Brauche ich für jeden KI-Chatbot eine Datenschutz-Folgenabschätzung (DSFA)?

Nicht für jeden, doch öfter, als KMU es glauben. Pflicht-DSFA nach Art. 35 DSGVO besteht bei „voraussichtlich hohem Risiko" für die Rechte und Freiheiten der Betroffenen. Das ist regelmäßig der Fall, wenn der Bot besondere Datenkategorien (Gesundheit, Religion, sexuelle Orientierung) verarbeitet, Profiling betreibt oder zur systematischen Überwachung dient. Bei einem reinen FAQ-Bot ohne personenbezogene Daten reicht eine schlanke Risikoanalyse — bei einem Customer-Support-Bot, der Tickets liest, ist die DSFA fällig.