KI-Anbieter mit DPA, SCCs und TIA
OpenAI ohne DPA zu verwenden ist eine internationale Datenübermittlung ohne Rechtsgrundlage.
Rahmen / Norm: DSGVO Kap. V + Art. 28 · EU AI Act Art. 25 · ISO/IEC 42001 A.10
Automatische Beschreibungen mit OpenAI zu aktivieren klingt harmlos. Rechtlich gesehen werden Daten an einen Unterauftragsverarbeiter übermittelt, der möglicherweise außerhalb der EU sitzt. Liegt der unterzeichnete DPA vor? Die SCCs? Das TIA?
Linedat modelliert jeden KI-Anbieter als versionierte Entität mit seiner Verantwortlichkeitskette und dem Status seiner rechtlichen Dokumentation.
Die Kette Controller → Processor → Sub-Processor
Jeder Anbieter erfasst seinen Typ, seine Jurisdiktion, den Übertragungsmechanismus (SCCs, Angemessenheitsbeschluss, BCR), die Unterzeichnungsdaten von DPA und SCCs, das TIA-Ergebnis (nach Schrems II) und seine Unterauftragsverarbeiter. Bevor eine KI-Funktion aktiviert wird, kann nachgewiesen werden, dass die Rechtsgrundlage der Übermittlung vorliegt.
Versionierung und Verlängerung
Der DPA/SCCs/TIA-Status wird mit Verlauf versioniert und das Verlängerungsdatum markiert. Aus „Ich glaube schon, liegt irgendwo" wird „Hier ist es, Version 3, unterzeichnet am 12.03."
Die Grenzen (was wir nicht behaupten)
Der Übergang zu einem „aktiven" Anbieter erfordert einen registrierten DPA, aber TIA und Unterauftragsverarbeiter sind deklarativ (manuelle Erfassung, kein Fragebogen und keine Überprüfung dessen, was der Anbieter tatsächlich erklärt). Das Runtime-Gate, das die Nutzung eines nicht zugelassenen Anbieters verhindert, existiert noch nicht: Es handelt sich um eine dokumentarische und geprüfte Erfassung, keine Echtzeitsperre.
Wie Linedat hilft
Linedat integriert das Vendor Risk der KI in den Katalog — nicht in ein separates Dokument: Bevor Ihre KI mit einem Dritten kommuniziert, wissen Sie bereits, ob dieser Dritte die Papiere hat — und seine Unterauftragsverarbeiter.
Verwandte Funktionen
Bevor eine Personalausweisnummer oder ein IBAN zu OpenAI übertragen wird, werden sie geschwärzt — im kritischen Pfad, nicht als Option.
KI-System-Inventar nach RisikoklasseDer AI Act prüft Systeme, keine API-Aufrufe. Jedes KI-System erfasst mit seiner Risikoklasse.
Betroffenenrechte (DSR) mit gesetzlicher UhrBetroffenenrechte werden nicht per E-Mail verwaltet: mit Uhr nach Art. 12 und unterstützter Datenlokalisierung via RoPA.
