DSGVO-konform Cookieless & ohne Tracking EU-Datenhaltung Made in Germany · Berlin Inhabergeführt
DSGVO-konform Cookieless & ohne Tracking EU-Datenhaltung Made in Germany · Berlin Inhabergeführt DSGVO-konform Cookieless & ohne Tracking EU-Datenhaltung Made in Germany · Berlin Inhabergeführt

KI-Risikobewertung: Use Cases nach Wirkung und Kontrolle einstufen

Von Philip Schenk-Hana Stand: 17. Juli 2026
Kurz beantwortet

Bei einer KI-Risikobewertung zählen vier Dimensionen pro Anwendungsfall: die Wirkung auf Menschen (folgenreich oder harmlos), die Art der verarbeiteten Daten (unkritisch, personenbezogen, besonders sensibel), der Autonomiegrad des Systems (Assistenz mit Prüfung oder eigenständige Entscheidung) und Zahl sowie Schutzbedürftigkeit der Betroffenen. Wer nur das Tool freigibt statt jeden Anwendungsfall entlang dieser vier Dimensionen zu bewerten, übersieht die eigentlichen Risiken.

Stand: Juli 2026. Dieser Artikel ist keine Rechtsberatung – bei konkreten Fragen zu AI Act, DSGVO oder Haftung gehören Datenschutzbeauftragte oder Fachanwält:innen an den Tisch. Er ist Teil unseres Clusters KI-Governance, Datenschutz und Sicherheit.

Das Problem: Toolfreigabe ist keine Risikobewertung

„Ist ChatGPT freigegeben?” ist die falsche Frage. Die richtige lautet: „Für welchen Anwendungsfall, mit welchen Daten, mit wie viel Autonomie?” Die meisten KMU, die eine KI-Richtlinie aufsetzen, entscheiden pro Tool: freigegeben oder nicht. Das Problem dabei – ein und dasselbe Tool kann in einem Fall unkritisch sein und im nächsten hochriskant. Ein Chatbot, der Meeting-Notizen zusammenfasst, ist etwas grundlegend anderes als derselbe Chatbot, der eine Vorauswahl unter Bewerbungen trifft, auch wenn technisch dasselbe System dahintersteht.

Diese Unschärfe ist genau das Problem, das dieser Artikel löst: Toolfreigaben ohne Betrachtung von Zweck, Daten, Betroffenen und Autonomiegrad sind zu grob, um echte Risiken zu erkennen oder echte Freiräume zu erlauben. Der Artikel richtet sich an Geschäftsführung, Operations, IT und Fachbereich in KMU – an alle, die entscheiden müssen, welcher KI-Einsatz in ihrem Haus vertretbar ist und welcher nicht. Er zeigt eine praxistaugliche Methode, um Anwendungsfälle statt Tools zu bewerten, benennt die Kontrollen, die das Risiko tatsächlich senken, und markiert die Grenze, ab der eine juristische Prüfung nötig wird.

Begriffe: Risikobewertung, Risikoklasse und Anwendungsfall

  • KI-Risikobewertung ist hier die strukturierte Einschätzung, wie riskant ein konkreter KI-Anwendungsfall in deinem Unternehmen ist – nicht wie riskant ein Tool „an sich” ist. Ein Anwendungsfall ist die Kombination aus Zweck, verarbeiteten Daten, eingesetztem System und den Personen, die von der Ausgabe betroffen sind.
  • Risikoklasse im AI Act ist ein enger, rechtlich definierter Begriff: Die EU-Kommission unterscheidet unzulässige Praktiken, Hochrisiko-Systeme, Systeme mit besonderen Transparenzpflichten (etwa Chatbots oder synthetische Inhalte) und Systeme mit minimalem Risiko. Diese Klassifikation ist bindend, deckt aber nur einen Teil dessen ab, was ein Unternehmen intern bewerten muss – sie sagt nichts über Geschäftsgeheimnisse oder interne Datenschutzrisiken unterhalb der Hochrisiko-Schwelle aus.
  • Betrieblicher Risikorahmen ist die Ebene, auf der dieser Artikel ansetzt: eine praxistaugliche Einstufung, die AI-Act-Risikoklassen, Datenschutzrisiken und operative Risiken (Fehlentscheidungen, Reputationsschäden) zusammenführt – notwendig, weil die meisten Alltagsfälle in KMU unterhalb der rechtlichen Hochrisiko-Schwelle liegen, aber trotzdem sehr unterschiedlich riskant sind.

