Home· Wissen· Toolkit· DSGVO-Checkliste
Toolkit · PDF · Free
🔐

DSGVO-
Checkliste.

15 Punkte die du für jeden Agenten prüfen musst — bevor er produktiv läuft. Wenn DSGVO nicht passt, kostet's dich am Ende mehr Stunden als das Setup spart. Strukturiert nach Priorität: Was ist Pflicht (rot), was sollte sein (gelb), was ist sinnvoll aber optional (grün). Praxisnah, keine Juristerei.

📄 PDF · 18 Seiten ✅ 15 Prüfpunkte ⚖️ DSGVO + EU AI Act
PDF herunterladen → Liste ansehen
Wichtiger Hinweis

Diese Checkliste ist keine Rechtsberatung. Sie ist ein praxisnaher Strukturierungs-Bogen den wir intern für unsere Audit-Prozesse nutzen. Bei Setups in regulierten Branchen (Health, Finance, Legal) oder bei Verarbeitung besonderer Datenkategorien zieh zwingend einen Datenschutz-Beauftragten oder Fachanwalt hinzu. Diese Liste hilft dir, das richtige Gespräch mit ihm zu führen — sie ersetzt es nicht.

Die Liste

15 Prüfpunkte vor Live-Gang.

Reihenfolge der Bearbeitung: Erst alle 🔴 Must-Have-Punkte abhaken — wenn einer offen bleibt, geht der Agent NICHT live. Dann die 🟡 Should-Have. Dann optional die 🟢 Nice-to-Have.

🔴 Must-Have · Pflicht vor Produktivbetrieb

01
Rechtsgrundlage für Datenverarbeitung dokumentiert
Vertrag (Art. 6.1.b), berechtigtes Interesse (Art. 6.1.f), Einwilligung (Art. 6.1.a) — eines davon muss klar zugeordnet sein. Schriftlich, nicht nur mündlich.
Must
02
Auftragsverarbeitungsvertrag (AVV) mit LLM-Anbieter
Bei OpenAI, Anthropic, Google, etc. — AVV ist Pflicht wenn personenbezogene Daten verarbeitet werden. Auch wenn der Anbieter sagt „der Nutzer ist verantwortlich" — du brauchst den Vertrag.
Must
03
Datenfluss-Diagramm vorhanden
Eine Skizze die zeigt: Wo kommen die Daten her, wo gehen sie hin, wer hat Zugriff, wo werden sie gespeichert. Klingt trivial, fehlt in 80% der Setups die wir auditieren.
Must
04
Datenschutzhinweise / Datenschutzerklärung aktualisiert
Wenn du Daten von Kunden, Mitarbeitern oder Bewerbern mit KI verarbeitest, muss das in der Datenschutzerklärung stehen. Inkl. Anbieter, Zweck, Speicherdauer.
Must
05
Verzeichnis der Verarbeitungstätigkeiten (VVT) ergänzt
Pflicht für jedes Unternehmen ab 250 MA, oder wenn besondere Datenkategorien verarbeitet werden. Der KI-Agent ist eine Verarbeitungstätigkeit — er muss aufgeführt sein.
Must
06
Löschkonzept definiert
Wie lange werden Daten gespeichert? Was passiert nach Ablauf? Was passiert auf Anfrage des Betroffenen? Konkrete Antworten — keine „im Einzelfall"-Formulierungen.
Must

🟡 Should-Have · Stark empfohlen

07
Datenresidenz EU/DACH geprüft
Welche Server werden tatsächlich genutzt? Bei OpenAI mit „Zero Data Retention" und EU-Servern: ok. Bei Standard-API-Endpoints: USA. Konsequenzen für deine Compliance.
Should
08
Pseudonymisierung in Prompts wo möglich
Wenn der Use-Case es zulässt: Personennamen, E-Mails, Telefonnummern vor dem LLM-Aufruf entfernen oder durch Platzhalter ersetzen. Reduziert DSGVO-Risiko massiv.
Should
09
Audit-Trail für Agent-Entscheidungen
Welcher Input führte zu welchem Output? Wann? Mit welchem Modell? Mindestens 12 Monate aufbewahren — für Beschwerden und Selbstauditierung.
Should
10
Datenschutz-Folgenabschätzung (DSFA) bei Hochrisiko-Setups
Pflicht bei systematischer Profilerstellung, Verarbeitung besonderer Kategorien oder großem Umfang. Im Zweifel: Lieber machen als nicht machen — DSGVO sieht hohe Strafen vor.
Should
11
Eskalationspfad für Betroffenenrechte
Was passiert wenn jemand Auskunft, Berichtigung oder Löschung verlangt? Wer ist zuständig? Wie schnell kannst du reagieren? 1 Monat ist die gesetzliche Frist.
Should
12
EU AI Act-Klassifizierung geprüft
Risiko-Klasse Ihres Agenten: Minimal, Limited, High oder Unacceptable? High-Risk-Anwendungen brauchen zusätzliche Maßnahmen. Stufenplan tritt 2026 schrittweise in Kraft.
Should

