Compliance-Suite
KI- & Datenschutz-Compliance-Suite
Internes Handbuch · AS Inspiratio GmbH

Compliance-Suite verstehen und anwenden

Dieses Handbuch erklärt Kolleginnen und Kollegen, was die Compliance-Suite prüft, wie die einzelnen Tools bedient werden und was die Ergebnisse bedeuten. Keine Vorkenntnisse im Datenschutz erforderlich.

Inhalt
Zum Handbuch
1

Was ist die Compliance-Suite — und warum gibt es sie?

Die KI- & Datenschutz-Compliance-Suite ist eine Sammlung von Online-Tools, die ein Unternehmen dabei unterstützt zu prüfen, ob der Umgang mit Daten und KI-Tools den gesetzlichen Anforderungen entspricht.

Gesetze wie die DSGVO (Datenschutz-Grundverordnung), das TDDDG (ehemals TTDSG, regelt Cookies und Tracking) und die neue KI-Verordnung der EU gelten für nahezu jedes Unternehmen in Deutschland — auch für kleine GmbHs und Einzelunternehmer.

Verstöße können teuer werden: Ein einzelner Datenschutzvorfall kann zu Bussgeldern, Schadensersatzklagen und Reputationsschaden führen.

Das Wichtigste in einem Satz: Die Suite zeigt Ihnen in wenigen Minuten, wo akuter Handlungsbedarf besteht — ohne dass Sie Jurist oder IT-Experte sein müssen.

Die vier Prüfwege im Überblick:

PrüfwegWas wird geprüft?Für wen?
1. KI-EinsatzIst der geplante Einsatz eines KI-Tools DSGVO-konform?Jeder, der ein KI-Tool nutzt oder plant
2. WebsiteTracker, SSL, Pflichtseiten, KI-KennzeichnungWer eine Unternehmenswebsite betreibt
3. Interne StrukturRichtlinien, Dokumentation, Betriebsrat, DSBGeschäftsführung und Datenschutzverantwortliche
4. UnterlagenDatenschutzerklärung, AVV, Impressum auf RichtigkeitAlle mit Website oder Kundenkontakt

Was die Suite nicht ist: Kein Ersatz für Rechtsberatung. Die Ergebnisse sind Orientierungshilfen, die zeigen wo Handlungsbedarf besteht. Verbindliche Aussagen trifft nur ein Datenschutzbeauftragter oder Fachanwalt.


2

Die Ampel verstehen: Grün, Gelb, Rot

Jeder Prüfweg endet mit einem Ampel-Ergebnis. Es fasst auf einen Blick zusammen, wie dringend Handlungsbedarf ist.

Grün — Im Plan / Kein Handlungsbedarf
Die geprüften Punkte sind in Ordnung. Kein akuter Nachbesserungsbedarf. Empfehlung: trotzdem intern dokumentieren und regelmäßig neu prüfen (Gesetze ändern sich).
Gelb — Achtung / Handlungsbedarf
Es gibt Lücken, die behoben werden müssen, bevor das Tool oder der Prozess produktiv eingesetzt wird. Der Bericht listet die konkreten Schritte auf. Noch kein akuter Rechtsverstos — aber auf dem Weg dorthin.
Rot — Kritisch / Stopp
Akuter Handlungsbedarf. Der aktuelle Zustand ist rechtlich nicht zulassig. Sofortige Maßnahmen sind notwendig. Bericht aufbewahren und mit Datenschutzbeauftragtem oder Anwalt besprechen.
Merksatz: Grün = weitermachen. Gelb = vor dem nächsten Schritt nachbessern. Rot = erst stoppen, dann handeln.

3

Prüfweg 1: Geplanter KI-Einsatz (5-Schritte-Check)

Wann nutzen? Immer dann, wenn Sie oder ein Kollege ein KI-Tool (ChatGPT, Microsoft Copilot, Google Gemini, Claude o. ä.) im Arbeitsalltag einsetzen wollen oder bereits einsetzen und nicht sicher sind, ob das rechtlich in Ordnung ist.

Dauer: ca. 3–5 Minuten.

