Datenschutz-Folgenabschätzung

Gemäß Art. 35 DSGVO haben wir vor Inbetriebnahme der AI READY-Plattform eine DSFA (Data Protection Impact Assessment) durchgeführt. Diese Seite fasst die wesentlichen Ergebnisse transparent zusammen.

Version: 2026-04-20·Nächste Überprüfung: 2026-10-20·Verantwortlicher: N.terion Consulting GmbH

1. Gegenstand und Umfang

Was diese DSFA abdeckt

Diese DSFA bezieht sich auf die AI READY EU Digital Compliance Edition — eine KI-gestützte Lernplattform, über die natürliche Personen EU-Compliance-Schulungen absolvieren und ein Hochschulzertifikat erwerben.

Die Verarbeitung umfasst: Registrierungsdaten, Kursfortschritt, Chat-Interaktionen mit dem KI-Avatar, Prüfungs-Attempts, Zertifikatsdaten, Zahlungsdaten (verarbeitet durch Stripe) und optional Proctoring-Fotos (Opt-in).

Die DSFA ist erforderlich, weil die Plattform eine systematische Überwachung (Art. 35 Abs. 3 lit. c DSGVO) im Sinne von Lernfortschrittstracking vornimmt und innovative KI-Technologie (Art. 35 Abs. 1 DSGVO) einsetzt.

2. Risikoidentifikation und Maßnahmen

Identifizierte Risiken und technische / organisatorische Schutzmaßnahmen (TOMs)

Risiko	Eintrittswk.	Auswirkung	Maßnahme
Unangemessene Profilbildung durch KI-Avatar-Interaktionen	niedrig	mittel	Mistral AI erhält ausschließlich anonymisierte Kurs-Kontext-Daten. Keine Benutzer-ID, kein Name, keine E-Mail. Jede Session ist isoliert.
Unberechtigter Zugriff auf Lernfortschritts- und Prüfungsdaten	niedrig	hoch	Row Level Security (RLS) auf allen Supabase-Tabellen. Nur authentifizierter User sieht eigene Daten. Admins sehen nur ihre Org. Service-Role-Zugriff auf Webhook-Ebene beschränkt.
Datenverlust durch Anbieterausfall (Supabase, Vercel)	niedrig	hoch	Supabase Point-in-Time-Recovery (PITR) aktiv. Zertifikate zusätzlich kryptographisch signiert und lokal verifizierbar — unabhängig von unserer Datenbank.
Diskriminierung durch KI-gestützte Prüfungsbewertung	niedrig	mittel	Die Prüfung ist ein regelbasiertes Multiple-Choice-System ohne KI-Bewertung. KI wird nur für Erklärungen und Lernunterstützung eingesetzt.
Drittland-Transfer personenbezogener Daten	niedrig	hoch	Alle PII ausschließlich auf EU-Infrastruktur (Frankfurt). Mistral AI (Paris) und ElevenLabs TTS empfangen keine PII. HeyGen erhält nur Audio-Stream für Lip-Sync ohne Nutzer-Identität.
Speicherung von Proctoring-Daten ohne Rechtsgrundlage	mittel	hoch	Proctoring erfolgt ausschließlich mit ausdrücklicher Einwilligung (Opt-in, Art. 6 Abs. 1 lit. a DSGVO). Fotos werden nach 12 Monaten automatisch gelöscht. Nutzer können sie jederzeit selbst löschen.

3. Gesamtergebnis

Bewertung der Verarbeitungstätigkeit nach Maßnahmenumsetzung

Rechtsgrundlage

Art. 6 Abs. 1 lit. b (Vertragserfüllung) für Kursdaten; lit. a (Einwilligung) für Proctoring und Marketing.

Datensparsamkeit

Minimale Erhebung: nur was für Kurs, Zertifikat und Rechnung erforderlich ist.

Zweckbindung

Kursdaten werden nicht für andere Zwecke verarbeitet. Keine Weitergabe an Dritte zu Werbezwecken.

Betroffenenrechte

Auskunft, Export, Berichtigung, Löschung — alle selbst im Dashboard ausführbar.

Datensicherheit

TLS 1.3, AES-256 at rest, RLS, Audit-Log, regelmäßige Penetrationstests geplant.

Auftragsdatenverarbeitung

AVV mit Supabase, Stripe, Resend, Mistral AI und Vercel abgeschlossen oder im Abschluss.

Risikogesamtbewertung

Alle identifizierten Risiken durch technische und organisatorische Maßnahmen auf akzeptables Niveau reduziert.

✓ Ergebnis: Die Verarbeitungstätigkeit ist nach Umsetzung der beschriebenen Maßnahmen datenschutzrechtlich zulässig. Eine Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO ist nicht erforderlich.

4. Für Ihre eigene DSFA

Hinweise für B2B-Kunden, die AI READY in ihrer DSFA dokumentieren möchten

Wenn Ihr Unternehmen AI READY im Rahmen des betrieblichen Datenschutzes dokumentieren muss (z. B. für ISO 27001, NIS-2-Compliance oder eine eigene DSFA nach Art. 35 DSGVO), stellen wir Ihnen folgende Unterlagen zur Verfügung:

AVV (Auftragsverarbeitungsvertrag) — abrufbar im HR-Dashboard als personalisiertes PDF
Diese DSFA-Zusammenfassung — als Nachweis der Vorab-Prüfung durch N.terion Consulting GmbH
Subunternehmerliste — im AVV enthalten (Supabase, Stripe, Vercel, Mistral, ElevenLabs, HeyGen)
Audit-Evidence-Bundle — im HR-Dashboard; enthält AVV + Mitarbeiterstatus + Zertifikate + Audit-Log

Für individuelle Fragen oder wenn Ihre Aufsichtsbehörde weitere Unterlagen anfordert, wenden Sie sich an datenschutz@nterion.de.

HR-Dashboard → AVV + Bundle Kontakt Datenschutz

Diese Seite stellt keine Rechtsberatung dar. Für verbindliche Datenschutzauskünfte konsultieren Sie bitte einen zugelassenen Datenschutzbeauftragten. Stand: 2026-04-20. Letzte Prüfung: 04. Juni 2026.