AI Act & DSGVO – Master-Checkliste für KI-Systeme (mit Rechtsverweisen)

AI Act & DSGVO – Master-Checkliste für KI-Systeme (mit Rechtsverweisen)

Zweck dieses Dokuments: Dieses Master-Dokument dient als strukturierte Checkliste zur Bewertung von KI-Systemen im Unternehmen unter Berücksichtigung der EU-KI-Verordnung (KI-VO) und der Datenschutz-Grundverordnung (DSGVO). Es richtet sich an KI-Beauftragte, Datenschutzbeauftragte, Compliance, IT, Einkauf und Fachbereiche.

Hinweis: Die Checkliste ist bewusst streng als Maximalstandard angelegt. Für einzelne Anwendungsfälle lassen sich daraus verschlankte Varianten ableiten. Artikelnummern und Detailverweise sind vor produktivem Einsatz mit dem finalen Gesetzestext, amtlichen Konsolidierungen und aktueller Fachliteratur abzugleichen.

Legende

• Kategorie „Pflicht“: rechtlich erforderlich (KI-VO, DSGVO oder sonstiges zwingendes Recht)
• Kategorie „Best Practice“: dringend empfohlene Maßnahme zur Risikoreduktion
• Kategorie „Kür“: Reifegradmaßnahme für fortgeschrittene Governance
• Rollen (Beispiele): Deployer (Anwender), Provider (Inverkehrbringer), DSB, Legal, IT, Fachbereich, Einkauf, Management

Das erwartet Sie

• 1. Schnell-Classifier (Einstieg): Prüfschritte, ob der Use Case unter die KI-VO fällt, Hochrisiko-Einstufung, Trigger für DPIA (Art. 35 DSGVO) & FRIA (Art. 27 KI-VO).
• 2. DSGVO-Basics für KI-Einsatz: Rollenmodell (Verantwortlicher/Auftragsverarbeiter/gemeinsam Verantwortliche), Rechtsgrundlagen inkl. Art. 6/9 DSGVO, Betroffenenrechte & Transparenz, Datenminimierung & Speicherbegrenzung.
• 3. KI-VO: Rollen, Risikoklassen & Upstream-Modelle: Deployer-Pflichten, Provider-Pflichten (Dokumentation, Konformitätsbewertung, Human Oversight, Robustheit), Umgang mit Foundation/GPAI-Modellen, verbotene Praktiken.
• 4. FRIA (Grundrechts-Folgenabschätzung): Prüfschema für Pflicht/Freiwilligkeit, empfohlene Struktur und Dokumentation, behördliche Meldungen.
• 5. Verträge & Liefergegenstände: Mindestnachweise des Providers, zentrale Vertragsklauseln (KI-VO/DSGVO), Realismus-Check der Nachweise.
• 6. Logging, Monitoring & Incidents: Logging-Konzept (Nachvollziehbarkeit), Leistungs-Monitoring (Accuracy/Bias), Incident-Definition, Meldewege (KI-VO/DSGVO) & Nachbearbeitung.
• 7. Organisation & Governance: KI-Systemregister (Verknüpfung mit Art. 30 DSGVO), Konfigurations-/Änderungsprotokolle, Rollen & Schulungen, kontinuierliche Verbesserung.

Beispiele für Prüfpunkte (Auszug)

• KI-Begriff nach Art. 3 KI-VO erfüllt? Wenn nein: normale IT/DSGVO-Prüfung genügt.
• Unternehmensrolle geklärt (Deployer/Provider/Importeur/Händler)? Wesentliche Änderungen beachtet (Art. 25 KI-VO)?
• Risikoklassifizierung: Verbotene Praktik, Hochrisiko (Art. 5, Art. 6 i.V.m. Anhang III) oder begrenztes/minimales Risiko?
• DPIA erforderlich (Art. 35 DSGVO) und ggf. FRIA-Pflicht (Art. 27 KI-VO) identifiziert und geplant?
• Transparenz & Betroffenenrechte inkl. möglicher Art. 22 DSGVO-Konstellationen adressiert?

Für wen ist die Handreichung gedacht?

Für Deployer und Provider, KI-Beauftragte, Datenschutzbeauftragte, Compliance- und Legal-Teams, IT/Security, Einkauf, HR sowie Fachbereiche, die KI-Systeme rechtskonform, nachvollziehbar und risikobewusst einführen oder betreiben.

Lieferumfang

• Master-Checkliste mit Rechtsverweisen (KI-VO & DSGVO)
• Kommentierte Prüffragen inkl. Kategorien „Pflicht/Best Practice/Kür“
• Rollenzuordnungen & Verantwortlichkeitsmatrix (Beispiele)

So geht’s

1. Legen Sie die Handreichung in den Warenkorb.
2. Schließen Sie die Bestellung ab. Sie erhalten Bestellbestätigung und Rechnung per E-Mail.
3. In der Bestellbestätigung finden Sie den Downloadlink für die Handreichung.

Service-Hinweis: Wenn Sie bereits Kunde von Wiemer Arndt oder ShapeMinds sind, beraten wir Sie im Rahmen Ihres Beratungskontingents zu diesem Thema und Sie haben die Möglichkeit, es über einen Rabattcode kostenlos zu erwerben. Wenn Sie noch kein Kunde sind, können Sie die Beratungsleistung gern dazubuchen.