DSGVO-konform Cookieless & ohne Tracking EU-Datenhaltung Made in Germany · Berlin Inhabergeführt
DSGVO-konform Cookieless & ohne Tracking EU-Datenhaltung Made in Germany · Berlin Inhabergeführt DSGVO-konform Cookieless & ohne Tracking EU-Datenhaltung Made in Germany · Berlin Inhabergeführt

KI-Tool-Verzeichnis aufbauen: Nutzung, Daten und Verantwortliche erfassen

Von Philip Schenk-Hana Stand: 17. Juli 2026
Kurz beantwortet

Ins KI-Tool-Verzeichnis gehört jedes System, das im Unternehmen mit euren Daten arbeitet und dabei KI-Funktionen nutzt – vom offiziell eingeführten Chatbot bis zur KI-Funktion, die in Office-, CRM- oder Buchhaltungssoftware bereits mitläuft. Entscheidend ist nicht das Etikett „KI“, sondern ob das System personenbezogene oder vertrauliche Geschäftsdaten verarbeitet. Reine Testzugänge ohne echte Daten gehören mit Status „getestet, nicht produktiv“ ebenfalls hinein – sonst entstehen genau dort blinde Flecken.

Ein Marketing-Mitarbeiter nutzt einen KI-Chatbot für Kampagnentexte, privat lizenziert. Das CRM hat seit dem letzten Update eine KI-Funktion zur Lead-Bewertung, die niemand aktiv eingerichtet hat, aber die längst läuft. Die Buchhaltung testet ein Tool zur Belegerkennung. Fragt man die Geschäftsführung, welche KI-Systeme im Unternehmen mit welchen Daten arbeiten, bekommt man selten eine vollständige Antwort – meist eine Vermutung. Das ist der eigentliche Ausgangspunkt dieses Artikels: Ohne Inventar ist unklar, welche KI-Dienste Daten verarbeiten und wer dafür verantwortlich ist.

Dieser Artikel gehört zum Themen-Cluster KI-Governance. Er beantwortet konkret: Welche Systeme gehören in ein KI-Tool-Verzeichnis, welche Datenfelder braucht es, wie erfasst man Zweck und Anbieter, wie bewertet man das Risiko, und wie bleibt das Verzeichnis aktuell. Am Ende steht eine Tabellenvorlage, die du direkt als Startpunkt nutzen kannst.

Problem und Zielgruppe

Ein KI-Tool-Verzeichnis ist im Kern nichts anderes als ein Verzeichnis von Verarbeitungstätigkeiten, nur mit KI-spezifischem Fokus: Welches System verarbeitet welche Daten, zu welchem Zweck, unter wessen Verantwortung. Der Unterschied zu klassischer Software-Inventarisierung ist die Geschwindigkeit, mit der neue KI-Funktionen auftauchen – oft nicht als bewusste Einführung, sondern als stillschweigendes Update einer Software, die schon lange im Einsatz ist.

Drei Gruppen brauchen dieses Verzeichnis aus unterschiedlichen Gründen: Die Geschäftsführung, weil sie datenschutzrechtlich verantwortlich ist und im Zweifel haftet, auch für Systeme, von deren Existenz sie nichts wusste. Operations und IT, weil sie Anbieter prüfen, Zugriffe steuern und im Ernstfall schnell wissen müssen, welche Systeme betroffen sind. Und Fachbereiche, weil sie am ehesten wissen, welche Tools tatsächlich im Alltag genutzt werden – oft mehr, als IT und Geschäftsführung vermuten.

Das Problem ist selten böser Wille. Es ist fehlende Sichtbarkeit. Ein Tool wird von einer einzelnen Person eingeführt, weil es einen echten Engpass löst, ohne dass jemand außerhalb des Teams davon erfährt. Multipliziert über mehrere Abteilungen und mehrere Monate entsteht ein Flickenteppich aus Diensten, den niemand mehr überblickt – bis eine Anfrage nach Auskunft, eine Datenschutzprüfung oder ein Sicherheitsvorfall die Lücke sichtbar macht.

Begriffe kurz geklärt

KI-Tool-Verzeichnis (auch KI-Systeminventar) ist die strukturierte Liste aller im Unternehmen eingesetzten Systeme mit KI-Funktion, inklusive Zweck, Datenverarbeitung, Anbieter und Verantwortlichkeit. Es ist kein Software-Asset-Management im klassischen Sinn (das erfasst Lizenzen und Geräte), sondern ergänzt dieses um die datenschutz- und risikorelevanten Aspekte, die bei KI-Systemen zusätzlich wichtig werden.

