DSGVO-KI-Self-Check - 43 Prüfpunkte in vier Sektionen.
Strukturierter Selbst-Audit entlang der Prüfkriterien des Bayerischen Landesamts für Datenschutzaufsicht zur DSGVO-konformen KI. Sie arbeiten die Punkte einmal durch, vergeben pro Punkt einen Status (erfüllt / teilweise / offen / nicht anwendbar), optional mit Notiz - und bekommen am Ende einen Score je Sektion und eine Lückenliste mit Bezug auf DSGVO- und EU-KI-VO-Artikel.
Alles läuft lokal in Ihrem Browser. Keine Anmeldung, kein Tracking, kein Upload. Ihr Zwischenstand bleibt dabei lokal im Browser gespeichert - öffnen Sie die Seite später erneut, wird er automatisch wieder angeboten. Für die dauerhafte Ablage exportieren Sie die Lückenliste am Ende zusätzlich als Markdown.
Anwendungsprofil
Einordnung
Bevor Sie in die Detail-Prüfung gehen: Welche Rolle spielen Sie überhaupt - und wo greifen DSGVO und EU-KI-VO bei Ihnen?
Wir wissen, ob wir KI-Modelle selbst trainieren oder lediglich als Anwendung einsetzen (Inferenz).
Diese Unterscheidung verändert den Pflichten-Umfang erheblich.
Unsere Rolle (Anbieter, Betreiber, Importeur, Händler) im Sinne der EU-KI-VO ist je System dokumentiert.
Wir haben einen Verantwortlichen für KI-Governance / einen AI Officer benannt - mit Befugnis und Erreichbarkeit.
Beim KI-Einsatz verarbeitete personenbezogene Daten sind erfasst und beschrieben.
Wir kennen die für uns geltenden Fristen aus EU-KI-VO und DSGVO und haben sie im Compliance-Plan terminiert.
02.02.2025 Verbote + KI-Kompetenz · 02.08.2025 GPAI · 02.08.2026 Hochrisiko Anhang III · 02.08.2027 Anhang I.
Risikomodell & Schutzziele
Sechs Schutzziele, an denen sich Datenschutzrisiken bei KI orientieren - in Anlehnung an die Ethik-Leitlinien der EU-Kommission.
Schutzziel Fairness adressiert: Es gibt keine unvertretbaren Diskriminierungs- oder Ungleichbehandlungs-Risiken.
Schutzziel Autonomie & Kontrolle: Eingriffsmöglichkeiten existieren; rechtswirksame Entscheidungen erfolgen nicht ohne menschliche Kontrolle.
Schutzziel Transparenz: Betroffene werden informiert, KI-Anwendungen werden als solche erkennbar gemacht.
Schutzziel Verlässlichkeit: Halluzinationen, Adversarial-Attacks und Prompt-Injection sind im Risikomodell adressiert.
Schutzziel Sicherheit: Safety (technische Störungen) und Security (unbefugter Zugriff) sind betrachtet.
Schutzziel Datenschutz: Rechtsgrundlage, Zweckbindung, Betroffenenrechte sind explizit im Risikomodell.
Das Risikomodell ist dokumentiert und wird regelmäßig auf Aktualität und Vollständigkeit geprüft.
Einsatz einer KI-Anwendung
Auch wenn Sie kein eigenes Modell trainieren: Sobald Sie eine KI-Anwendung im Betrieb nutzen, gelten substantielle Pflichten.
Zweck der KI-Anwendung ist dokumentiert (z. B. Chatbot, Klassifikation von Beschwerden, Texterzeugung).
Es ist geklärt, ob ein eigenes Modell betrieben oder ein KI-as-a-Service-Anbieter genutzt wird.
Beim KaaS-Modell trägt der Anbieter Verantwortung für Modell, Filter und Vor-/Nachverarbeitung - rechtlich relevant für Betroffenenrechte.
Der Einsatz ist im Verzeichnis der Verarbeitungstätigkeiten eingetragen.
Kategorien personenbezogener Eingabedaten und Rechtsgrundlage sind festgelegt.
Bei besonderen personenbezogenen Daten als Eingabe: Einwilligung oder Ausnahme nach Art. 9 Abs. 2.
Risikomodell für den konkreten Einsatz wurde erstellt.
Umgang mit Halluzinationen und nicht-deterministischen Restrisiken ist festgelegt (z. B. menschliche Prüfung kritischer Outputs).
Informationspflichten gegenüber Betroffenen sind erfüllt (auch bei KI-as-a-Service).
Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch sind im DS-Mgmt operationalisiert.
AVV mit dem KI-Anbieter (insbesondere bei KaaS) liegt vor.
Drittland-Transfer ist geprüft (Standardvertragsklauseln, Data Privacy Framework, Transfer Impact Assessment).
Vertraglich sichergestellt, dass der KI-Anbieter Eingabe- und Ausgabedaten nicht für eigene Zwecke verwendet (kein Nachtraining, kein Marketing).
Vor Inbetriebnahme wurde ein Freigabetest durchgeführt und dokumentiert.
KI-Datenschutz ist Bestandteil des Schulungsprogramms (rollenspezifisch).
Protokollierung des Einsatzes implementiert; personenbezogene Daten in Logs nur pseudonymisiert.
Anpassungen am Modell im laufenden Betrieb (Updates, neue Funktionen) werden in Risikobeurteilung und Freigabetests berücksichtigt.
Woher kommen die Prüfpunkte?
Die Struktur folgt der „KI-Checkliste" des Bayerischen Landesamts für Datenschutzaufsicht (Konsultationsstand v0.9, Januar 2024). Die Behörde hat darin Soll-Ist-Prüfpunkte zur DSGVO-konformen KI veröffentlicht - eingeteilt in Einordnung, Training, Risikobewertung und Einsatz.
Wir haben die Prüfpunkte für den KMU-Kontext kuratiert, zusammengefasst, mit Verweisen auf konkrete DSGVO- und EU-KI-VO-Artikel angereichert und in eine ausfüllbare Form gebracht. Wer eigene KI-Modelle nicht trainiert (das ist der Regelfall in 10 – 250-Personen-Unternehmen), blendet die Trainings-Sektion aus und arbeitet sich durch die übrigen drei.
Für die strukturierte Umsetzung der erkannten Lücken - Inventar, Klassifizierung, Richtlinien, Schulungsnachweise - empfehlen wir den KI-Kompass. Den groben rechtlichen Rahmen liefert unser EU-KI-VO-Leitfaden.
Vom Wissen zur Umsetzung.
KI-Leitlinien-Generator
Geführter Konfigurator für eine interne Mitarbeiter-Richtlinie zur KI-Nutzung - in unter 10 Minuten als Markdown-Vorlage zum Download.
Richtlinie generieren →Prozess-Audit-Checkliste
Strukturierte Bestandsaufnahme der Geschäftsprozesse - in einem halben Tag zur priorisierten Liste der drei besten Automatisierungs-Kandidaten.
Zur Checkliste →Vendor-Check für KI-Anbieter
Fünf Prüfpunkte vor Vertragsabschluss - AVV, Modelltraining-Opt-out, Account-Tier, EU-Region, Berechtigungskonzept. Live-Score und Lückenliste als Markdown-Export.
Zum Vendor-Check →AI-Officer-Probetest
60 Multiple-Choice-Fragen zu EU-KI-VO, DSGVO und Praxis im Unternehmen - 90 Minuten, mit Auswertung pro Themenbereich.
Probetest starten →