# KI-Governance-Assessment fuer deutsche-rentenversicherung.de

AI-Governance-Readiness 40/100; 4 Signal(e), 2 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).

> Automatisch aus öffentlicher Website-Evidenz abgeleitete AI-Governance-Prüfung. Sichtbare Chat-, Anbieter- oder Textsignale beweisen keine konkrete KI-Nutzung; Betreiber müssen interne Use-Cases und Entscheidungswirkung bestätigen.

## KI-Signale
- **AI-/Chat-/Assistenz-Anbieter prüfen**: kein klares Signal, Risiko niedrig. Anbieterrolle, Zweck, Eingabedaten, Auftragsverarbeitung, Trainings-/Opt-out-Regeln und Transfergrundlage dokumentieren.
- **Automatisierte Entscheidungen, Profiling oder Scoring transparent machen**: erkannt, Risiko mittel. Prüfen, ob Art. 13/14/22-Informationen, Logik, Tragweite, Rechtsgrundlage und Widerspruchs-/Eingriffsmöglichkeiten beschrieben werden müssen.
- **Personenbezogene Formular- oder Supportdaten vor AI-Nutzung schützen**: erkannt, Risiko mittel. Vor AI-Analyse von Kontakt-, Support- oder Bewerbungsdaten Datenminimierung, Maskierung, Rechtsgrundlage, Löschfrist und Human Review festlegen.
- **AI-Bezug in risikoreichen Datenflüssen ausschließen oder kontrollieren**: kein klares Signal, Risiko niedrig. Für AI-nahe Datenflüsse DPIA-/DSFA-Screening, Empfänger, Drittlandtransfer, TOMs und Betroffenenrisiko verbinden.

## Use-Case-Inventar
- [ ] Support-Chat, Chatbot oder Website-Assistent: nicht eindeutig erkannt / Bot-/AI-Einsatz, Anbieter, Zwecke, Speicherfristen und Rechte erklären
- [ ] Personalisierung, Segmentierung oder Lead Scoring: nicht eindeutig erkannt / Profiling/Scoring verständlich mit Zwecken, Logik und Folgen beschreiben
- [ ] Interne AI-Auswertung von Website-Anfragen: prüfen / Interne AI-Nutzung im Datenschutzhinweis aufnehmen, wenn personenbezogene Daten betroffen sind

## Kontrollfragen
- [ ] Werden Website-Anfragen, Chats, Bewerbungen, Leads oder Nutzungsdaten durch KI-Tools analysiert oder zusammengefasst? Nachweis: Use-Case-Liste mit Tool, Datenarten, Zweck, Owner und Speicher-/Trainingsregeln.
- [ ] Hat eine automatisierte Bewertung rechtliche, wirtschaftliche oder ähnlich erhebliche Wirkung für Nutzer? Nachweis: Entscheidungslogik, Human-Review-Regel, Widerspruchsweg und Art.-22-Prüfung.
- [ ] Dürfen Anbieter Eingaben oder personenbezogene Daten für Training, Produktverbesserung oder eigene Zwecke verwenden? Nachweis: AVV/DPA, TOMs, Subprocessor-Liste, Opt-out/No-Training-Nachweis, Region und SCC/TIA.