Unternehmen benötigen für KI-Projekte eine belastbare Datenschutz-Folgenabschätzung (DSFA), die sowohl Art. 35 DSGVO als auch die strengen Anforderungen des EU AI Act erfüllt. Dieser spezialisierte Prompt automatisiert die Erstellung der Dokumentation inklusive Risikomatrix und technischer Maßnahmen (TOM), um Compliance-Prozesse von Wochen auf Minuten zu verkürzen. Das ist besonders kritisch, da KI-Risiken laut Allianz Risk Barometer 2026 auf Platz 2 der globalen Unternehmensrisiken gestiegen sind (32 %) und die Hauptpflichten für Hochrisiko-Systeme ab dem 2. August 2026 vollumfänglich greifen.
- Compliance-Turbo: Erstellt eine vollständige DSFA-Struktur nach Art. 35 DSGVO und EU AI Act (Hauptteil ab August 2026) in Rekordzeit.
- Risiko-Fokus: Integriert eine 3x3-Risikomatrix für KI-spezifische Bedrohungen wie Bias, Halluzinationen und Modell-Exfiltration.
- Audit-Ready: Liefert fertige Textbausteine für TOMs, Human-Oversight-Prozesse und das erforderliche AI-Act-Mapping.
Rolle: Datenschutz- und KI-Compliance-Coach.
Ziel: Erstelle eine vollständige DSFA nach Art. 35 DSGVO für ein KI-Projekt, inkl. Risikomatrix, technischen & organisatorischen Maßnahmen (TOM), Rest-Risiko-Bewertung und Mapping zu relevanten Pflichten aus dem EU AI Act (Stand: Hauptteil ab Aug 2026). Antworte präzise auf Deutsch. Gib nur die finale Dokumentation aus, keine Gedankengänge.
Projekt-Variablen:
- Organisation:
- Projektname:
- Zweck/Use Case: ()
- Datenkategorien: (inkl. besondere Kategorien ja/nein)
- Betroffene Personengruppen:
- Rechtsgrundlage(n):
- Datenflüsse & Systeme: ; Tools/Modelle: ; Trainingsdaten-Herkunft:
- Aufbewahrung & Löschung:
- Übermittlungen/Drittlandtransfer: ; Auftragsverarbeiter:
- Rollen & Verantwortlichkeiten: ; DPO:
- Hochrisiko-Klassifikation (AI Act): (ja/nein)
- Einsatz von KI-Agenten: (ja/nein)
- Bestehende Maßnahmen:
- Review-Frequenz/KPIs: /
Ausgabeformat (verwende klare Überschriften, Listen und ggf. einfache Tabellen/Matrix):
1) Management Summary (Zweck, Scope, Ergebnis der Risikobewertung, nächster Review-Termin)
2) Beschreibung der Verarbeitung
- Zweck, Datenkategorien, Datenquellen, Architektur/Flows (Textdiagramm), Empfänger, Länder
3) Rechtsgrundlagen, Notwendigkeit & Verhältnismäßigkeit
- Datenminimierung, Speicherbegrenzung, Alternativenprüfung, Art. 22 DSGVO (automatisierte Entscheidungen) mit Human-in-the-Loop
4) Risikoanalyse (vor Maßnahmen)
- Bedrohungen: Vertraulichkeit, Integrität, Verfügbarkeit, Re-Identifikation, Diskriminierung/Bias, Erklärbarkeit, Halluzinationen/Fehlentscheidungen, Datenvergiftung, Modell-Exfiltration, Prompt-Leaks
- Eintrittswahrscheinlichkeit: niedrig/mittel/hoch; Schweregrad: gering/mittel/hoch
- 3x3-Risikomatrix (Textform) und Einstufung je Risiko; Begründung je Einstufung
5) Maßnahmenkatalog (TOM) mit Wirksamkeitseinschätzung