→ KI-Datenschutz-Check öffnen

Die fünf Fragen — was sie bedeuten:

01
Welches KI-Tool nutzen Sie?
Wählen Sie das konkrete Tool: ChatGPT/OpenAI, Microsoft Copilot, Google Gemini, Claude (Anthropic), ein eigenes/lokales Modell oder ein anderes Tool.
Warum wird das gefragt? Verschiedene Anbieter haben unterschiedliche Serverstandorte und Datenschutz-Vereinbarungen. Das beeinflusst, welche Regeln gelten.
02
Welche Daten geben Sie in das Tool ein?
Optionen: keine personenbezogenen Daten / Mitarbeiterdaten / Kundendaten / Gesundheits- oder Sozialdaten / Finanz- oder Bankdaten / unsicher.
Personenbezogene Daten sind alle Informationen, die eine Person identifizierbar machen: Name, E-Mail, Adresse, Kundennummer, Foto — Art. 4 Nr. 1 DSGVO. Wenn Sie nur allgemeine Texte oder Fragen ohne Personenbezug eingeben, greifen deutlich weniger Regeln.
03
Wo stehen die Server des Tools?
EU/EWR / USA oder anderes Drittland / unbekannt.
Warum wichtig? Für Datenübertragungen ausserhalb der EU (z. B. in die USA) gelten nach Art. 44–49 DSGVO besondere Anforderungen. US-Anbieter wie OpenAI, Google und Microsoft haben Server in den USA, auch wenn sie EU-Rechenzentren anbieten. Viele sind seit 2023 unter dem EU-US Data Privacy Framework zertifiziert — das ersetzt aber nicht den AVV.
04
Wofür nutzen Sie das Tool?
Texte schreiben/übersetzen / Daten analysieren / Kundenservice / interne Prozesse oder HR / Softwareentwicklung / anderes.
Warum wichtig? Der Zweck bestimmt die Rechtsgrundlage nach Art. 6 DSGVO. HR-Prozesse (z. B. Bewerber-Screening per KI) unterliegen strengeren Regeln als das Schreiben von Marketingtexten.
05
Haben Sie einen Auftragsverarbeitungsvertrag (AVV)?
Ja / Nein / Was ist ein AVV?
AVV erklärt: Wenn ein externer Anbieter (z. B. OpenAI) personenbezogene Daten in Ihrem Auftrag verarbeitet, ist ein schriftlicher Auftragsverarbeitungsvertrag nach Art. 28 DSGVO Pflicht. Er legt fest, wie der Anbieter mit den Daten umgehen darf. Die meisten großen KI-Anbieter stellen AVVs in ihren Unternehmens-Konten bereit — im kostenfreien Consumer-Account oft nicht.

Mögliche Ergebnisse:

Grün: Keine personenbezogenen Daten eingegeben — DSGVO greift in diesem Fall nicht direkt. Trotzdem intern dokumentieren.
Gelb: Personenbezogene Daten, aber korrigierbar. 3 konkrete Schritte: (1) AVV abschließen, (2) VVT-Eintrag anlegen, (3) Datenschutzhinweise anpassen.
Rot (Stopp): Gesundheitsdaten / Drittland ohne AVV / Finanzdaten in Drittland. Nutzung in dieser Form rechtlich nicht zulässig. Tool-Einsatz pausieren bis Lösung gefunden.
Besonders kritisch: Gesundheits- und Sozialdaten sind „besondere Kategorien“ nach Art. 9 DSGVO. Ihre Eingabe in ein öffentliches KI-Tool ist ohne ausdrückliche Einwilligung und Datenschutz-Folgenabschätzung grundsätzlich verboten.

4

Prüfweg 2: Bestehende Website prüfen (Scanner)

Wann nutzen? Wenn Sie prüfen wollen, ob die Unternehmenswebsite datenschutzrechtlich in Ordnung ist: Tracker, Cookies, SSL-Verschlüsselung, Pflichtseiten (Impressum, Datenschutzerklärung) und KI-Kennzeichnung.

Dauer: ca. 2–4 Minuten (der Scanner läuft serverseitsig, keine Installation nötig).

→ Website-Scanner öffnen

Was der Scanner prüft:

PrüfpunktWas wird gemessen?Rechtsgrundlage
Tracker & CookiesWerden Tracking-Dienste (Google Analytics, Meta Pixel usw.) ohne Einwilligung geladen?TDDDG § 25, DSGVO Art. 6
SSL / HTTPSLäuft die Website unter sicherem HTTPS? Gibt es gemischte Inhalte (Mixed Content)?DSGVO Art. 32 (technische Sicherheit)
ImpressumVorhanden und leicht erreichbar (max. 2 Klicks)?TMG § 5
DatenschutzerklärungVorhanden, aktuell, vollständig (alle Verarbeitungen erwähnt)?DSGVO Art. 13/14
KI-KennzeichnungWerden KI-generierte Texte/Bilder als solche gekennzeichnet?KI-VO (EU) Art. 50
Tipp — URL korrekt eingeben: Immer die vollständige Adresse mit https:// eingeben, z. B. https://www.meine-firma.de. Ohne Protokoll kann der Scanner die Seite nicht korrekt analysieren.

