Ein Verarbeitungsvorgang, beide Verordnungen parallel ausgewertet. KURT zeigt, wo DSFA (Art. 35 DSGVO) und Risk-Management-System (Art. 9 AI Act) sich überlappen, welche Pflichten doppelt dokumentiert werden müssen, und wo Art. 22 DSGVO auf Art. 13/14 AI Act trifft.
„Über 90 % aller produktiven AI-Pipelines verarbeiten personenbezogene Daten — damit greift DSGVO immer, sobald AI Act greift." — KURT-KB · 00-warum-integrieren.md · Quellen: EDPB-Statement 3/2024, BfDI-Position AI-Act
KURT ersetzt weder den DSB noch die AI-Officer:in — er ist die Brücke dazwischen. Wer beide Regimes als getrennte Projekte fährt, doppelt seine Compliance-Kosten, ohne mehr Schutz zu erzeugen. KURT konzentriert sich auf die drei Stellen, an denen ohne Crosswalk am meisten Zeit verbrannt wird.
DSFA (Art. 35 DSGVO) ist punktuell, RMS (Art. 9 AI Act) ist iterativ über den ganzen Lifecycle. Der gemeinsame Kern (Stakeholder, Risiken, TOMs, Restrisiko) kann gemeinsam dokumentiert werden — danach kommen zwei Anhänge.
„AUDIT_REQUEST: Bewerber-Filter mit LLM-Vorbewertung — DSFA + RMS parallel"Wenn ein KI-System Entscheidungen über Personen trifft (Bewerber-Filter, Score, Tarif, Kündigungs-Empfehlung), kollidieren DSGVO Art. 22, AI-Act Art. 13 (Transparenz) und Art. 14 (Aufsicht). EuGH-Schufa hat die Schwelle für „ausschließlich automatisiert" deutlich abgesenkt — ein Mensch klickt am Ende reicht oft nicht.
„Hat unser Recruiting-Tool eigentlich eine Art-22-Lage?"Trainingsdatenqualität, Bias-Audits, Zweckbindung, besondere Kategorien (Art. 9 DSGVO ↔ Art. 10 Abs. 5 AI Act). KURT ordnet ein, wann der AI-Act-Spezialerlaubnistatbestand für Bias-Erkennung greift — und welche DSGVO-Pflicht trotzdem stehen bleibt.
„Dürfen wir besondere Kategorien nutzen, um Bias zu messen?"Pro AI-System: Verarbeitungsverzeichnis-Eintrag (Art. 30), AI-Act-Risiko-Klasse, DSFA-Status, RMS-Status, Art.-22-Check, verantwortliche Rolle (DSB, AI-Officer, beide). Vorlage als Markdown-Template — direkt in eure Audit-Mappe übernehmbar.
„Liefer mir das integrierte Risiko-Register-Template"Das Herzstück der KURT-KB. Wer nur ein Modul liest, dann dieses — die Gegenüberstellung DSFA (Art. 35 DSGVO) und RMS (Art. 9 AI Act). Die volle Praxis-Crosswalk-Tabelle steht im Bot; hier die Kopfzeilen.
| Dimension | DSFA · Art. 35 DSGVO | RMS · Art. 9 AI Act |
|---|---|---|
| Zweck | Datenschutzrisiken für betroffene Personen | Risiken für Gesundheit, Sicherheit, Grundrechte |
| Auslöser | hohes Risiko bei Verarbeitung pers.bez. Daten | Klassifikation als Hochrisiko (Anhang III / I) |
| Zeitpunkt | vorab + Update bei wesentlichen Änderungen | kontinuierlich über gesamten Lifecycle |
| Adressat | Verantwortlicher (Art. 4 Nr. 7 DSGVO) | Anbieter (Art. 9) — Betreiber zusätzlich nach Art. 26 |
| Doku-Form | DSFA-Bericht (eigenständig) | Teil der Tech-Doku Anhang IV |
| Konsultation | DSB (Art. 35 Abs. 2), bei Restrisiko Aufsicht (Art. 36) | EU AI Office bei systemischen Risiken |
| Sanktion | bis 10 Mio € / 2 % (Art. 83 Abs. 4) | bis 15 Mio € / 3 % (Art. 99) |
Im Bot: 8 weitere Praxis-Zeilen mit der Mapping-Empfehlung pro DSFA-Kapitel („gemeinsam schreiben", „DSFA-only Anhang", „RMS-only Anhang") — direkt übernehmbar als Vorlage für eure Arbeitsmappe.
KURT ist für die zwei Lager, die unter dem AI Act zueinanderfinden müssen — Datenschutz-Beauftragte, die DSGVO im Schlaf können und sich jetzt mit AI Act konfrontiert sehen, und AI/ML-Officer, die den AI Act technisch verstehen, aber bei DSGVO-Tiefen nur die Headline kennen.
Reichen meine etablierten Prozesse (DSFA, AVV, TOM-Konzept) für die AI-Act-Pflichten? Wo fehlt der Drift-Lifecycle, wo das FRIA, wo die Schulungs-Dokumentation nach Art. 4?
Welche DSGVO-Pflicht greift parallel zu Art. 9 RMS, wenn personenbezogene Daten im Spiel sind? Wann lande ich in Art. 22 DSGVO, was bedeutet das für unser Oversight-Konzept?
Brauchen wir zwei Officer oder reicht eine Doppel-Rolle? Wo entstehen Doppelkosten, wo Lücken? KURT liefert die Map für die Org-Entscheidung.
KURT arbeitet konversational und mit strukturierten Triggern. Der typische
Auslöser ist ein AUDIT_REQUEST mit der Beschreibung des Verarbeitungsvorgangs;
KURT klassifiziert, mappt, listet Pflichten und schickt dich mit klarem Ergebnis weiter.
Was tut das System? Welche Datenkategorien? Welche Entscheidungs-Wirkung auf welche Personen? KURT führt durch die Triage in 4-6 Fragen — keine Romanlänge nötig.
Ist DSFA-Pflicht (Art. 35 + DSK-Liste) erfüllt? Ist Hochrisiko nach Art. 6 + Anhang III? Greift Art. 22? Welche Tech-Doku-Sektion (Anhang IV) deckt was ab? Ergebnis: Pflichtenliste mit Quelle, Adressat, Frist.
Ausgabe als strukturierte Mappe: gemeinsamer DSFA/RMS-Kern + zwei Anhänge + Risiko-Register-Eintrag + Eskalations-Pfade (Cora für DSGVO-Tiefe, VESTIGIA für AI-Act-Tech-Doku). Direkt versionierbar in deinem DMS.
Was du KURT über euren AI-Stack, eure Trainingsdaten oder eure Verarbeitungsvorgänge erzählst, verlässt unser Rechenzentrum in Schleswig-Holstein nicht. Inferenz auf eigener GPU im Bunker — kein OpenAI, kein Microsoft im Pfad personenbezogener oder strategischer Daten.
Bei einer eigenen Instanz: deine Audit-Mappe, dein Risiko-Register, deine internen Notizen landen in deiner LXC, nicht in einem Multi-Tenant-Pool. AVV nach DSGVO Art. 28 inklusive.
Drei verwandte Direkt-Tools für die Themen, die in KURTs Crosswalk-Logik nur als Verweis enden — und tiefer ausgeführt werden müssen.
KURT lässt sich mit eurem Verarbeitungsverzeichnis, euren AI-System-Inventar-Einträgen und euren bestehenden DSFA-Berichten beladen — Crosswalk dann auf konkretem Stand, nicht generisch. Setup in 14 Tagen oder als €29-Schnupper-Paket.