AI Governance / KI-Inventar / DSGVO

das-nettz.de: KI-, Chatbot- und Profiling-Risiken pruefen

AI-Governance-Readiness 40/100; 4 Signal(e), 2 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).

Automatisch aus öffentlicher Website-Evidenz abgeleitete AI-Governance-Prüfung. Sichtbare Chat-, Anbieter- oder Textsignale beweisen keine konkrete KI-Nutzung; Betreiber müssen interne Use-Cases und Entscheidungswirkung bestätigen.

40 Governance vorbereiten

Assessment Queue Data Inventory Anbieterpruefung Risiko Regulatory Watch JSON CSV Assessment MD Lifecycle JSON Lifecycle CSV

40Readiness 2Signale 0hoch 5Kontrollen offen 3Use-Cases 3Fragen

Signale

Was oeffentliche Website-Evidenz zu KI zeigt

JSON exportieren

AI-/Chat-/Assistenz-Anbieter prüfen kein klares Signal · niedrig · Vendor Owner/Legal

Keine klaren AI-/Chat-Anbieterbegriffe in sichtbarer Drittanbieter-Evidenz erkannt.

Anbieterrolle, Zweck, Eingabedaten, Auftragsverarbeitung, Trainings-/Opt-out-Regeln und Transfergrundlage dokumentieren.

Automatisierte Entscheidungen, Profiling oder Scoring transparent machen Signal erkannt · mittel · Datenschutz/Product

Begriffe in Datenschutzhinweis/RoPA-Evidenz: ai, ki

Prüfen, ob Art. 13/14/22-Informationen, Logik, Tragweite, Rechtsgrundlage und Widerspruchs-/Eingriffsmöglichkeiten beschrieben werden müssen.

Personenbezogene Formular- oder Supportdaten vor AI-Nutzung schützen Signal erkannt · mittel · Product/Support/Datenschutz

Formular-/Use-Case-Signale: formular, kontakt, newsletter

Vor AI-Analyse von Kontakt-, Support- oder Bewerbungsdaten Datenminimierung, Maskierung, Rechtsgrundlage, Löschfrist und Human Review festlegen.

AI-Bezug in risikoreichen Datenflüssen ausschließen oder kontrollieren kein klares Signal · niedrig · Datenschutz/IT

Data Map: 0 hohes Risiko, 0 Transfer-Kante(n), DPIA-Trigger 1.

Für AI-nahe Datenflüsse DPIA-/DSFA-Screening, Empfänger, Drittlandtransfer, TOMs und Betroffenenrisiko verbinden.

Use-Case-Inventar

Welche KI-Nutzungen Betreiber bestaetigen muessen

Assessment exportieren

Support-Chat, Chatbot oder Website-Assistent nicht eindeutig erkannt · Support/Product

Chat-/Kontaktinhalte, IP-/Geräteinformationen, Nutzungsdaten

Bot-/AI-Einsatz, Anbieter, Zwecke, Speicherfristen und Rechte erklären

Personalisierung, Segmentierung oder Lead Scoring nicht eindeutig erkannt · Marketing/Datenschutz

Tracking-, Kampagnen-, Formular- und CRM-Signale

Profiling/Scoring verständlich mit Zwecken, Logik und Folgen beschreiben

Interne AI-Auswertung von Website-Anfragen prüfen · Fachbereich/Datenschutz

Kontakt-, Bewerbungs-, Newsletter- oder Supportdaten

Interne AI-Nutzung im Datenschutzhinweis aufnehmen, wenn personenbezogene Daten betroffen sind

AI Lifecycle Governance

Use-Case-Intake, EU-AI-Act-Gates, Monitoring und Audit

Lifecycle exportieren

3Assets 6Gates 5blockierend 4Monitoring

AI Use-Case Intake blockiert Release · Product/Fachbereich

Use-Case-Steckbrief, Zweck, Datenarten, Nutzerwirkung, Owner.

Data Minimization und Datenherkunft blockiert Release · Datenschutz/IT

Datenquellen, PII/SPI, Trainings-/Inference-Nutzung, Loeschfrist, DSAR-Auswirkung.

EU-AI-Act-/DSFA-/Privacy-Risiko blockiert Release · Legal/Datenschutz

AI-Act-Risikoklasse, DSFA-Screening, Art.-22-Pruefung, Schutzmassnahmen.

Vendor, Modell und Vertrag blockiert Release · Vendor Owner/Security

AVV/DPA, TOMs, No-Training/Opt-out, Region, Subprozessoren, Modellwechsel.

Notice, Consent und Nutzerkontrolle blockiert Release · Datenschutz/Content

Datenschutzhinweis, KI-Kennzeichnung, Human Review, Widerspruch/Beschwerdeweg.

Monitoring und Incident Response Monitoring · Compliance/Product

Review-Kadenz, Drift/Complaint-Monitoring, Incident-Eskalation, Audit-Log.

Kontrollen

Assessment, Transparenz, Vendor und Human Review

AI-/Automated-Decisioning-Use-Cases inventarisieren offen · hoch · Datenschutz/Product

Use-Case, Zweck, Datenkategorien, Anbieter, Modell/Tool, Owner, Rechtsgrundlage und Löschfrist je Einsatz dokumentieren.

2 erkannte Prüf-Signal(e).

Transparenz zu AI, Profiling und automatisierten Entscheidungen prüfen offen · hoch · Datenschutz/Content

Datenschutzerklärung um AI-Zwecke, Empfänger, Logik, Tragweite, Rechte und Kontaktweg ergänzen, sofern einschlägig.

Begriffe in Datenschutzhinweis/RoPA-Evidenz: ai, ki

AI-/Chat-Anbieter vertraglich und technisch absichern prüfen · mittel · Legal/Vendor Owner

AVV/DPA, TOMs, Unterauftragsverarbeiter, Trainingsnutzung, Opt-out, Region, SCC/TIA und Löschfristen prüfen.

Keine klaren AI-/Chat-Anbieterbegriffe in sichtbarer Drittanbieter-Evidenz erkannt.

Menschliche Prüfung und Beschwerdeweg festlegen offen · hoch · Product/Support/Legal

Human-in-the-loop, Eskalation, Fehlerkorrektur, Widerspruch und Logging für relevante Entscheidungen operationalisieren.

Automatisierte Entscheidungen sind aus öffentlichen Signalen nicht abschließend beweisbar; Betreiber muss reale Entscheidungswirkung bestätigen.

DPIA-/DSFA-Bezug und AI-Risiken verbinden offen · hoch · Datenschutz/IT

AI-nahe Use-Cases mit DPIA-Screening, Data Map, Vendor Due Diligence und Schutzmaßnahmen verknüpfen.

Data Map: 0 hohes Risiko, 0 Transfer-Kante(n), DPIA-Trigger 1.