Welche Risikodimensionen zählen?

Bei einer KI-Risikobewertung zählen vier Dimensionen pro Anwendungsfall: die Wirkung auf Menschen, die Art der verarbeiteten Daten, der Autonomiegrad des Systems und Zahl sowie Schutzbedürftigkeit der Betroffenen. Wer nur das Tool freigibt statt jeden Anwendungsfall entlang dieser vier Dimensionen zu bewerten, übersieht die eigentlichen Risiken – denn dieselbe KI-Anwendung kann je nach Kontext harmlos oder hochriskant sein.

Diese vier Dimensionen sind mein eigenes Arbeitsmodell aus Beratungsprojekten – keine amtliche Klassifikation, aber eine, die sich direkt aus den offiziellen Quellen ableiten lässt: Die EU-Kommission stuft Systeme unter anderem danach ein, wie stark sie Gesundheit, Sicherheit oder Grundrechte beeinträchtigen können; die Datenschutzkonferenz stellt in ihrer Orientierungshilfe die Art der verarbeiteten Daten und die Möglichkeit menschlicher Intervention in den Mittelpunkt. Die folgende Matrix verbindet beides zu einem Werkzeug, das du direkt auf eure Anwendungsfälle anwenden kannst.

Risikomatrix: Anwendungsfälle nach Wirkung, Daten, Autonomie und Betroffenheit einstufen

DimensionNiedriges RisikoMittleres RisikoHohes Risiko
WirkungInterne Arbeitserleichterung ohne Außenwirkung (Notizen, Recherche, Formulierungshilfe)Ergebnis fließt in Kommunikation nach außen oder in Geschäftsentscheidungen mittlerer TragweiteErgebnis wirkt unmittelbar auf Menschen: Einstellung, Kreditvergabe, Vertragsbedingungen, Zugang zu Leistungen
DatenKeine personenbezogenen, keine vertraulichen DatenPersonenbezogene Daten allgemeiner Art (Name, Kontakt, Geschäftskontext)Besondere Kategorien nach Art. 9 DSGVO (Gesundheit, Herkunft, Gewerkschaft u. Ä.) oder Geschäftsgeheimnisse
AutonomieReine Assistenz, Ausgabe wird immer inhaltlich geprüftAusgabe wird stichprobenartig geprüft, teilautomatisierter ProzessAusgabe wirkt ohne Prüfung durch eine Person – das System entscheidet faktisch
BetroffenheitNiemand außerhalb des bearbeitenden Teams betroffenEinzelne externe Personen oder ein klar abgegrenzter Kreis betroffenGroße oder besonders schutzbedürftige Gruppen betroffen (Bewerbende, Kund:innen, Beschäftigte)

Praktisch bewertest du jeden Anwendungsfall auf allen vier Zeilen einzeln und nimmst die höchste erreichte Stufe als Gesamteinstufung – ein Fall mit niedrigem Datenrisiko, aber hoher Autonomie und hoher Wirkung, ist insgesamt ein Hochrisikofall. Diese „schwächstes Glied”-Logik verhindert, dass eine einzelne unkritische Dimension über die anderen hinwegtäuscht.

Wie unterscheidet man Assistenz und Entscheidung?

Die Trennlinie ist einfach zu formulieren und in der Praxis trotzdem oft unscharf: Bei Assistenz bleibt ein Mensch die letzte Instanz, bevor die Ausgabe wirkt. Bei einer Entscheidung wirkt die KI-Ausgabe direkt, ohne dass jemand sie vorher inhaltlich prüft und gegebenenfalls korrigiert.

Die Datenschutzkonferenz nennt in ihrer Orientierungshilfe zu technischen und organisatorischen Maßnahmen die „Intervenierbarkeit” als eigenes Gewährleistungsziel: Verantwortliche müssen jederzeit in der Lage sein, in eine Verarbeitung einzugreifen, insbesondere wenn Ausgaben eines KI-Systems durch Anwender:innen oder menschliche Kontrolleur:innen in Frage gestellt werden können sollen. Das ist im Kern die Assistenz-Anforderung: Es muss real möglich sein, eine Ausgabe zu hinterfragen, bevor sie wirkt – nicht nur theoretisch vorgesehen sein.