Schatten-KI bezeichnet KI-Nutzung, die außerhalb offizieller Freigaben stattfindet – meist mit privaten Accounts und ohne Prüfung durch IT oder Datenschutz. Das Verzeichnis ist eines der wirksamsten Mittel dagegen, weil es Schatten-KI erst überhaupt sichtbar macht.

Verantwortlicher im Sinne der DSGVO ist, wer über Zwecke und Mittel der Datenverarbeitung entscheidet. Bei den meisten im Unternehmen eingesetzten KI-Anwendungen ist das Unternehmen selbst der Verantwortliche, auch wenn ein externer Anbieter das System betreibt – dieser handelt dann in der Regel als Auftragsverarbeiter.

Geschlossenes versus offenes System ist eine Unterscheidung, die für die Risikobewertung wichtig wird: Bei geschlossenen Systemen bleiben Ein- und Ausgabedaten in einer abgeschlossenen Umgebung, ohne dass der Anbieter sie zu anderen Zwecken weiterverwendet. Bei offenen Systemen – etwa vielen Cloud-Chatbots in Standardkonfiguration – können Eingaben den geschützten Bereich verlassen und etwa zum Training verwendet werden, sofern nicht ausdrücklich anders konfiguriert.

Welche Systeme gehören ins Verzeichnis?

Die kurze Antwort: alles, was mit KI-Funktion auf Daten deines Unternehmens zugreift, unabhängig davon, ob es offiziell eingeführt wurde. In der Praxis lohnt sich eine Einteilung in drei Kategorien, weil sie unterschiedlich schwer zu finden sind:

  • Offiziell eingeführte KI-Tools. Ein Chatbot mit Firmenlizenz, eine KI-gestützte Textprüfung, ein Transkriptionsdienst für Meetings. Diese sind meist bekannt, aber selten vollständig dokumentiert.
  • KI-Funktionen in bestehender Software. Viele CRM-, ERP- und Office-Systeme bekommen KI-Funktionen per Update dazu – Lead-Scoring, automatische Zusammenfassungen, Bildgenerierung in Präsentationssoftware. Diese werden am häufigsten übersehen, weil niemand aktiv „ein neues Tool eingeführt“ hat.
  • Individuell genutzte Dienste (Schatten-KI). Von Einzelpersonen oder Teams genutzte Tools ohne offizielle Freigabe, häufig mit privaten oder informell geteilten Accounts. Diese sind am schwersten zu finden, aber am wichtigsten zu erfassen, weil hier die geringste Kontrolle über Daten besteht.

Ein Punkt aus der Praxis, den ich in Projekten regelmäßig sehe: Auch getestete, aber nicht produktiv genutzte Systeme gehören hinein, mit dem Status „im Test“. Sonst verschwinden Testphasen aus dem Blick, sobald das Projekt in den Alltag übergeht – und genau dann fehlt die Dokumentation, wann und mit welchen Daten getestet wurde.

Nicht jedes System braucht denselben Detailgrad. Ein Tool ohne jeden Datenbezug (zum Beispiel eine rein interne Kartierungs-KI ohne Personenbezug) benötigt weniger Prüfung als ein System, das Kundendaten oder Bewerbungsunterlagen verarbeitet. Die Datenfelder im nächsten Abschnitt helfen, diese Unterscheidung strukturiert zu treffen statt sie dem Gefühl zu überlassen.

Welche Datenfelder braucht ein KI-Tool-Verzeichnis?

Zu viele Felder, und niemand pflegt das Verzeichnis. Zu wenige, und es nützt im Ernstfall nichts. Aus Beratungsprojekten hat sich für KMU ein Satz von Feldern bewährt, der beide Seiten balanciert. Die folgende Vorlage kannst du direkt als CSV-Grundgerüst übernehmen:

