Was ist die Compliance-Suite — und warum gibt es sie?
Die KI- & Datenschutz-Compliance-Suite ist eine Sammlung von Online-Tools, die ein Unternehmen dabei unterstützt zu prüfen, ob der Umgang mit Daten und KI-Tools den gesetzlichen Anforderungen entspricht.
Gesetze wie die DSGVO (Datenschutz-Grundverordnung), das TDDDG (ehemals TTDSG, regelt Cookies und Tracking) und die neue KI-Verordnung der EU gelten für nahezu jedes Unternehmen in Deutschland — auch für kleine GmbHs und Einzelunternehmer.
Verstöße können teuer werden: Ein einzelner Datenschutzvorfall kann zu Bussgeldern, Schadensersatzklagen und Reputationsschaden führen.
Die vier Prüfwege im Überblick:
| Prüfweg | Was wird geprüft? | Für wen? |
|---|---|---|
| 1. KI-Einsatz | Ist der geplante Einsatz eines KI-Tools DSGVO-konform? | Jeder, der ein KI-Tool nutzt oder plant |
| 2. Website | Tracker, SSL, Pflichtseiten, KI-Kennzeichnung | Wer eine Unternehmenswebsite betreibt |
| 3. Interne Struktur | Richtlinien, Dokumentation, Betriebsrat, DSB | Geschäftsführung und Datenschutzverantwortliche |
| 4. Unterlagen | Datenschutzerklärung, AVV, Impressum auf Richtigkeit | Alle mit Website oder Kundenkontakt |
Was die Suite nicht ist: Kein Ersatz für Rechtsberatung. Die Ergebnisse sind Orientierungshilfen, die zeigen wo Handlungsbedarf besteht. Verbindliche Aussagen trifft nur ein Datenschutzbeauftragter oder Fachanwalt.
Die Ampel verstehen: Grün, Gelb, Rot
Jeder Prüfweg endet mit einem Ampel-Ergebnis. Es fasst auf einen Blick zusammen, wie dringend Handlungsbedarf ist.
Die geprüften Punkte sind in Ordnung. Kein akuter Nachbesserungsbedarf. Empfehlung: trotzdem intern dokumentieren und regelmäßig neu prüfen (Gesetze ändern sich).
Es gibt Lücken, die behoben werden müssen, bevor das Tool oder der Prozess produktiv eingesetzt wird. Der Bericht listet die konkreten Schritte auf. Noch kein akuter Rechtsverstos — aber auf dem Weg dorthin.
Akuter Handlungsbedarf. Der aktuelle Zustand ist rechtlich nicht zulassig. Sofortige Maßnahmen sind notwendig. Bericht aufbewahren und mit Datenschutzbeauftragtem oder Anwalt besprechen.
Prüfweg 1: Geplanter KI-Einsatz (5-Schritte-Check)
Wann nutzen? Immer dann, wenn Sie oder ein Kollege ein KI-Tool (ChatGPT, Microsoft Copilot, Google Gemini, Claude o. ä.) im Arbeitsalltag einsetzen wollen oder bereits einsetzen und nicht sicher sind, ob das rechtlich in Ordnung ist.
Dauer: ca. 3–5 Minuten.
→ KI-Datenschutz-Check öffnenDie fünf Fragen — was sie bedeuten:
Mögliche Ergebnisse:
Prüfweg 2: Bestehende Website prüfen (Scanner)
Wann nutzen? Wenn Sie prüfen wollen, ob die Unternehmenswebsite datenschutzrechtlich in Ordnung ist: Tracker, Cookies, SSL-Verschlüsselung, Pflichtseiten (Impressum, Datenschutzerklärung) und KI-Kennzeichnung.
Dauer: ca. 2–4 Minuten (der Scanner läuft serverseitsig, keine Installation nötig).
→ Website-Scanner öffnenWas der Scanner prüft:
| Prüfpunkt | Was wird gemessen? | Rechtsgrundlage |
|---|---|---|
| Tracker & Cookies | Werden Tracking-Dienste (Google Analytics, Meta Pixel usw.) ohne Einwilligung geladen? | TDDDG § 25, DSGVO Art. 6 |
| SSL / HTTPS | Läuft die Website unter sicherem HTTPS? Gibt es gemischte Inhalte (Mixed Content)? | DSGVO Art. 32 (technische Sicherheit) |
| Impressum | Vorhanden und leicht erreichbar (max. 2 Klicks)? | TMG § 5 |
| Datenschutzerklärung | Vorhanden, aktuell, vollständig (alle Verarbeitungen erwähnt)? | DSGVO Art. 13/14 |
| KI-Kennzeichnung | Werden KI-generierte Texte/Bilder als solche gekennzeichnet? | KI-VO (EU) Art. 50 |
https:// eingeben, z. B. https://www.meine-firma.de. Ohne Protokoll kann der Scanner die Seite nicht korrekt analysieren.