Rechtlich wird diese Grenze durch Art. 22 DSGVO markiert, den die Datenschutzkonferenz in ihrer Orientierungshilfe explizit als Prüfpunkt nennt: Betroffene haben grundsätzlich das Recht, nicht einer ausschließlich automatisierten Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung unterworfen zu werden. In der Praxis heißt das: Sobald eine KI-Ausgabe – etwa eine automatische Vorauswahl von Bewerbungen oder eine automatisierte Bonitätsbewertung – ohne wirksame menschliche Prüfung in eine Entscheidung über eine Person mündet, verlässt der Anwendungsfall die Assistenz-Kategorie und erreicht die höchste Risikostufe der Matrix oben, unabhängig davon, wie „harmlos” das eingesetzte Tool sonst wirkt.

Wichtig für die Praxis: Eine formal vorgesehene Prüfung, die faktisch nie stattfindet – weil niemand Zeit hat oder die Vorschläge blind übernommen werden – ist keine Assistenz. Sie ist eine Entscheidung mit einem zusätzlichen, wirkungslosen Schritt davor.

Welche Daten erhöhen Risiko?

Am stärksten erhöhen besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO das Risiko – etwa Gesundheitsdaten, ethnische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit oder biometrische Daten. Die Datenschutzkonferenz verlangt in ihrer Orientierungshilfe, dass die Nutzung solcher Daten für ein KI-System besonders geprüft und begründet wird, und empfiehlt, generalisierte statt präzise Attribute zu bevorzugen – etwa nur das Geburtsjahr statt des vollständigen Datums.

Direkt danach folgen allgemeine personenbezogene Daten (Namen, Kontaktdaten, Beschäftigungshistorie) und Geschäftsgeheimnisse – beides Daten, die zwar nicht unter die verschärften Regeln des Art. 9 DSGVO fallen, deren Abfluss an einen KI-Anbieter aber ebenfalls schwer rückgängig zu machen ist.

Zwei Effekte machen die Einschätzung schwieriger, als sie klingt:

  • Proxy-Merkmale. Die Datenschutzkonferenz warnt ausdrücklich davor, dass scheinbar unkritische Daten sensible Attribute indirekt verraten können – die Postleitzahl etwa als Stellvertreter für Herkunft. Ein Datensatz kann also formal keine „besonderen Kategorien” enthalten und trotzdem ein entsprechendes Risiko tragen.
  • Verkettung im Training. Aus Bild-, Sprach- oder Textdaten lassen sich beim Training häufig mehr Informationen ableiten, als für den eigentlichen Zweck gebraucht werden – etwa Stimmung oder gesundheitliche Hinweise aus Gesichtsbildern. Für den Betrieb fertiger KI-Systeme heißt die praktische Konsequenz: Prüfe nicht nur, welche Daten du eingibst, sondern auch, welche Rückschlüsse aus diesen Daten plausibel möglich sind.

Für die Matrix oben bedeutet das: Bei der Zeile „Daten” zählt nicht nur die formale Kategorie, sondern auch das realistische Ableitungspotenzial. Im Zweifel stufst du eine Dimension eine Stufe höher ein, statt das Risiko kleinzurechnen.

Welche Kontrollen senken es?

Wirksam sind vor allem: menschliche Prüfung vor jeder wirkenden Ausgabe, ein Berechtigungskonzept mit eingeschränktem Systemzugriff, Protokollierung, Validierung von KI-Ausgaben vor Weitergabe an Backend-Systeme und klare Zuständigkeiten. BSI und Datenschutzkonferenz nennen diese Maßnahmen unabhängig voneinander als Kern jeder KI-Absicherung – das macht sie zu einem soliden gemeinsamen Nenner für KMU ohne eigenes Sicherheitsteam.