Den Scanner-Bericht lesen: Der Bericht zeigt für jeden Prüfpunkt ein farbiges Status-Tag (In Ordnung / Überprüfen / Handlungsbedarf) und erklärt konkret, was zu tun ist. Am Ende gibt es eine Gesamtbewertung per Ampel.

Der Bericht kann als PDF oder Textdatei heruntergeladen werden — nützlich für die interne Dokumentation oder als Grundlage für das Gespräch mit einem Webentwickler.

Was der Scanner nicht leistet: Er analysiert die öffentlich sichtbare Website. Interne Tools, Login-Bereiche oder Backend-Systeme werden nicht erfasst. Dafür ist der Interne Compliance-Check (Prüfweg 3) zuständig.


5

Prüfweg 3: Interne Struktur (Organisations-Check)

Wann nutzen? Wenn Sie prüfen wollen, ob die interne Organisation rund um KI und Datenschutz stimmt: Richtlinien, Dokumentation, Mitbestimmung und der Datenschutzbeauftragte.

Für wen? Vor allem für Geschäftsführung, Teamleitung und alle, die betriebliche KI-Entscheidungen treffen. Einzelunternehmer erhalten weniger Fragen als GmbHs (der Check passt sich automatisch an).

Dauer: ca. 3–5 Minuten.

→ Internen Compliance-Check öffnen

Die Prüfpunkte im Detail:

1
Rechtsform (Einzelunternehmen oder GmbH/UG?)
Diese erste Antwort bestimmt, welche Fragen folgen. GmbHs haben mehr Pflichten (Betriebsrat, DSB-Pflicht).
2
KI-Richtlinie: Nutzen Mitarbeiter öffentliche KI-Tools ohne verbindliche Richtlinie?
Schatten-KI-Risiko: Mitarbeiter geben sensible Daten in lernende Modelle ein, ohne dass das Unternehmen es weiss oder kontrolliert.
Kritisch wenn: KI wird genutzt, aber es gibt keine schriftliche Richtlinie, die regelt was erlaubt ist. Lösung: Eine KI-Nutzungsrichtlinie einführen, die klar untersagt: keine Kunden-/Mitarbeiterdaten in öffentliche Consumer-Tools eingeben.
3
Dokumentation (VVT): Ist der KI-Einsatz im Verzeichnis von Verarbeitungstätigkeiten dokumentiert?
Das VVT ist ein internes Dokument, das auflisted welche personenbezogenen Daten zu welchem Zweck verarbeitet werden — Art. 30 DSGVO.
Kritisch wenn: KI verarbeitet personenbezogene Daten, aber das VVT wurde nicht aktualisiert. Lösung: VVT um den KI-Prozess erganzen: Zweck, Datenkategorien, Empfänger (KI-Anbieter), Lösch­fristen für Prompts und Logs.
4
Entscheidungen: Trifft eine KI automatisierte Einzelentscheidungen über Personen?
Z. B. automatisches Bewerber-Screening, Kredit-Scoring, automatische Kündigungsempfehlungen ohne menschliche Prüfung.
Kritisch wenn: Die KI entscheidet ohne Mensch. Lösung (Human in the Loop): Die KI darf Vorschläge machen, die finale Entscheidung trifft immer ein Mensch — Art. 22 DSGVO.
5
Mitbestimmung (nur GmbH): Wurde der Betriebsrat bei überwachungsfähiger KI beteiligt?
KI-Tools, die Verhalten oder Leistung von Mitarbeitern erfassen können (auch Microsoft 365 Copilot!), lösen Mitbestimmungsrechte aus.
Kritisch wenn: Betriebsrat vorhanden, aber nicht einbezogen. Lösung: Betriebsrat einbinden, KI-Betriebsvereinbarung abschließen (§ 87 BetrVG).
6
Datenschutzbeauftragter (nur GmbH): Ist ein DSB benannt, falls erforderlich?
Ab 20 Personen in automatisierter Verarbeitung oder bei Hochrisiko-KI ist ein DSB gesetzlich vorgeschrieben — Art. 37 DSGVO, § 38 BDSG.
Kritisch wenn: Die Pflicht besteht, aber kein DSB ist benannt. Direktes Bussgelderrisiko. Lösung: Qualifizierten internen oder externen DSB bestellen und bei der Landesdatenschutzbehörde melden.

Ergebnis: Der Check zeigt jedem Prüfpunkt entweder In Ordnung (grün) oder Überfällig (rot) mit einer konkreten Handlungsempfehlung und der Rechtsgrundlage. Der Bericht kann als Textdatei heruntergeladen werden.


