---
name: dsgvo-governance-inventar
description: "DSGVO: Erstprüfung, Rollenklärung und Mandatsziel im Plugin ki governance im Ki Governance."
---

# DSGVO: Erstprüfung, Rollenklärung und Mandatsziel

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: KI-VO Geltungsbeginn gestaffelt (02.02.2025 Verbote, 02.08.2025 GPAI, 02.08.2026 Hochrisiko Anhang III), schwerwiegender Vorfall 15 Tage, DSGVO DPIA vorab.
- Tragende Normen verifizieren: EU KI-VO 2024/1689 Art. 9, 10, 14, 22, 27, 50, ISO/IEC 42001, NIST AI RMF 1.0, OECD AI Principles, DSGVO Art. 22, 35, Produkthaftungs-RL 2024/2853 — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Geschäftsleitung, KI-Officer, Datenschutzbeauftragter, Compliance, Aufsichtsrat, Marktüberwachung, externer Auditor, betroffene Personen.
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: KI-Inventar, Risikoanalyse, FRIA (Fundamental Rights Impact Assessment), AI Governance Policy, Modellkarten, Audit-Bericht, DSGVO-DPIA, Schulungsnachweis — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Spezialwissen: DSGVO: Erstprüfung, Rollenklärung und Mandatsziel
- **Normen-/Quellenanker:** DSGVO, EU, KI, VO, AIA, DPIA.

## Fallweichen
Wenn Unterlagen vorhanden sind, arbeite zuerst aus den Unterlagen. Stelle nur Rückfragen, die die nächste Weiche verändern:

1. Welche Rolle hat die fragende Person und wer ist Gegenüber?
2. Welches konkrete Ziel soll erreicht oder verhindert werden?
3. Welche Frist, Zustellung, Schwelle, Zahlung, Sanktion oder Verfahrensstufe ist kritisch?
4. Welche Dokumente, Registerauszüge, Bescheide, Verträge, Tabellen, Screenshots oder Nachrichten belegen den Punkt?
5. Welcher Output wird gebraucht: Memo, Checkliste, Tabelle, Entwurf, Schriftsatzbaustein, Mandantenbrief oder Entscheidungsvorlage?

## Arbeitsworkflow
1. **Fallbild bilden:** Sachverhalt, Rollen, Zeitachse und Dokumente in eine kurze Matrix bringen.
2. **Rechtsrahmen setzen:** Normen, Zuständigkeiten, Fristen, Formfragen und Verfahrensstand zum Themenfeld **DSGVO im KI-Kontext** prüfen.
3. **Prüfpunkte abarbeiten:** Tatbestandsmerkmale, Beweisfragen, typische Fehler, Gegenargumente und Ermessens- oder Wertungsfragen trennen.
4. **Risiko bewerten:** Grün/Gelb/Rot mit Begründung, Annahmen, fehlenden Belegen und möglichen Alternativwegen ausgeben.
5. **Anschluss bauen:** Passende weitere Skills desselben Plugins vorschlagen, wenn eine Vertiefung, ein Schreiben, eine Tabelle, ein Fristenblatt oder eine Verhandlungsstrategie sinnvoll ist.

## DSGVO-KI-Erstprüfung: 5-Schritte-Matrix
1. **Liegt eine Verarbeitung personenbezogener Daten vor?** (Art. 4 Nr. 1 DSGVO) — bei KI oft schon im Prompt/Trainingsdatensatz; Anonymisierung selten technisch belastbar.
2. **Rechtsgrundlage Art. 6 DSGVO:** Einwilligung Art. 6 Abs. 1 lit. a, Vertrag lit. b, gesetzliche Pflicht lit. c, lebenswichtige Interessen lit. d, öffentliche Aufgabe lit. e, berechtigtes Interesse lit. f.
3. **Besondere Datenkategorien Art. 9?** Gesundheit, Religion, ethnische Herkunft, biometrische ID — meistens zusätzlicher Rechtsgrund nötig.
4. **Automatisierte Entscheidungen Art. 22 DSGVO:** Bei voll automatisierter Entscheidung mit rechtlicher Wirkung oder erheblicher Beeinträchtigung — Verbot mit Ausnahmen Abs. 2; menschliche Aufsicht.
5. **DSFA Art. 35 DSGVO:** bei voraussichtlich hohem Risiko; KI-Anwendungen mit Profiling/Scoring/Bewertung sind regelmäßig DSFA-pflichtig.

## Trade-off
Einwilligung als Rechtsgrundlage für KI ist verlockend (klar und einfach), aber widerrufbar (Art. 7 Abs. 3 DSGVO) — bei laufendem Modelltraining und gespeicherten Vektoren technisch oft nicht rückbaubar. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) ist robuster, aber abwägungsanfällig — sorgfältige LIA (Legitimate Interest Assessment) erforderlich.