Konkret aus dem BSI Management-Blitzlicht zu generativer KI, gestaffelt nach Integrationstiefe:

  • Bei manueller Nutzung von KI-Schnittstellen: Demand Management einführen (Ist-Stand und Übersicht der genutzten KI-Systeme), geltende rechtliche Bedingungen ermitteln, Anbieterkriterien mit Blick auf Transparenz und Serverstandort festlegen, betriebliche statt privater Accounts mit datensparsamer Konfiguration nutzen, KI-Leitlinien mit klaren Zwecken pro Tool aufstellen.
  • Bei API-Integration in eigene Anwendungen: Rollen und Verantwortlichkeiten eindeutig zuweisen, KI-Prozesse ins bestehende IT-Sicherheitsmanagement integrieren, Systeme und Datenbanken auflisten, auf die das KI-System Zugriff hat, und diesen Zugriff einschränken, KI-Ausgaben validieren, bevor sie an Backend-Systeme weitergegeben werden, Verwendungszweck und freigegebene Daten je Anwendung festlegen.
  • Beim Aufbau eigener KI-Systeme: zusätzlich ein Berechtigungskonzept für das System erstellen, Datenschutzbeauftragte von Beginn an einbeziehen, ein AI-Expert- und AI-Security-Team aufbauen, AI-Security-Tests etablieren, die Supply Chain der KI-Komponenten verfolgen und Model Cards für eingekaufte oder Open-Source-Modelle anfordern.

Aus der Orientierungshilfe der Datenschutzkonferenz ergänzend die datenschutzrechtliche Seite: Datenminimierung (nur notwendige Daten, generalisierte Attribute), Vertraulichkeit (Zugriffsbeschränkung, Verschlüsselung, Techniken wie Differential Privacy gegen ungewolltes Preisgeben von Trainingsdaten), Integrität (Prüfung der Datenqualität, Schutz vor Data Poisoning) und Transparenz (Dokumentation von Zweck, Rechtsgrundlage und eingesetzten Methoden).

Eine einfache Faustregel aus meiner Beratungspraxis: Je höher ein Anwendungsfall in der Matrix oben eingestuft ist, desto mehr dieser Kontrollen solltest du tatsächlich umsetzen – nicht nur dokumentieren. Für Fälle mit niedrigem Risiko reicht häufig ein freigegebenes Tool mit sauberer Konfiguration. Für Fälle mit hoher Wirkung und hoher Autonomie brauchst du die vollständige Liste, inklusive Validierung jeder einzelnen Ausgabe.

Wann braucht man juristische Prüfung?

Spätestens wenn ein Anwendungsfall in die Nähe eines Hochrisiko-Szenarios nach AI Act rückt, besondere Kategorien personenbezogener Daten verarbeitet, automatisiert über Personen entscheidet oder die Schwelle einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erreicht, reicht eine interne Einschätzung nicht mehr aus.

Konkrete Auslöser aus den offiziellen Quellen:

  1. Hochrisiko-Nähe nach AI Act. Die EU-Kommission ordnet Systeme in kritischer Infrastruktur, Bildungsbewertung, Beschäftigung oder Strafverfolgung der Hochrisiko-Kategorie zu, verbunden mit strengen Pflichten zu Risikobewertung, Datenqualität, Protokollierung, Dokumentation und menschlicher Aufsicht. Der AI Act ist am 1. August 2024 in Kraft getreten; Verbote und die KI-Kompetenzpflicht gelten seit dem 2. Februar 2025, weitere Pflichten folgen gestaffelt bis 2026 und darüber hinaus. Wenn ein Anwendungsfall auch nur möglicherweise in eine dieser Kategorien fällt, ist eine rechtliche Einordnung Pflicht, keine Kür.
  2. Automatisierte Entscheidungen mit erheblicher Wirkung. Sobald Art. 22 DSGVO greifen könnte – also eine ausschließlich automatisierte Entscheidung mit rechtlicher oder vergleichbar erheblicher Wirkung auf eine Person –, ist juristische Prüfung angezeigt, unabhängig von der Unternehmensgröße.
  3. Hohes Risiko für Rechte und Freiheiten Betroffener. Die Datenschutzkonferenz verweist auf Art. 35 DSGVO: Hat eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, muss eine Datenschutz-Folgenabschätzung durchgeführt werden. Bei KI-Systemen mit größerem Datenumfang ist das nach Einschätzung der Datenschutzkonferenz häufig der Fall.
  4. Unklare Vertragslage mit dem Anbieter. Fehlender Auftragsverarbeitungsvertrag, unklare Trainingsnutzung eurer Eingaben oder Serverstandorte außerhalb der EU sind für sich genommen noch kein Grund für eine vollständige Rechtsprüfung, sollten aber mit in die Entscheidung einfließen, ob ihr eine hinzuzieht.

