| A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | Dieses Dokument wurde erstell von Talent2Go. Weitere Infos zum Thema "Digitales Ausbildungsmanagement" finden Sie unter www.talent2go.de | |||||||||||||||||||||||||
2 | Datenschutz-Checkliste für KI-Tools in Ausbildungsbetrieben | |||||||||||||||||||||||||
3 | Stand: Februar 2026 | DSGVO & EU AI Act konform | |||||||||||||||||||||||||
4 | ||||||||||||||||||||||||||
5 | Kategorie | Prüfpunkt | Details / Beschreibung | Status | Verantwortlichkeiten | Notizen | ||||||||||||||||||||
6 | 1️⃣ Vor der Tool-Auswahl: Grundlegende Prüfung | |||||||||||||||||||||||||
7 | Rechtsgrundlage | Rechtsgrundlage nach Art. 6 DSGVO identifiziert | Vertragserfüllung (Art. 6 Abs. 1 lit. b): Alles was zur Ausbildung erforderlich ist | Gesetzliche Pflicht (lit. c) | Berechtigtes Interesse (lit. f) | Einwilligung (lit. a) | |||||||||||||||||||||||
8 | Rechtsgrundlage | Zweckbindung definiert | Genauen Einsatzzweck dokumentiert (z.B. Lernfortschrittskontrolle, Unterrichtsplanung) | Keine Zweckentfremdung | |||||||||||||||||||||||
9 | Rechtsgrundlage | Datenminimierung sichergestellt | Nur absolut notwendige Daten verarbeiten | Keine Nice-to-have-Datensammlungen | |||||||||||||||||||||||
10 | Rechtsgrundlage | Azubis nach Art. 13 DSGVO informiert | Transparenzpflicht VOR Einsatz erfüllt | |||||||||||||||||||||||
11 | DSFA-Prüfung | DSFA-Pflicht nach Art. 35 geprüft, Wenn 2 von 9 Kriterien erfüllt sind | Kriterien: Scoring, Automatisierte Entscheidungen, Systematische Überwachung, Sensible Daten, Umfangreiche Verarbeitung, Datenabgleich, Minderjährige, Innovative Technologie, Verhinderung Rechtsausübung | |||||||||||||||||||||||
12 | DSFA-Prüfung | Falls DSFA erforderlich: Systematische Beschreibung erstellt | Welche Daten, wie verarbeitet, welche Technologie, wer Zugriff, wo/wie lange gespeichert, Rechtsgrundlage | |||||||||||||||||||||||
13 | DSFA-Prüfung | Falls DSFA erforderlich: Notwendigkeit & Verhältnismäßigkeit bewertet | Ist Verarbeitung wirklich nötig? Gibt es mildere Mittel? Datenminimierung möglich? | |||||||||||||||||||||||
14 | DSFA-Prüfung | Falls DSFA erforderlich: Risiken bewertet | Vertraulichkeit, Integrität, Verfügbarkeit, Transparenz, Intervenierbarkeit | |||||||||||||||||||||||
15 | DSFA-Prüfung | Falls DSFA erforderlich: Schutzmaßnahmen definiert | Technisch (Verschlüsselung, Zugriffskontrolle) | Organisatorisch (Schulung, Vier-Augen) | Rechtlich (AVV, Betriebsvereinbarung) | Restrisiko akzeptabel? | |||||||||||||||||||||||
16 | DSFA-Prüfung | Falls DSFA erforderlich: DSB einbezogen | Datenschutzbeauftragter berät und prüft DSFA (Pflicht nach Art. 35 Abs. 2) | |||||||||||||||||||||||
17 | DSFA-Prüfung | Falls DSFA erforderlich: Betriebsrat informiert | Mitbestimmungsrecht beachtet (falls Betriebsrat vorhanden) | |||||||||||||||||||||||
18 | 2️⃣ Tool-Auswahl: Anbieter-Check | |||||||||||||||||||||||||