🟢 Nice-to-Have · Gut, aber nicht Pflicht

13
Transparenzhinweis im Frontend wo Endkunde Agent erlebt
„Diese Antwort wurde mit KI-Unterstützung erstellt" — verbessert Vertrauen, ist beim EU AI Act ohnehin geplant. Vorab einbauen ist günstiger als nachrüsten.
Nice
14
Opt-out-Möglichkeit für Endnutzer
„Ich möchte nur menschliche Bearbeitung" — wenn dein Use-Case es zulässt, eine Option anzubieten ist guter Stil und reduziert Beschwerden.
Nice
15
Quartals-Review der Compliance-Maßnahmen
DSGVO und KI-Recht entwickeln sich. Ein 90-minütiges Quartalsmeeting reicht — aber dieses Quartalsmeeting verhindert die meisten teuren Überraschungen.
Nice
Die häufigsten Fallen die wir sehen

Falle 1: AVV mit LLM-Anbieter wird vergessen — alle anderen Punkte werden erfüllt, aber dieser eine fehlt. Falle 2: Datenschutzerklärung wird einmal aktualisiert und vergessen — bei Tool-Wechsel müsste sie nachgeführt werden. Falle 3: „Wir verarbeiten ja nur interne Daten" — auch Mitarbeiterdaten fallen unter DSGVO. Falle 4: Audit-Trail fehlt — fällt erst auf, wenn die erste Beschwerde kommt.

Anleitung

Wie du die Liste nutzt.

Schritt 1 · Vor Setup-Beginn

Geh die Must-Have-Punkte mit deinem Datenschutzbeauftragten oder dem für Datenschutz Verantwortlichen durch. Klärt zusammen: Was haben wir bereits? Was fehlt? Wer ist zuständig was zu erstellen? Diese Klärung dauert typischerweise 60–90 Minuten — und spart Wochen am Ende.

Schritt 2 · Während der Implementierung

Häng die Liste sichtbar an die Wand oder pinn sie ins Projekt-Notion. Bei jeder größeren Architektur-Entscheidung: 30 Sekunden Check — verstößt das gegen einen Punkt? Inkrementelles Compliance ist 10× günstiger als nachträgliches.

Schritt 3 · Vor Live-Gang

Final-Audit mit dem Datenschutzbeauftragten. Alle 6 Must-Have abgehakt? Alle 6 Should-Have geprüft (auch wenn entschieden wurde sie nicht umzusetzen)? Schriftliches Go vom Datenschutzbeauftragten. Erst dann live.

Schritt 4 · Quartalsweise

Punkt 15 ernst nehmen. 90-minütiger Review pro Quartal: Was hat sich rechtlich geändert? Was haben wir an unserem Setup verändert? Sind alle Compliance-Punkte noch aktuell? Dieses Meeting ist die billigste Versicherung gegen Bußgelder die es gibt.

Vollständige Checkliste als PDF.

15 Prüfpunkte. 18 Seiten. Mit Begründung pro Punkt, Beispielen aus der Praxis, Vorlagen für AVV-Anschreiben und Datenschutzhinweise.

PDF herunterladen →

Weitere Tools im Toolkit

📋

Prozess-Audit-Template

Notion-Template zur Prozess-Bewertung
🧮

ROI-Rechner

Excel-Sheet mit 7 vorbefüllten Szenarien
🗺

Agent-Roadmap-Template

90-Tage-Plan für Multi-Agent-Setups
📞

Briefing-Fragebogen

23 Fragen vor jedem Setup