Die praktische Konsequenz: Trifft mindestens einer dieser vier Punkte zu, gehört der Anwendungsfall nicht mehr allein in die Hände von IT oder Fachbereich. Wer an dieser Stelle spart, verschiebt das Risiko nur zeitlich – meist in einen Moment, in dem es teurer wird, es zu beheben.

Umsetzung: eine Risikobewertung in vier Schritten aufsetzen

Als Bandbreite für ein KMU mit 20 bis 200 Beschäftigten, unter der Annahme, dass eine Person das Thema verantwortlich treibt:

  1. Anwendungsfälle statt Tools erfassen. Sammle nicht „welche Tools sind im Einsatz”, sondern „wofür wird welches Tool mit welchen Daten genutzt”. Ein Tool kann in mehreren Zeilen deiner Liste auftauchen, wenn es für unterschiedliche Zwecke verwendet wird.
  2. Jeden Anwendungsfall durch die Matrix laufen lassen. Wirkung, Daten, Autonomie, Betroffenheit einzeln bewerten, höchste Stufe als Gesamtrisiko übernehmen. Bei Unsicherheit lieber eine Stufe höher ansetzen als niedriger.
  3. Kontrollen nach Risikostufe zuordnen. Niedrige Fälle: freigegebenes Tool mit sauberer Konfiguration reicht meist. Mittlere Fälle: zusätzlich Berechtigungskonzept und stichprobenartige Prüfung. Hohe Fälle: vollständige Kontrollliste aus dem Abschnitt oben, plus Punkt 4.
  4. Prüfliste für juristische Eskalation anlegen. Die vier Auslöser aus dem Abschnitt oben als feste Checkfragen in den Freigabeprozess einbauen, damit die Eskalation nicht vom Zufall abhängt, wer den Fall zuerst sieht.

Dieser Ablauf lässt sich in ein bis zwei Wochen für die ersten zehn bis zwanzig Anwendungsfälle durchziehen, wenn die Fachbereiche mitwirken – die Erfahrung aus Beratungsprojekten zeigt aber, dass die eigentliche Arbeit danach beginnt: Die Matrix muss bei jedem neuen Anwendungsfall neu angewendet werden, nicht nur einmalig beim Rollout. Wenn ihr dabei Unterstützung wollt, ist die strukturierte Erfassung eurer KI-Nutzung und Leitplanken genau der Kern unserer KI-Beratung; ein unverbindliches Erstgespräch reicht, um einzuschätzen, wie viele Anwendungsfälle bei euch tatsächlich in die höheren Risikostufen fallen.

Risiken und Grenzen dieses Ansatzes

  • Die Matrix ersetzt keine Rechtsprüfung. Sie ist ein Priorisierungswerkzeug, um zu erkennen, wo genauer hingeschaut werden muss – keine rechtssichere Klassifikation im Sinne des AI Act oder der DSGVO. Bei Grenzfällen entscheidet am Ende eine juristische Einschätzung, nicht die Matrix.
  • Selbsteinschätzung hat blinde Flecken. Wer die eigenen Anwendungsfälle bewertet, neigt dazu, Wirkung oder Autonomiegrad zu unterschätzen, gerade wenn ein Tool schon länger im Einsatz ist. Eine zweite Person oder ein externer Blick auf die Einstufung senkt dieses Risiko.
  • Die Rechtslage entwickelt sich weiter. Der AI Act tritt gestaffelt in Kraft, weitere Pflichten und Auslegungen folgen bis mindestens 2028. Eine Einstufung von heute kann in einem Jahr überholt sein – Stand Juli 2026 ist ausdrücklich als solcher zu lesen, nicht als Dauerzustand.
  • Konformität ist kein Ergebnis eines Formulars. Eine sauber ausgefüllte Matrix und dokumentierte Kontrollen senken das Risiko erheblich, garantieren aber weder DSGVO- noch AI-Act-Konformität im Einzelfall.

