DSGVO-KI-Self-Check - 43 Prüfpunkte in vier Sektionen.
Strukturierter Selbst-Audit entlang der Prüfkriterien des Bayerischen Landesamts für Datenschutzaufsicht zur DSGVO-konformen KI. Sie arbeiten die Punkte einmal durch, vergeben pro Punkt einen Status (erfüllt / teilweise / offen / nicht anwendbar), optional mit Notiz - und bekommen am Ende einen Score je Sektion und eine Lückenliste mit Bezug auf DSGVO- und EU-KI-VO-Artikel.
Alles läuft lokal in Ihrem Browser. Keine Anmeldung, kein Tracking, kein Upload. Wenn Sie wieder ins Auswerten kommen wollen, lädt die Seite den Stand allerdings nicht für Sie zurück - exportieren Sie die Lückenliste am Ende als Markdown.
Anwendungsprofil
Einordnung
Bevor Sie in die Detail-Prüfung gehen: Welche Rolle spielen Sie überhaupt - und wo greifen DSGVO und EU-KI-VO bei Ihnen?
Wir wissen, ob wir KI-Modelle selbst trainieren oder lediglich als Anwendung einsetzen (Inferenz).
Diese Unterscheidung verändert den Pflichten-Umfang erheblich.
Unsere Rolle (Anbieter, Betreiber, Importeur, Händler) im Sinne der EU-KI-VO ist je System dokumentiert.
Wir haben einen Verantwortlichen für KI-Governance / einen AI Officer benannt - mit Befugnis und Erreichbarkeit.
Beim KI-Einsatz verarbeitete personenbezogene Daten sind erfasst und beschrieben.
Wir kennen die für uns geltenden Fristen aus EU-KI-VO und DSGVO und haben sie im Compliance-Plan terminiert.
02.02.2025 Verbote + KI-Kompetenz · 02.08.2025 GPAI · 02.08.2026 Hochrisiko Anhang III · 02.08.2027 Anhang I.
Risikomodell & Schutzziele
Sechs Schutzziele, an denen sich Datenschutzrisiken bei KI orientieren - in Anlehnung an die Ethik-Leitlinien der EU-Kommission.
Schutzziel Fairness adressiert: Es gibt keine unvertretbaren Diskriminierungs- oder Ungleichbehandlungs-Risiken.
Schutzziel Autonomie & Kontrolle: Eingriffsmöglichkeiten existieren; rechtswirksame Entscheidungen erfolgen nicht ohne menschliche Kontrolle.
Schutzziel Transparenz: Betroffene werden informiert, KI-Anwendungen werden als solche erkennbar gemacht.
Schutzziel Verlässlichkeit: Halluzinationen, Adversarial-Attacks und Prompt-Injection sind im Risikomodell adressiert.
Schutzziel Sicherheit: Safety (technische Störungen) und Security (unbefugter Zugriff) sind betrachtet.
Schutzziel Datenschutz: Rechtsgrundlage, Zweckbindung, Betroffenenrechte sind explizit im Risikomodell.
Das Risikomodell ist dokumentiert und wird regelmäßig auf Aktualität und Vollständigkeit geprüft.
Einsatz einer KI-Anwendung
Auch wenn Sie kein eigenes Modell trainieren: Sobald Sie eine KI-Anwendung im Betrieb nutzen, gelten substantielle Pflichten.
Zweck der KI-Anwendung ist dokumentiert (z. B. Chatbot, Klassifikation von Beschwerden, Texterzeugung).
Es ist geklärt, ob ein eigenes Modell betrieben oder ein KI-as-a-Service-Anbieter genutzt wird.
Beim KaaS-Modell trägt der Anbieter Verantwortung für Modell, Filter und Vor-/Nachverarbeitung - rechtlich relevant für Betroffenenrechte.
Der Einsatz ist im Verzeichnis der Verarbeitungstätigkeiten eingetragen.
Kategorien personenbezogener Eingabedaten und Rechtsgrundlage sind festgelegt.
Bei besonderen personenbezogenen Daten als Eingabe: Einwilligung oder Ausnahme nach Art. 9 Abs. 2.
Risikomodell für den konkreten Einsatz wurde erstellt.
Umgang mit Halluzinationen und nicht-deterministischen Restrisiken ist festgelegt (z. B. menschliche Prüfung kritischer Outputs).
Informationspflichten gegenüber Betroffenen sind erfüllt (auch bei KI-as-a-Service).
Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch sind im DS-Mgmt operationalisiert.
AVV mit dem KI-Anbieter (insbesondere bei KaaS) liegt vor.
Drittland-Transfer ist geprüft (Standardvertragsklauseln, Data Privacy Framework, Transfer Impact Assessment).
Vertraglich sichergestellt, dass der KI-Anbieter Eingabe- und Ausgabedaten nicht für eigene Zwecke verwendet (kein Nachtraining, kein Marketing).
Vor Inbetriebnahme wurde ein Freigabetest durchgeführt und dokumentiert.
KI-Datenschutz ist Bestandteil des Schulungsprogramms (rollenspezifisch).
Protokollierung des Einsatzes implementiert; personenbezogene Daten in Logs nur pseudonymisiert.
Anpassungen am Modell im laufenden Betrieb (Updates, neue Funktionen) werden in Risikobeurteilung und Freigabetests berücksichtigt.
Woher kommen die Prüfpunkte?
Die Struktur folgt der „KI-Checkliste" des Bayerischen Landesamts für Datenschutzaufsicht (Konsultationsstand v0.9, Januar 2024). Die Behörde hat darin Soll-Ist-Prüfpunkte zur DSGVO-konformen KI veröffentlicht - eingeteilt in Einordnung, Training, Risikobewertung und Einsatz.
Wir haben die Prüfpunkte für den KMU-Kontext kuratiert, zusammengefasst, mit Verweisen auf konkrete DSGVO- und EU-KI-VO-Artikel angereichert und in eine ausfüllbare Form gebracht. Wer eigene KI-Modelle nicht trainiert (das ist der Regelfall in 10 – 250-Personen-Unternehmen), blendet die Trainings-Sektion aus und arbeitet sich durch die übrigen drei.
Für die strukturierte Umsetzung der erkannten Lücken - Inventar, Klassifizierung, Richtlinien, Schulungsnachweise - empfehlen wir den KI-Kompass. Den groben rechtlichen Rahmen liefert unser EU-KI-VO-Leitfaden.
Vom Wissen zur Umsetzung.
AI-Officer-Probetest
60 Multiple-Choice-Fragen zu EU-KI-VO, DSGVO und Praxis im Unternehmen - 90 Minuten, mit Auswertung pro Themenbereich.
Probetest starten →EU-KI-VO-Leitfaden für den Mittelstand
Pflichten, Risikoklassen, Fristen und Bußgelder strukturiert erklärt - in 12 Minuten Lesezeit.
Zum Leitfaden →KI-Leitlinien-Generator
Geführter Konfigurator für eine interne Mitarbeiter-Richtlinie zur KI-Nutzung - in unter 10 Minuten als Markdown-Vorlage zum Download.
Richtlinie generieren →Prozess-Audit-Checkliste
Strukturierte Bestandsaufnahme der Geschäftsprozesse - in einem halben Tag zur priorisierten Liste der drei besten Automatisierungs-Kandidaten.
Zur Checkliste →