Audit – DSGVO-Quick-Check

Bitte beantworten Sie jede Frage mit einer der vorgegebenen Antwortoptionen (Single-Choice).

Angaben für die weitere Kommunikation mit SIDAPRON

Ihr Name Persönliche E-Mail-Adresse

1. Allgemeine Datenschutzorganisation

1.1 Haben Sie einen Datenschutzbeauftragten bestellt, falls Ihr Unternehmen dazu verpflichtet ist?

Wir wissen nicht, ob wir einen Datenschutzbeauftragten bestellen müssen.
Wir sind verpflichtet, haben jedoch keinen Datenschutzbeauftragten bestellt.
Wir haben einen internen Datenschutzbeauftragten, aber die Aufgaben sind nicht vollständig geklärt.
Wir haben einen internen oder externen Datenschutzbeauftragten, der alle Aufgaben gemäß DSGVO wahrnimmt.

1.2 Haben Sie eine aktuelle Datenschutzrichtlinie, die den Anforderungen der DSGVO entspricht?

Uns ist nicht bekannt, ob eine Datenschutzrichtlinie erforderlich ist.
Wir haben keine Datenschutzrichtlinie erstellt.
Wir verfügen über eine Datenschutzrichtlinie, die jedoch veraltet oder unvollständig ist.
Wir haben eine aktuelle und vollständige Datenschutzrichtlinie, die regelmäßig überprüft wird.

1.3 Sind Ihre Mitarbeiter regelmäßig in Datenschutz geschult und sensibilisiert?

Unsere Mitarbeiter wurden noch nie zum Thema Datenschutz geschult.
Einzelne Mitarbeiter haben Schulungen absolviert, aber es gibt keine regelmäßige Sensibilisierung.
Unsere Mitarbeiter werden gelegentlich geschult, aber nicht systematisch.
Alle Mitarbeiter werden regelmäßig geschult und sind umfassend sensibilisiert.

2. Verarbeitung personenbezogener Daten

2.1 Welche personenbezogenen Daten werden verarbeitet und zu welchem Zweck?

Uns ist nicht klar, welche personenbezogenen Daten wir verarbeiten.
Wir haben eine grobe Übersicht über die verarbeiteten personenbezogenen Daten.
Wir haben eine Liste der verarbeiteten Daten, aber die Zwecke sind nicht vollständig dokumentiert.
Wir haben eine vollständige und dokumentierte Übersicht über alle verarbeiteten personenbezogenen Daten und deren Zwecke.

2.2 Haben Sie für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage?

Uns ist nicht bekannt, welche Rechtsgrundlagen erforderlich sind.
Für einige Verarbeitungsvorgänge haben wir eine Rechtsgrundlage, aber nicht für alle.
Wir haben die Rechtsgrundlagen dokumentiert, aber es gibt einige Unsicherheiten.
Jede Verarbeitung basiert auf einer klar dokumentierten und rechtlich sicheren Grundlage.

2.3 Werden personenbezogene Daten nur so lange gespeichert, wie es erforderlich ist?

Wir haben keine Regelungen zur Speicherdauer.
Wir speichern Daten, aber die Fristen sind nicht klar definiert.
Es gibt definierte Löschfristen, aber sie werden nicht immer eingehalten.
Wir haben klare Löschfristen und setzen diese konsequent um.

2.4 Haben Sie Verfahren zur Löschung oder Anonymisierung?

Uns ist nicht bekannt, wie wir Daten löschen oder anonymisieren sollten.
Wir löschen/anonymisieren nur im Einzelfall ohne festgelegte Verfahren.
Wir haben Verfahren, die jedoch nicht immer angewendet werden.
Es gibt klare, dokumentierte Verfahren, die regelmäßig umgesetzt werden.

3. Informationspflichten

3.1 Informieren Sie betroffene Personen transparent über die Verarbeitung?

Wir informieren betroffene Personen nicht.
Informationen sind unvollständig oder schwer verständlich.
Es gibt eine Datenschutzerklärung, aber sie erfüllt nicht alle Anforderungen.
Unsere Datenschutzerklärung ist vollständig, transparent und gesetzeskonform.