FeldBeschreibungBeispiel
System/ToolName des DienstesBeispiel-Chatbot Pro
ZweckWofür eingesetzt, in einem SatzEntwürfe für Kundenanschreiben
KategorieOffiziell / Software-Feature / Schatten-KIOffiziell eingeführt
Anbieter & SitzFirma, Land des AnbietersAnbieter GmbH, Sitz EU
Genutzt vonAbteilung/Rolle, nicht EinzelpersonVertrieb, Kundenservice
DatenkategorienWelche Datenarten fließen einKundennamen, E-Mail-Text
PersonenbezugJa/Nein, ggf. besondere Kategorie (Art. 9 DSGVO)Ja, keine besondere Kategorie
System-TypGeschlossen/offen (siehe Begriffsklärung)Geschlossen, kein Training auf Eingaben
RechtsgrundlageNach welcher Grundlage verarbeitet wirdBerechtigtes Interesse
AuftragsverarbeitungAVV vorhanden Ja/Nein/n. a.Ja, AVV seit 2026-03
Risikostufeniedrig/mittel/hochmittel
DSFA erforderlichJa/Nein/geprüft amNein, geprüft 2026-04
Verantwortlich (Owner)Name/Rolle, nicht „IT“ pauschalTeamleitung Vertrieb
Freigabestatusfreigegeben/im Test/gesperrtfreigegeben
Letzte PrüfungDatum2026-07

Eigene Vorlage Philogic Labs für ein KI-Systeminventar in KMU. Die Feldnamen orientieren sich an den datenschutzrechtlichen Mindestanforderungen für ein Verzeichnis von Verarbeitungstätigkeiten, ergänzt um KI-spezifische Felder wie System-Typ und Risikostufe.

Ein gefüllter Beispieleintrag zur Veranschaulichung: Ein KMU führt einen Übersetzungsdienst für Angebote ein, Kategorie „offiziell eingeführt“, genutzt von Vertrieb, Datenkategorien „Angebotstexte, ggf. Firmennamen von Kontaktpersonen“, Personenbezug „ja, kein besonderer Kategoriebezug“, System-Typ „geschlossen, kein Training auf Eingaben laut Konfiguration“, Rechtsgrundlage „berechtigtes Interesse an effizienter Kommunikation“, Auftragsverarbeitung „ja, AVV liegt vor“, Risikostufe „niedrig“, Owner „Vertriebsleitung“. Genau dieser Detailgrad – nicht mehr, nicht weniger – reicht für die meisten Einstiegs-Tools.

Wichtig: „Verantwortlich“ ist immer eine Person oder klar benannte Rolle, nie „die IT“ als Sammelbegriff. Ohne konkreten Namen bleibt die Spalte in der Praxis wirkungslos.

Wie erfasst man Zweck und Anbieter?

Den Zweck solltest du vor dem Einsatz festlegen, nicht danach dokumentieren. Das ist mehr als Formalismus: Nur wenn vorher klar ist, wofür ein System eingesetzt werden darf, lässt sich später beurteilen, ob eine tatsächliche Nutzung noch im Rahmen liegt oder bereits „Zweckerweiterung“ ist – etwa wenn ein Tool, das für interne Notizen freigegeben wurde, plötzlich für Kundenkorrespondenz genutzt wird. Ein knapper, konkreter Satz reicht: nicht „KI im Vertrieb“, sondern „Entwürfe für Erstantworten auf Anfragen im Kundenservice, die vor Versand geprüft werden“.

Beim Anbieter reichen für den Einstieg drei Angaben: Firmenname, Sitz des Unternehmens beziehungsweise der Server (innerhalb oder außerhalb der EU – relevant für Drittstaatenübermittlungen) und ob ein Auftragsverarbeitungsvertrag vorliegt. Ist der Anbieter außerhalb der EU ansässig, lohnt sich ein zweiter Blick auf die Übermittlungsgrundlage; das ist ein Punkt, den du im Zweifel mit Datenschutzberatung klärst, nicht allein entscheidest.

Zwei praktische Hinweise, die in Projekten häufig übersehen werden: Erstens, Firmenaccounts statt privater Zugänge einrichten – nicht nur aus Ordnungsgründen, sondern weil private Accounts einzelner Mitarbeitender keine saubere Trennung von Firmen- und Privatdaten erlauben und beim Weggang der Person das Wissen mitnehmen. Zweitens, bei der Kontoeinrichtung datensparsame Konfigurationen wählen: Verwendung der Eingaben fürs Training deaktivieren, wo möglich, und Löschfristen für Chatverläufe setzen. Das reduziert den Prüfaufwand für jeden einzelnen Eintrag im Verzeichnis spürbar.

Wie bewertet man das Risiko?

