KI & DSGVO: Die 10-Punkte-Checkliste für den Mittelstand

← Alle Artikel

KI & DSGVO: Was KMUs beachten müssen

Jede KI-Anwendung die personenbezogene Daten verarbeitet unterliegt der DSGVO. Diese Checkliste hilft bei der praktischen Umsetzung.

Die 10-Punkte-Checkliste

1. Verarbeitungsverzeichnis aktuell? Jede KI-Anwendung muss im VVT dokumentiert sein — Zweck, Rechtsgrundlage, Speicherdauer, Empfänger.

2. Rechtsgrundlage geklärt? Art. 6 DSGVO: Einwilligung, Vertrag, berechtigtes Interesse oder gesetzliche Pflicht — welche gilt?

3. Datenprinzip: Lokal vor Cloud Personenbezogene Daten sollten bevorzugt auf EU-Servern verarbeitet werden. Drittlandtransfer = SCCs erforderlich.

4. Löschkonzept definiert? KI-Modelle können Daten “memorieren”. Wie werden Trainingsdaten und Inferenz-Logs gelöscht?

5. DPIA durchgeführt? Datenschutz-Folgeabschätzung ist Pflicht bei hochriskanter Verarbeitung (Art. 35).

6. Auskunftsrecht technisch umsetzbar? Betroffene können Auskunft, Löschung, Portierung verlangen — ist das in Ihrem System möglich?

7. Auftragsverarbeitungsvertrag abgeschlossen? Mit jedem KI-Dienstleister (auch EU-intern) ist ein AVV erforderlich.

8. Automatisierte Entscheidungen dokumentiert? Art. 22 DSGVO: Vollautomatische Entscheidungen mit rechtlicher Wirkung erfordern menschliche Überprüfungsmöglichkeit.

9. AI Literacy Schulungen nachweisbar? Seit Feb. 2026: EU AI Act Art. 4 Schulungspflicht. Muss dokumentiert sein.

10. Incident-Response-Plan vorhanden? Datenpanne = 72h Meldepflicht. Ist der Prozess definiert und getestet?

Wie IIO die Checkliste automatisch erfüllt

IIO-Kunden erhalten alle 10 Punkte als automatisierte Workflows — kein manueller Aufwand.

Datenschutz-Paket konfigurieren →