Zum Hauptinhalt springen

DSGVO-KI-Compliance mit Audact

Zuletzt aktualisiert: 24. Mai 2026 · 8 Min. Lesezeit

Datenschutz durch Technikgestaltung, nicht als nachträglicher Zusatz.

Wie Audact die DSGVO handhabt

Datenspeicherung nur in der EU

Alle Daten werden ausschließlich in der EU gespeichert. Primäre Region: AWS Frankfurt (eu-central-1). Backup-Region: AWS Irland (eu-west-1). Keine Daten verlassen die Europäische Union.

Keine Speicherung von Gesprächsinhalten

Audact speichert niemals Gesprächsinhalte. Es werden nur Compliance-Metadaten und kryptografische Nachweis-Hashes aufbewahrt — genug, um die Compliance zu belegen, nicht mehr.

Crypto-Shredding zur Löschung

Löschanträge betroffener Personen werden per Crypto-Shredding (zum Patent angemeldet) bearbeitet. Der Verschlüsselungsschlüssel wird zerstört, sodass alle zugehörigen Daten dauerhaft nicht wiederherstellbar sind — während die Integrität der Evidence Chain gewahrt bleibt.

Integrität der Evidence Chain

Selbst nachdem personenbezogene Daten zerstört wurden, bleibt die Compliance Evidence Chain intakt. Kryptografische Hashes belegen, dass die Compliance-Pflichten erfüllt wurden, ohne personenbezogene Daten aufzubewahren.

Artikel 22 DSGVO: automatisierte Entscheidungsfindung und KI

Artikel 22 gibt jeder betroffenen Person das Recht, nicht einerausschließlichauf automatisierter Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Für KI-Betreiber ist dies die folgenreichste Bestimmung der DSGVO: Ein KI-System, das einen Kredit ablehnt, einen Bewerber zurückweist, eine Betrugssperre auslöst oder ein Disziplinarverfahren ansetzt, ohne dass eine sinnvolle menschliche Prüfung erfolgt, fällt eindeutig unter Artikel 22.

Rechtmäßige Wege bestehen: ausdrückliche Einwilligung, Erforderlichkeit für einen Vertrag oder eine Ermächtigung nach Unions- oder mitgliedstaatlichem Recht mit angemessenen Garantien. In allen Fällen muss der Verantwortliche aussagekräftige Informationen über die involvierte Logik und die Tragweite der Verarbeitung bereitstellen und der betroffenen Person das Recht einräumen, eine menschliche Eingriffsmöglichkeit zu erwirken, ihren Standpunkt darzulegen und die Entscheidung anzufechten. Der Europäische Gerichtshof bestätigte inSCHUFA(C-634/21, 2023), dass ein von Dritten zur Steuerung einer Entscheidung verwendetes Wahrscheinlichkeits-Scoring selbst eine „automatisierte Entscheidungsfindung“ darstellt — und erweiterte damit Artikel 22 für KI-Anbieter.

Wie KI-Systeme DSGVO-Datenschutzpflichten auslösen

Training, Fine-Tuning und Inferenz mit personenbezogenen Daten sind jeweils eigenständige Verarbeitungsvorgänge nach Artikel 4 Abs. 2 und erfordern jeweils ihre eigene Rechtsgrundlage nach Artikel 6. Voice-Agents, Chatbots und agentische Workflows nehmen routinemäßig Namen, Telefonnummern, Stimmbiometrie und Inhalte auf, die Gesundheit, Überzeugungen oder Sexualität offenbaren — was die Verarbeitung zu besonderen Kategorien personenbezogener Daten nach Artikel 9 hochstufen kann und eine strengere Grundlage wie die ausdrückliche Einwilligung oder ein erhebliches öffentliches Interesse erfordert.

Eine Datenschutz-Folgenabschätzung (Artikel 35) ist für die meisten kundenorientierten KI-Einsätze faktisch verpflichtend: Sie verbinden systematische Überwachung, neue Technologie und häufig schutzbedürftige betroffene Personen. Verantwortliche müssen außerdem die Transparenzpflichten der Artikel 13–14 zum Zeitpunkt der Datenerhebung erfüllen — eine Pflicht, die KI-Voice-Agents häufig verfehlen, weil die Offenlegung zu spät im Gespräch erfolgt.