Eine vollständige Risikoklassifizierung nach EU AI Act ist komplex und im Zweifel eine Frage für Rechtsberatung. Für den Alltag im KMU reicht eine pragmatische Einstufung, die auf drei Fragen basiert:

  1. Werden personenbezogene Daten verarbeitet, darunter besonders geschützte Kategorien (Gesundheitsdaten, religiöse Überzeugung, Gewerkschaftszugehörigkeit u. Ä.)? Je sensibler die Datenkategorie, desto höher die Stufe.
  2. Trifft oder unterstützt das System Entscheidungen mit Wirkung für Personen – etwa bei Bewerbungsauswahl, Leistungsbewertung oder Kreditvergabe? Vollautomatisierte Entscheidungen mit Rechtswirkung sind nach Art. 22 DSGVO grundsätzlich nur eingeschränkt zulässig; ein Mensch muss echten Entscheidungsspielraum haben, nicht nur formal beteiligt sein.
  3. Ist es ein offenes System, bei dem Eingaben das Unternehmen verlassen und möglicherweise zu anderen Zwecken weiterverarbeitet werden, oder ein geschlossenes System mit begrenztem Anwenderkreis?

Aus diesen drei Fragen lässt sich eine einfache dreistufige Einordnung ableiten:

RisikostufeTypisches MusterKonsequenz fürs Verzeichnis
NiedrigKein oder nur geringer Personenbezug, geschlossenes System, keine automatisierte EntscheidungGrundfelder ausfüllen, jährliche Prüfung reicht
MittelPersonenbezogene Daten ohne besondere Kategorie, geschlossenes oder gut konfiguriertes offenes SystemVollständige Felder, AVV-Prüfung, halbjährliche Prüfung
HochBesondere Kategorien personenbezogener Daten, automatisierte oder stark vorbereitende Entscheidungen über Personen, offenes System mit DrittstaatenbezugDatenschutz-Folgenabschätzung prüfen, Datenschutzbeauftragte einbinden, quartalsweise Prüfung

Eigene Risikomatrix Philogic Labs, abgeleitet aus den Bewertungskriterien der DSK-Orientierungshilfe zu KI und Datenschutz sowie den Risikostufen des EU AI Act. Sie ersetzt keine rechtliche Prüfung, sondern strukturiert die Vorauswahl.

Wo eine Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten Betroffener mit sich bringt, ist nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung erforderlich – bei KI-Anwendungen ist das nach Einschätzung der Datenschutzkonferenz häufig der Fall. Ist der Anbieter nicht gleichzeitig Entwickler des Systems, ist man für diese Prüfung auf dessen Informationen zur Funktionsweise angewiesen; das ist ein guter Grund, danach schon bei der Anbieterauswahl zu fragen, statt es erst im Ernstfall zu merken.

Der EU AI Act ergänzt diese datenschutzrechtliche Perspektive um eine eigene Risikoklassifizierung mit vier Stufen – von verbotenen Praktiken über Hochrisiko-Systeme und Transparenzpflichten bis zu minimalem Risiko. Seit dem 2. Februar 2025 gelten die Verbote bestimmter Praktiken sowie die KI-Kompetenzpflicht nach Artikel 4, seit dem 2. August 2025 die Regeln für Modelle mit allgemeinem Verwendungszweck; ab dem 2. August 2026 wird die Verordnung weitgehend anwendbar. Für die meisten im Verzeichnis erfassten Einstiegs-Tools eines KMU – Texterstellung, Übersetzung, Zusammenfassung mit menschlicher Prüfung – bewegt sich das Risiko im unteren bis mittleren Bereich. Sobald ein System Entscheidungen über Bewerbungen, Beschäftigte oder Kreditwürdigkeit vorbereitet, wird ein Blick in die Hochrisiko-Kategorien der Verordnung Pflicht (Stand Juli 2026, keine Rechtsberatung – im Zweifel gehört das zu Datenschutzbeauftragten oder Rechtsberatung).

Wie bleibt das Verzeichnis aktuell?

Ein Verzeichnis, das einmal erstellt und nie aktualisiert wird, ist nach wenigen Monaten so unvollständig wie gar keines – nur mit dem zusätzlichen Risiko, ein falsches Gefühl von Kontrolle zu erzeugen. Aus meiner Erfahrung helfen drei feste Anlässe mehr als jeder gute Vorsatz:

  • Bei jeder Einführung. Kein neues KI-Tool ohne Verzeichniseintrag – das gehört in die KI-Leitlinie, nicht nur in eine unverbindliche Empfehlung. Am wirksamsten ist es, den Eintrag zur Voraussetzung für die Freigabe eines Firmenaccounts zu machen: kein Account ohne Eintrag.
  • Bei jeder relevanten Änderung. Anbieterwechsel, neue Funktionen, neue Nutzergruppe – jeder dieser Punkte kann Zweck, Risikostufe oder Rechtsgrundlage verändern und braucht eine Aktualisierung, nicht erst die nächste turnusmäßige Prüfung.
  • Turnusmäßig, mindestens vierteljährlich. Ein fester Termin im Kalender der verantwortlichen Person, an dem alle Einträge durchgegangen werden: Wird das Tool noch genutzt? Hat sich der Anbieter geändert? Ist die Risikoeinstufung noch aktuell? Technische Entwicklungen und Updates sind bei KI-Systemen schneller als bei klassischer Software – eine Routine im Rahmen des betrieblichen Datenschutzmanagements ist hier keine Kür, sondern Voraussetzung dafür, dass das Verzeichnis überhaupt etwas wert ist.

Ohne benannte verantwortliche Person für die Pflege insgesamt – nicht nur pro Eintrag, sondern für das Verzeichnis als Ganzes – verwaist diese Routine erfahrungsgemäß nach wenigen Monaten. Das ist derselbe Mechanismus wie bei jeder anderen Dokumentation im Unternehmen: Ohne Owner passiert nichts, was nicht gerade brennt.

Umsetzung: In vier Schritten zum ersten Verzeichnis

1. Bestandsaufnahme (1–2 Wochen). Kurze, strukturierte Gespräche mit jeder Abteilung: Welche Tools mit KI-Funktion nutzt ihr, offiziell oder inoffiziell? Ergänzend ein Blick in Rechnungen und Softwarelisten – viele KI-Funktionen kommen als Teil bestehender Abos, ohne eigene Rechnung.

2. Ersterfassung (wenige Tage bei 10–20 Tools). Die Vorlage aus diesem Artikel für jedes gefundene System ausfüllen. Wo Informationen fehlen (etwa zur Rechtsgrundlage oder zum genauen Anbieter-Setup), das Feld als offen markieren statt zu raten – ein ehrliches „noch zu klären“ ist wertvoller als eine falsche Eintragung.

3. Erste Risikobewertung. Mit der Matrix aus dem Abschnitt zur Risikobewertung jeden Eintrag grob einstufen. Bei „hoch“ eingestuften Systemen: Datenschutzbeauftragte oder externe Beratung einbeziehen, bevor der Einsatz fortgesetzt wird.

4. Verantwortlichkeiten und Turnus festlegen. Eine Person für die Gesamtpflege benennen, einen Owner pro Eintrag, den ersten Quartalstermin in den Kalender setzen. Erst mit diesem Schritt wird aus einer Liste ein funktionierendes Verzeichnis.

Wer diesen Prozess lieber begleitet durchführen möchte, statt ihn allein aufzusetzen: In Schulungen vermitteln wir Teams das Grundverständnis für den Umgang mit KI-Systemen, das die KI-Kompetenzpflicht ohnehin verlangt – eine gute Ergänzung zur reinen Inventarisierung.

Risiken & Grenzen

Ein Verzeichnis löst kein Datenschutzproblem von allein. Es macht sichtbar, wo geprüft werden muss – die eigentliche rechtliche Bewertung, insbesondere ob eine Datenschutz-Folgenabschätzung nötig ist oder welche Rechtsgrundlage im Einzelfall trägt, ersetzt es nicht. Für diese Fragen braucht es Datenschutzbeauftragte oder Rechtsberatung; dieser Artikel ist keine Rechtsberatung und ersetzt keine individuelle Prüfung (Stand Juli 2026).

Ein zweites Risiko ist Übergenauigkeit: Wer versucht, jedes Detail jedes Systems lückenlos zu erfassen, bevor das Verzeichnis nutzbar ist, verzögert den eigentlichen Nutzen – frühzeitige Sichtbarkeit – zugunsten einer Vollständigkeit, die ohnehin nie endgültig erreicht wird. Besser ein unvollständiges, aber gepflegtes Verzeichnis mit klar markierten Lücken als ein perfektes Dokument, das nie fertig wird.

Drittens: Ein Verzeichnis erfasst, was bekannt ist. Schatten-KI, die niemand meldet, taucht auch in der besten Vorlage nicht auf. Das wirksamste Gegenmittel dagegen ist nicht Kontrolle, sondern ein gutes offizielles Angebot plus eine kurze, verständliche Richtlinie, die alle kennen – dazu mehr im Cluster-Artikel zu Schatten-KI. Wer sein KI-Verzeichnis im Rahmen einer umfassenderen Bestandsaufnahme aufbauen möchte, inklusive Nutzung, Risiken und Leitplanken im Zusammenhang: Unser Beratungsangebot deckt genau das ab, und ein kostenloses Erstgespräch klärt in 45 Minuten, wo ihr aktuell steht.

