ai-finden.de
Transparenz

Wie wir den ai-finden Score ermitteln

Jedes KI-Tool auf ai-finden.de erhält einen Gesamt-Score von 0–10. Er setzt sich aus 5 Dimensionen zusammen — die schwerste davon ist der DSGVO-Score, der wiederum aus 7 Einzelkategorien berechnet wird und 35 % des Gesamtscores ausmacht. Diese Seite legt die Gewichtungen, Kriterien und Grenzen unserer Bewertung offen.

Kurzfassung — 1 Minute

1. Wir prüfen 7 DSGVO-Kategorien pro Tool — von KI-Training bis Serverstandort.
2. Datenschutz macht 35 % des Gesamtscores aus — mehr als jede andere Dimension.
3. Jede Aussage erhält einen Verifikationscode — wir zeigen was belegt ist und was Einschätzung bleibt.
4. Kritische Verstöße führen zu K.O.-Kriterien — kein AVV bedeutet automatisch K.O.
5. Alle Bewertungen werden alle 6 Monate neu geprüft und transparent datiert.
A. Blick Avatar

A. Blick

Redaktionelle Stimme · ai-finden.de

„Wir prüfen KI-Tools auf DACH-Alltagstauglichkeit und bewerten sie nach einer offenen Methodik — ohne Marketing-Filter."

📍 Bewertungsmethodik seit 2025  ·  Mehr über A. Blick →

Warum wir das machen

DSGVO-Compliance ist für Unternehmen im DACH-Raum keine optionale Fußnote. Bußgelder können bis zu 4 % des weltweiten Jahresumsatzes betragen. Trotzdem sind die meisten Tool-Vergleiche beim Thema Datenschutz entweder oberflächlich ("Server in den USA") oder fehlen ganz.

Für den DSGVO-Score analysieren wir jedes Tool in 7 gewichteten Kategorien, dokumentieren unsere Quellen und geben für drei typische Nutzungsprofile angepasste Scores aus. Dieser DSGVO-Score ist eine von fünf Dimensionen des ai-finden Gesamtscores (siehe unten). Das ist kein Rechtsberatungsersatz — aber deutlich mehr als ein grüner Haken.

Wie eine Bewertung entsteht: Jede Bewertung beginnt als KI-gestützte Erstanalyse nach der unten dokumentierten Methodik — auf Basis öffentlicher Quellen (Datenschutzerklärung, AVV/ToS, Preisseiten, API-Doku). Diese Erstanalyse wird redaktionell geprüft und verantwortet (Pseudonym A. Blick). Jede Tatsachenbehauptung erhält einen Verifikationscode (siehe unten), der die Belegquelle und damit die Konfidenz offenlegt. Wir kennzeichnen, was belegt ist — und was Einschätzung bleibt.

Die Bewertungsformel

score_gesamt = (KI-Training × 0,20) + (AVV × 0,18) + (Rechtsgrundlage × 0,17)
              + (Datenspeicherung × 0,13) + (Betroffenenrechte × 0,12)
              + (Transparenz × 0,11) + (Technische Sicherheit × 0,09)

Alle Kategorien werden auf einer Skala von 0–10 bewertet. Das Ergebnis wird auf 2 Nachkommastellen gerundet.

Die Gewichtungen spiegeln unsere redaktionelle Risikoeinschätzung für typische DACH-Unternehmen wider — sie sind keine rechtlich vorgegebenen Werte, sondern das Ergebnis der Frage: Welche Faktoren entscheiden in der Praxis am häufigsten darüber, ob ein Tool rechtssicher eingesetzt werden kann?

Die 7 Kategorien im Detail

1. KI-Training

Gewicht: 20 %

Die wichtigste Frage: Werden deine Eingaben, Dokumente oder Nachrichten genutzt, um KI-Modelle zu trainieren? Viele Tools tun dies standardmäßig — Opt-out ist oft versteckt oder nur auf teuren Plänen verfügbar.

ScoreBedeutung
10Kein Training mit Kundendaten, vertraglich ausdrücklich zugesichert (z.B. ToS/DPA-Klausel), Opt-out nicht nötig
8–9Kein Training, vertragliche Zusicherung vorhanden, aber weniger explizit dokumentiert
6–7Kein Training auf Business-Plänen, Consumer-Plan unklar oder Opt-out nötig
4–5Opt-out vorhanden aber nicht Standard, oder nur auf teureren Plänen
2–3Training möglich, Opt-out schwer zugänglich oder unklar dokumentiert
0–1Explizit Training mit Nutzerdaten, kein Opt-out

2. Auftragsverarbeitungsvertrag (AVV)

Gewicht: 18 %

Wenn ein Tool-Anbieter personenbezogene Daten in deinem Auftrag verarbeitet (Auftragsverarbeitung), verlangt Art. 28 DS-GVO einen AVV zwischen dir und dem Anbieter. Ohne AVV ist eine solche Verarbeitung in der Regel nicht rechtskonform. Nicht jeder Anbieter ist allerdings Auftragsverarbeiter — manche handeln als eigene Verantwortliche, dann gelten andere Regeln. Wir prüfen, ob ein AVV verfügbar ist und wie vollständig er die 8 Mindestanforderungen nach Art. 28 Abs. 3 DS-GVO erfüllt.