3.2 Werden betroffene Personen über ihre Rechte informiert?

Wir informieren nicht über Rechte.
Nur teilweise.
Informationen existieren, sind aber nicht klar zugänglich.
Betroffene werden umfassend und klar informiert.

4. Datenweitergabe und Auftragsverarbeitung

4.1 Haben Sie AV-Verträge mit allen relevanten Dienstleistern?

Uns ist nicht bekannt, dass AV-Verträge erforderlich sind.
Für einige Dienstleister bestehen AV-Verträge.
Es existieren AV-Verträge, aber sie sind nicht alle aktuell.
Mit allen Dienstleistern bestehen aktuelle, rechtskonforme AV-Verträge.

4.2 Geben Sie Daten nur an DSGVO-konforme Empfänger weiter?

Wir prüfen Empfänger nicht.
Wir prüfen gelegentlich, aber nicht systematisch.
Empfänger werden geprüft, aber es fehlt regelmäßige Dokumentation.
Wir geben nur an DSGVO-konforme Empfänger weiter und dokumentieren dies.

4.3 Werden Daten ins Ausland übermittelt, und sind die Vorgaben erfüllt?

Uns ist nicht bekannt, ob Daten ins Ausland übermittelt werden.
Übermittlungen erfolgen ohne rechtliche Prüfung.
Übermittlungen sind teilweise rechtlich abgesichert.
Alle Übermittlungen sind rechtlich abgesichert und dokumentiert.

5. Datensicherheit

5.1 Sind angemessene technische und organisatorische Maßnahmen (TOMs) implementiert?

Es gibt keine TOMs.
Einige Maßnahmen existieren, sind aber unzureichend.
TOMs sind vorhanden, werden aber nicht regelmäßig geprüft.
Umfassende TOMs sind implementiert und werden regelmäßig optimiert.

5.2 Werden IT-Systeme und Netzwerke regelmäßig auf Sicherheitslücken geprüft?

Es finden keine Überprüfungen statt.
Überprüfungen erfolgen gelegentlich ohne Plan.
Regelmäßige, aber nicht immer gründliche Überprüfungen.
Regelmäßige und umfassende Sicherheitsüberprüfungen.

5.3 Haben Sie ein Verfahren zur Meldung und Bearbeitung von Datenschutzverletzungen?

Kein Verfahren.
Verfahren existiert, ist aber nicht dokumentiert oder bekannt.
Dokumentiertes Verfahren, das nicht regelmäßig geübt wird.
Dokumentiertes und getestetes Verfahren.

6. Umgang mit Betroffenenrechten

6.1 Gibt es ein standardisiertes Verfahren zur Bearbeitung von Betroffenenanfragen?

Kein Verfahren.
Anfragen werden bearbeitet, aber ohne klare Abläufe.
Verfahren vorhanden, wird aber nicht konsequent umgesetzt.
Standardisiertes, dokumentiertes und getestetes Verfahren.

6.2 Können gesetzliche Fristen für Betroffenenrechte eingehalten werden?

Einhaltung ist nicht gewährleistet.
Fristen werden gelegentlich eingehalten.
Fristen werden überwiegend eingehalten, es gibt Verzögerungen.
Fristen werden konsequent überwacht und eingehalten.

7. Website und Online-Dienste

7.1 Ist Ihre Website DSGVO-konform inkl. vollständiger Datenschutzerklärung?

Website wurde nicht geprüft.
Datenschutzerklärung ist unvollständig oder veraltet.
Datenschutzerklärung weitgehend vollständig, aber einzelne Punkte fehlen.
Website ist vollständig DSGVO-konform und wird regelmäßig geprüft.

7.2 Werden Cookies/Tracking-Tools nur mit Einwilligung eingesetzt?

Nein, ohne Einwilligung.
Einwilligungen werden teilweise eingeholt.
Die meisten Tools erfordern Einwilligung, die wir einholen.
Alle Cookies/Tools nur mit vorheriger, dokumentierter Einwilligung.

