AI TPRM
AI Vendor Assessment
Risikobewertung für KI-Drittanbieter nach DORA Art. 28-30 und EU AI Act — inkl. Vertragsstatus, Audit-Rechte und Maßnahmen.
4
KI-Anbieter
2
Hohes Risiko
1
Mittleres Risiko
1
Niedriges Risiko
DeepSeek
hoch active LLM APIDeepSeek V4 Flash API
Datenverarbeitung
Prompt-Verarbeitung in China/USA
Zertifizierungen
Nächste Prüfung
2026-09-15
Audit-Rechte
✅ Vorhanden
⚠️ Feststellungen
- Keine ISO 27001 Zertifizierung
- Datenverarbeitung außerhalb EU
- Keine Auftragsverarbeitungsvertrag (AVV) nach DSGVO Art. 28
Maßnahme: AVV anfordern, Datenverschlüsselung prüfen, Ausstiegsszenario vorbereiten
OpenAI
mittel active LLM APIGPT-4o API
Datenverarbeitung
Prompt-Verarbeitung in USA (opt-out möglich)
Zertifizierungen
Nächste Prüfung
2026-12-20
Audit-Rechte
✅ Vorhanden
⚠️ Feststellungen
- API-Daten können für Training genutzt werden (opt-out erforderlich)
- Datenverarbeitung in USA (EU-US DPF)
Maßnahme: Opt-out für Training konfigurieren, Datenverschlüsselung prüfen
Hetzner (Hosting)
niedrig active InfrastructureDedicated Server für On-Premise KI
Datenverarbeitung
Rechenzentrum Deutschland (ISO 27001)
Zertifizierungen
Nächste Prüfung
2027-05-01
Audit-Rechte
✅ Vorhanden
Synthetic Media Detector (Anbieter)
hoch evaluation AI Security ToolDeepfake Detection API
Datenverarbeitung
Verarbeitung biometrischer Daten (Video, Audio)
Zertifizierungen
Nächste Prüfung
Nicht definiert
Audit-Rechte
❌ Nicht vorhanden
⚠️ Feststellungen
- Keine Audit-Rechte im Vertragsentwurf
- Verarbeitung biometrischer Daten ohne DSGVO-Folgenabschätzung
- Keine Angaben zur Datenlöschung
Maßnahme: Audit-Rechte verhandeln, DPIA durchführen, Datenlöschungsprozess klären
DORA TPRM Framework für KI-Anbieter
Art. 28
Informationsregister für KI-Drittanbieter
Art. 29
Risikobewertung vor Vertragsabschluss
Art. 30
Vertragliche Mindestklauseln (Audit, Kündigung, Daten)
AI Act Art. 10
Daten-Governance für KI-Trainingsdaten