{ "schema": "https://saferpage.de/schemas/ai-governance.v1", "generated_at": "2026-06-08T20:37:34+00:00", "domain": "ardaudiothek.de", "available": true, "scan": { "id": "df7185f9-63c4-41ce-abbb-a929807ab023", "checked_at": "2026-06-08 15:29:30.307928+02" }, "status": "Governance vorbereiten", "summary": "AI-Governance-Readiness 11/100; 4 Signal(e), 3 erkannt, 1 hohes Risiko, 5 offene Kontrolle(n).", "metrics": { "readiness_score": 11, "signal_count": 4, "detected_signal_count": 3, "high_risk_signal_count": 1, "open_control_count": 5, "use_case_count": 3, "question_count": 3 }, "signals": [ { "id": "ai_chat_assistant_vendor", "label": "AI-/Chat-/Assistenz-Anbieter prüfen", "owner": "Vendor Owner/Legal", "action": "Anbieterrolle, Zweck, Eingabedaten, Auftragsverarbeitung, Trainings-/Opt-out-Regeln und Transfergrundlage dokumentieren.", "detected": false, "evidence": "Keine klaren AI-/Chat-Anbieterbegriffe in sichtbarer Drittanbieter-Evidenz erkannt.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "risk_level": "niedrig", "risk_score": 46 }, { "id": "automated_decisioning_notice", "label": "Automatisierte Entscheidungen, Profiling oder Scoring transparent machen", "owner": "Datenschutz/Product", "action": "Prüfen, ob Art. 13/14/22-Informationen, Logik, Tragweite, Rechtsgrundlage und Widerspruchs-/Eingriffsmöglichkeiten beschrieben werden müssen.", "detected": true, "evidence": "Begriffe in Datenschutzhinweis/RoPA-Evidenz: ai, ki", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "risk_level": "mittel", "risk_score": 64 }, { "id": "personal_data_ai_input", "label": "Personenbezogene Formular- oder Supportdaten vor AI-Nutzung schützen", "owner": "Product/Support/Datenschutz", "action": "Vor AI-Analyse von Kontakt-, Support- oder Bewerbungsdaten Datenminimierung, Maskierung, Rechtsgrundlage, Löschfrist und Human Review festlegen.", "detected": true, "evidence": "Formular-/Use-Case-Signale: formular", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "risk_level": "mittel", "risk_score": 57 }, { "id": "high_risk_ai_flow", "label": "AI-Bezug in risikoreichen Datenflüssen ausschließen oder kontrollieren", "owner": "Datenschutz/IT", "action": "Für AI-nahe Datenflüsse DPIA-/DSFA-Screening, Empfänger, Drittlandtransfer, TOMs und Betroffenenrisiko verbinden.", "detected": true, "evidence": "Data Map: 13 hohes Risiko, 2 Transfer-Kante(n), DPIA-Trigger 3.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "risk_level": "hoch", "risk_score": 86 } ], "use_case_inventory": [ { "name": "Support-Chat, Chatbot oder Website-Assistent", "owner": "Support/Product", "status": "nicht eindeutig erkannt", "evidence": "Keine klaren AI-/Chat-Anbieterbegriffe in sichtbarer Drittanbieter-Evidenz erkannt.", "data_inputs": "Chat-/Kontaktinhalte, IP-/Geräteinformationen, Nutzungsdaten", "use_case_id": "support_chat_or_assistant", "human_review": "Fallback zu menschlichem Support und Eskalationskriterien dokumentieren", "decision_impact": "mittel, wenn Antworten oder Weiterleitungen Nutzerverhalten beeinflussen", "legal_basis_hint": "Einwilligung oder berechtigtes Interesse je Zweck; AVV/DPA und Transfer prüfen", "transparency_requirement": "Bot-/AI-Einsatz, Anbieter, Zwecke, Speicherfristen und Rechte erklären" }, { "name": "Personalisierung, Segmentierung oder Lead Scoring", "owner": "Marketing/Datenschutz", "status": "nicht eindeutig erkannt", "evidence": "Begriffe in Datenschutzhinweis/RoPA-Evidenz: ai, ki", "data_inputs": "Tracking-, Kampagnen-, Formular- und CRM-Signale", "use_case_id": "marketing_personalization_scoring", "human_review": "Manuelle Kontrolle bei relevanten Entscheidungen festlegen", "decision_impact": "mittel bis hoch bei Segmentierung, Ausschluss oder