Self-Assessment
Eigenverantwortliche Prüfung durch ein Unternehmen, ob Compliance-Anforderungen erfüllt sind – etwa bei DSGVO oder AI Act. Dient der Selbsteinschätzung von Risiken und Umsetzungsstand ohne externe Prüfstelle.
Ausführliche Erklärung
Self-Assessment bezeichnet im rechtlichen Kontext die strukturierte Selbstbewertung eines Unternehmens zur Einhaltung gesetzlicher Vorgaben. Statt durch eine externe Zertifizierungsstelle oder Behörde geprüft zu werden, bewertet das Unternehmen eigenverantwortlich seinen Compliance-Status anhand definierter Kriterien. Typische Anwendungsbereiche sind Datenschutz nach DSGVO, Konformitätsbewertungen bei Hochrisiko-KI-Systemen nach EU AI Act oder technische Sicherheitsanforderungen.
Im Datenschutzbereich nutzen KMU Self-Assessment-Tools häufig, um den Umsetzungsstand der DSGVO zu evaluieren. Die österreichische Datenschutzbehörde und die Wirtschaftskammern Österreichs entwickeln im Rahmen des EU-geförderten Projekts DSGVO4KMU aktuell ein Online-Self-Assessment als Onlineratgeber für kleine und mittlere Unternehmen. Ähnliche Tools werden von Behörden wie dem Bayerischen Landesamt für Datenschutzaufsicht oder privaten Anbietern bereitgestellt. Sie erfassen typischerweise den Stand bei technischen und organisatorischen Maßnahmen, Verarbeitungsverzeichnissen oder Auftragsverarbeiterverträgen.
Beim EU AI Act spielt Self-Assessment eine zentrale Rolle bei der Konformitätsbewertung. Für die meisten Hochrisiko-KI-Systeme nach Anhang III ist eine interne Konformitätsbewertung zulässig, während nur biometrische Identifikationssysteme eine Bewertung durch eine notifizierte externe Stelle erfordern. Der Anbieter erstellt dabei eigenständig die technische Dokumentation, führt Risikoanalysen durch und weist die Einhaltung der Anforderungen nach. Diese Vorgehensweise ermöglicht KMU eine schlankere, kostengünstigere Umsetzung – trägt aber auch die volle Verantwortung für die Korrektheit der Bewertung.
Ein Self-Assessment ist kein formaler Rechtsakt, sondern ein Instrument zur Risikoerkennung und Priorisierung von Maßnahmen. Es entbindet nicht von rechtlichen Pflichten, hilft aber, Lücken zu identifizieren, bevor Behörden oder externe Prüfer tätig werden. Gerade für ressourcenknappere KMU bietet ein strukturiertes Self-Assessment einen pragmatischen Einstieg, bevor spezialisierte Beratung hinzugezogen wird.
Praxisbeispiel
Eine steirische Steuerberatungskanzlei mit 12 Mitarbeiter:innen setzt ein webbasiertes DSGVO-Self-Assessment ein, das von der Datenschutzbehörde bereitgestellt wird. Der geschäftsführende Steuerberater beantwortet online Fragen zu Verarbeitungsverzeichnissen, Auftragsverarbeiterverträgen und technischen Maßnahmen. Das Tool identifiziert eine fehlende Datenschutz-Folgenabschätzung für die cloudbasierte Mandantenverwaltung. Auf Basis der Risikoeinschätzung holt die Kanzlei gezielt externe Datenschutzberatung ein und dokumentiert die Maßnahmen, bevor die Behörde eine Prüfung ankündigt.