Zum Hauptinhalt springen
KILösungen
9 min read

Datenschutz-Compliance-Checkliste

PDF-Checkliste für DSGVO-konformen KI-Einsatz: Rechtsgrundlagen, Informationspflichten, Auftragsverarbeitung, TOM, DSFA und AI Act-Anforderungen systematisch prüfen.

Datenschutz-Compliance-Checkliste

Über diese Checkliste

Die Einhaltung der DSGVO und des EU AI Act ist keine Option, sondern Pflicht. Diese umfassende Checkliste hilft Ihnen, alle datenschutzrechtlichen Anforderungen für Ihr KI-Projekt systematisch zu prüfen und zu dokumentieren.

Die Checkliste orientiert sich an den Empfehlungen der Datenschutzkonferenz (DSK) und berücksichtigt die aktuelle Rechtslage seit Inkrafttreten des EU AI Act im August 2024.

Wichtiger Hinweis: Diese Checkliste ersetzt keine individuelle Rechtsberatung. Bei Unsicherheiten konsultieren Sie Ihren Datenschutzbeauftragten oder einen Fachanwalt.

Anleitung zur Nutzung

Statusbewertung

Für jeden Prüfpunkt dokumentieren Sie den Status. Erledigt bedeutet, dass der Punkt vollständig abgeschlossen ist. In Bearbeitung bedeutet, dass der Punkt begonnen, aber noch nicht abgeschlossen ist. Offen bedeutet, dass der Punkt noch nicht begonnen wurde. Nicht relevant bedeutet, dass der Punkt für Ihr Projekt nicht anwendbar ist.

Dokumentation

Zu jedem Punkt sollten Sie das Erledigungsdatum notieren, den Verantwortlichen benennen und einen Verweis auf die zugehörige Dokumentation angeben.

Prüfung

Diese Checkliste sollte vor Projektstart vollständig durchgearbeitet werden, bei wesentlichen Änderungen erneut geprüft werden und mindestens jährlich reviewt werden.

Bereich 1: Rechtsgrundlage

1.1 Personenbezogene Daten identifiziert

Prüfen Sie, ob alle Kategorien personenbezogener Daten identifiziert und dokumentiert sind, die das KI-System verarbeitet.

Was zu prüfen ist:

Direkte Identifikatoren wie Name, E-Mail und Telefonnummer. Indirekte Identifikatoren wie IP-Adressen und Gerätekennungen. Besondere Kategorien nach Art. 9 DSGVO wie Gesundheitsdaten. KI-spezifische Daten wie Stimmaufnahmen und Transkripte.

1.2 Rechtsgrundlage gewählt

Prüfen Sie, ob eine geeignete Rechtsgrundlage nach Art. 6 DSGVO identifiziert und dokumentiert ist.

Was zu prüfen ist:

Art. 6 (1)(a) Einwilligung, falls zutreffend, mit dokumentiertem Einwilligungstext. Art. 6 (1)(b) Vertragserfüllung mit Nachweis der Erforderlichkeit. Art. 6 (1)(f) Berechtigte Interessen mit dokumentierter Interessenabwägung.

1.3 Interessenabwägung dokumentiert

Prüfen Sie, ob bei Anwendung von Art. 6 (1)(f) die Interessenabwägung vollständig durchgeführt und dokumentiert ist.

Was zu dokumentieren ist:

Das berechtigte Interesse, also welches konkrete Interesse verfolgt wird. Die Erforderlichkeit, also warum die Verarbeitung notwendig ist. Die Abwägung, also warum das Interesse überwiegt. Die Schutzmaßnahmen, also welche Maßnahmen zum Schutz der Betroffenen getroffen werden.

1.4 Besondere Datenkategorien geprüft

Prüfen Sie, ob bei Verarbeitung besonderer Kategorien nach Art. 9 DSGVO zusätzliche Rechtfertigung vorliegt.

Was zu prüfen ist:

Explizite Einwilligung, falls erforderlich. Erforderlichkeit im Beschäftigungskontext. Andere Ausnahmetatbestände des Art. 9 (2).

1.5 Zweckbindung definiert

Prüfen Sie, ob die Verarbeitungszwecke klar definiert und dokumentiert sind.

Was zu dokumentieren ist:

Der Primärzweck der KI-Verarbeitung. Mögliche Sekundärzwecke. Keine Verwendung für unvereinbare Zwecke.