Den Scanner-Bericht lesen: Der Bericht zeigt für jeden Prüfpunkt ein farbiges Status-Tag (In Ordnung / Überprüfen / Handlungsbedarf) und erklärt konkret, was zu tun ist. Am Ende gibt es eine Gesamtbewertung per Ampel.
Der Bericht kann als PDF oder Textdatei heruntergeladen werden — nützlich für die interne Dokumentation oder als Grundlage für das Gespräch mit einem Webentwickler.
Was der Scanner nicht leistet: Er analysiert die öffentlich sichtbare Website. Interne Tools, Login-Bereiche oder Backend-Systeme werden nicht erfasst. Dafür ist der Interne Compliance-Check (Prüfweg 3) zuständig.
Prüfweg 3: Interne Struktur (Organisations-Check)
Wann nutzen? Wenn Sie prüfen wollen, ob die interne Organisation rund um KI und Datenschutz stimmt: Richtlinien, Dokumentation, Mitbestimmung und der Datenschutzbeauftragte.
Für wen? Vor allem für Geschäftsführung, Teamleitung und alle, die betriebliche KI-Entscheidungen treffen. Einzelunternehmer erhalten weniger Fragen als GmbHs (der Check passt sich automatisch an).
Dauer: ca. 3–5 Minuten.
→ Internen Compliance-Check öffnenDie Prüfpunkte im Detail:
Ergebnis: Der Check zeigt jedem Prüfpunkt entweder In Ordnung (grün) oder Überfällig (rot) mit einer konkreten Handlungsempfehlung und der Rechtsgrundlage. Der Bericht kann als Textdatei heruntergeladen werden.
Prüfweg 4: Eigene Unterlagen prüfen
Wann nutzen? Wenn Sie vorhandene Dokumente prüfen wollen: Datenschutzerklärung, Auftragsverarbeitungsvertrag (AVV) oder Impressum. Der Check vergleicht den Inhalt Ihres Dokuments mit gesetzlichen Mindestanforderungen und zeigt fehlende Pflichtbestandteile auf.
Dauer: ca. 5–10 Minuten (abhängig von der Dokumentenlänge).
→ Unterlagen-Check öffnenDie drei Dokumententypen:
So funktioniert die Prufung:
- Dokumententyp auswählen (Datenschutzerklärung / AVV / Impressum).
- Text Ihres Dokuments in das Eingabefeld einfügen oder hochladen.
- Check starten — der Bericht zeigt vorhandene und fehlende Pflichtbausteine.
- Muster-Bausteine für fehlende Abschnitte herunterladen und anpassen.
Den Ergebnisbericht lesen und Maßnahmen ableiten
Jeder Prüfweg erzeugt am Ende einen Ergebnisbericht. Dieser Bericht ist so aufgebaut:
| Berichtsabschnitt | Was steht dort? |
|---|---|
| Ampel-Badge | Gesamteinschätzung: Grün / Gelb / Rot |
| Ergebnisüberschrift | Knappe Zusammenfassung des Befundes |
| Erklärung | Was genau wurde festgestellt und warum ist es relevant? |
| Checkliste / Handlungsschritte | Konkrete, nummerierte Maßnahmen — direkt umsetzbar |
| Rechtsgrundlagen & Quellen | Die konkreten Gesetzesartikel (z. B. Art. 28 DSGVO, § 87 BetrVG) |
| Disclaimer | Erinnerung, dass der Check Orientierungshilfe ist, keine Rechtsberatung |
Bericht sichern: Jeder Check bietet einen Download-Button. Speichern Sie den Bericht mit Datum — das ist wichtig für die interne Dokumentation. Im Falle einer Anfrage einer Datenschutzbehörde können Sie nachweisen, dass Sie aktiv geprüft haben.
Maßnahmen priorisieren:
- Rot zuerst: Rote Befunde bedeuten akuten Rechtsverstos oder hohes Bussgelderrisiko. Diese Punkte haben oberste Priorität.
- Gelb als nächstes: Gelbe Punkte sind vor dem nächsten produktiven Einsatz zu beheben.
- Grün dokumentieren: Grüne Befunde trotzdem intern aufbewahren als Nachweis der regelmäßigen Prüfung.
