Zum Inhalt springen
Compliance

Mitgedacht, nicht nachgerüstet.

DSGVO, EU AI Act, NIS2, DORA — von Haus aus erfüllt. Ihre Daten bleiben Ihre Daten.

DSGVOEU AI ActNIS2DORA
Seit 2018

Wie stellt FluxHuman DSGVO-Konformität sicher?

Die Datenschutz-Grundverordnung regelt, wie personenbezogene Daten von EU-Bürgern erhoben, gespeichert und verarbeitet werden.

Wer ist betroffen?

Jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet – unabhängig vom Firmensitz.

Wichtige Anforderungen

  • Zweckbindung: Daten nur für festgelegte Zwecke
  • Datenminimierung: Nur erheben, was nötig ist
  • Recht auf Löschung: Daten auf Anfrage löschen
  • Meldepflicht: 72 Stunden ab Kenntnis der Datenpanne (Art. 33)
  • Auftragsverarbeitungsverträge mit allen Dienstleistern

Praktische Auswirkungen

  • US-Cloud-Dienste benötigen eine EU-US Data Privacy Framework (DPF) Zertifizierung — oder SCCs mit zusätzlichen Maßnahmen, falls der Anbieter nicht DPF-zertifiziert ist
  • KI-Tools mit personenbezogenen Daten brauchen Auftragsverarbeitungsverträge
  • Automatisierte Entscheidungen erfordern Option zur menschlichen Prüfung

FluxHuman Vorteil

  • Data Sovereignty by Design: Wir bevorzugen n8n auf Ihren Servern (oder EU-Cloud wie Hetzner). Daten bleiben im Rechtsraum.
  • Lokale KI: Mit unserem "Sovereign"-Paket laufen LLMs (wie Llama 3) lokal. Keine Daten an OpenAI.
  • Datensparsamkeit: Unsere Workflows verarbeiten Daten durch die Pipeline und speichern sie nicht länger als für die Automatisierung erforderlich.

Nur mit ordentlichem AVV und SCCs. Wir empfehlen EU-gehostete Alternativen oder vorherige Anonymisierung.

Meist nicht. DSGVO Artikel 22 gilt für Entscheidungen mit rechtlicher oder erheblicher Wirkung. Die meisten Workflow-Automatisierungen sind ausgenommen.

Stufenweise 2024-2028

EU AI Act

Die weltweit erste umfassende KI-Verordnung. Klassifiziert KI-Systeme nach Risikolevel und setzt entsprechende Anforderungen.

Wer ist betroffen?

Jeder, der KI-Systeme in der EU entwickelt oder einsetzt. Anforderungen hängen von der Risikoklassifizierung ab.

⚠ Hochrisiko-Pflichten auf Dez 2027 verschoben — 18 Monate, um vorbereitet zu sein.

Wissen Sie, wie Ihre KI-Systeme klassifiziert sind? Der Digital Omnibus (Mai 2026) verschob die Hochrisiko-Pflichten auf Dez 2027 — die Transparenzpflicht für Chatbots gilt jedoch weiterhin ab Aug 2026. Wer das Zeitfenster jetzt nutzt, ist vorbereitet, während andere unter Zeitdruck geraten.

Jetzt Compliance-Check buchen →

Zeitplan

Phase 1Feb 2025: Verbotene KI-Praktiken untersagt
Phase 2Aug 2025: GPAI-Modell-Regeln gelten
Phase 3Dez 2027: Hochrisiko-KI-Regeln durchgesetzt (durch Omnibus verschoben von Aug 2026)

Risikokategorien

  • Verboten: Social Scoring, manipulative KI, Echtzeit-Biometrie im öffentlichen Raum
  • Hochrisiko: HR-Entscheidungen, Kreditwürdigkeitsprüfung, kritische Infrastruktur
  • Begrenztes Risiko: Chatbots (Transparenzpflicht)
  • Minimales Risiko: Die meiste Geschäftsautomatisierung

Praktische Auswirkungen

  • Hochrisiko-KI erfordert Konformitätsbewertung, Dokumentation, menschliche Aufsicht
  • Chatbots müssen als KI gekennzeichnet werden
  • Die meiste Workflow-Automatisierung fällt unter minimales Risiko

FluxHuman Vorteil

  • Kontrollierte KI: Workflow-Orchestrierung (n8n) ist deterministisch. KI-Komponenten nutzen Human-in-the-Loop-Freigabe für kritische Entscheidungen – das reduziert das Halluzinationsrisiko, eliminiert es aber nicht vollständig.
  • Transparenz: Da Sie den Code besitzen, ist die KI auditierbar. Keine "Black Box", die keiner erklären kann.
  • Kategorisierung: Wir bauen primär Automation mit minimalem Risiko und Chatbots mit begrenztem Risiko.

Normalerweise nicht. Hochrisiko gilt für Entscheidungen, die Rechte oder Sicherheit betreffen. FAQ-Bots sind begrenztes Risiko, nur Transparenz erforderlich.