19 | Server & Daten | Server-Standort geprüft | ✅ Deutschland/EU bevorzugt | ⚠️ USA/Drittland = erhöhtes Risiko, Transferprüfung nötig | |||||||||||||||||||||||
20 | Server & Daten | Datenverarbeitungsort transparent | Wo Speicherung, wo Verarbeitung/Training, Drittlandtransfer? | |||||||||||||||||||||||
21 | Server & Daten | Drittlandtransfer geprüft (falls USA/Nicht-EU) | Transfergrundlage (EU-US DPF, Standardvertragsklauseln), zusätzliche Schutzmaßnahmen dokumentiert | |||||||||||||||||||||||
22 | Server & Daten | Kritische Daten identifiziert | Welche Daten dürfen Unternehmen nicht verlassen? Regel: Keine Klarnamen/Gesundheitsdaten in unsicheren Tools | |||||||||||||||||||||||
23 | Zertifizierungen | ISO 27001 vorhanden (Informationssicherheit) | ||||||||||||||||||||||||
24 | Zertifizierungen | ISO 42001 vorhanden (KI-Management, für Hochrisiko empfohlen) | ||||||||||||||||||||||||
25 | Zertifizierungen | ISO 27701 vorhanden (Datenschutz-Management, optional) | ||||||||||||||||||||||||
26 | Zertifizierungen | SOC 2 vorhanden (Sicherheit, Verfügbarkeit) | ||||||||||||||||||||||||
27 | Zertifizierungen | EU AI Act Konformität bestätigt | ||||||||||||||||||||||||
28 | Verträge | AVV nach Art. 28 DSGVO abgeschlossen | Pflichtvertrag! Enthält: Zweck, Datenkategorien, Speicherdauer, Speicherort, TOMs, Weisungsbefugnisse, Datenpanne-Regelung, Unterauftragnehmer, Löschung | |||||||||||||||||||||||
29 | Verträge | SLA vereinbart (empfohlen für kritische Tools) | Verfügbarkeit (z.B. 99,5% Uptime), Support-Zeiten, Reaktionszeiten, Konsequenzen bei Vertragsbruch | |||||||||||||||||||||||
30 | Verträge | Haftungsregelungen geklärt | Wer haftet bei Datenschutzverletzungen? Bei fehlerhaften KI-Ergebnissen? Schadensersatz dokumentiert | |||||||||||||||||||||||
31 | Transparenz Anbieter | Datenschutzerklärung geprüft | Verständlich formuliert? Alle Verarbeitungszwecke genannt? Speicherdauer angegeben? | |||||||||||||||||||||||
32 | Transparenz Anbieter | Datennutzung für Training ausgeschlossen | Betriebsdaten dürfen NICHT für KI-Modell-Training verwendet werden | Vertraglich/technisch ausgeschlossen oder Opt-Out aktiv | |||||||||||||||||||||||
33 | Transparenz Anbieter | Liste Subunternehmer erhalten | Standorte bekannt? Datenschutzniveau akzeptabel? | |||||||||||||||||||||||
34 | 3️⃣ EU AI Act Compliance | |||||||||||||||||||||||||
35 | Risikoklassifizierung | KI-System werden durch den EU AI Act in Risikokategorie eingeordnet | 🚫 Inakzeptabel (verboten) | ⚠️ Hohes Risiko (strenge Auflagen) | 💬 Begrenztes Risiko (Transparenz) | ✅ Minimales Risiko (frei) | |||||||||||||||||||||||
36 | Hochrisiko-KI (falls zutreffend) | KI-System werden durch den EU AI Act in gewissen Fällen als Hochrisiko eingestuft (Annex III Nr. 3) | Nur bei Hochrisiko: Systematische Risikoidentifikation, Maßnahmen, regelmäßige Überprüfung | |||||||||||||||||||||||
37 | Hochrisiko-KI (falls zutreffend) | Technische Dokumentation vollständig | Funktionsweise, Trainingsdaten, Testverfahren, Grenzen, 10 Jahre Aufbewahrung | |||||||||||||||||||||||