Grenzüberschreitende Datenübermittlungen nach DSGVO für KI-Anbieter

Kapitel V der DSGVO beschränkt Übermittlungen personenbezogener Daten außerhalb des EWR. NachSchrems IImüssen Verantwortliche bei der Verwendung von Standardvertragsklauseln eine Transfer-Folgenabschätzung durchführen, und der EU–US-Datenschutzrahmen bildet derzeit die einzig verfügbare Angemessenheitsbrücke in die Vereinigten Staaten. Viele beliebte KI-Anbieter (OpenAI, Anthropic, Google) verarbeiten EU-Daten auf US-basierter Infrastruktur unter dem DPF oder mittels Standardvertragsklauseln, was die Sorgfaltspflichten auf den Kunden verlagert.

Audact löst dies, indem es ausschließlich innerhalb der EU betrieben wird: Inferenz-Traffic, Metadaten, Schlüssel und Backups verbleiben in AWS Frankfurt und Irland. Es findet keine Übermittlung nach Kapitel V statt, was den Aufwand für die Transfer-Folgenabschätzung beseitigt und die Abhängigkeit von der fortdauernden politischen Stabilität des DPF aufhebt.

Rollen bei der Datenverarbeitung

Audact fungiert alsAuftragsverarbeiter. Der Kunde bleibt jederzeitVerantwortlicher. Audact verarbeitet Daten ausschließlich im Auftrag und nach den Weisungen des Verantwortlichen.

Auftragsverarbeitungsvertrag

Unser Standard-DPA ist verfügbar unter/legal/dpa. Enterprise-Kunden können einen individuellen DPA anfordern.

Kontakt

Bei datenschutzbezogenen Anfragen erreichen Sie uns unterprivacy@audact.ai.

Häufig gestellte Fragen

Speichert Audact Gesprächsinhalte?

Nein. Audact bewahrt nur Compliance-Metadaten und kryptografische Nachweis-Hashes auf — genug, um die Compliance zu belegen, nicht mehr.

Wo werden die Daten gespeichert?

Ausschließlich in der EU. Primäre Region AWS Frankfurt (eu-central-1), Backup AWS Irland (eu-west-1). Keine Daten verlassen die Europäische Union.

Wie werden Löschanträge bearbeitet?

Per Crypto-Shredding (zum Patent angemeldet): Der Verschlüsselungsschlüssel wird zerstört, sodass die zugehörigen Daten dauerhaft nicht wiederherstellbar sind, während die Integrität der Evidence Chain erhalten bleibt.

Ist Audact Auftragsverarbeiter oder Verantwortlicher?

Audact fungiert als Auftragsverarbeiter. Der Kunde bleibt Verantwortlicher, und Audact verarbeitet Daten ausschließlich nach den dokumentierten Weisungen des Verantwortlichen.

EU-KI-Compliance-Gesetze vergleichen

GesetzFristWerSanktion
EU AI Act Art. 502. Aug. 2026Alle KI-Betreiber in der EU15 Mio. EUR / 3 % Umsatz (Art. 99 Abs. 4)
NL Telecomwet1. Juli 2026Outbound-Marketing an NL-Verbraucher900.000 EUR pro Verstoß
DSGVOIn KraftJeder Verarbeiter von EU-Personendaten20 Mio. EUR / 4 % Umsatz
DSAIn Kraft (Feb. 2024)Vermittler & VLOPs6 % weltweiter Umsatz
ePrivacyIn KraftVersender elektronischer KommunikationJe nach Mitgliedstaat unterschiedlich

Verwandte Compliance-Ressourcen

Haftungsausschluss:Diese Seite dient ausschließlich zu Informationszwecken und stellt keine Rechtsberatung dar. Wenden Sie sich für Ihre konkreten Compliance-Pflichten an qualifizierten Rechtsbeistand.

← Zurück zur Startseite