Compliance-Dokumentation erstellen
Erstelle die erforderliche KI-Compliance-Dokumentation: KI-Inventar, DSFA, Verarbeitungsverzeichnis, AVV und Compliance-Nachweise.
Premium-Kursinhalt
Diese Lektion gehört zu einem Premium-Kurs. Upgrade auf Pro, um alle Premium-Kurse und Inhalte freizuschalten.
- Zugang zu allen Premium-Kursen
- 1000+ KI-Skill-Vorlagen inklusive
- Jede Woche neue Inhalte
🔄 Kurzer Rueckblick: In der letzten Lektion hast du das Risikomanagement aufgebaut — Risiken identifizieren, bewerten, steuern, ueberwachen. Jetzt dokumentieren wir das Ganze so, dass du bei einer Pruefung sofort alles vorlegen kannst.
Dokumentation ist nicht sexy. Aber sie ist der Beweis, dass du deine Pflichten ernst nimmst. Ohne Dokumentation hast du kein Compliance-System — du hast nur gute Absichten. Und die schuetzen dich nicht vor Bussgeldern.
Die fuenf Dokumentations-Bausteine
| Baustein | Pflicht nach | Inhalt |
|---|---|---|
| KI-Inventar | EU AI Act (Best Practice), ISO 42001 | Alle KI-Systeme mit Risikoklasse |
| Verarbeitungsverzeichnis | DSGVO Art. 30 | KI-Eintraege fuer jedes System mit PD |
| DSFA | DSGVO Art. 35, EU AI Act Art. 26(9) | Risikobewertung fuer Hochrisiko-Systeme |
| AVV-Dokumentation | DSGVO Art. 28 | Vertraege mit KI-Anbietern |
| Compliance-Nachweise | EU AI Act Art. 9, 11, 17 | Schulungen, Pruefprotokolle, Massnahmen |
Baustein 1: KI-Inventar
Das KI-Inventar ist die Grundlage fuer alles. Es erfasst jedes KI-System im Unternehmen:
| Feld | Inhalt | Beispiel |
|---|---|---|
| System-ID | Eindeutige Kennung | KI-001 |
| Name | Produktname | ChatGPT Enterprise |
| Anbieter | Provider | OpenAI |
| Version | Aktuelle Version | GPT-4o |
| Einsatzzweck | Wofuer genutzt | Texterstellung, Recherche |
| Abteilung(en) | Wer nutzt es | Marketing, Vertrieb, GF |
| Datentypen | Welche Daten | Oeffentliche Daten, anonymisierte Interna |
| Risikoklasse EU AI Act | Einstufung | Minimal / Begrenzt |
| AVV vorhanden | Ja/Nein | Ja (seit 01.03.2026) |
| DSFA erforderlich | Ja/Nein/Geprueft | Nein (begruendet) |
| Genehmigt am | Datum | 15.01.2026 |
| Verantwortlich | Person | Max Mustermann, IT |
✅ Quick Check: Hast du ein aktuelles KI-Inventar? Wenn nicht, ist das der erste Dokumentations-Schritt. Tipp: Starte mit einem einfachen Excel — perfekt muss es nicht sein, aber es muss existieren.
Baustein 2: Verarbeitungsverzeichnis (DSGVO Art. 30)
Fuer jedes KI-System, das personenbezogene Daten verarbeitet, brauchst du einen Eintrag:
| Feld | Beispiel (Recruiting-KI) |
|---|---|
| Verarbeitungstaetigkeit | Automatisierte Vorauswahl von Bewerbungen |
| Verantwortlicher | Muster GmbH |
| Zweck | Effizienzsteigerung im Recruiting |
| Betroffene | Bewerber |
| Datenkategorien | Name, Lebenslauf, Qualifikationen, Bewertungsscore |
| Empfaenger | HR-Abteilung intern |
| Drittlandtransfer | Ja — USA (Angemessenheitsbeschluss) |
| Loeschfristen | 6 Monate nach Verfahrensende |
| TOM | Verschluesselung, Zugangskontrolle, Protokollierung |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b (Vertragsanbahnung) |
Baustein 3: DSFA (Datenschutzfolgenabschaetzung)
Pflicht fuer KI-Systeme mit hohem Risiko fuer Betroffenenrechte:
Wann ist eine DSFA Pflicht?