7.3 Entspricht das Cookie-Banner der DSGVO inkl. Ablehnoption?

Unsere Website hat kein Cookie-Banner.
Ein Banner existiert, ist aber nicht konform.
Banner ist konform, bietet aber keine Ablehnoption.
Banner ist vollständig konform und erlaubt Ablehnung/granulare Auswahl.

Audit – KI-Anbieter & KI-Betreiber

Bitte beantworten Sie jede Frage mit genau einer Antwortoption.

Angaben für die weitere Kommunikation mit SIDAPRON

Ihr Name Persönliche E-Mail-Adresse

Teil A – KI-Anbieter (Hersteller von KI-Systemen)

A1. Liegt eine klare Beschreibung des KI-Systems und seines Zwecks vor?

Nein, Beschreibung fehlt.
Teilweise, nur intern dokumentiert.
Ja, öffentlich und intern dokumentiert.

A2. Ist der Trainingsdatensatz dokumentiert (Quellen, Qualität, Bias-Prüfung)?

Nicht dokumentiert.
Teilweise dokumentiert.
Vollständig dokumentiert inkl. Bias-Prüfung.

A3. Gibt es Richtlinien zur Datenbeschaffung (Rechte, Zustimmung, Lizenz)?

Nein.
Ja, aber nicht verbindlich.
Ja, verbindlich und überprüft.

A4. Werden Qualitätsmetriken für das Modell definiert und überwacht?

Nein.
Teilweise, nur während Entwicklung.
Ja, kontinuierlich über den Lebenszyklus.

A5. Wurde die Risiko-Stufe des KI-Systems gemäß EU-KI-Verordnung festgestellt?

Nein.
In Planung.
Ja, dokumentiert und geprüft.

A6. Ist ein Risikomanagement gemäß EU-KI-Verordnung für ein Hochrisiko-KI-System implementiert?

Nein, weil es sich nicht um ein KI-System mit unannehmbarem oder hohem Risiko handelt.
Die Implementierung eines Risikomanagements ist in Planung.
Ja, eine Risikomanagement ist implementiert und wird regelmäßig geprüft.

A7. Gibt es Prozesse zur Erkennung von Bias oder Diskriminierung?

Keine Prozesse.
Ad-hoc-Prüfungen.
Regelmäßige, dokumentierte Prüfungen.

A8. Sind Sicherheits- und Cyber-Schutzmaßnahmen für das KI-System definiert?

Nein.
Grundschutz vorhanden.
Umfassende, zertifizierte Sicherheitsmaßnahmen.

A9. Wird die Nachvollziehbarkeit/Erklärbarkeit für Nutzer bereitgestellt?

Nein.
Auf Anfrage, ohne Standard.
Ja, standardisierte Erklärungen.

A10. Gibt es einen Prozess zur Modellversionierung und Änderungsdokumentation?

Nein.
Teilweise (z. B. Git ohne Freigabeprozess).
Ja, mit Freigabe- und Audit-Trail.

A11. Werden Kunden über Modell-Updates und Auswirkungen informiert?

Nein.
Nur bei kritischen Änderungen.
Ja, proaktiv mit Release-Notes.

A12. Wie wird mit Vorfällen/Fehlern im KI-System umgegangen?

Keine Regelung.
Informelle Behandlung.
Standardisierter Incident-Response-Prozess.

A13. Existiert ein Ethik-/Compliance-Gremium für KI-Produkte?

Nein.
In Planung.
Ja, aktiv und protokolliert.

A14. Werden Drittanbieter-Komponenten (Modelle/APIs) auf Konformität geprüft?

Nein.
Teilweise, ohne Dokumentation.
Ja, formal freigegeben.

A15. Stellen Sie Kunden technische Dokumentation/API-Guides bereit?

Nein.
Ja, aber nicht aktuell.
Ja, aktuell und versioniert.

