DSGVO-Checkliste für die KI-Einführung

Warum eine strukturierte Checkliste?

DSGVO-Compliance bei KI-Anwendungen ist nicht binär, sondern punktuell: viele Einzelpunkte müssen passen. Wer nur ein paar prüft („AVV haben wir, passt“), übersieht systematisch die Hälfte. Die Checkliste zwingt zur vollständigen Abarbeitung.

Aufsichtsbehörden gehen bei Anfragen ähnlich vor: ein strukturierter Fragebogen mit etwa 30 Punkten. Wer die internen Antworten parat hat, antwortet in 2 Tagen. Wer nicht, braucht Wochen — und gibt durch jede Verzögerung mehr Anlass zur Vertiefung.

Cluster 1: Rechtsgrundlage (5 Punkte)

1. Welche Datenkategorien werden verarbeitet? Personenbezogen ja/nein? Besondere Kategorien (Gesundheit, Religion, Gewerkschaft) ja/nein?
2. Welche Rechtsgrundlage greift? Vertragserfüllung (Art. 6 (1) b), berechtigtes Interesse (Art. 6 (1) f) mit Interessenabwägung, Einwilligung (Art. 6 (1) a), gesetzliche Pflicht?
3. Bei berechtigtem Interesse: dokumentierte Interessenabwägung vorhanden?
4. Bei Einwilligung: aktiv, informiert, granular, widerrufbar dokumentiert?
5. Zweckbindung: ist der KI-Einsatz vom ursprünglichen Erhebungszweck gedeckt?

Cluster 2: AVV & Verträge (4 Punkte)

6. AVV mit dem LLM-Anbieter (OpenAI / Anthropic / Mistral / Google) abgeschlossen und Stand 2026?
7. Zero-Data-Retention oder zumindest „kein Training auf unseren Daten“ vertraglich vereinbart?
8. Sub-Auftragnehmer-Liste vorhanden und Veränderungen melden vereinbart?
9. Audit-Rechte wirksam vereinbart (Art. 28 Abs. 3 lit. h)?

Cluster 3: Datenschutz-Folgenabschätzung (DPIA) (5 Punkte)

10. DPIA-Pflicht geprüft nach Art. 35 DSGVO und Liste der Aufsichtsbehörden? KI fällt fast immer unter eine der DPIA-Kategorien.
11. Risiken systematisch erhoben (Modellfehler, Halluzination, Bias, Datenlecks, Re-Identifikation)?
12. Schwellwertanalyse (Eintrittswahrscheinlichkeit × Schadenshöhe) dokumentiert?
13. Mitigationsmaßnahmen definiert und Wirksamkeit bewertet?
14. DPIA durch DSB freigegeben oder bei Restrisiko vorab Aufsicht konsultiert (Art. 36)?

Cluster 4: Drittlandtransfer (4 Punkte)

15. Datenflüsse-Mapping: wo gehen die Daten hin? Server-Standort, Verarbeitungsort, ggf. Support-Zugriffe?
16. Bei US-Anbietern: EU-US Data Privacy Framework-Zertifizierung des Anbieters geprüft?
17. Standardvertragsklauseln (SCC) aktualisierte Version (2021er Module) abgeschlossen?
18. Transfer Impact Assessment (TIA) dokumentiert mit Schrems II-Mapping? Mehr im Schrems-II-Glossareintrag.

Cluster 5: Betroffenenrechte (4 Punkte)

19. Auskunftsrecht (Art. 15): Prozess vorhanden, der KI-bezogene Daten reproduzieren kann?
20. Löschrecht (Art. 17): Lösch-Verfahren in Vektor-Datenbank, Logs, Trainings-Caches durchgängig?
21. Recht auf Erklärung bei automatisierten Einzelentscheidungen (Art. 22): erklärbar gemacht oder bewusst Mensch-im-Loop eingebaut?
22. Datenschutzhinweise: KI-Einsatz transparent in Datenschutzerklärung beschrieben?

Cluster 6: Dokumentation & Governance (6 Punkte)

23. Verarbeitungsverzeichnis (Art. 30): KI-Anwendung mit allen Pflichtangaben eingetragen?
24. KI-Inventar: alle eingesetzten Tools (auch Schatten-IT) erfasst und klassifiziert?
25. Mitarbeiter-Schulung: dokumentierte DSGVO-Schulung speziell für KI-Nutzung erfolgt?
26. Verbotene Eingaben: Negativliste sensibler Daten kommuniziert (Gehalts-, Gesundheits-, Strafrechtsdaten)?
27. Vorfall-Meldeprozess: Verfahren für Datenpannen mit KI-Bezug definiert (72-Stunden-Frist Art. 33)?
28. Regelmäßige Überprüfung: jährlicher DSGVO-Review der KI-Anwendungen geplant?

Vollständige Checkliste anfordern

Wir senden Ihnen die vollständige Checkliste als PDF (28 Seiten mit Erläuterungen, Best Practices und Mitigationsbeispielen) plus Excel-Tracker kostenfrei per E-Mail. Anfrage über die kostenfreie Potenzialanalyse mit Stichwort „DSGVO-Checkliste“.

Wenn Sie Unterstützung beim Durcharbeiten brauchen, ist unser KI-Audit die strukturierte Antwort — Compliance-Cluster ist der Kern jedes Audits.