Preis-/Angebotslogik", "legal_basis_hint": "Consent-Regeln und Art. 22-Relevanz prüfen", "transparency_requirement": "Profiling/Scoring verständlich mit Zwecken, Logik und Folgen beschreiben" }, { "name": "Interne AI-Auswertung von Website-Anfragen", "owner": "Fachbereich/Datenschutz", "status": "prüfen", "evidence": "Formular-/Use-Case-Signale: formular", "data_inputs": "Kontakt-, Bewerbungs-, Newsletter- oder Supportdaten", "use_case_id": "internal_ai_review", "human_review": "Keine alleinige Entscheidung ohne dokumentierte Prüfung zulassen", "decision_impact": "abhängig von Weiterverarbeitung; intern nicht öffentlich vollständig erkennbar", "legal_basis_hint": "Zweckbindung, Datenminimierung und Löschfrist je Verarbeitungstätigkeit dokumentieren", "transparency_requirement": "Interne AI-Nutzung im Datenschutzhinweis aufnehmen, wenn personenbezogene Daten betroffen sind" } ], "control_checklist": [ { "id": "ai_use_case_inventory", "label": "AI-/Automated-Decisioning-Use-Cases inventarisieren", "owner": "Datenschutz/Product", "action": "Use-Case, Zweck, Datenkategorien, Anbieter, Modell/Tool, Owner, Rechtsgrundlage und Löschfrist je Einsatz dokumentieren.", "status": "offen", "evidence": "3 erkannte Prüf-Signal(e).", "priority": "hoch", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "id": "ai_transparency_notice", "label": "Transparenz zu AI, Profiling und automatisierten Entscheidungen prüfen", "owner": "Datenschutz/Content", "action": "Datenschutzerklärung um AI-Zwecke, Empfänger, Logik, Tragweite, Rechte und Kontaktweg ergänzen, sofern einschlägig.", "status": "offen", "evidence": "Begriffe in Datenschutzhinweis/RoPA-Evidenz: ai, ki", "priority": "hoch", "guide_url": "/guides/datenschutzerklaerung-verbessern" }, { "id": "ai_vendor_contracts", "label": "AI-/Chat-Anbieter vertraglich und technisch absichern", "owner": "Legal/Vendor Owner", "action": "AVV/DPA, TOMs, Unterauftragsverarbeiter, Trainingsnutzung, Opt-out, Region, SCC/TIA und Löschfristen prüfen.", "status": "prüfen", "evidence": "Keine klaren AI-/Chat-Anbieterbegriffe in sichtbarer Drittanbieter-Evidenz erkannt.", "priority": "hoch", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "id": "human_review_and_redress", "label": "Menschliche Prüfung und Beschwerdeweg festlegen", "owner": "Product/Support/Legal", "action": "Human-in-the-loop, Eskalation, Fehlerkorrektur, Widerspruch und Logging für relevante Entscheidungen operationalisieren.", "status": "offen", "evidence": "Automatisierte Entscheidungen sind aus öffentlichen Signalen nicht abschließend beweisbar; Betreiber muss reale Entscheidungswirkung bestätigen.", "priority": "hoch", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "id": "ai_dpia_link", "label": "DPIA-/DSFA-Bezug und AI-Risiken verbinden", "owner": "Datenschutz/IT", "action": "AI-nahe Use-Cases mit DPIA-Screening, Data Map, Vendor Due Diligence und Schutzmaßnahmen verknüpfen.", "status": "offen", "evidence": "Data Map: 13 hohes Risiko, 2 Transfer-Kante(n), DPIA-Trigger 3.", "priority": "hoch", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" } ], "assessment_questions": [ { "id": "ai_actual_use", "why": "Öffentliche Signale können nur Tools und Hinweise erkennen, nicht jede interne AI-Nutzung.", "owner": "Product/Fachbereich", "priority": "hoch", "question": "Werden Website-Anfragen, Chats, Bewerbungen, Leads oder Nutzungsdaten durch KI-Tools analysiert oder zusammengefasst?", "expected_evidence": "Use-Case-Liste mit Tool, Datenarten, Zweck, Owner und Speicher-/Trainingsregeln." }, { "id": "ai_decision_impact", "why": "Automatisierte Entscheidungen und Profiling erfordern besondere Transparenz und Schutzmaßnahmen.", "owner": "Legal/Datenschutz", "priority": "hoch", "question": "Hat eine automatisierte Bewertung rechtliche, wirtschaftliche oder ähnlich erhebliche Wirkung für Nutzer?", "expected_evidence": "Entscheidungslogik, Human-Review-Regel, Widerspruchsweg und Art.