Anhang B — Checkliste: DSGVO und Datenschutz vor dem Go-live

Wissen

Praxis-Artikel und Buchkapitel zu zur Copilot-Familie – alle frei verfügbar. Funktion, Sicherheit, Compliance, Governance.

Zu den Inhalten

Beratung

Beratung, Projektbegleitung, Review zur Copilot-Familie und technischen und organisatorischen KI-Fragestellungen.

Zur Beratung

Fachbücher

Meine Fachbücher Copilot für Entscheider und KI für IT-Professionals. Leseprobe herunterladen!

Zu den Büchern

Tools

Der Copilot.Diagnostiker hilft bei Einführung und sicherem Betrieb von Microsoft Copilot

Tools ansehen

Schulungen

Online-Workshops zu Fuktion, Sicherheit und Compliance – kompakt, hands-on, ohne MOC-Folienschlacht.

Zu den Schulungen

Dieser Artikel ist ein Kapitel aus:
Microsoft Copilot für Entscheider
Praxisleitfaden, ca. 600 Seiten

[ Hier bei Amazon bestellen ]
[ Mehr zum Buch ]

Table of Contents

Anhang B — Checkliste: DSGVO und Datenschutz vor dem Go-live

Diese Checkliste richtet sich an Datenschutzbeauftragte (DSBs) und IT-Leiter, die sicherstellen müssen, dass der Copilot-Einsatz DSGVO-konform eingeführt wird. Die Prüfpunkte decken alle Pflichten aus Art. 5, 13, 28, 30, 35 DSGVO ab, die vor dem Go-live nachweisbar erfüllt sein müssen. Keine der folgenden Punkte ist optional — fehlende Dokumentation ist bei einer Prüfung durch die Aufsichtsbehörde gleichbedeutend mit nicht erfüllter Pflicht.

Prüfpunkt	Status	Verantwortlich
AVV UND AUFTRAGSVERARBEITUNG
Microsoft DPA (Data Processing Agreement) abgeschlossen und dokumentiert	☐ Offen	DSB
Microsoft als Auftragsverarbeiter nach Art. 28 DSGVO eingestuft und dokumentiert	☐ Offen	DSB
Sub-Processor-Liste von Microsoft auf sensible Unterauftragnehmer geprüft	☐ Offen	DSB
DPA-Version und Datum im Verarbeitungsverzeichnis eingetragen	☐ Offen	DSB
DSFA-PRÜFUNG
DSFA-Schwellenwert-Prüfung nach DSK-Muss-Liste durchgeführt	☐ Offen	DSB
DSFA-Pflicht für Copilot-Einsatz bewertet und Ergebnis dokumentiert	☐ Offen	DSB
DSFA (falls pflichtig) vollständig erstellt und vom DSB geprüft	☐ Offen	DSB
DSFA im Verarbeitungsverzeichnis referenziert	☐ Offen	DSB
VERARBEITUNGSVERZEICHNIS
Copilot-Nutzung als neue Verarbeitungstätigkeit ins VVT eingetragen	☐ Offen	DSB
Rechtsgrundlage für die Verarbeitung dokumentiert	☐ Offen	DSB
Zweck, Datenkategorien und betroffene Personen beschrieben	☐ Offen	DSB
Löschfristen für KI-generierte Inhalte definiert	☐ Offen	DSB / IT
EU DATA BOUNDARY UND DATENTRANSFER
EU Data Boundary aktiviert und im VVT dokumentiert	☐ Offen	DSB / IT
Drittlandtransfers geprüft (gibt es noch welche trotz EU Data Boundary?)	☐ Offen	DSB
Geeignete Garantien für verbleibende Drittlandtransfers nachweisbar	☐ Offen	DSB
BETROFFENENRECHTE
Prozess für Auskunftsanfragen zu Copilot-Aktivitäten definiert	☐ Offen	DSB
Prozess für Löschanfragen definiert (was kann gelöscht werden?)	☐ Offen	DSB / IT
Datenschutzerklärung für Mitarbeiter aktualisiert (Copilot erwähnt)	☐ Offen	DSB / HR
Reaktionsfrist 30 Tage intern prozessual sichergestellt	☐ Offen	DSB
DSB UND BETRIEBSRAT
DSB frühzeitig eingebunden (vor Vertragsabschluss)	☐ Offen	GF / IT
DSB bei DSFA als Berater einbezogen (Art. 35 Abs. 2)	☐ Offen	GF / IT
Betriebsrat über technische Überwachungsmöglichkeiten informiert	☐ Offen	HR / GF
Betriebsvereinbarung zu Copilot erstellt oder in Arbeit	☐ Offen	HR / BR
BESONDERE DATENKATEGORIEN
Prüfung ob Copilot auf Daten besonderer Kategorien zugreift (Krankmeldungen, etc.)	☐ Offen	DSB / IT
Schutzmaßnahmen für besondere Kategorien dokumentiert	☐ Offen	DSB
Sensitivity Labels auf Dateien mit besonderen Kategorien gesetzt	☐ Offen	IT / DSB

Tabelle B.1 — DSGVO-Checkliste vor dem Copilot-Go-live