Technische und Organisatorische Maßnahmen nach Art. 32 DSGVO sind kein Freitext-Anhang. EAB strukturiert TOM-Profile in einem Schema, das direkt mit den KI-Systemen verknüpft ist, die die Datenverarbeitung durchführen — und mit dem technischen Profil des AI Act.
Verschlüsselung, Zugriffskontrolle, Pseudonymisierung, Backup-Konzepte, Incident-Response, Penetrationstest-Dokumentation — EAB erfasst alle TOM-Dimensionen strukturiert und hält den Nachweis-Status kontinuierlich aktuell.
Verschlüsselungsverfahren für gespeicherte Daten (at-rest) und übertragene Daten (in-transit): verwendete Standards, Schlüsselverwaltung, Zertifikat-Management. Direkt verknüpft mit den KI-Systemen, die die Daten verarbeiten — und als TOM-Nachweis dem DSFA-Record beigefügt.
Identitäts- und Zugriffsverwaltung: rollenbasierte Zugriffskontrolle, Multi-Faktor-Authentifizierung, Privileged-Access-Management, regelmäßige Zugriffs-Reviews. Besonders relevant für KI-Systeme, die auf sensible Trainingsdaten oder personenbezogene Eingabedaten zugreifen.
Eingesetzte Pseudonymisierungs- und Anonymisierungsverfahren, ihre technische Umsetzung, die verarbeiteten Datenkategorien, auf die sie angewendet werden. Für KI-Systeme, die mit Trainingsdaten aus personenbezogenen Quellen arbeiten, ein Kernnachweis.
Backup-Konzept, Recovery Time Objective (RTO), Recovery Point Objective (RPO), Redundanz-Architektur. Für KI-Systeme in kritischen Entscheidungsprozessen ist die Verfügbarkeits-Dokumentation ein Kernnachweis für Art. 32 und indirekt für Art. 15 AI Act (Genauigkeit und Robustheit).
Prozess zur Erkennung, Bewertung, Meldung und Dokumentation von Datenschutzverletzungen nach Art. 33/34 DSGVO: Eskalationspfad, 72-Stunden-Meldefrist-Tracking, Betroffenenbenachrichtigungs-Prozess. Übungszyklen und Pentest-Ergebnisse als Nachweis.
Logging-Konzept für Zugriffe auf personenbezogene Daten, Änderungen an Daten, System-Events. Für KI-Systeme mit automatisierten Entscheidungen direkt relevant für Art. 22 DSGVO (Recht auf Erklärung) und Art. 14 AI Act (menschliche Aufsicht).
Datenschutz-Schulungen für Mitarbeiter, die personenbezogene Daten verarbeiten — besonders für Teams, die KI-Systeme entwickeln, trainieren oder betreiben. Schulungsnachweis, Schulungsinhalte, Folgeintervalle. Verknüpfung mit dem KI-Kompetenz-Nachweis nach Art. 4 AI Act.
TOM-Profile in EAB sind kein Freitext-Anhang, sondern strukturierte Nachweise — verknüpft mit KI-Systemen, versioniert und dem Prüfer direkt zugänglich.
EU-gehostet · Verankert in CELEX 32024R1689
Erzählen Sie uns von Ihrer Organisation und Ihrem Anliegen. Wir melden uns mit den relevanten Informationen.
