Zum Inhalt springen

AI TPRM

AI Vendor Assessment

Risikobewertung für KI-Drittanbieter nach DORA Art. 28-30 und EU AI Act — inkl. Vertragsstatus, Audit-Rechte und Maßnahmen.

Hinweis: Diese Bewertungen basieren auf öffentlich verfügbaren Informationen und Vertragsunterlagen. Sie ersetzen keine rechtliche Prüfung.

4

KI-Anbieter

2

Hohes Risiko

1

Mittleres Risiko

1

Niedriges Risiko

DeepSeek

hoch active LLM API

DeepSeek V4 Flash API

Datenverarbeitung

Prompt-Verarbeitung in China/USA

Zertifizierungen

Keine ISO 27001 (Stand 2026)

Nächste Prüfung

2026-09-15

Audit-Rechte

✅ Vorhanden

⚠️ Feststellungen

  • Keine ISO 27001 Zertifizierung
  • Datenverarbeitung außerhalb EU
  • Keine Auftragsverarbeitungsvertrag (AVV) nach DSGVO Art. 28

Maßnahme: AVV anfordern, Datenverschlüsselung prüfen, Ausstiegsszenario vorbereiten

Letzte Prüfung: 2026-06-15 · Subunternehmer: Keine bekannten Subunternehmer DORA-kritisch

OpenAI

mittel active LLM API

GPT-4o API

Datenverarbeitung

Prompt-Verarbeitung in USA (opt-out möglich)

Zertifizierungen

ISO 27001 SOC 2 EU-US Data Privacy Framework

Nächste Prüfung

2026-12-20

Audit-Rechte

✅ Vorhanden

⚠️ Feststellungen

  • API-Daten können für Training genutzt werden (opt-out erforderlich)
  • Datenverarbeitung in USA (EU-US DPF)

Maßnahme: Opt-out für Training konfigurieren, Datenverschlüsselung prüfen

Letzte Prüfung: 2026-06-20 · Subunternehmer: Azure (Microsoft)

Hetzner (Hosting)

niedrig active Infrastructure

Dedicated Server für On-Premise KI

Datenverarbeitung

Rechenzentrum Deutschland (ISO 27001)

Zertifizierungen

ISO 27001 BSI C5

Nächste Prüfung

2027-05-01

Audit-Rechte

✅ Vorhanden

Letzte Prüfung: 2026-05-01 · Subunternehmer: Keine

Synthetic Media Detector (Anbieter)

hoch evaluation AI Security Tool

Deepfake Detection API

Datenverarbeitung

Verarbeitung biometrischer Daten (Video, Audio)

Zertifizierungen

Keine

Nächste Prüfung

Nicht definiert

Audit-Rechte

❌ Nicht vorhanden

⚠️ Feststellungen

  • Keine Audit-Rechte im Vertragsentwurf
  • Verarbeitung biometrischer Daten ohne DSGVO-Folgenabschätzung
  • Keine Angaben zur Datenlöschung

Maßnahme: Audit-Rechte verhandeln, DPIA durchführen, Datenlöschungsprozess klären

Letzte Prüfung: Keine · Subunternehmer: Unbekannt DORA-kritisch

DORA TPRM Framework für KI-Anbieter

Art. 28

Informationsregister für KI-Drittanbieter

Art. 29

Risikobewertung vor Vertragsabschluss

Art. 30

Vertragliche Mindestklauseln (Audit, Kündigung, Daten)

AI Act Art. 10

Daten-Governance für KI-Trainingsdaten