Bereich 2: Informationspflichten

2.1 Datenschutzerklärung aktualisiert

Prüfen Sie, ob die Datenschutzerklärung alle erforderlichen Informationen zur KI-Verarbeitung enthält.

Was enthalten sein muss:

Identität des Verantwortlichen. Kontaktdaten des DSB (falls vorhanden). Zwecke und Rechtsgrundlage. Empfänger und Übermittlungen. Speicherdauer. Betroffenenrechte.

2.2 KI-spezifische Informationen ergänzt

Prüfen Sie, ob die besonderen Informationspflichten für automatisierte Entscheidungsfindung erfüllt sind.

Was enthalten sein muss (Art. 13 (2)(f)):

Das Bestehen automatisierter Entscheidungsfindung. Aussagekräftige Informationen über die Logik. Tragweite und angestrebte Auswirkungen.

2.3 Hinweis bei Erstkontakt implementiert

Prüfen Sie bei KI-Telefonie, ob Anrufer zu Gesprächsbeginn informiert werden.

Was zu implementieren ist:

Ein Hinweis, dass KI zum Einsatz kommt. Ein Verweis auf vollständige Datenschutzinformation. Eine Möglichkeit zum Opt-out (falls Einwilligung als Rechtsgrundlage).

2.4 Information bei Dritterhebung

Prüfen Sie, ob bei Datenerhebung aus anderen Quellen die Informationspflicht nach Art. 14 erfüllt wird.

Was zu prüfen ist:

Information innerhalb eines Monats nach Erhebung. Alle erforderlichen Angaben enthalten. Ausnahmen geprüft und dokumentiert.

Bereich 3: Auftragsverarbeitung

3.1 Auftragsverarbeitung identifiziert

Prüfen Sie, ob alle beteiligten Auftragsverarbeiter identifiziert sind.

Was zu dokumentieren ist:

Der KI-Anbieter (Name, Kontakt, Rolle). Der Cloud-Provider (falls separat). Weitere Subunternehmer.

3.2 AVV abgeschlossen

Prüfen Sie, ob mit jedem Auftragsverarbeiter ein AVV nach Art. 28 DSGVO abgeschlossen ist.

Was der AVV enthalten muss:

Gegenstand und Dauer der Verarbeitung. Art und Zweck der Verarbeitung. Art der personenbezogenen Daten. Kategorien betroffener Personen. Pflichten und Rechte des Verantwortlichen.

3.3 Kritische AVV-Klauseln geprüft

Prüfen Sie, ob KI-spezifische Klauseln im AVV enthalten sind.

Kritische Klauseln:

Ausschluss der Nutzung für Modell-Training. Garantierter EU-Serverstandort. Vollständige Subunternehmer-Liste. Definierte Löschfristen. Audit-Rechte.

3.4 Subunternehmer dokumentiert

Prüfen Sie, ob alle Subunternehmer des KI-Anbieters bekannt und geprüft sind.

Was zu dokumentieren ist:

Vollständige Liste aller Subunternehmer. Deren Standorte und Rollen. Benachrichtigungspflicht bei Änderungen.

3.5 Drittlandtransfer geprüft

Prüfen Sie, ob bei Datenübermittlung in Drittländer geeignete Garantien vorliegen.

Was zu prüfen ist:

Angemessenheitsbeschluss vorhanden (z.B. EU-US DPF). Standardvertragsklauseln abgeschlossen. Transfer Impact Assessment durchgeführt.

Bereich 4: Technisch-organisatorische Maßnahmen

4.1 TOM des Anbieters geprüft

Prüfen Sie, ob die TOM des KI-Anbieters angemessen und dokumentiert sind.

Was zu prüfen ist:

TOM-Dokumentation vom Anbieter angefordert. Angemessenheit für die Art der Daten bewertet. Lücken identifiziert und adressiert.

4.2 Verschlüsselung implementiert

Prüfen Sie, ob Verschlüsselung bei Übertragung und Speicherung gewährleistet ist.

Was zu prüfen ist:

TLS 1.3 für alle Datenübertragungen. AES-256 oder vergleichbar für Speicherung. Ende-zu-Ende-Verschlüsselung wo möglich.

4.3 Zugriffskontrolle eingerichtet

Prüfen Sie, ob angemessene Zugriffskontrollen implementiert sind.