- Technisch: Verschlüsselung & Schlüsselmanagement, Pseudonymisierung, Zugriffskontrollen (RBAC/ABAC), Protokollierung/Monitoring, Differential Privacy/Maskierung, Rate Limits, Content-Filter/Moderation, Modell- und Prompt-Hardening, Evaluationssuite (Bias/Robustheit), Red-Teaming
- Organisatorisch: Richtlinien, Berechtigungskonzepte, Schulungen, Vier-Augen-Prinzip, Freigabeprozesse, Lieferantenprüfung (DPA), TIA für Drittlandtransfer, Incident-Response, Datenlöschkonzept
6) Rest-Risiko nach Maßnahmen
- Neue Einstufung je Risiko; akzeptiert/nicht akzeptiert; weitere Maßnahmen/Owner/Frist
7) Dokumentations- & Nachweispflichten
- Verzeichnis von Verarbeitungstätigkeiten, DSFA-Aktenzeichen/Version, DPA/TIA, Betroffenenrechte-Prozess, Reklamations- & Korrekturprozesse, Test-/Validierungsprotokolle
8) AI-Act-Mapping (deployer-fokussiert; falls Hochrisiko zusätzlich GRFA-Hinweis)
- Datengovernance/Qualität, Technische Dokumentation, Logging, Transparenzpflichten, Human Oversight, Genauigkeit/Robustheit/Cybersecurity, GPAI/Modellhinweise (sofern relevant)
9) Spezielle Anforderungen bei KI-Agenten (falls = ja)
- Prompt-Speicherung & Datenminimierung, granulare Berechtigungen, Schrittfreigaben (Human-in-the-Loop), Zweckbindung je Tool, Audit-Logs
10) Umsetzungsplan
- Maßnahmen -> Verantwortlicher -> Deadline -> KPI; Review-Zyklus; Trigger für Re-DSFA
Hinweise:
- Formuliere präzise, stichpunktorientiert. Kein Marketing.
- Weisen auf behördliche Konsultation hin, falls Rest-Risiko hoch bleibt.
- Markiere offene Punkte mit TODO: …
So verwendest du den Prompt
Kopiere den Prompt in ein leistungsfähiges Sprachmodell wie GPT-4o oder Claude 3.5 Sonnet und fülle die Variablen konkret aus. Für ein rechtssicheres Ergebnis ist folgendes Vorgehen entscheidend:
- Vorbereitung: Kläre Scope, Datenquellen und beteiligte Rollen vorab. Vermeide die Eingabe von Klarnamen natürlicher Personen im Prompt, um zusätzliche Datenrisiken zu minimieren.
- Eingabe: Nutze präzise Fachbegriffe für die Variablen (z. B. „RAG-Architektur“, „PII-Maskierung“). Dies erhöht die Qualität der generierten TOM-Vorschläge massiv.
- Datenschutz-Setup: Deaktiviere das Training des KI-Modells mit deinen Eingabedaten in den Einstellungen deines Anbieters (Enterprise-Accounts bevorzugt).
- Ergebnisprüfung: Die KI liefert eine Vorlage. Die finale Verantwortung für die Bewertung der Risikomatrix liegt beim Datenschutzbeauftragten (DPO).
Warum dieser Prompt funktioniert
Der Prompt erzwingt eine Struktur, die exakt den behördlichen Anforderungen entspricht. Er deckt nicht nur die klassische DSGVO-Sicht ab, sondern integriert proaktiv die Anforderungen des EU AI Act, die für Hochrisiko-KI-Systeme ab August 2026 verbindlich werden. Durch die explizite Abfrage von KI-Agenten adressiert er moderne Architekturen, bei denen herkömmliche DSFA-Vorlagen oft versagen. Die 3x3-Risikomatrix ermöglicht eine schnelle, visuelle Einordnung des Restrisikos, was für das Management-Reporting unerlässlich ist.
Interne Ressourcen: Erfahre mehr über Datenschutz und KI oder lies unser Briefing zur KI-Haftung ab 2026.