Checkliste: KI-Tool-Verzeichnis aufbauen

  1. Wir haben eine strukturierte Bestandsaufnahme in allen Abteilungen durchgeführt, nicht nur bei IT und Geschäftsführung.
  2. Offiziell eingeführte Tools, KI-Funktionen in bestehender Software und individuell genutzte Dienste sind alle erfasst.
  3. Jeder Eintrag hat Zweck, Anbieter, Datenkategorien, Personenbezug und Rechtsgrundlage – nicht nur den Namen des Tools.
  4. Für jedes System ist dokumentiert, ob ein Auftragsverarbeitungsvertrag vorliegt.
  5. Jeder Eintrag hat eine grobe Risikostufe nach nachvollziehbaren Kriterien, nicht nach Bauchgefühl.
  6. Bei hoch eingestuften Systemen ist geprüft, ob eine Datenschutz-Folgenabschätzung nötig ist.
  7. Jeder Eintrag hat eine benannte verantwortliche Person, keine Sammelzuständigkeit „IT“.
  8. Es gibt eine Gesamtverantwortung für die Pflege des Verzeichnisses, nicht nur für einzelne Einträge.
  9. Ein fester Prüftermin, mindestens vierteljährlich, ist im Kalender hinterlegt.
  10. Neue Tools kommen nicht ohne Verzeichniseintrag in den Einsatz – das ist in der KI-Leitlinie festgehalten.
  11. Firmenaccounts statt privater Zugänge sind für alle offiziell genutzten Tools eingerichtet.
  12. Datenschutzbeauftragte sind eingebunden, sobald Einträge mit mittlerem oder hohem Risiko dazukommen.

Weitere Themen dieses Clusters – von der Risikobewertung einzelner Systeme über Schatten-KI bis zur unternehmensweiten KI-Richtlinie – vertiefen die anderen Artikel im Bereich KI-Governance.

Häufige Fragen

Welche Systeme gehören hinein?

Alles, was im Unternehmen KI-Funktionen nutzt und dabei mit euren Daten arbeitet – offiziell eingeführte Tools genauso wie KI-Funktionen, die schon in bestehender Software stecken. Auch Testzugänge und einzeln von Mitarbeitenden genutzte Dienste gehören hinein, sobald sie mit echten Geschäfts- oder Kundendaten arbeiten, sonst bleibt genau der riskanteste Teil unsichtbar.

Welche Datenfelder braucht man?

Im Kern: Name des Systems, Zweck, Anbieter mit Sitz, Nutzergruppe, verarbeitete Datenkategorien, Personenbezug ja/nein, Rechtsgrundlage, Auftragsverarbeitungsvertrag ja/nein, Risikostufe, Verantwortliche Person und Datum der letzten Prüfung. Weniger Felder werden selten gepflegt, mehr Felder meist auch nicht.

Wie erfasst man Zweck und Anbieter?

Den Zweck legst du vor dem Einsatz fest, nicht danach – als kurzer Satz, der beschreibt, wofür das System eingesetzt werden darf. Beim Anbieter reichen Name, Sitz (innerhalb oder außerhalb der EU) und ob ein Auftragsverarbeitungsvertrag vorliegt; Details zur Rechtsgrundlage kommen aus den Anbieterunterlagen oder eurer Datenschutzberatung.

Wie bewertet man Risiko?

Grob nach drei Fragen: Werden personenbezogene oder besonders schützenswerte Daten verarbeitet? Trifft das System (mit-)automatisiert Entscheidungen mit Wirkung für Personen? Ist es ein offenes System, bei dem Eingaben das Unternehmen verlassen? Je mehr davon zutrifft, desto höher die Risikostufe und desto eher braucht es eine Datenschutz-Folgenabschätzung.

Wie bleibt es aktuell?

Über einen festen Anlass, nicht über guten Willen: bei jedem neuen Tool, jedem Anbieterwechsel und mindestens einmal pro Quartal. Ohne benannte verantwortliche Person und festen Termin verwaist ein Verzeichnis erfahrungsgemäß nach wenigen Monaten.

Quellen

Weiterlesen

Umsetzen statt nur lesen?

Wir bauen das mit euch, oder reviewen, was schon da ist. Klarer Scope, kurze Wege.

Projekt anfragen →