- Hochrisiko-KI nach EU AI Act (Anhang III)
- Systematische Bewertung von Personen (Scoring, Profiling)
- Umfangreiche Verarbeitung besonderer Datenkategorien
- System auf der DSK-Positivliste
Inhalt einer KI-DSFA:
- Beschreibung der Verarbeitung und des KI-Systems
- Bewertung der Notwendigkeit und Verhältnismäßigkeit
- Risikobewertung fuer Betroffene
- Massnahmen zur Risikominderung
- Stellungnahme des DSB
Baustein 4: AVV-Dokumentation
Fuer jeden KI-Anbieter, der personenbezogene Daten verarbeitet:
KI-spezifische AVV-Klauseln (ueber Standard hinaus):
- Kein Training mit Kundendaten
- Loeschung nach Verarbeitung (keine Speicherung)
- EU-Datenresidenz (oder Angemessenheitsbeschluss)
- Unterauftragnehmer-Transparenz
- Audit-Recht (mindestens jaehrlich)
- Meldepflicht bei Datenpannen (72h)
Baustein 5: Compliance-Nachweise
Dokumentiere alles, was zeigt, dass dein System funktioniert:
| Nachweis | Frequenz | Inhalt |
|---|---|---|
| Schulungsprotokolle | Bei Durchfuehrung | Teilnehmer, Inhalte, Datum |
| Audit-Berichte | Halbjaehrlich | Pruefergebnisse, Massnahmen |
| Risikobewertungen | Quartalweise | Aktualisierte Risikomatrix |
| Genehmigungsprotokolle | Bei neuem KI-Tool | Pruefung, Entscheidung, Begruendung |
| Vorfallberichte | Anlassbezogen | Was passiert ist, was getan wurde |
| Review-Protokolle | Quartalweise | KI-Inventar-Review, Policy-Review |
Praxis-Uebung: KI-Inventar erstellen
Erstelle ein KI-Inventar fuer mein Unternehmen:
KI-SYSTEME IM EINSATZ:
1. [Tool-Name, Anbieter, wer nutzt es, wofuer, welche Daten]
2. [Tool-Name, Anbieter, wer nutzt es, wofuer, welche Daten]
3. [Tool-Name, Anbieter, wer nutzt es, wofuer, welche Daten]
ERSTELLE:
1. Vollstaendiges KI-Inventar (Tabelle mit allen Feldern)
2. Risikoklassifizierung nach EU AI Act
3. AVV-Status-Pruefung (vorhanden/fehlt/n.a.)
4. DSFA-Bedarfspruefung (ja/nein/begruendung)
5. Priorisierte Handlungsliste
Key Takeaways
- Fuenf Dokumentations-Bausteine: KI-Inventar, Verarbeitungsverzeichnis, DSFA, AVV, Compliance-Nachweise
- Das KI-Inventar ist die Grundlage — ohne es fehlt der Ueberblick
- DSFA ist nicht fuer jedes KI-System Pflicht — nur fuer Hochrisiko und hohe Betroffenenrisiken
- AVVs brauchen KI-spezifische Klauseln: kein Training, Loeschung, EU-Datenresidenz
- Dokumentation ist kein Einmal-Projekt — mindestens quartalweise aktualisieren
Up Next
In der naechsten Lektion geht es um Schulung: Wie baust du ein KI-Schulungsprogramm auf, das Art. 4 erfuellt und darueber hinaus echte Kompetenz schafft?
Wissenscheck
Erst das Quiz oben abschließen
Lektion abgeschlossen!