AI PlaybookEU

EDPB KI-Audit Checkliste

Praxisnahe Checkliste zur Vorbereitung auf eine KI-bezogene Datenschutzprüfung durch Aufsichtsbehörden – strukturiert nach DSGVO-Grundsätzen, Transparenz, Betroffenenrechten und Sicherheitsanforderungen.

11. Februar 20264 min read
EDPBKI-AuditDSGVOAufsichtsbehördeComplianceSelbstprüfung

Überblick

Der Europäische Datenschutzausschuss (EDPB) koordiniert die Anwendung der DSGVO innerhalb der EU und gibt Leitlinien für Datenschutzaufsichtsbehörden heraus. Im Bereich Künstliche Intelligenz gewinnen strukturierte Prüfungen zunehmend an Bedeutung.

Unternehmen sollten sich daher nicht erst bei einer Anfrage der Aufsichtsbehörde mit Audit-Fragen befassen. Eine interne KI-Audit-Checkliste hilft dabei, regulatorische Schwachstellen frühzeitig zu erkennen.

Dieser Beitrag bietet eine systematische Selbstprüfung entlang zentraler Prüfbereiche:

  • Rechtsgrundlage
  • Zweckbindung & Datenminimierung
  • Transparenz
  • Betroffenenrechte
  • Sicherheit
  • Rechenschaftspflicht

Rechtsgrundlage

Prüffragen:

  1. Ist für jede KI-bezogene Verarbeitung eine konkrete Rechtsgrundlage definiert?
  2. Ist die Rechtsgrundlage dokumentiert?
  3. Liegt bei sensiblen Daten eine Ausnahme nach Art. 9 DSGVO vor?
  4. Ist eine Interessenabwägung bei Art. 6 Abs. 1 lit. f durchgeführt und dokumentiert?

Typischer Audit-Fokus

Unklare oder pauschale Rechtsgrundlagen sind einer der häufigsten Beanstandungspunkte.

Zweckbindung & Datenminimierung

Prüffragen:

  1. Ist der Trainings- und Verwendungszweck klar dokumentiert?
  2. Wurden nur erforderliche Daten erhoben?
  3. Wurde eine Zweckänderung geprüft und dokumentiert?
  4. Sind Löschfristen definiert?

KI-spezifische Prüfung:

  • Werden Daten für Modellverbesserung weiterverwendet?
  • Ist dieser Zweck transparent kommuniziert?

Transparenz & Informationspflichten

Prüffragen:

  1. Enthält die Datenschutzerklärung KI-spezifische Hinweise?
  2. Wird bei automatisierten Entscheidungen die Logik verständlich erklärt?
  3. Werden Drittlandtransfers offengelegt?
  4. Sind Speicherdauer und Empfänger klar benannt?

Verständlichkeit

Aufsichtsbehörden prüfen nicht nur Vollständigkeit, sondern auch Verständlichkeit.

Automatisierte Entscheidungen (Art. 22 DSGVO)

Prüffragen:

  1. Liegt eine automatisierte Einzelentscheidung vor?
  2. Hat die Entscheidung rechtliche oder erhebliche Auswirkungen?
  3. Besteht eine Möglichkeit menschlicher Überprüfung?
  4. Wurde eine DSFA durchgeführt?

Typische Anwendungsfelder:

  • Kreditscoring
  • Recruiting-KI
  • Leistungsbewertung

Datenschutz-Folgenabschätzung (DSFA)

Prüffragen:

  1. Wurde eine DSFA-Screening-Prüfung durchgeführt?
  2. Wurde bei hohem Risiko eine DSFA erstellt?
  3. Wurde die Risikoanalyse dokumentiert?
  4. Wurden Schutzmaßnahmen implementiert?

Sicherheit & technische Maßnahmen

Prüffragen:

  1. Sind Zugriffsbeschränkungen implementiert?
  2. Werden Trainingsdaten verschlüsselt gespeichert?
  3. Sind API-Zugriffe abgesichert?
  4. Gibt es Logging- und Monitoring-Prozesse?
  5. Sind Sub-Processor vertraglich abgesichert?

