DSGVO-Architektur-Wizard
Welche Datenschutz-Architektur passt zu eurem KI-Vorhaben?
Beantworte sechs kurze Fragen zu eurem KI-Vorhaben. Der Wizard zeigt dir eine konkrete Architektur-Empfehlung (z. B. EU-Cloud reicht vs. On-Premise empfohlen) sowie zusätzliche Hinweise zu automatisierten Entscheidungen, Folgenabschätzung und der EU-AI-Act-Anbieter-Falle – abgeleitet aus unseren eigenen, recherchierten Artikeln zu DSGVO und EU AI Act.
Der DSGVO-Architektur-Wizard leitet aus sechs Angaben zu Datensensibilität, Anbieter-Standort, automatisierten Entscheidungen, Verarbeitungsumfang und Rolle eine konkrete Datenschutz-Architektur-Empfehlung sowie zusätzliche DSGVO- und EU-AI-Act-Hinweise für ein KI-Vorhaben ab.
Euer Vorhaben
Eure Einordnung
Architektur-Empfehlung
US-Anbieter möglich, aber mit Zusatzabsicherung
Ein US-Anbieter ohne EU-Region ist aktuell über das EU-US Data Privacy Framework (DPF) nutzbar, aber weniger robust: Prüft aktiv den DPF-Zertifizierungsstatus des Anbieters, schließt einen Auftragsverarbeitungsvertrag ab – und habt einen Plan B, falls diese Rechtsgrundlage wie schon Safe Harbor und Privacy Shield vor Gericht landet.
Zusätzliche Hinweise
Keine der Zusatzfragen hat einen weiteren Hinweis ausgelöst.
Unabhängig vom Ergebnis: AI-Literacy-Pflicht gilt bereits
Art. 4 EU AI Act verpflichtet seit dem 2. Februar 2025 jedes Unternehmen, das KI einsetzt, zu ausreichender KI-Kompetenz der Mitarbeitenden – unabhängig von Risiko oder Rolle, ab dem 3. August 2026 durchsetzbar. Eine strukturierte interne Schulung reicht, wird aber häufig übersehen.
Willst du diese Architektur-Fragen direkt in ein Projekt einfließen lassen?
So funktioniert dieser Wizard
- Die Architektur-Empfehlung ergibt sich aus Datensensibilität × Anbieter-Standort: unkritische Daten brauchen kaum Architektur-Vorkehrungen, sensible Daten sprechen für selbst gehostete Modelle, normale Daten erlauben Cloud-Lösungen mit den passenden Absicherungen.
- Die vier DSGVO-Hinweise (Art. 22, DSFA) sind direkt aus unserem Artikel „DSGVO und KI“ abgeleitet – inklusive des EuGH-SCHUFA-Urteils zu automatisierten Entscheidungen.
- Die zwei EU-AI-Act-Hinweise (Anbieter-Falle, Transparenzpflicht) sowie die immer gezeigte AI-Literacy-Pflicht sind direkt aus unserem Artikel „Der EU AI Act“ abgeleitet.
- Alle Hinweise werden unabhängig von der Architektur-Empfehlung gezeigt – ein selbst gehostetes Modell befreit z. B. nicht von der DSFA-Pflicht bei umfangreicher Verarbeitung.
Dieser Wizard ersetzt keine Rechtsberatung. Er zeigt eine Orientierung auf Basis öffentlich dokumentierter Grundprinzipien aus DSGVO und EU AI Act – die konkrete Bewertung hängt immer vom Einzelfall ab und sollte gerade bei den hier markierten Punkten (Art. 22, DSFA, Anbieter-Rolle) mit einem Anwalt bzw. einer Datenschutzbeauftragten geprüft werden.
Häufige Fragen zum Wizard
Ersetzt dieser Wizard eine anwaltliche Prüfung?
Nein. Der Wizard gibt eine fundierte erste Orientierung auf Basis öffentlich dokumentierter DSGVO- und EU-AI-Act-Grundprinzipien, ist aber keine Rechtsberatung. Bei automatisierten Entscheidungen (Art. 22), DSFA-Pflicht oder der Anbieter-Rolle nach EU AI Act sollte die konkrete Umsetzung immer anwaltlich geprüft werden – das hängt am Einzelfall.
Warum reicht ein Score von 0–100 hier nicht, wie bei euren anderen Check-Tools?
Weil Datenschutz-Architektur keine Skala von schlecht bis gut ist, sondern eine Wahl zwischen unterschiedlichen, jeweils passenden Architekturen. Ein einzelner Score würde suggerieren, es gäbe eine „beste“ Antwort für alle – tatsächlich hängt die richtige Architektur von der Datensensibilität und dem gewählten Anbieter ab. Deshalb ein Entscheidungsbaum statt eines Scores.
Woher kommen die rechtlichen Aussagen in diesem Tool?
Aus unseren zwei eigenen, recherchierten Insights-Artikeln „DSGVO und KI“ und „Der EU AI Act“ – inklusive Primärquellen wie dem EuGH-SCHUFA-Urteil (C-634/21) und den EDPB-Stellungnahmen. Keine der hier gezeigten Aussagen ist neu erfunden; die vollständige Herleitung inkl. Quellen steht in den beiden Artikeln.
Was mache ich mit dem Ergebnis?
Nutze es als Checkliste für ein Gespräch mit eurem Datenschutzbeauftragten oder Anwalt, oder als Ausgangspunkt für ein Architektur-Gespräch mit uns, wenn ihr eine individuelle Anwendung baut. Zeigt der Wizard mehrere Hinweise gleichzeitig (z. B. sensible Daten + Anbieter-Falle), lohnt sich das Gespräch besonders früh im Projekt.