Wichtige Begriffe im Überblick
Die zentrale EU-Datenschutzverordnung, gültig seit 2018. Gilt für alle Unternehmen, die Daten von EU-Bürgern verarbeiten — unabhängig von Unternehmensgröße oder Sitz.
Ehemals TTDSG. Regelt den Einsatz von Cookies und Tracking auf Websites. Kein Tracking ohne vorherige Einwilligung (Opt-in), ausser technisch notwendige Cookies.
Seit August 2024 in Kraft. Klassifiziert KI-Systeme nach Risikostufen. Ab 2026 gilt u. a. die Kennzeichnungspflicht für KI-generierte Inhalte (Art. 50 KI-VO).
Schriftlicher Vertrag nach Art. 28 DSGVO. Pflicht, wenn ein externer Anbieter personenbezogene Daten für Sie verarbeitet. Die meisten großen KI-Anbieter bieten AVVs in Unternehmenskonten an.
Internes Dokument, das alle Prozesse auflistet, bei denen personenbezogene Daten verarbeitet werden: Zweck, Datenkategorien, Empfänger, Speicherdauer. Pflicht für Unternehmen mit > 250 Mitarbeitern; empfohlen für alle.
Person (intern oder extern), die im Unternehmen die DSGVO-Einhaltung überwacht und als Ansprechpartner für Behörden und Betroffene dient. Ab 20 Personen in automatisierter Datenverarbeitung gesetzlich Pflicht.
Mitarbeiter nutzen eigenständig KI-Tools (z. B. ChatGPT im privaten Browser), ohne Wissen oder Kontrolle des Unternehmens. Risiko: sensible Daten landen in lernenden Modellen ohne AVV und ohne Einwilligung der Betroffenen.
Prinzip, bei dem ein Mensch die finale Entscheidung trifft, auch wenn KI eine Empfehlung gibt. Pflicht nach Art. 22 DSGVO bei automatisierten Einzelfallentscheidungen mit rechtlicher Wirkung (Bewerbungsfilter, Scoring, Kündigung).
Dokumentierter Prozess, der vor dem Einsatz besonders risikoreicher Datenverarbeitung (Gesundheitsdaten, Profiling, biometrische Daten) durchgeführt werden muss. Bewertet Risiken und Maßnahmen.
Seit Juli 2023 gültiger Angemessenheitsbeschluss der EU-Kommission für Datentransfers in die USA. US-Unternehmen, die zertifiziert sind, dürfen EU-Daten verarbeiten — ersetzt aber nicht den AVV.
Häufige Fragen
Nein. Wählen Sie den Prüfweg, der zu Ihrer aktuellen Frage passt. Wer ein neues KI-Tool einführen will, startet mit Prüfweg 1. Wer die Website überarbeitet, mit Prüfweg 2. Für eine ganzheitliche Prüfung empfehlen sich alle vier Wege einmal jährlich.
Die Tools verarbeiten Ihre Eingaben lokal im Browser oder auf den Servern der AS Inspiratio GmbH — keine Weitergabe an Dritte. Für den Website-Scanner wird die URL serverseitig abgerufen. Personenbezogene Daten sollten Sie bewusst nicht als Testdaten eingeben.
Nein. Die Suite prüft die häufigsten und relevantesten Punkte — aber nicht jede denkbare Konstellation. Ein grünes Ergebnis bedeutet: bei den geprüften Punkten kein akuter Handlungsbedarf. Es ersetzt keine vollständige Rechtsberatung.
Bericht herunterladen. Den betroffenen Prozess oder das Tool bis zur Klärung pausieren. Bericht an Geschäftsführung und/oder Datenschutzbeauftragten weiterleiten. Bei fehlendem DSB: externen DSB oder Fachanwalt für IT-Recht kontaktieren.
Mindestens einmal jährlich. Zusätzlich bei: Einführung eines neuen KI-Tools, Website-Relaunch, Personalwachstum über 20 Personen in autom. Verarbeitung, nach einer Gesetzesänderung (der Bericht nennt jeweils den Rechtsstand).
Ja, die DSGVO gilt unabhängig von der Unternehmensgröße, sobald Sie personenbezogene Daten verarbeiten (also so gut wie immer: Kundenliste, Kontaktformular, Buchhaltungssoftware). Einzelunternehmer haben aber weniger Pflichten als GmbHs — z. B. keine DSB-Pflicht in den meisten Fällen und keine Betriebsrats-Pflichten. Der Interne Check erkennt das automatisch.
Wo finde ich die Compliance-Suite?
Über die App-Übersicht der AS Inspiratio GmbH oder direkt:
→ compliance-suite-pro.netlify.app