Cloud-Risiken

Ungeprüfte Sub-Processor-Ketten sind ein häufiger Prüfpunkt bei KI-Diensten.

Drittlandtransfers

Prüffragen:

  1. Werden Daten außerhalb der EU verarbeitet?
  2. Besteht eine DPF-Zertifizierung?
  3. Wurden SCC abgeschlossen?
  4. Wurde ein Transfer Impact Assessment durchgeführt?

Betroffenenrechte

Prüffragen:

  1. Können Auskunftsanfragen effizient beantwortet werden?
  2. Ist eine Löschung technisch möglich?
  3. Können Daten aus Trainingsdatensätzen entfernt werden?
  4. Gibt es Prozesse zur Widerspruchsbearbeitung?

KI-spezifische Herausforderung:

  • Entfernbarkeit einzelner Datenspuren aus Modellen

Rechenschaftspflicht & Dokumentation

Prüffragen:

  1. Ist das Verzeichnis von Verarbeitungstätigkeiten aktuell?
  2. Sind KI-Systeme explizit aufgeführt?
  3. Sind Schulungen dokumentiert?
  4. Ist ein Verantwortlicher benannt?

Schnittstelle zum EU AI Act

Auch wenn diese Checkliste primär DSGVO-bezogen ist, sollten folgende Fragen ergänzt werden:

  1. Wurde eine AI-Act-Risikoklassifizierung durchgeführt?
  2. Besteht eine Hochrisiko-Einstufung?
  3. Ist technische Dokumentation vorhanden?
  4. Wurde eine Grundrechte-Folgenabschätzung geprüft?

Kompakte Selbst-Audit-Tabelle

PrüfbereichStatus (Ja/Nein)Maßnahmen erforderlich?
Rechtsgrundlage dokumentiert
DSFA durchgeführt
Transparenz vollständig
Drittlandtransfers geprüft
Sicherheitsmaßnahmen implementiert
Betroffenenrechte umsetzbar

Typische Audit-Risiken bei KI-Systemen

RisikoUrsache
Fehlende TransparenzUnklare Logikerklärung
Unzulässige ZweckänderungTrainingsdaten-Nachnutzung
Ungeprüfte DrittlandtransfersAPI-Nutzung
Fehlende DSFAHochrisiko-Scoring
Unklare VerantwortlichkeitenFehlende Governance-Struktur

Governance-Empfehlung

Eine interne KI-Audit-Checkliste sollte:

  • mindestens jährlich durchgeführt werden
  • bei Systemänderungen aktualisiert werden
  • interdisziplinär abgestimmt werden

Frühzeitige Selbstprüfung reduziert das Risiko formeller Beanstandungen erheblich.

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Nächste Schritte

  1. Führen Sie eine interne KI-Selbstprüfung durch.
  2. Dokumentieren Sie erkannte Lücken.
  3. Priorisieren Sie risikobehaftete Bereiche.
  4. Implementieren Sie fehlende Schutzmaßnahmen.
  5. Bereiten Sie sich strukturiert auf mögliche Behördenanfragen vor.

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Verwandte Artikel

DSGVO & KI

Art. 5 DSGVO – Grundsätze der Verarbeitung personenbezogener Daten

Die sieben Grundsätze der Datenverarbeitung nach Art. 5 DSGVO – mit KI-spezifischer Einordnung zu Datenminimierung, Zweckbindung, Rechenschaftspflicht und automatisierten Systemen.

Lesen

DSGVO & KI

Art. 35 DSGVO – Datenschutz-Folgenabschätzung (DSFA) für KI-Systeme

Wann ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bei KI-Systemen erforderlich? Struktur, Ablauf, KI-spezifische Risiken und Verbindung zum EU AI Act.

Lesen

EU AI Act

Hochrisiko-KI-Systeme nach Anhang III EU AI Act

Welche KI-Systeme gelten als Hochrisiko nach dem EU AI Act? Vollständige Übersicht der Anhang-III-Bereiche, Ausnahmen nach Art. 6 Abs. 3 und alle Compliance-Pflichten für Anbieter und Betreiber.

Lesen