Skip to main navigation Skip to main content Skip to page footer
d3-Werk – Datenschutz, ISO 27001 & Cloud Security d3-Werk – Datenschutz, ISO 27001 & Cloud Security

Grundrechte-Folgenabschätzung: Was steckt hinter Art. 27 KI-VO?

Wenn Du bereits mit risikobehafteten KI-Systemen arbeitest oder den Einsatz planst, wirst Du früher oder später mit Artikel 27 der EU-KI-Verordnung (KI-VO) konfrontiert – und zwar in Form der sogenannten Grundrechte-Folgenabschätzung.

Dieser Artikel bringt eine neue regulatorische Pflicht mit sich, die besonders für Unternehmen relevant ist, die KI-Systeme in sensiblen Bereichen einsetzen.
 

Im Unterschied zur bekannten Datenschutz-Folgenabschätzung nach Art. 35 DSGVO geht es bei Art. 27 KI-VO nicht primär um den Schutz personenbezogener Daten, sondern um die Auswirkungen eines KI-Systems auf die Grundrechte natürlicher Personen im Allgemeinen – also auch Aspekte wie Gleichbehandlung, Versammlungsfreiheit, Bildung, soziale Teilhabe oder wirtschaftliche Nachteile.

Die Pflicht zur Grundrechte-Folgenabschätzung trifft alle Anbieter und Betreiber sogenannter Hochrisiko-KI-Systeme – also z. B. Systeme zur Bewertung von Kreditwürdigkeit, automatisierte Bewerbungsverfahren oder biometrische Zugangskontrollen. Konkret musst Du vor dem Inverkehrbringen oder der Inbetriebnahme eine strukturierte Analyse durchführen, die unter anderem folgende Punkte abdeckt:

  1. Den beabsichtigten Zweck und Kontext des KI-Einsatzes,
  2. die potenziellen Auswirkungen auf Grundrechte,
  3. die voraussichtlichen Nutzergruppen,
  4. bereits erkannte Risiken,
  5. technische und organisatorische Maßnahmen zur Risikominimierung.

Gerade für Unternehmen, die KI-Systeme in der Cloud betreiben oder Drittanbieter-Modelle integrieren, ist das ein zusätzlicher Compliance-Faktor. Denn Du musst sicherstellen, dass die gesamte Lieferkette – einschließlich Dateninput, Modellverhalten und Output – im Hinblick auf Grundrechtsverletzungen bewertet wurde.

In der Praxis bedeutet das: Es reicht nicht mehr, ein technisch sicheres System zu betreiben. Du brauchst ein Verständnis dafür, wie ein Modell Entscheidungen trifft, wie sich Bias auswirkt, und ob bestimmte Nutzergruppen systematisch benachteiligt werden könnten – und zwar dokumentiert, überprüfbar und nachvollziehbar.

Mein Rat: Wer heute schon eine robuste Datenschutz-Folgenabschätzung durchführt, kann viele Synergien nutzen. Trotzdem geht die Grundrechte-Folgenabschätzung über klassische Datenschutzfragen hinaus. Besonders im Zusammenspiel mit Cloud-Infrastrukturen, automatisierter Entscheidungsfindung und Datenarchitektur wird das Thema zunehmend interdisziplinär.

Wenn Du KI-Systeme entwickelst, betreibst oder einkaufst, ist jetzt der richtige Zeitpunkt, Deine Governance- und Risikomanagement-Prozesse daraufhin zu überprüfen.

Zurück