A16. Gibt es Service-Level (z. B. Verfügbarkeit, Reaktionszeiten) für das KI-System?

Keine SLAs.
Grundlegende SLAs.
Ausführliche SLAs inkl. KPIs und Reporting.

Teil B – KI-Betreiber (Nutzer von KI-Systemen)

B1. Gibt es eine Inventarliste aller eingesetzten KI-Systeme?

Nein.
Teilweise.
Ja, vollständig und gepflegt.

B2. Wurden Klassifizierungen nach Risikoklassen (EU-KI-Akt) vorgenommen?

Nein.
In Arbeit.
Ja, dokumentiert.

B3. Liegt eine Zweckbindung/Use-Case-Beschreibung je KI-System vor?

Nein.
Teilweise.
Ja, mit Freigabe durch Fachbereich.

B4. Gibt es eine Datenschutz-Folgenabschätzung (DSFA), falls erforderlich?

Nicht durchgeführt.
In Bearbeitung.
Ja, abgeschlossen und aktualisiert.

B5. Sind Verantwortlichkeiten (Prozess-Owner, IT, Compliance) festgelegt?

Nein.
Teilweise.
Ja, dokumentiert.

B6. Werden Eingabe- und Ausgabedaten auf Qualität und Plausibilität geprüft?

Nein.
Stichprobenartig.
Ja, automatisiert und dokumentiert.

B7. Gibt es Kontrollen gegen Modell-Drift oder Leistungsabfall?

Nein.
Manuelle Ad-hoc-Kontrollen.
Automatisierte Überwachung mit Alarmierung.

B8. Ist ein Incident-Management inkl. Eskalationswegen etabliert?

Nein.
Teilweise, ohne 24/7.
Ja, mit definierten SLAs.

B9. Werden Nutzer über den Einsatz und die Grenzen von KI informiert?

Nein.
Teilweise (z. B. Hinweise in FAQs).
Ja, transparente Kommunikation.

B10. Existiert eine Dokumentation zu menschlicher Aufsicht/Human Oversight?

Nein.
Teilweise.
Ja, mit klaren Eingriffsmöglichkeiten.

B11. Werden KI-Outputs protokolliert (Audit-Trail) und archiviert?

Nein.
Nur in kritischen Fällen.
Ja, revisionssicher.

B12. Gibt es Schulungen für Mitarbeitende zu KI-Risiken und -Bedienung?

Nein.
Einmalige Einführung.
Regelmäßige Trainings mit Nachweisen.

B13. Wie wird die Einhaltung vertraglicher Vorgaben der KI-Anbieter überwacht?

Keine Überwachung.
Stichproben.
Regelmäßige Review-Meetings/Audits.

B14. Sind Exit-/Fallback-Strategien definiert (z. B. Wechsel des Anbieters)?

Nein.
Grundidee vorhanden.
Ja, getestete Fallback-Prozesse.

B15. Erfolgt eine regelmäßige Gesamtbewertung der KI-Systeme (Compliance, Ethik, Performance)?

Nein.
Ad-hoc.
Ja, mit Reporting an Management.

Teil C – KI-Betreiber wird zu KI-Anbieter (wechsel der Rollen)

C1. Wurde ein KI-System wesentlich verändert oder unter eigenem Namen oder eigener Marke in Verkehr gebracht oder in Betrieb genommen?

Nein.
Wir sind uns nicht sicher, ob dies auf uns zutrifft.
Ja und wir haben die Audit-Fagen aus dem Teil A beantwortet.

Ihre nächsten Schritte

1. Speichern Sie den Quickcheck als PDF Datei (per Windows oder Browser print).
2. senden Sie mir den PDF Quickcheck per E-Mail zu.
3. Sie erhalten ein kostenloses Beratungsgespräch bei Vorlage eines Beratungs-Gutscheines von mir,
oder Sie erhalten ein auf Ihr Unternehmen abgestimmtes Beratungsangebot.
PDF exportieren