38 | Hochrisiko-KI (falls zutreffend) | Human-in-the-Loop implementiert | Mensch trifft finale Entscheidung | KI schlägt vor, Ausbilder entscheidet | Keine Vollautomatisierung | |||||||||||||||||||||||
39 | Hochrisiko-KI (falls zutreffend) | Protokollierungspflichten erfüllt | Automatische Logs aller KI-Entscheidungen, Nachvollziehbarkeit, mind. 6 Monate Aufbewahrung | |||||||||||||||||||||||
40 | Hochrisiko-KI (falls zutreffend) | Konformitätsbewertung durchgeführt | Bei Hochrisiko-KI vom Anbieter verpflichtend, benannte Stelle, CE-Kennzeichnung | |||||||||||||||||||||||
41 | Schulungspflicht EU AI Act | Alle Ausbilder KI-geschult (Pflicht seit 02.02.2025) | Technische Grundlagen, Rechtliche Rahmenbedingungen, Didaktik, Prompt Engineering, Ethik & Bias | |||||||||||||||||||||||
42 | Schulungspflicht EU AI Act | Schulungen dokumentiert | Teilnehmerlisten, Inhalte, Zeitpunkt/Dauer, Nachweispflicht erfüllt | |||||||||||||||||||||||
43 | Schulungspflicht EU AI Act | Quartalsweise Updates etabliert | KI entwickelt sich schnell → kontinuierliche Weiterbildung | |||||||||||||||||||||||
44 | 4️⃣ Technische & Organisatorische Maßnahmen (TOMs) | |||||||||||||||||||||||||
45 | Zugriffskontrolle | RBAC implementiert | Rollenbasierte Zugriffskontrolle: Ausbilder nur eigene Azubis, HR nur Stammdaten, GF nur anonymisiert | |||||||||||||||||||||||
46 | Zugriffskontrolle | Least-Privilege-Prinzip umgesetzt | Jeder Nutzer nur minimal notwendige Rechte | Keine Admin-Rechte ohne Grund | |||||||||||||||||||||||
47 | Zugriffskontrolle | MFA aktiviert | Multi-Faktor-Authentifizierung: Passwort + zweiter Faktor | |||||||||||||||||||||||
48 | Zugriffskontrolle | Audit-Trails aktiviert | Logging: Wer, Wann, Was? | Compliance-Nachweis | |||||||||||||||||||||||
49 | Datensicherheit | Ende-zu-Ende-Verschlüsselung aktiviert | Daten während Übertragung (TLS/SSL) und im Ruhezustand (AES-256+) verschlüsselt | |||||||||||||||||||||||
50 | Datensicherheit | Regelmäßige Backups durchgeführt | Automatisiert täglich, geografisch getrennt, Wiederherstellungstest erfolgreich | |||||||||||||||||||||||
51 | Datensicherheit | Firewalls & Intrusion Detection aktiv | Netzwerksicherheit, Anomalie-Erkennung implementiert | |||||||||||||||||||||||
52 | Datensicherheit | Security-Audits geplant | Mindestens jährlich, Penetrationstests bei kritischen Systemen | |||||||||||||||||||||||
53 | Datenminimierung | Datenminimierung technisch umgesetzt | Nur notwendige Felder verarbeitet, keine optionalen Sammlungen | |||||||||||||||||||||||
54 | Datenminimierung | Speicherdauer definiert & automatisiert | Automatische Löschung nach X Monaten | Typisch: Ausbildungsende + 3 Jahre | Ausnahmen dokumentiert | |||||||||||||||||||||||
55 | Datenminimierung | Anonymisierung/Pseudonymisierung wo möglich | Statistiken ohne Personenbezug, Pseudonymisierung bei Analysen | |||||||||||||||||||||||