Was zu prüfen ist:

Prinzip der minimalen Rechte (Least Privilege). Multi-Faktor-Authentifizierung. Rollenbasiertes Zugriffsmanagement. Regelmäßige Überprüfung der Zugriffsrechte.

4.4 Protokollierung aktiv

Prüfen Sie, ob alle relevanten Zugriffe und Verarbeitungen protokolliert werden.

Was zu prüfen ist:

Vollständigkeit der Protokollierung. Manipulationssicherheit der Logs. Aufbewahrungsfristen definiert. Regelmäßige Auswertung.

4.5 Löschkonzept implementiert

Prüfen Sie, ob ein Löschkonzept definiert und technisch umgesetzt ist.

Was zu prüfen ist:

Löschfristen für alle Datenkategorien definiert. Automatische Löschung implementiert. Löschprotokolle verfügbar.

Bereich 5: Datenschutz-Folgenabschätzung

5.1 DSFA-Erforderlichkeit geprüft

Prüfen Sie, ob eine DSFA nach Art. 35 DSGVO erforderlich ist.

Wann DSFA erforderlich ist:

KI-Einsatz zur Steuerung der Interaktion mit Betroffenen (DSK Muss-Liste). Zwei oder mehr Kriterien aus Art. 35 (3) erfüllt. Systematische Bewertung persönlicher Aspekte.

5.2 DSFA durchgeführt

Prüfen Sie, ob die DSFA vollständig durchgeführt und dokumentiert ist.

Was die DSFA enthalten muss:

Systematische Beschreibung der Verarbeitung. Bewertung der Notwendigkeit und Verhältnismäßigkeit. Bewertung der Risiken für Betroffene. Abhilfemaßnahmen zur Risikominimierung.

5.3 DSB eingebunden

Prüfen Sie, ob der Datenschutzbeauftragte bei der DSFA eingebunden wurde.

Was zu dokumentieren ist:

Stellungnahme des DSB angefordert. Empfehlungen berücksichtigt. Abweichungen begründet.

5.4 Risiken bewertet

Prüfen Sie, ob alle identifizierten Risiken systematisch bewertet wurden.

Was zu bewerten ist:

Eintrittswahrscheinlichkeit je Risiko. Schwere der Auswirkungen. Betroffene Rechte und Freiheiten. Risikomatrix erstellt.

5.5 Maßnahmen definiert

Prüfen Sie, ob für alle relevanten Risiken Gegenmaßnahmen definiert sind.

Was zu dokumentieren ist:

Maßnahme je identifiziertem Risiko. Verantwortlichkeit für Umsetzung. Zeitplan für Implementierung. Restrisiko-Bewertung.

5.6 Konsultationspflicht geprüft

Prüfen Sie, ob nach Durchführung der Maßnahmen ein hohes Restrisiko verbleibt.

Was zu prüfen ist:

Restrisiko-Bewertung durchgeführt. Bei hohem Restrisiko Aufsichtsbehörde konsultieren. Konsultationspflicht dokumentiert.

Bereich 6: Betroffenenrechte

6.1 Auskunftsrecht sichergestellt

Prüfen Sie, ob Betroffene Auskunft über die KI-Verarbeitung erhalten können.

Was sicherzustellen ist:

Prozess für Auskunftsersuchen definiert. Frist von einem Monat einhaltbar. Alle erforderlichen Informationen lieferbar.

6.2 Berichtigungsrecht umgesetzt

Prüfen Sie, ob Betroffene die Berichtigung unrichtiger Daten verlangen können.

Was sicherzustellen ist:

Prozess für Berichtigungsverlangen. Technische Umsetzbarkeit im KI-System. Benachrichtigung von Empfängern.

6.3 Löschrecht implementiert

Prüfen Sie, ob das Recht auf Löschung (Vergessenwerden) umgesetzt werden kann.

Was sicherzustellen ist:

Technische Löschbarkeit in allen Systemen. Löschung auch beim KI-Anbieter. Dokumentation der Löschung.

6.4 Widerspruchsrecht gewährleistet

Prüfen Sie bei Verarbeitung auf Basis berechtigter Interessen, ob Widerspruch möglich ist.

Was sicherzustellen ist:

Hinweis auf Widerspruchsrecht in Datenschutzerklärung. Prozess für Widerspruchsbearbeitung. Sofortige Einstellung bei Widerspruch (außer bei überwiegenden Gründen).

