Eine Datenschutz-Folgenabschätzung (DSFA, englisch DPIA) ist nach Art. 35 DSGVO Pflicht, wenn eine Verarbeitung "voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" zur Folge hat. KI-gestützte Sprachverarbeitung mit Aufzeichnung und automatisierter Verschlagwortung fällt regelmäßig darunter — selbst im Mittelstand.
Eine belastbare DSFA dokumentiert mindestens: Zweck und Notwendigkeit der Verarbeitung, betroffene Personen, Datenarten, Subprozessoren, Aufbewahrungsdauer, Risiken (Re-Identifikation, Profilbildung, Datenleck) und konkrete technische und organisatorische Gegenmaßnahmen.
Vorlagen der Aufsichtsbehörden (BayLDA, LfDI BW, CNIL) eignen sich als Grundgerüst, ersetzen aber nicht die unternehmensspezifische Bewertung. Ergebnisse müssen versioniert vorgehalten und bei wesentlichen Änderungen der Verarbeitung (neuer Use-Case, neuer Anbieter) fortgeschrieben werden.