EU AI Act für Datenschutzbeauftragte
DSGVO und EU AI Act überlappen sich genau dort, wo KI auf personenbezogene Daten trifft. Als DSB müssen Sie sicherstellen, dass KI-Systeme DSGVO-konform dokumentiert sind, DPIAs durchgeführt werden und Subprozessoren transparent aufgeführt sind. SimpleAct gibt Ihnen die strukturelle Grundlage dafür.
Typische Herausforderungen für DSBs
- KI-Systeme tauchen im Verarbeitungsverzeichnis auf – aber ohne Risikoeinstufung nach EU AI Act
- Wer hat eigentlich welches KI-Tool eingeführt? Shadow-AI ist kaum kontrollierbar ohne zentrales Inventar
- DPIA nach Art. 35 DSGVO für automatisierte Entscheidungen – Datenbasis fehlt
- Kunden und Auftraggeber fragen, ob alle Subprozessoren vertraglich abgesichert sind
- Aufsichtsbehörde fragt nach – und der DSB hat keinen aktuellen, belastbaren Überblick
So sieht das in der Praxis aus
Die Datenschutzbehörde fragt nach, ob für das KI-gestützte Bewerbermanagementsystem eine DPIA durchgeführt wurde. Ohne SimpleAct: Drei Abteilungen müssen einzeln befragt werden, ob das System Hochrisiko ist, wer der Anbieter ist und welche Daten verarbeitet werden. Mit SimpleAct: Das System ist im Inventar, Risikoklasse ist dokumentiert, Subprozessoren sind aufgeführt – die DPIA-Datenbasis ist fertig.
Was SimpleAct für DSBs leistet
Zentrales KI-Inventar als Datenbasis
Alle KI-Systeme im Unternehmen erfasst – mit Verwendungszweck, Datenarten, Verarbeitungsort und Verantwortlichen. Grundlage für DPIA und Verarbeitungsverzeichnis.
Subprozessoren transparent
SimpleAct listet Hetzner (DE), Supabase (EU-Region Frankfurt), Stripe und Brevo. AVV/DPA nach Art. 28 DSGVO liegt vor. Kein Drittlandtransfer ohne Absicherung.
Automatisierte Entscheidungen dokumentiert
Hochrisiko-KI nach EU AI Act trifft oft auf Art. 22 DSGVO. SimpleAct erfasst, ob menschliche Aufsicht vorhanden ist – wichtig für DPIA-Begründungen.
Append-only Audit-Log
Jede Änderung an KI-Systemdaten ist zeitgestempelt und nicht löschbar – belastbar für Behördenanfragen und DSGVO-Auskunftsersuchen.
Was Sie als DSB bekommen
- Strukturierte Datenbasis für DPIA nach Art. 35 DSGVO
- Inventar aller KI-Systeme inkl. Verwendungszweck und Datenarten
- Subprozessoren-Transparenz mit AVV-Dokumentation
- Nachweis menschlicher Aufsicht für automatisierte Entscheidungen (Art. 22 DSGVO)
- Append-only Audit-Log – zeitgestempelt, nicht löschbar
- EU-Hosting dokumentiert – kein Drittlandtransfer
Häufige Fragen von Datenschutzbeauftragten
Muss für jedes KI-System eine DPIA gemacht werden?
Nicht automatisch – aber für Hochrisiko-KI nach EU AI Act ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO häufig erforderlich. SimpleAct liefert die strukturierten Daten dafür.
Wo werden Kundendaten gespeichert?
Anwendungslayer bei Hetzner Nürnberg (Deutschland), Datenbank bei Supabase EU-Region Frankfurt. Kein Transfer in Drittländer.
Ist SimpleAct selbst DSGVO-konform?
Ja. AVV/DPA nach Art. 28 DSGVO liegt vor. Verarbeitungsverzeichnis, Subprozessoren-Liste und Security Whitepaper sind verfügbar.
Was ist der Unterschied zwischen EU AI Act und DSGVO für KI?
Die DSGVO regelt den Datenschutz bei der Verarbeitung personenbezogener Daten – auch durch KI. Der EU AI Act regelt zusätzlich die Risikoeinstufung, Dokumentation und Governance von KI-Systemen unabhängig vom Datenschutzbezug. Beide Anforderungen greifen bei Hochrisiko-KI zusammen.
Wer gilt als Betreiber nach EU AI Act?
Betreiber (Deployer) sind Unternehmen, die ein KI-System in eigener Verantwortung einsetzen – unabhängig davon, ob sie es selbst entwickelt haben. SimpleAct hilft, diese Rollen und Verantwortlichkeiten pro System zu dokumentieren.
KI-Inventar und DSGVO-Grundlage in einem
Schaffen Sie Transparenz über alle KI-Systeme – als Datenbasis für DPIA, Verarbeitungsverzeichnis und AI-Act-Compliance.
Jetzt starten