6

Prüfweg 4: Eigene Unterlagen prüfen

Wann nutzen? Wenn Sie vorhandene Dokumente prüfen wollen: Datenschutzerklärung, Auftragsverarbeitungsvertrag (AVV) oder Impressum. Der Check vergleicht den Inhalt Ihres Dokuments mit gesetzlichen Mindestanforderungen und zeigt fehlende Pflichtbestandteile auf.

Dauer: ca. 5–10 Minuten (abhängig von der Dokumentenlänge).

→ Unterlagen-Check öffnen

Die drei Dokumententypen:

Datenschutzerklärung
Pflicht für jede Website, die personenbezogene Daten erhebt (z. B. Kontaktformular, Newsletter, Cookies). Muss Angaben zu Verantwortlichem, Zwecken, Rechtsgrundlagen, Empfängern, Betroffenenrechten und Lösch­fristen enthalten — Art. 13/14 DSGVO.
Rechtsgrundlage: Art. 13, 14 DSGVO
Auftragsverarbeitungsvertrag (AVV)
Schriftlicher Vertrag mit jedem Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet (Cloud-Anbieter, KI-Tool, E-Mail-Marketing, Buchhaltungssoftware usw.). Ohne AVV droht ein Bussgeldrisko. Muss Gegenstand, Dauer, Art und Zweck der Verarbeitung enthalten.
Rechtsgrundlage: Art. 28 DSGVO
Impressum
Gesetzlich vorgeschriebene Anbieterkennzeichnung für Websites. Muss Name, Anschrift, Kontakt (E-Mail oder Kontaktformular) und bei GmbHs Handelsregisternummer, Geschäftsführer und USt-ID enthalten.
Rechtsgrundlage: TMG § 5, MStV § 18

So funktioniert die Prufung:

  1. Dokumententyp auswählen (Datenschutzerklärung / AVV / Impressum).
  2. Text Ihres Dokuments in das Eingabefeld einfügen oder hochladen.
  3. Check starten — der Bericht zeigt vorhandene und fehlende Pflichtbausteine.
  4. Muster-Bausteine für fehlende Abschnitte herunterladen und anpassen.
Wichtig: Die Muster-Bausteine sind Vorlagen — sie müssen auf die konkrete Situation angepasst werden. Ein Anwalt oder DSB prüft das Ergebnis abschließend.

7

Den Ergebnisbericht lesen und Maßnahmen ableiten

Jeder Prüfweg erzeugt am Ende einen Ergebnisbericht. Dieser Bericht ist so aufgebaut:

BerichtsabschnittWas steht dort?
Ampel-BadgeGesamteinschätzung: Grün / Gelb / Rot
ErgebnisüberschriftKnappe Zusammenfassung des Befundes
ErklärungWas genau wurde festgestellt und warum ist es relevant?
Checkliste / HandlungsschritteKonkrete, nummerierte Maßnahmen — direkt umsetzbar
Rechtsgrundlagen & QuellenDie konkreten Gesetzesartikel (z. B. Art. 28 DSGVO, § 87 BetrVG)
DisclaimerErinnerung, dass der Check Orientierungshilfe ist, keine Rechtsberatung

Bericht sichern: Jeder Check bietet einen Download-Button. Speichern Sie den Bericht mit Datum — das ist wichtig für die interne Dokumentation. Im Falle einer Anfrage einer Datenschutzbehörde können Sie nachweisen, dass Sie aktiv geprüft haben.

Maßnahmen priorisieren:

  • Rot zuerst: Rote Befunde bedeuten akuten Rechtsverstos oder hohes Bussgelderrisiko. Diese Punkte haben oberste Priorität.
  • Gelb als nächstes: Gelbe Punkte sind vor dem nächsten produktiven Einsatz zu beheben.
  • Grün dokumentieren: Grüne Befunde trotzdem intern aufbewahren als Nachweis der regelmäßigen Prüfung.
Regelmäßig wiederholen: Datenschutzrecht ändert sich. Empfehlung: jeden Prüfweg mindestens einmal jährlich und bei jeder wesentlichen Änderung (neues KI-Tool, Website-Relaunch, Personalwachstum) erneut durchführen.

8

Wichtige Begriffe im Überblick

Die zentrale EU-Datenschutzverordnung, gültig seit 2018. Gilt für alle Unternehmen, die Daten von EU-Bürgern verarbeiten — unabhängig von Unternehmensgröße oder Sitz.

Volltext: eur-lex.europa.eu

Ehemals TTDSG. Regelt den Einsatz von Cookies und Tracking auf Websites. Kein Tracking ohne vorherige Einwilligung (Opt-in), ausser technisch notwendige Cookies.