Checkliste: KI-Risikobewertung pro Anwendungsfall

  • Anwendungsfall statt Tool beschrieben: Zweck, eingesetztes System, verarbeitete Daten
  • Wirkung eingestuft: intern/harmlos, extern/mittlere Tragweite, unmittelbar wirkend auf Personen
  • Datenkategorie eingestuft: unkritisch, personenbezogen allgemein, besondere Kategorien nach Art. 9 DSGVO
  • Proxy-Merkmale und Ableitungspotenzial geprüft, nicht nur die formale Datenkategorie
  • Autonomiegrad eingestuft: reine Assistenz mit realer Prüfung, teilautomatisiert, wirkt ohne Prüfung
  • Betroffenenkreis eingestuft: niemand extern, einzelne Externe, große oder schutzbedürftige Gruppen
  • Höchste Einzelstufe als Gesamtrisiko übernommen, im Zweifel aufgerundet
  • Kontrollen entsprechend der Risikostufe zugeordnet und tatsächlich umgesetzt, nicht nur dokumentiert
  • Vier Eskalationsauslöser geprüft: Hochrisiko-Nähe AI Act, Art. 22 DSGVO, Art. 35 DSGVO, unklare Anbieter-Vertragslage
  • Bei mindestens einem zutreffenden Auslöser: Datenschutzbeauftragte oder Fachanwält:innen eingebunden
  • Einstufung dokumentiert und mit Datum versehen, damit sie bei Änderungen überprüfbar ist
  • Review-Rhythmus festgelegt, mindestens bei jedem neuen Anwendungsfall oder jeder wesentlichen Änderung eines bestehenden

Eine Toolfreigabe beantwortet die falsche Frage. Wer stattdessen jeden Anwendungsfall entlang von Wirkung, Daten, Autonomie und Betroffenheit einstuft, bekommt eine Einschätzung, die tatsächlich zur nächsten Entscheidung taugt – und weiß, wann diese Entscheidung nicht mehr allein im Unternehmen fallen darf.

Häufige Fragen

Welche Risikodimensionen zählen bei einer KI-Risikobewertung?

Vier: die Wirkung einer Entscheidung auf Menschen, die Art der verarbeiteten Daten, der Autonomiegrad des Systems und Zahl sowie Schutzbedürftigkeit der Betroffenen. Erst die Kombination aller vier Dimensionen pro Anwendungsfall ergibt ein belastbares Risikobild – eine reine Toolfreigabe ohne diese Differenzierung ist zu grob.

Wie unterscheidet man Assistenz und Entscheidung?

Bei Assistenz bleibt ein Mensch die letzte Instanz: Das System liefert einen Entwurf, eine Einschätzung oder eine Zusammenfassung, die vor Wirkung geprüft wird. Bei einer Entscheidung wirkt die KI-Ausgabe direkt – etwa wenn eine Bewerbung automatisch aussortiert wird. Sobald ein Mensch die Ausgabe nicht mehr inhaltlich prüft, bevor sie wirkt, liegt eine Entscheidung vor, keine Assistenz mehr.

Welche Daten erhöhen das Risiko?

Am stärksten erhöhen besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO das Risiko – etwa Gesundheits-, Herkunfts- oder Gewerkschaftsdaten –, gefolgt von allgemeinen personenbezogenen Daten und Geschäftsgeheimnissen. Auch scheinbar harmlose Angaben können in Kombination Personenbezug herstellen; die Datenschutzkonferenz warnt zudem vor Proxy-Merkmalen wie der Postleitzahl als Stellvertreter für sensible Attribute.

Welche Kontrollen senken das Risiko?

Wirksam sind vor allem: menschliche Prüfung vor jeder wirkenden Ausgabe, ein Berechtigungskonzept mit eingeschränktem Systemzugriff, Protokollierung, Validierung von KI-Ausgaben vor Weitergabe an Backend-Systeme und klare Zuständigkeiten. BSI und Datenschutzkonferenz nennen diese Maßnahmen unabhängig voneinander als Kern jeder KI-Absicherung.

Wann braucht man juristische Prüfung?

Spätestens wenn ein Anwendungsfall in die Nähe eines Hochrisiko-Szenarios nach AI Act rückt, besondere Kategorien personenbezogener Daten verarbeitet, automatisiert über Personen entscheidet oder die Schwelle einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erreicht. Eigenprüfung reicht dann nicht mehr – hol Datenschutzbeauftragte oder Fachanwält:innen dazu.

Quellen

Weiterlesen

Wo lohnt sich das bei euch zuerst?

Kostenloser Erstcheck: 45 Minuten, wir schauen auf eure Prozesse und priorisieren, was Wirkung bringt.

Kostenlosen Erstcheck anfragen →