DSGVO KI-Compliance-Check

Pr\u00FCfen Sie mit diesem kostenlosen Tool, ob Ihr KI-Projekt die Anforderungen der Datenschutz-Grundverordnung (DSGVO) erf\u00FCllt. Der Check umfasst 25 Pr\u00FCfkriterien in f\u00FCnf zentralen Kategorien – von der Rechtsgrundlage \u00FCber die Datenschutz-Folgenabsch\u00E4tzung bis hin zu technischen Ma\u00DFnahmen und Dokumentationspflichten.

So funktioniert der Check

Bewerten Sie jeden Pr\u00FCfpunkt mit Erf\u00FCllt, Teilweise oder Nicht erf\u00FCllt. Die Ergebnis\u00FCbersicht mit Ampelbewertung, kritischen L\u00FCcken und konkreten Empfehlungen erscheint automatisch unterhalb der Checkliste.

Rechtsgrundlage nach Art. 6 DSGVO dokumentiert

Eine klare Rechtsgrundlage (z. B. Einwilligung, berechtigtes Interesse, Vertrag) für die KI-Datenverarbeitung ist bestimmt und dokumentiert.

Zweck der Datenverarbeitung eindeutig festgelegt

Der konkrete Verarbeitungszweck des KI-Systems ist klar definiert und wird nicht über den ursprünglichen Zweck hinaus verwendet.

Datenminimierung im KI-Modell umgesetzt

Es werden nur die personenbezogenen Daten erhoben und verarbeitet, die für den definierten Zweck tatsächlich erforderlich sind.

Einwilligungen DSGVO-konform eingeholt

Sofern eine Einwilligung erforderlich ist, wurde diese freiwillig, informiert, spezifisch und unmissverständlich eingeholt (Art. 7 DSGVO).

Zweckbindung bei Weiterverarbeitung geprüft

Bei Weiterverarbeitung der Daten (z. B. für Modelltraining) wurde die Vereinbarkeit mit dem ursprünglichen Zweck bewertet.

Notwendigkeit einer DSFA geprüft

Es wurde bewertet, ob das KI-System ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt (Art. 35 DSGVO).

DSFA vollständig durchgeführt

Eine Datenschutz-Folgenabschätzung wurde mit Beschreibung der Verarbeitung, Bewertung der Notwendigkeit und Risikobewertung durchgeführt.

Risiken identifiziert und bewertet

Alle Risiken für betroffene Personen (Diskriminierung, Profiling, automatisierte Entscheidungen) sind identifiziert und bewertet.

Abhilfemaßnahmen definiert

Konkrete Maßnahmen zur Risikominderung sind festgelegt und werden umgesetzt (z. B. Anonymisierung, Pseudonymisierung).

Datenschutzbeauftragter einbezogen

Der Datenschutzbeauftragte (DSB) wurde bei der Planung und Durchführung der DSFA konsultiert.

Informationspflichten erfüllt (Art. 13/14)

Betroffene Personen werden transparent über die KI-gestützte Verarbeitung, deren Logik und Tragweite informiert.

Auskunftsrecht gewährleistet (Art. 15)

Betroffene können Auskunft über die über sie verarbeiteten Daten und die KI-Entscheidungslogik erhalten.

Recht auf Berichtigung und Löschung umgesetzt

Verfahren für Berichtigung fehlerhafter Daten und Löschung (Recht auf Vergessenwerden) sind implementiert.

Widerspruchsrecht bei automatisierten Entscheidungen

Betroffene können einer rein automatisierten Entscheidung widersprechen und eine menschliche Überprüfung verlangen (Art. 22 DSGVO).

Recht auf Datenübertragbarkeit berücksichtigt

Betroffene können ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten und an andere Verantwortliche übertragen.

Verschlüsselung personenbezogener Daten

Personenbezogene Daten werden sowohl bei der Übertragung (TLS) als auch bei der Speicherung (Encryption at Rest) verschlüsselt.

Zugriffskontrollen und Berechtigungskonzept

Ein rollenbasiertes Berechtigungskonzept stellt sicher, dass nur autorisierte Personen Zugriff auf KI-Systeme und Trainingsdaten haben.

Pseudonymisierung / Anonymisierung eingesetzt

Wo möglich werden Daten pseudonymisiert oder anonymisiert, bevor sie für KI-Training oder -Verarbeitung genutzt werden.

Regelmäßige Sicherheitsüberprüfungen

Penetrationstests, Schwachstellenanalysen und Audits des KI-Systems werden in definierten Intervallen durchgeführt.

Auftragsverarbeitung vertraglich geregelt (Art. 28)

Bei Einsatz externer KI-Dienstleister oder Cloud-Dienste sind Auftragsverarbeitungsverträge (AVV) abgeschlossen.

Verzeichnis der Verarbeitungstätigkeiten geführt

Das KI-System ist im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) vollständig dokumentiert.

KI-Modell-Dokumentation vorhanden

Trainingsdaten, Modellarchitektur, Bias-Analysen und Leistungsmetriken sind nachvollziehbar dokumentiert.

Meldepflicht bei Datenpannen sichergestellt

Ein Prozess für die Meldung von Datenschutzverletzungen an die Aufsichtsbehörde innerhalb von 72 Stunden ist etabliert (Art. 33 DSGVO).

Regelmäßige Compliance-Audits geplant

Wiederkehrende Überprüfungen der DSGVO-Konformität des KI-Systems sind terminiert und verantwortlich zugewiesen.

Schulungen für Mitarbeiter durchgeführt

Alle Mitarbeiter, die mit dem KI-System arbeiten, wurden zu Datenschutzanforderungen und korrektem Umgang geschult.