§ 25 TDDDG

Seit August 2024 in Kraft. Klassifiziert KI-Systeme nach Risikostufen. Ab 2026 gilt u. a. die Kennzeichnungspflicht für KI-generierte Inhalte (Art. 50 KI-VO).

Verordnung (EU) 2024/1689

Schriftlicher Vertrag nach Art. 28 DSGVO. Pflicht, wenn ein externer Anbieter personenbezogene Daten für Sie verarbeitet. Die meisten großen KI-Anbieter bieten AVVs in Unternehmenskonten an.

Art. 28 DSGVO

Internes Dokument, das alle Prozesse auflistet, bei denen personenbezogene Daten verarbeitet werden: Zweck, Datenkategorien, Empfänger, Speicherdauer. Pflicht für Unternehmen mit > 250 Mitarbeitern; empfohlen für alle.

Art. 30 DSGVO

Person (intern oder extern), die im Unternehmen die DSGVO-Einhaltung überwacht und als Ansprechpartner für Behörden und Betroffene dient. Ab 20 Personen in automatisierter Datenverarbeitung gesetzlich Pflicht.

Art. 37 DSGVO, § 38 BDSG

Mitarbeiter nutzen eigenständig KI-Tools (z. B. ChatGPT im privaten Browser), ohne Wissen oder Kontrolle des Unternehmens. Risiko: sensible Daten landen in lernenden Modellen ohne AVV und ohne Einwilligung der Betroffenen.

DSK OH KI; LfD Niedersachsen / BfDI 2026

Prinzip, bei dem ein Mensch die finale Entscheidung trifft, auch wenn KI eine Empfehlung gibt. Pflicht nach Art. 22 DSGVO bei automatisierten Einzelfallentscheidungen mit rechtlicher Wirkung (Bewerbungsfilter, Scoring, Kündigung).

Art. 22 DSGVO

Dokumentierter Prozess, der vor dem Einsatz besonders risikoreicher Datenverarbeitung (Gesundheitsdaten, Profiling, biometrische Daten) durchgeführt werden muss. Bewertet Risiken und Maßnahmen.

Art. 35 DSGVO

Seit Juli 2023 gültiger Angemessenheitsbeschluss der EU-Kommission für Datentransfers in die USA. US-Unternehmen, die zertifiziert sind, dürfen EU-Daten verarbeiten — ersetzt aber nicht den AVV.

Beschluss der EU-Kommission vom 10.07.2023

9

Häufige Fragen

Nein. Wählen Sie den Prüfweg, der zu Ihrer aktuellen Frage passt. Wer ein neues KI-Tool einführen will, startet mit Prüfweg 1. Wer die Website überarbeitet, mit Prüfweg 2. Für eine ganzheitliche Prüfung empfehlen sich alle vier Wege einmal jährlich.

Die Tools verarbeiten Ihre Eingaben lokal im Browser oder auf den Servern der AS Inspiratio GmbH — keine Weitergabe an Dritte. Für den Website-Scanner wird die URL serverseitig abgerufen. Personenbezogene Daten sollten Sie bewusst nicht als Testdaten eingeben.

Nein. Die Suite prüft die häufigsten und relevantesten Punkte — aber nicht jede denkbare Konstellation. Ein grünes Ergebnis bedeutet: bei den geprüften Punkten kein akuter Handlungsbedarf. Es ersetzt keine vollständige Rechtsberatung.

Bericht herunterladen. Den betroffenen Prozess oder das Tool bis zur Klärung pausieren. Bericht an Geschäftsführung und/oder Datenschutzbeauftragten weiterleiten. Bei fehlendem DSB: externen DSB oder Fachanwalt für IT-Recht kontaktieren.

Mindestens einmal jährlich. Zusätzlich bei: Einführung eines neuen KI-Tools, Website-Relaunch, Personalwachstum über 20 Personen in autom. Verarbeitung, nach einer Gesetzesänderung (der Bericht nennt jeweils den Rechtsstand).

Ja, die DSGVO gilt unabhängig von der Unternehmensgröße, sobald Sie personenbezogene Daten verarbeiten (also so gut wie immer: Kundenliste, Kontaktformular, Buchhaltungssoftware). Einzelunternehmer haben aber weniger Pflichten als GmbHs — z. B. keine DSB-Pflicht in den meisten Fällen und keine Betriebsrats-Pflichten. Der Interne Check erkennt das automatisch.

Wo finde ich die Compliance-Suite?

Über die App-Übersicht der AS Inspiratio GmbH oder direkt:

→ compliance-suite-pro.netlify.app