Das ist explizit Hochrisiko unter Anhang III. Erfordert vollständige Dokumentation, Tests und menschliche Aufsicht.

DE: in Kraft / AT: 1. Okt 2026

NIS2

Die Netzwerk- und Informationssicherheitsrichtlinie 2 erweitert Cybersecurity-Anforderungen auf mehr Sektoren und kleinere Unternehmen.

Wer ist betroffen?

Mittlere und große Unternehmen (50+ Mitarbeiter oder €10M+ Umsatz) in betroffenen Sektoren. In Deutschland: ~30.000 Unternehmen.

Betroffene Sektoren

Energie, Transport, Banken, Gesundheit, Digitale Infrastruktur, Produktion, Abfall, Chemie, Lebensmittel, Post, Forschung

Wichtige Anforderungen

  • Risikomanagement-Richtlinien und -Verfahren
  • Vorfallmeldung: 24h Frühwarnung, 72h Meldung, 1 Monat Abschlussbericht (Art. 23)
  • Lieferketten-Sicherheitsmaßnahmen (Art. 21(2)(d))
  • Business-Continuity-Pläne
  • Mehrfaktor-Authentifizierung und Zugriffskontrolle (Art. 21(2)(j))

Praktische Auswirkungen

  • Software-Anbieter werden Teil Ihrer Angriffsfläche
  • Sicherheitsfragebögen für jedes neue Tool
  • Keine Schatten-IT-Käufe mehr durch Abteilungen

FluxHuman Vorteil

  • Verringertes Lieferketten-Risiko: Sie halten die Infrastruktur. Da kein permanenter Vendor-Zugang besteht, sinkt die Drittanbieter-Exposition.
  • Minimierte Angriffsfläche: Durch Self-Hosting (VPNs/Firewalls) ist Automation nicht öffentlich exponiert.
  • Update-Hoheit: Sie entscheiden über Updates. Keine erzwungenen Cloud-Updates, die Prozesse brechen.

Ja. Sie müssen die Zulieferersicherheit gemäß Art. 21(2)(d) bewerten. Der Effekt zieht sich durch die Lieferkette und betrifft tausende weitere Unternehmen indirekt.

Größenschwellen haben Ausnahmen. Vertrauensdienste, DNS-Anbieter und TLD-Registries sind unabhängig von der Größe betroffen.

Seit Jan 2025

DORA

Der Digital Operational Resilience Act schafft einen einheitlichen Rahmen für IKT-Risikomanagement im Finanzsektor.

Wer ist betroffen?

Banken, Versicherer, Investmentfirmen, Zahlungsdienstleister, Krypto-Anbieter und deren kritische IKT-Dienstleister.

Wichtige Anforderungen

  • IKT-Risikomanagement-Framework
  • Vorfallklassifizierung und -meldung
  • Regelmäßige Resilienztests
  • Drittanbieter-Register (seit April 2025)
  • Exit-Strategien für alle kritischen Anbieter

Praktische Auswirkungen

  • Dokumentierte Exit-Strategien sind Pflicht; ein Anbieterwechsel muss möglich sein (DORA verlangt kein generelles Lock-in-Verbot)
  • Alle IKT-Anbieter müssen dokumentiert und überwacht werden
  • Verträge müssen Sicherheit, Audit-Rechte und Exit-Klauseln enthalten

FluxHuman Vorteil

  • Dokumentierte Exit-Strategie: Source Code Ownership. Wenn wir verschwinden, läuft Ihr System weiter.
  • Unabhängigkeit: Jeder fähige Entwickler kann das System warten. Keine Abhängigkeit von uns.
  • Keine proprietäre Cloud: Wir nutzen Open-Source-Standards (Docker, Postgres, Python), keine geschlossenen Plattformen.

Eine detaillierte Liste aller IKT-Anbieter, Verträge und Abhängigkeiten. Frist: 30. April 2025.

Wenn sie Finanzdaten verarbeiten oder kritische Funktionen unterstützen, ja. Sie müssen dokumentiert und auditierbar sein.

Unsere Prinzipien

Besitz statt Miete

Compliance erfordert Kontrolle. Sie mieten unsere Lösungen nicht – Sie kaufen sie. Der Code gehört Ihnen.

Open Source Standards

Wir nutzen n8n, Docker und Python. Auditoren verstehen und lieben diese Standards. Keine obskuren Eigenentwicklungen.

Safety First Architecture

Wir trennen Logik (Code) von Daten (Datenbank). Sensible Daten fließen durch, werden aber nicht unnötig protokolliert.

Dokumentation inklusive

Sie erhalten Code und Datenfluss-Dokumentation. Das spart Ihrem Datenschutzbeauftragten Tage an Arbeit.

Unsicher, welche Regularien greifen?

Ein kurzer Call, um Ihre Compliance-Situation einzuschätzen. Unverbindlich.