-22-Prüfung." }, { "id": "ai_vendor_training", "why": "AI-/Chat-Anbieter benötigen klare Zweckbindung, Löschung, TOMs und Transferbewertung.", "owner": "Vendor Owner/Legal", "priority": "mittel", "question": "Dürfen Anbieter Eingaben oder personenbezogene Daten für Training, Produktverbesserung oder eigene Zwecke verwenden?", "expected_evidence": "AVV/DPA, TOMs, Subprocessor-Liste, Opt-out/No-Training-Nachweis, Region und SCC/TIA." } ], "governance_workflow": [ { "id": "intake", "cadence": "vor Go-live", "owner": "Product/Fachbereich", "task": "Neuen KI-, Chat-, Profiling- oder Scoring-Use-Case anmelden und Datenarten erfassen.", "evidence": "Use-Case-Steckbrief mit Zweck, Daten, Tool, Owner und Nutzerwirkung." }, { "id": "privacy_review", "cadence": "vor Freigabe", "owner": "Datenschutz/Legal", "task": "Rechtsgrundlage, Transparenz, Art.-22-/DSFA-Bezug, Betroffenenrechte und Human Review pruefen.", "evidence": "AI Risk Assessment, DSFA-Entscheidung, Notice-/Consent-Freigabe." }, { "id": "vendor_security", "cadence": "vor Produktivnutzung", "owner": "Vendor Owner/Security", "task": "AVV/DPA, TOMs, Trainingsnutzung, Transfer, Subprozessoren und Loeschung beim Anbieter pruefen.", "evidence": "Anbieterakte, No-Training-Nachweis, SCC/TIA, TOMs." }, { "id": "monitoring", "cadence": "quartalsweise", "owner": "Compliance/Product", "task": "Use-Cases, Prompts/Eingaben, Anbieterbedingungen, Modellwechsel und Nutzerbeschwerden reviewen.", "evidence": "Review-Protokoll, Change-Ticket, Re-Scan-Link." } ], "links": { "ai_governance_center": "https://saferpage.de/ki/ardaudiothek.de", "json": "https://saferpage.de/ki/ardaudiothek.de/export", "csv": "https://saferpage.de/ki/ardaudiothek.de/export-csv", "markdown": "https://saferpage.de/ki/ardaudiothek.de/assessment-md", "lifecycle_json": "https://saferpage.de/ki/ardaudiothek.de/lifecycle-json", "lifecycle_csv": "https://saferpage.de/ki/ardaudiothek.de/lifecycle-csv", "assessment_queue": "https://saferpage.de/assessment/ardaudiothek.de/queue", "data_inventory": "https://saferpage.de/verarbeitungen/ardaudiothek.de", "vendor_due_diligence": "https://saferpage.de/anbieter/ardaudiothek.de/due-diligence", "risk_center": "https://saferpage.de/risiko/ardaudiothek.de", "regulatory_watch": "https://saferpage.de/regulatory-watch/ardaudiothek.de", "report": "https://saferpage.de/ardaudiothek.de" }, "sources": [ { "title": "OneTrust AI Governance", "url": "https://www.onetrust.com/products/athena/", "note": "Orientierung fuer AI Lifecycle, Transparenz und Kontrollen in Privacy-Programmen." }, { "title": "Securiti AI Security & Governance", "url": "https://securiti.ai/products/ai-security-governance", "note": "Orientierung fuer Data+AI Security, Governance und Kontrollorchestrierung." }, { "title": "TrustArc AI Governance", "url": "https://trustarc.com/solutions/ai-governance/", "note": "Orientierung fuer AI Risk Assessments und Privacy-/Risk-Workflows." } ], "priority_actions": [ "AI-/Chat-/Profiling-Use-Cases als Inventar mit Zweck, Datenarten, Anbieter, Rechtsgrundlage, Owner und Löschfrist anlegen.", "Datenschutzerklärung, Consent-Regeln und Vendor-Akten gegen reale AI-Nutzung abgleichen.", "Human Review, Eskalationsweg, Logging und DPIA-/DSFA-Screening für relevante Entscheidungen dokumentieren." ], "disclaimer": "Automatisch aus öffentlicher Website-Evidenz abgeleitete AI-Governance-Prüfung. Sichtbare Chat-, Anbieter- oder Textsignale beweisen keine konkrete KI-Nutzung; Betreiber müssen interne Use-Cases und Entscheidungswirkung bestätigen." }