast alle falsch verstehen

Artikel 27(4) des AI Act enthält eine Regelung, die in der Praxis massiv missverstanden wird. Sinngemäß: Wenn für ein KI-System bereits eine DPIA nach DSGVO durchgeführt wurde, gilt die FRIA für die dort bereits abgedeckten Pflichten als erfüllt.

Viele lesen das als: „DPIA gemacht = FRIA erledigt." Das ist falsch und gefährlich. Die korrekte Lesart: Die Absorptionsklausel ist ein Mechanismus der Dokumentations-Ökonomie, nicht der inhaltlichen Gleichsetzung. Sie erspart Ihnen, dieselbe Risikobeschreibung zweimal zu schreiben — sie erspart Ihnen nicht die zusätzlichen FRIA-Inhalte.

Was eine Standard-DPIA (auch nach dem neuen EDPB-Template-Entwurf vom April 2026, der sich zum Redaktionszeitpunkt noch in öffentlicher Konsultation befand) nicht abdeckt und die FRIA zusätzlich verlangt:

• Die Bewertung von Zeitraum und Häufigkeit der System-Nutzung
• Das Mapping aller betroffenen Personengruppen — auch über den Kreis hinaus, dessen personenbezogene Daten verarbeitet werden
• Die Analyse spezifischer Schadensrisiken nach Art. 27(1)(d) — insbesondere für Grundrechte jenseits des Datenschutzes
• Die Bewertung von Nicht-Diskriminierung und Fairness als eigenständige Dimension

Der vernünftige Deployer schreibt also nicht „DPIA = FRIA". Er erstellt eine integrierte Bewertung, in der jede von jeder Verordnung geforderte Komponente eine explizite Antwort bekommt. Wo sich Inhalte überschneiden, wird einmal geschrieben und referenziert. Wo die FRIA über die DPIA hinausgeht, wird ergänzt. Das ist der Unterschied zwischen sauberer Compliance und einem Dokument, das bei der Prüfung durchfällt.

Was die EDPB-Guidance noch klären wird

Stand Mai 2026 arbeitet der Europäische Datenschutzausschuss (EDPB) gemeinsam mit dem AI Office der Kommission an gemeinsamen Leitlinien zum Zusammenspiel von AI Act und Datenschutzrecht. Diese Guidance ist angekündigt, aber noch nicht final veröffentlicht.

Praktische Konsequenz: In einigen Detailfragen — etwa der genauen Abgrenzung, welche FRIA-Elemente durch eine DPIA als abgedeckt gelten — gibt es noch keine endgültige behördliche Festlegung. Wer jetzt baut, sollte konservativ vorgehen: lieber beide Bewertungen vollständig und sauber getrennt dokumentieren, als sich auf eine großzügige Auslegung der Absorptionsklausel zu verlassen, die später kassiert werden könnte.

Konkrete Schritte für Ihr Unternehmen

Eins — DPIA-Triage jetzt. Für jedes KI-System mit Personenbezug: Trifft einer der drei Art.-35-Trigger oder ein Punkt der DSK-Muss-Liste zu? Wenn ja, ist die DPIA überfällig — sie gilt seit 2018, nicht erst mit dem AI Act. Das ist die dringendste Lücke.

Zwei — Hochrisiko-Einordnung parallel. Prüfen Sie, ob das System unter Annex III des AI Act fällt (siehe EU-AI-Act-Artikel). Wenn ja, kommt die FRIA-Pflicht mit der verschobenen Deadline hinzu — aber die Vorbereitung beginnt jetzt, nicht 2027.

Drei — Integrierte Vorlage bauen. Statt zweier getrennter Dokumente: eine integrierte Assessment-Vorlage, die beide Anforderungen abbildet und klar markiert, welche Komponente aus welcher Verordnung stammt. Das spart Aufwand und macht Prüfungen nachvollziehbar.

Vier — Datenschutzbeauftragten früh einbinden. Die DPIA ist nach Art. 35 Abs. 2 mit dem Datenschutzbeauftragten abzustimmen. Bei KI-Projekten gehört diese Einbindung an den Anfang, nicht ans Ende — sonst baut man Wochen an einer Architektur, die der DSB anschließend in Frage stellt.

Fünf — Dokumentation als laufenden Prozess verstehen. Sowohl DPIA als auch FRIA sind keine Einmal-Dokumente. Bei wesentlichen Änderungen am System (neue Datenquellen, geänderter Verwendungszweck, neues Modell) sind sie zu aktualisieren. Bauen Sie das als Prozess, nicht als Projekt.

Die ehrliche Einordnung

DPIA und FRIA sind kein bürokratischer Selbstzweck. Sie sind, richtig gemacht, ein strukturiertes Nachdenken darüber, was ein KI-System mit Menschen tut, bevor es scharf geschaltet wird. Genau dieses Nachdenken fehlt in den meisten gescheiterten KI-Projekten — nicht aus Boshaftigkeit, sondern weil niemand die Frage gestellt hat.

Der häufigste Fehler im Mittelstand ist nicht, die falsche Bewertung zu schreiben. Es ist, gar keine zu schreiben — im Glauben, das betreffe nur Großkonzerne, oder im Vertrauen darauf, dass der AI-Act-Aufschub auch die Datenschutz-Pflichten verschiebt. Tut er nicht. Die DSGVO gilt unverändert, und ihre Aufsichtsbehörden haben 2026 ihre KI-Durchsetzung erkennbar verschärft.

Wer das ernst nimmt, hat am Ende nicht nur weniger Bußgeldrisiko, sondern auch die besseren KI-Systeme — weil die Pflicht zur Folgenabschätzung genau die Schwachstellen sichtbar macht, die ein System sonst erst im Produktivbetrieb offenbart.

Stand der Angaben: 26. Mai 2026. Die gemeinsame EDPB/Kommissions- Guidance zum Zusammenspiel von AI Act und Datenschutzrecht war zum Redaktionszeitpunkt angekündigt, aber nicht final veröffentlicht. Primäre Quellen: DSGVO Art. 35 · AI Act Art. 27 (FRIA) · EDPB AI-Dokumente. Dieser Artikel ist keine Rechtsberatung. Für die konkrete Bewertung Ihrer Systeme ziehen Sie Ihren Datenschutzbeauftragten und qualifizierten Rechtsrat hinzu.