56 | 5️⃣ Informationspflichten & Transparenz | |||||||||||||||||||||||||
57 | Azubis informieren | Azubis vor KI-Einsatz nach Art. 13 informiert | 5 W-Fragen beantwortet: Welche Tools? Welcher Zweck? Welche Daten? Wo gespeichert? Wer Zugriff? | |||||||||||||||||||||||
58 | Azubis informieren | Transparenzpflicht bei Chatbots erfüllt | Klarstellung einblenden: 'Du kommunizierst mit einer KI' | Keine Täuschung | |||||||||||||||||||||||
59 | Azubis informieren | Datenschutzerklärung aktualisiert | KI-Nutzung erwähnt, Tools namentlich genannt, verständlich, Speicherdauer, Betroffenenrechte | |||||||||||||||||||||||
60 | Einwilligungen (falls nötig) | Einwilligungen rechtssicher eingeholt | Nur falls keine andere Rechtsgrundlage: Freiwillig, eindeutig, Widerrufsrecht, bei <16J Eltern einbeziehen | |||||||||||||||||||||||
61 | Einwilligungen (falls nötig) | Einwilligungen dokumentiert | Zeitstempel, Wortlaut, Version, Nachweispflicht | |||||||||||||||||||||||
62 | Betroffenenrechte | Auskunftsrecht umsetzbar (Art. 15) | Azubi kann Daten einsehen, Export-Funktion vorhanden | |||||||||||||||||||||||
63 | Betroffenenrechte | Löschrecht gewährleistet (Art. 17) | Vollständige Löschung möglich, Ausnahmen dokumentiert (gesetzliche Aufbewahrungspflicht) | |||||||||||||||||||||||
64 | Betroffenenrechte | Widerspruchsrecht kommuniziert (Art. 21) | Azubi kann KI-Nutzung widersprechen, Alternative Prozesse vorhanden | |||||||||||||||||||||||
65 | Betroffenenrechte | Datenportabilität möglich (Art. 20) | Export in maschinenlesbarem Format (CSV, JSON) | |||||||||||||||||||||||
66 | 6️⃣ Betriebsrat & interne Regelungen | |||||||||||||||||||||||||
67 | Betriebsvereinbarung | Betriebsrat frühzeitig einbezogen | Mitbestimmungsrechte BetrVG beachtet, transparente Kommunikation (falls Betriebsrat vorhanden) | |||||||||||||||||||||||
68 | Betriebsvereinbarung | Betriebsvereinbarung zu KI abgeschlossen | Welche Tools, Zwecke, Daten, Rechte Azubis, Konsequenzen bei Verstößen | |||||||||||||||||||||||
69 | Nutzungsrichtlinien | KI-Nutzungsrichtlinie für Azubis erstellt | Was erlaubt (Recherche ✅), was verboten (Projekt komplett von KI ❌), Konsequenzen bei Missbrauch oder Nichtachtung | |||||||||||||||||||||||
70 | Nutzungsrichtlinien | Plagiatserkennung etabliert | Tools zur Erkennung KI-Texte, Prozess für Verdachtsfälle definiert | |||||||||||||||||||||||
71 | 7️⃣ Qualitätssicherung & Risikomanagement | |||||||||||||||||||||||||
72 | Regelmäßige Überprüfung | KI-Ergebnisse systematisch prüfen | Vier-Augen-Prinzip bei kritischen Entscheidungen, Stichproben, Faktenchecks | |||||||||||||||||||||||
73 | Regelmäßige Überprüfung | Bias-Testing durchgeführt | Alle Azubis fair behandelt? Keine Diskriminierung (Geschlecht, Herkunft, Alter) | Mind. halbjährlich | |||||||||||||||||||||||
74 | Regelmäßige Überprüfung | Halluzinations-Monitoring aktiv | KI-Falschaussagen dokumentieren, Muster erkennen, Tool-Wechsel bei zu vielen Fehlern | |||||||||||||||||||||||
