DSGVO-Checkliste für KI-Projekte: 10 Schritte zur Compliance

Verfasst von

in

Der EU AI Act ist in Kraft, die DSGVO gilt unverändert weiter – und doch greift in den meisten KI-Projekten das Datenschutz-Thema erst dann, wenn es knallt. Dieser Leitfaden fasst zusammen, was Unternehmen jetzt konkret beachten müssen.

Warum DSGVO und AI Act zusammengedacht werden müssen

Sobald ein KI-System personenbezogene Daten verarbeitet, greift die DSGVO in vollem Umfang. Der EU AI Act addiert eine zweite Ebene: Er klassifiziert KI nach Risiko und verpflichtet Betreiber ab 2. August 2026 zu dokumentierten Risikomanagement-Prozessen. Die ersten Pflichten (Transparenz, Verbot unzulässiger Praktiken) gelten bereits seit 2. August 2025.

Die vier Risikokategorien des EU AI Act

  • Unzulässig: Social Scoring, manipulative KI, unbesehenes Gesichtserkennungs-Scraping.
  • Hoch (High-Risk): Recruiting, Kreditwürdigkeit, biometrische Identifikation, kritische Infrastruktur.
  • Transparent: Chatbots, Deepfakes – Kennzeichnungspflicht.
  • Minimal: Spam-Filter, Empfehlungen – kaum Regulierung.

Die 10-Schritte-Checkliste

  1. Zweckbindung & Rechtsgrundlage (Art. 6 DSGVO): Welche Daten, für welchen Zweck, auf welcher Erlaubnis?
  2. Risikokategorie bestimmen: Fällt das System unter High-Risk? Dann gelten zusätzliche Pflichten.
  3. DPIA durchführen (Art. 35): Bei systematischer Bewertung natürlicher Personen zwingend.
  4. Privacy by Design (Art. 25): Datenminimierung, Pseudonymisierung, frühes Löschen.
  5. TOM dokumentieren: Verschlüsselung, Zugriffskontrolle, Audit-Logs.
  6. Kein Training mit Produktionsdaten: Lieber synthetische oder anonymisierte Datensätze.
  7. Drittlandtransfer prüfen: US-Cloud nur mit SCC + Transfer-Impact-Assessment – besser EU-Hosting/On-Premise.
  8. Betroffenenrechte sicherstellen: Art. 13–22, besonders Widerspruchsrecht bei automatisierten Entscheidungen.
  9. Dokumentation & Verzeichnis: VVT (Art. 30), Modell-Kartei, Decision-Logs.
  10. Monitoring & Governance: Model-Drift-Checks, Audits, DSB benennen bei Risiko.

Die 5 häufigsten Fehler

  • Training mit echten Kundendaten ohne Rechtsgrundlage
  • Keine Dokumentation der Modell-Entscheidungen
  • US-Cloud ohne Transfer-Impact-Assessment
  • DPIA vergessen, weil „es ist ja nur ein Chatbot“
  • Kein Notfall-Prozess bei Halluzinationen mit Personenbezug

Compliance ist kein Bremsklotz, sondern Wettbewerbsvorteil: Wer heute sauber aufsetzt, vermeidet Bußgelder bis 35 Mio. € bzw. 7 % des weltweiten Jahresumsatzes (AI Act) und baut Vertrauen bei Kunden. Unsere DSGVO-Cheatsheet fasst alle Punkte kompakt zusammen.