Datenschutz-Folgenabschätzung (DPIA)

1. Umfang und gesetzliche Verpflichtung

Art. 35 DSGVO verpflichtet zu einer DPIA, wenn eine Verarbeitung aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Afini.ai verarbeitet besondere Datenkategorien (Art. 9 DSGVO: psychologische Merkmale, Werte, Bindung, Humor, Zeitorientierung, Lebenskontext) und wendet darauf automatisierte Algorithmen an. Diese DPIA ist daher ein lebendiges Dokument: Sie wird mindestens jährlich überprüft sowie jedes Mal, wenn eine neue Schicht, ein neues Modell oder eine wesentliche Änderung der Rechtsgrundlage eingeführt wird.

2. Verarbeitungsübersicht

Identifikation (E-Mail, Sprache), Zahlungsdaten (von Stripe verarbeitet — Bilbao AI speichert weder PAN noch Bankdaten), Antworten auf psychometrische Fragebögen, Gespräche mit der KI, deklarierte Schichten (Vital, Rhythmen, Lebensweg, Hobbys usw.), Nutzungsmetriken des LLM-Proxys und Audit-Ereignisse. Auftragsverarbeiter: Stripe (Zahlungen), Anthropic (LLM unter DPA — verarbeitet nur, trainiert nicht mit deinen Inhalten), Resend (Transaktions-E-Mail), Holded (TicketBAI-Rechnungsstellung), Railway (europäisches Hosting), Cloudflare (CDN/WAF), Sentry (europäische Fehlerüberwachung).

3. Identifizierte Risiken

• Risiko sensibler Inferenz: Die Kombination der Schichten kann nicht ausdrücklich erklärte psychologische Zustände offenbaren.
• Re-Identifikationsrisiko: Pseudonymisierte Daten könnten durch Verknüpfung mit externen Quellen wieder dem Subjekt zugeordnet werden.
• Risiko der Sekundärnutzung: Dritte könnten den AfiniTwin oder die Narrative zu anderen als den eingewilligten Zwecken nutzen.
• Algorithmisches Verzerrungsrisiko: LLM-Modelle könnten bei der Interpretation des Profils Verzerrungen reproduzieren.
• Risiko internationaler Übermittlungen: Auch wenn die Hauptverarbeitung europäisch ist, verarbeitet die Anthropic-API Inhalte unter einem DPA mit EU-Standardvertragsklauseln (SCC).

4. Abhilfemaßnahmen

• Verschlüsselung bei Übertragung (TLS 1.2+) und im Ruhezustand (AES-256) auf allen Schichten; Datenbanksegregation in europäischer Infrastruktur (Railway eu-west).
• Granulare und widerrufbare Einwilligung pro Schicht mit Audit-Trail jeder Änderung (siehe Reiter Einwilligungen in deinem Dashboard).
• Minimierung: Jedes KI-Gespräch erhält nur die strikt notwendige Teilmenge des Profils; Inhalte werden niemals zum Training von Modellen verwendet.
• Bias-Audits an Proxy-Prompts und periodische menschliche Überprüfung der erzeugten Narrative.
• Aggressive Anonymisierung in Logs und Metriken: gesalzene IP-Hashes, keine Gesprächsinhalte, begrenzte Aufbewahrung (90 Tage bei Sentry, 30 Tage in Anwendungslogs).
• Dokumentiertes Verfahren zur Meldung von Datenschutzverletzungen (Art. 33 DSGVO) innerhalb von 72 Stunden mit lückenloser Beweiskette.

5. Überprüfung und Governance

Die DPIA wird mindestens einmal jährlich überprüft und obligatorisch, wenn eine neue Schicht, ein neues Modell oder eine Funktion mit hoher Auswirkung (z. B. Export an Dritte) eingeführt wird. Der Verantwortliche genehmigt jede Überprüfung und das Datum wird in der Sicherheitsdokumentation protokolliert. Geschäftskunden können nach Unterzeichnung einer Vertraulichkeitsvereinbarung Zugang zur erweiterten Zusammenfassung anfordern.