Prüfunterlage für Datenschutz und IT

Stand: 05.07.2026

Diese Seite beantwortet die Fragen, die Datenschutzbeauftragte, IT-Leitungen und Betriebsräte vor einem Gespräch prüfen. Ohne Formular, ohne Registrierung. Was hier steht, gilt: keine Marketingfassung.

ARCHITEKTUR

Wo verarbeitet Actio Daten?

Ausschließlich auf Servern in Ihrem Netz. Die Agenten, die Sprachmodelle und alle Verarbeitungsschritte laufen auf einem GPU-Server in Ihrem Rechenzentrum. Es gibt keine Cloud-Komponente, keine Telemetrie und keine Fernwartung ohne dokumentierte Freigabe.

Das System ist nach der Installation ohne Internetverbindung lauffähig. Updates werden als Pakete geliefert und von Ihrer IT eingespielt. Ein Abschalten oder Deaktivieren von außen ist technisch nicht vorgesehen.

§ 203 STGB

Berufsgeheimnis

Im Regelbetrieb hat Actio keinen Zugriff auf Patientendaten oder andere geschützte Geheimnisse: die Verarbeitung findet vollständig in Ihrem Haus statt. Die Frage der mitwirkenden Person nach § 203 Abs. 4 StGB stellt sich damit nur für Wartungs- und Supportfälle.

Für diese Fälle liegt dem Vertrag eine Verschwiegenheitsverpflichtung und eine Vereinbarung nach Abs. 4 als Muster bei, inklusive dokumentiertem Freigabeprozess für jeden Zugriff.

§ 393 SGB V / C5

Cloud-Regeln für Gesundheitsdaten (Deutschland)

Seit 01.07.2025 verlangt § 393 SGB V für die Cloud-Verarbeitung von Gesundheitsdaten in Deutschland ein BSI-C5-Testat und Verarbeitung im Inland oder EU/EWR.

Für Actio entfällt diese Anforderung: es findet keine Cloud-Verarbeitung statt. Dieser Satz ersetzt in Ihrer Prüfung die gesamte C5-Dokumentationskette.

ART. 28 DSGVO

Rollenverteilung und Auftragsverarbeitung

Beim On-Premise-Betrieb bleibt Ihr Haus alleiniger Verantwortlicher im Sinne der DSGVO. Für den Regelbetrieb ist keine Auftragsverarbeitung von Patientendaten durch Actio erforderlich, weil Actio diese Daten nicht verarbeitet.

Für Wartungszugriffe, bei denen ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, liegt ein AVV-Muster nach Art. 28 DSGVO bei. Die technischen und organisatorischen Maßnahmen (TOM) sind im Dossier dokumentiert.

§ 87 BETRVG / § 96 ARBVG

Mitbestimmung des Betriebsrats

Software, die objektiv zur Leistungskontrolle geeignet ist, unterliegt der Mitbestimmung: in Deutschland nach § 87 Abs. 1 Nr. 6 BetrVG, in Österreich nach § 96 und § 96a ArbVG.

Actio ist so gebaut, dass es keine Leistungs- oder Verhaltenskennzahlen einzelner Mitarbeitender speichert oder auswertet. Protokoll-Transkripte werden nach der Verarbeitung nicht personenbezogen ausgewertet. Eine Muster-Betriebsvereinbarung, die genau das festschreibt, stellen wir für Ihre Verhandlung bereit.

AI ACT ART. 6(3)

EU AI Act: bewusst außerhalb der Hochrisiko-Klasse

Anhang III der KI-Verordnung stuft KI zur Bewertung oder Filterung von Bewerbungen als Hochrisiko ein. Der Bewerbungs-Agent von Actio prüft deshalb ausschließlich Vollständigkeit: er stellt fest, welche Unterlagen fehlen, und erstellt weder Rankings noch Bewertungen noch Profile. Das ist eine enge, vorbereitende Aufgabe im Sinne von Art. 6(3) der Verordnung.

Nach der Omnibus-Novelle vom Juni 2026 gelten die Hochrisiko-Pflichten aus Anhang III ab dem 02.12.2027. Die dokumentierte Selbstbeurteilung nach Art. 6(3) liegt dem Dossier bei, damit Ihre Prüfung nicht bei einer Behauptung stehen bleibt.

ZERTIFIZIERUNGEN

Der ehrliche Status

ISO 27001: in Vorbereitung, Zertifizierung geplant für 2026. Externer Penetrationstest: in Vorbereitung (2026). Wir schreiben das so deutlich, weil unfertige Zertifikate als Badge zu präsentieren genau die Praxis ist, die dieses Haus nicht will.

Bis dahin gilt: die Architektur selbst ist die stärkste Kontrolle. Daten, die das Haus nie verlassen, brauchen keinen Vertrauensvorschuss gegenüber einem externen Betreiber.

Das Referenzarchitektur-Dossier

Per E-Mail, ohne Formular. Das Dossier enthält die Unterlagen, mit denen Ihre Prüfung durchläuft:

  • Referenzarchitektur mit Datenflussdiagramm und Hardware-Dimensionierung
  • TOM-Dokumentation und AVV-Muster für Wartungsfälle
  • Muster-Betriebsvereinbarung (BetrVG und ArbVG-Fassung)
  • Selbstbeurteilung nach Art. 6(3) AI Act für den Bewerbungs-Agenten
  • Vereinbarung nach § 203 Abs. 4 StGB als Muster