Steht in der Datenschutzerklärung, was technisch tatsächlich läuft?
Datenschutzbeauftragte dokumentieren KI-bezogene Verarbeitungen in der Datenschutzerklärung, im Verarbeitungsverzeichnis nach Art. 30 und in der DPIA — aber die technische Realität auf der Domain weicht häufig von der dokumentierten Erklärung ab. CERTavia prüft genau diese Lücke: ob KI-Governance-Deklarationen technisch tatsächlich live und konsistent sind.
Papier ist nicht Infrastruktur
Die Datenschutzerklärung beschreibt, wie mit KI-Crawlern, Trainingsdaten-Opt-Out und automatisierten Entscheidungen umgegangen wird. Ob diese Beschreibung mit der tatsächlichen technischen Konfiguration übereinstimmt — robots.txt-Direktiven, AI Policy URL, Deepfake-Disclaimer, Kontaktstelle für KI-Anfragen — lässt sich ohne technische Prüfung kaum verifizieren. Diese Lücke ist ein Risiko sowohl für die DSGVO-Dokumentationspflicht als auch für die Überschneidung mit Art. 15 und Art. 50 EU AI Act.
CERTavia prüft die technische Infrastruktur-Ebene unabhängig von der Dokumentation und liefert einen deterministischen, kryptografisch signierten Abgleich: Ist das, was in der Datenschutzerklärung steht, technisch tatsächlich umgesetzt?
KI-Governance-Deklaration im Detail
Dieser Cluster ist für Datenschutzbeauftragte der unmittelbar relevante Prüfbereich.
ai.txt und AI Policy URL
Prüft, ob eine maschinenlesbare AI Policy unter der erwarteten Adresse tatsächlich erreichbar ist und ob ihr Inhalt mit der in der Datenschutzerklärung beschriebenen KI-Nutzung konsistent ist.
Datenschutz-KI-Abschnitt
Prüft, ob die Datenschutzerklärung einen KI-spezifischen Abschnitt enthält und ob dieser mit der technischen robots.txt- und Crawler-Konfiguration übereinstimmt.
AI-Training-Opt-Out-Status
Prüft, ob deklarierte Opt-Out-Signale für KI-Trainingsdaten technisch konsistent über robots.txt, Meta-Tags und HTTP-Header umgesetzt sind — nicht nur in einem Dokument behauptet werden.
Deepfake-Disclaimer und Kontaktstelle
Prüft das Vorhandensein und die technische Erreichbarkeit eines Deepfake-Disclaimers sowie einer dedizierten Kontaktstelle für KI-bezogene Anfragen Betroffener.
Hinweis zur Parameterbasis: Dieser Cluster ist die Ebene, auf der regulatorische Anforderungen aus Art. 15 und Art. 50 EU AI Act technisch verifizierbar werden — ergänzend zu den DSGVO-Dokumentationspflichten, die Datenschutzbeauftragte ohnehin führen.
Ein technischer Beleg für die Dokumentation
Für das Verarbeitungsverzeichnis nach Art. 30 DSGVO und für Datenschutz-Folgenabschätzungen (DPIA) bei KI-gestützten Verarbeitungen ist ein technischer Beleg hilfreich, der zeigt, dass die deklarierten Schutzmaßnahmen tatsächlich aktiv sind. Der CERTavia-Report liefert diesen Beleg als kryptografisch signiertes, zeitstempelgenaues Dokument — nicht als Ersatz für die rechtliche DPIA-Bewertung, sondern als technischer Baustein darin.
Die Überschneidung von DSGVO-Anforderungen mit dem EU AI Act betrifft insbesondere automatisierte Entscheidungsfindung und die Transparenzpflichten nach Art. 50. Mehr dazu auf der EU-AI-Act-Übersichtsseite.
Ein gemeinsamer Befund statt getrennter Wahrnehmungen
Der CERTavia-Report liefert Datenschutzbeauftragten und IT-Leitern denselben deterministischen Befund — eine gemeinsame Grundlage, um Diskrepanzen zwischen dokumentierter und tatsächlicher Konfiguration zu identifizieren und zu schließen, statt sie in getrennten Prüfprozessen zu verwalten.
Preise für Datenschutzbeauftragte
PDF Audit Report, kryptografische Signatur, Sovereign Vault Link (90 Tage). Geeignet für die erste Abgleichsprüfung zwischen Datenschutzerklärung und technischer Realität.
Sovereign Vault ohne automatisches Ablaufdatum, maschinenlesbare Verifikations-URL, JSON-Output. Geeignet als technischer Beleg für Art.-30-Dokumentation und DPIA.
Weiterführende Seiten
Technische Anforderungen, Zeitplan und Infrastruktur-Implikationen.
Für Compliance Manager und GRC-Teams →Der Art.-15-Nachweis für das Conformity Assessment Dossier.
Wie CERTavia funktioniert →Der deterministische Prüfprozess und das Validierungsverfahren erklärt.
Angebote und Preise →Alle Pakete von Basic bis Enterprise im Überblick.
Referenzen →Verifizierte Scan-Ergebnisse aus der Praxis — kryptografisch signiert und über den Sovereign Vault prüfbar.
Abgleich in 90 Sekunden
Der Quick Scan liefert das Layer-0-Ergebnis Ihrer Domain in 90 bis 120 Sekunden. Kostenfrei, mit sofort verfügbarem JSON-Output im Full Scan.
CERTavia analysiert technische Infrastruktursignale. Das Ergebnis ist ein maschinenlesbarer Befund, kein Rechtsgutachten und keine Zertifizierung im Sinne der EU AI Act Konformitätsbewertung nach Artikel 43. Für rechtsverbindliche Compliance- und Datenschutz-Bewertungen wenden Sie sich an qualifizierte Rechts- und Datenschutzberater.