6.5 Recht bei automatisierten Entscheidungen

Prüfen Sie, ob Betroffene bei automatisierten Entscheidungen ihre Rechte wahrnehmen können.

Was sicherzustellen ist:

Anfechtung automatisierter Entscheidungen möglich. Erwirkung menschlicher Überprüfung. Darlegung des eigenen Standpunkts.

Bereich 7: EU AI Act Compliance

7.1 Risikoklassifizierung durchgeführt

Prüfen Sie, ob das KI-System gemäß EU AI Act klassifiziert wurde.

Was zu prüfen ist:

Einordnung als verboten, hochriskant, begrenzt riskant oder minimal riskant. Bei Hochrisiko: Anhang III geprüft. Dokumentation der Klassifizierung.

7.2 Verbotene Praktiken ausgeschlossen

Prüfen Sie, ob das KI-System keine verbotenen Praktiken umfasst.

Was ausgeschlossen sein muss:

Social Scoring. Unterschwellige Manipulation. Emotionserkennung am Arbeitsplatz. Biometrische Echtzeit-Identifizierung (mit Ausnahmen).

7.3 Hochrisiko-Anforderungen geprüft

Prüfen Sie bei Hochrisiko-Systemen, ob alle Anforderungen erfüllt werden.

Was erforderlich ist:

Risikomanagementsystem. Daten-Governance. Technische Dokumentation. Logging und Traceability. Human Oversight. Genauigkeit und Robustheit.

7.4 KI-Kompetenz sichergestellt

Prüfen Sie, ob die KI-Kompetenzpflichten nach Art. 4 erfüllt sind.

Was sicherzustellen ist:

Schulungsbedarf identifiziert. Schulungsmaßnahmen durchgeführt. Dokumentation der Schulungen.

7.5 Transparenzpflichten erfüllt

Prüfen Sie, ob Nutzer über die KI-Nutzung informiert werden.

Was sicherzustellen ist:

Kennzeichnung als KI-System. Information über wesentliche Funktionsweise. Bei Interaktion mit Personen: Hinweis auf KI.

Bereich 8: Dokumentation und Nachweise

8.1 Verzeichnis aktualisiert

Prüfen Sie, ob das Verzeichnis von Verarbeitungstätigkeiten aktualisiert wurde.

Was zu dokumentieren ist:

Alle Pflichtangaben nach Art. 30 DSGVO. KI-spezifische Ergänzungen. Regelmäßige Aktualisierung.

8.2 Nachweise gesichert

Prüfen Sie, ob alle erforderlichen Nachweise für die Rechenschaftspflicht vorliegen.

Was nachweisbar sein muss:

Rechtsgrundlage und Interessenabwägung. DSFA-Ergebnis. AVV und Anbieterprüfung. TOM-Dokumentation. Einwilligungen (falls anwendbar).

8.3 Vorfallmanagement eingerichtet

Prüfen Sie, ob ein Prozess für Datenschutzvorfälle definiert ist.

Was definiert sein muss:

Erkennungsmechanismen. Meldeprozess intern. Meldepflicht an Aufsichtsbehörde (72 Stunden). Benachrichtigung Betroffener (bei hohem Risiko).

Gesamtübersicht

Checklisten-Status

Erfassen Sie den Gesamtstatus für jeden Bereich:

Bereich 1 Rechtsgrundlage mit 5 Prüfpunkten. Bereich 2 Informationspflichten mit 4 Prüfpunkten. Bereich 3 Auftragsverarbeitung mit 5 Prüfpunkten. Bereich 4 TOM mit 5 Prüfpunkten. Bereich 5 DSFA mit 6 Prüfpunkten. Bereich 6 Betroffenenrechte mit 5 Prüfpunkten. Bereich 7 EU AI Act mit 5 Prüfpunkten. Bereich 8 Dokumentation mit 3 Prüfpunkten.

Die Gesamtzahl beträgt 38 Prüfpunkte.

Freigabe

Ein KI-Projekt sollte erst starten, wenn alle als „relevant" gekennzeichneten Prüfpunkte den Status „Erledigt" haben. Dokumentieren Sie die Compliance-Freigabe mit Datum, freigebender Person und Unterschrift.

Download

Laden Sie die vollständige Checkliste als PDF herunter. Die PDF-Version enthält alle Prüfpunkte mit Statusfeldern, Platz für Dokumentationsverweise, eine Freigabeseite zur Unterschrift und Verweise auf relevante Rechtsgrundlagen.