DSGVO und EU AI Act lückenlos nachweisen: Wie wir unsere Compliance digital dokumentieren

· KMU KI-Kompass

Auf einen Blick: Die News & die KMU-Chance

  • Die DSGVO verlangt Nachweise (Rechenschaftspflicht, Art. 5 Abs. 2): Verarbeitungsverzeichnis, TOM, AV-Verträge, Datenpannen, Betroffenenrechte und Löschkonzept müssen belastbar dokumentiert sein.
  • Der EU AI Act kommt obendrauf: Inventar der KI-Systeme, Risikoklassifizierung und Nachweis der KI-Kompetenz nach Art. 4.
  • Verstreut in Word, Excel und Kalender ist das kaum revisionssicher – Fristen werden übersehen.
  • Ein zentrales Compliance-Tool dokumentiert beides strukturiert, berechnet Fristen automatisch und warnt vor fälligen Aufgaben – selbst gehostet in Deutschland.

Die meisten Unternehmen halten die DSGVO im Alltag durchaus ein. Die eigentliche Hürde ist eine andere: die Rechenschaftspflicht nach Artikel 5 Absatz 2 DSGVO. Sie müssen die Einhaltung auch nachweisen können – und genau dieser Nachweis lebt oft verstreut in Word-Vorlagen, Excel-Listen und Kalendereinträgen.

Das Problem: nachweisen, nicht nur einhalten

Verarbeitungsverzeichnis, technische Maßnahmen, Auftragsverarbeitungsverträge, Datenpannen, Betroffenenanfragen und Löschfristen müssen vollständig, aktuell und im Prüffall belastbar dokumentiert sein. Sobald das auf mehrere Dokumente und Köpfe verteilt ist, werden Fristen übersehen und der Überblick geht verloren.

DSGVO zentral statt verstreut

Unser VLYX DSGVO-Handbuch führt alle Pflichten in einer Anwendung zusammen – jeweils mit Bezug zur passenden Rechtsgrundlage:

  • Verarbeitungsverzeichnis (Art. 30) mit Zweck, Rechtsgrundlage und Datenkategorien
  • Katalog technisch-organisatorischer Maßnahmen (Art. 32) mit Prüfintervallen
  • Auftragsverarbeitungsverträge (Art. 28), inklusive Drittland-Transfer
  • Datenpannen-Register (Art. 33/34) mit Meldepflicht-Status
  • Betroffenenrechte (Art. 15 bis 22) mit automatischer Fristberechnung
  • Löschkonzept (Art. 17) mit Aufbewahrungsregeln und Prüfterminen

Fristen, die sich selbst melden

Eingehende Betroffenenanfragen erhalten automatisch ihre Monatsfrist, das Dashboard warnt vor offenen Datenpannen, fälligen Auskunftsfristen und anstehenden Löschprüfungen. Die kritische 72-Stunden-Meldefrist bei Datenpannen gerät so nicht in Vergessenheit.

AV-Verträge mit Kunden-Self-Service

Kunden bestätigen einen Auftragsverarbeitungsvertrag über einen persönlichen Link – ohne eigenes Konto. Bestätigungszeitpunkt und IP-Adresse werden protokolliert, beide Seiten erhalten eine Benachrichtigung. Das ersetzt den Papier- und E-Mail-Pingpong.

Neu und Pflicht: der EU AI Act

Als jüngste Erweiterung deckt das Handbuch den EU AI Act ab – das Regelwerk, das viele KMU noch nicht auf dem Schirm haben:

  • Inventar aller eingesetzten KI-Systeme mit Anbieter und Bereitstellungsart
  • Strukturierte Risikoklassifizierung je System: verbotene Praktiken nach Art. 5, Hochrisiko nach Art. 6 und Anhang III, Transparenzpflichten nach Art. 50
  • Versionierte interne KI-Nutzungsrichtlinien
  • Nachweis der KI-Kompetenz (Art. 4) über hinterlegte Schulungszertifikate

Sicher und in eigener Hand

Login mit Zwei-Faktor-Authentifizierung, modernem Passwort-Hashing und einem durchgängigen Audit-Log. Die Anwendung ist eine Eigenentwicklung, selbst gehostet in Deutschland – kein US-Cloud-SaaS mit Datenabfluss. Gerade bei einem Datenschutz-Werkzeug ist Datenhoheit kein Detail, sondern das Argument.

Wir setzen es selbst ein

Dieses Handbuch ist bei GLAESS produktiv im Einsatz – mit echten Stammdaten und gepflegten Verzeichnissen. Wer Unternehmen bei Automatisierung, Datenschutz und KI berät, sollte die eigene Compliance vorleben. Genau dafür haben wir es gebaut.

Die KMU-Chance (Praxis-Einschätzung)

Für ein KMU ist Compliance selten ein Problem der Absicht, sondern des Nachweises: Im Prüf- oder Schadensfall zählt nicht, dass man es richtig gemacht hat, sondern dass man es belegen kann. Mit dem EU AI Act kommt eine ganz neue Pflicht hinzu – KI-Systeme inventarisieren, deren Risiko einstufen und KI-Kompetenz nachweisen –, bei der die meisten Unternehmen noch am Anfang stehen. Als TÜV-zertifizierter KI-Koordinator richten wir genau diese Dokumentation strukturiert ein, mit automatischen Fristen statt Kalenderzetteln und mit voller Datenhoheit in Deutschland. Eine solche Lösung lässt sich auf Ihr Unternehmen übertragen – und wir setzen sie selbst ein.

Häufige Fragen

Reicht es nicht, die DSGVO einfach einzuhalten?

Nein. Die Rechenschaftspflicht nach Artikel 5 Absatz 2 DSGVO verlangt, dass Sie die Einhaltung auch nachweisen können. Im Prüffall zählt die vollständige, aktuelle Dokumentation – nicht die gute Absicht.

Was muss ich für den EU AI Act konkret tun?

Im Kern: alle eingesetzten KI-Systeme erfassen, ihr Risiko einstufen (von minimal bis inakzeptabel), interne Nutzungsrichtlinien festlegen und die KI-Kompetenz der Mitarbeitenden nach Artikel 4 nachweisen. Genau diese Schritte bildet das Tool strukturiert ab.

Bleiben die Compliance-Daten in Deutschland?

Ja. Es handelt sich um eine Eigenentwicklung, die selbst gehostet in Deutschland läuft – ohne US-Cloud-Dienst und ohne Datenabfluss an Dritte. Bei einem Datenschutz-Werkzeug ist das ein zentrales Argument.

Frank Gläß

TÜV-zertifizierter KI-Koordinator mit über 20 Jahren Erfahrung in der Industrie- und Automatisierungstechnik.

← Alle Artikel