75 | Incident Management | Datenpannen-Prozess etabliert | Verantwortlichkeiten geklärt, 72h-Meldefrist bekannt, Kommunikationsplan, Dokumentationsvorlage | |||||||||||||||||||||||
76 | Incident Management | Notfallplan bei Systemausfall | Backup-Prozesse dokumentiert, keine 100% KI-Abhängigkeit, Alternative definiert | |||||||||||||||||||||||
77 | Incident Management | Beschwerdemechanismus für Azubis | Azubis können KI-Entscheidungen anfechten, unabhängige Überprüfung, faire Prüfung | |||||||||||||||||||||||
78 | 8️⃣ Dokumentation & Nachweise | |||||||||||||||||||||||||
79 | Verarbeitungsverzeichnis | KI-Systeme im VVT nach Art. 30 aufgenommen | Name/Hersteller, Zweck, betroffene Personen, Datenkategorien, Empfänger, Drittland, Speicherdauer, TOMs | |||||||||||||||||||||||
80 | Compliance-Nachweise | Alle Verträge vollständig | AVV, SLA, Lizenzvertrag, bei Änderungen Nachträge | |||||||||||||||||||||||
81 | Compliance-Nachweise | Schulungsnachweise archiviert | Teilnehmerlisten, Zertifikate, Inhalte, Datum/Dauer | |||||||||||||||||||||||
82 | Compliance-Nachweise | DSFA dokumentiert (falls erforderlich) | Vollständige DSFA-Berichte, Updates bei Änderungen | |||||||||||||||||||||||
83 | Compliance-Nachweise | Audit-Protokolle gesichert | Zugriffs-, Änderungs-, Security-Protokolle | Mind. 6 Monate, besser 12 Monate | |||||||||||||||||||||||
84 | Compliance-Nachweise | Einwilligungen archiviert (falls vorhanden) | Zeitstempel, Wortlaut, Version, Nachweispflicht | |||||||||||||||||||||||
85 | 9️⃣ Laufender Betrieb: Monitoring & Updates | |||||||||||||||||||||||||
86 | Regelmäßige Reviews | Quartalsweise Compliance-Checks | Prozesse aktuell? Neue rechtliche Anforderungen? Tool-Updates berücksichtigt? AVVs gültig? | |||||||||||||||||||||||
87 | Regelmäßige Reviews | Jährliches Datenschutz-Audit | Interne/externe Revision, Verbesserungspotenziale identifizieren, Maßnahmen ableiten | |||||||||||||||||||||||
88 | Regelmäßige Reviews | Kontinuierliche Risikoanalyse | Neue Bedrohungen (Cyberangriffe, neue KI-Risiken), Maßnahmen anpassen, Restrisiko neu bewerten | |||||||||||||||||||||||
89 | Updates | Software-Updates zeitnah einspielen | Sicherheitspatches priorisiert (48h), Funktionsupdates nach Test, Kompatibilität geprüft | |||||||||||||||||||||||
90 | Updates | Rechtliche Updates verfolgen | EU AI Act Entwicklung, DSGVO-Rechtsprechung (EuGH), IHK-Newsletter, Fachzeitschriften/Blogs | |||||||||||||||||||||||
91 | ||||||||||||||||||||||||||
92 | ||||||||||||||||||||||||||
93 | 📊 Datenschutz Score Berechnung | |||||||||||||||||||||||||
96 | Nicht relevante Prüfpunkte (➖): | 0 | ||||||||||||||||||||||||
97 | Erledigte Prüfpunkte (✅): | 0 | ||||||||||||||||||||||||
98 | In Arbeit (⚠️): | 0 | ||||||||||||||||||||||||
99 | Offen (❌): | 0 | ||||||||||||||||||||||||
100 | ||||||||||||||||||||||||||
101 | Datenschutz-Score (%) | 0,0% | ||||||||||||||||||||||||
102 | ||||||||||||||||||||||||||