8 Mindestanforderungen nach Art. 28 Abs. 3 DS-GVO:

  1. Weisungsgebundenheit des Auftragsverarbeiters
  2. Vertraulichkeitspflichten
  3. Technisch-organisatorische Maßnahmen (TOMs)
  4. Sub-Auftragsverarbeiter-Regelung
  5. Unterstützung bei Betroffenenrechten
  6. Unterstützung bei Datenschutzverletzungen
  7. Löschung / Rückgabe nach Auftragsende
  8. Prüfungs- und Kontrollrechte des Verantwortlichen
ScoreBedeutung
10Vollständiger AVV, alle 8 Punkte erfüllt, aktuell und ohne Enterprise-Zwang verfügbar
8–9Vollständiger AVV, alle 8 Punkte, aber nur auf höheren Plänen oder auf Anfrage bereitgestellt
6–7AVV vorhanden, 6–7 von 8 Punkten erfüllt
4–5AVV auf Anfrage oder nur 4–5 von 8 Punkten
2–3Eingeschränkter AVV, wesentliche Klauseln fehlen
0–1Kein AVV verfügbar

Hinweis: Rechtlich entscheidend ist die Vollständigkeit des AVV (alle 8 Punkte) — nicht, ob er per Self-Service abschließbar ist. Self-Service und Gratis-Plan-Verfügbarkeit bewerten wir als Zugänglichkeits-Bonus, weil sie den Abschluss für kleine Teams erleichtern. Ein manuell zu unterzeichnender, aber vollständiger AVV ist rechtlich gleichwertig.

3. Rechtsgrundlage & Drittlandtransfer

Gewicht: 17 %

Wenn Daten in Länder außerhalb der EU/EWR übertragen werden, ist eine explizite Rechtsgrundlage Pflicht (Art. 44 ff. DS-GVO). Besonderes Risiko: US-Unternehmen unterliegen dem CLOUD Act, der US-Behörden den Zugriff auf Daten ermöglichen kann — auch wenn Server in der EU stehen. Die folgende Tabelle ist unsere Risikobewertung für die typische DACH-Nutzung — keine objektive Rechtswahrheit, sondern eine nachvollziehbare Einstufung des Restrisikos.

ScoreBedeutung
10EU/EWR-Unternehmen, Server ausschließlich EU, kein CLOUD Act-Risiko
8–9EU-Unternehmen, einzelner Drittlandtransfer mit klarer Rechtsgrundlage
6–7USA mit DPF-Zertifizierung + SCCs, kein direktes Mutterkonzern-CLOUD-Act-Risiko
4–5USA mit SCCs, DPF vorhanden aber rechtlich anfechtbar, CLOUD Act-Risiko erkennbar
2–3USA ohne DPF, nur SCCs, hohes CLOUD Act-Risiko
0–1China, Russland o.Ä. ohne EU-Angemessenheitsbeschluss und ohne nachgewiesene SCCs

Einordnung: Diese Skala ist eine Risiko-Einstufung, keine juristische Gewissheit. Entscheidend ist nicht das Land allein, sondern das Zusammenspiel aus Serverstandort, Konzernstruktur (Zugriffsmöglichkeiten), Art der übertragenen Daten und vorhandenen Garantien (SCCs, DPF, Zusatzmaßnahmen). Die Stufen 6–7 (USA mit DPF+SCCs) bzw. 8–9 (EU-Anbieter mit einzelnem, abgesichertem Drittlandtransfer) bilden das real unterschiedliche Restrisiko ab — eine abschließende Bewertung erfordert immer den konkreten Einzelfall.

4. Datenspeicherung & Löschung

Gewicht: 13 %

Art. 5 Abs. 1 lit. e DS-GVO verlangt Speicherbegrenzung: Daten nur so lange wie nötig. Wir prüfen, ob Fristen schriftlich dokumentiert sind und ob nach Account-Löschung tatsächlich alle Daten entfernt werden — einschließlich Backups.

Hinweis zu GoBD: Buchhaltungssoftware muss Belege gesetzlich 10 Jahre aufbewahren. Das ist kein Datenschutzproblem, wenn es klar kommuniziert wird — wir bewerten es entsprechend neutral.

Wichtig: „Sofortige Löschung" ist nur dort der Idealfall, wo Daten nicht dauerhaft gebraucht werden (z.B. eine Übersetzung). Kurze Aufbewahrung für Sicherheit, Logs, Backups oder Missbrauchserkennung ist legitim und sogar nach Art. 32 DS-GVO geboten — wir werten sie nicht ab, solange Fristen klar dokumentiert sind.

ScoreBedeutung
10Sofortige Löschung nach Verarbeitung, vollständig dokumentiert
8–9Klare Fristen (≤30 Tage nach Account-Löschung), dokumentiert
6–7Fristen kommuniziert, Backup-Retention unklar oder gesetzliche Pflicht erklärt
4–5Vage Fristen ("so lange wie nötig"), manuelle Löschung auf Anfrage
2–3Kaum Informationen, Löschung nicht garantiert
0–1Keine Angaben oder explizit unbefristete Speicherung

5. Betroffenenrechte

Gewicht: 12 %

Die DS-GVO gibt betroffenen Personen umfangreiche Rechte: Auskunft (Art. 15), Löschung (Art. 17), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21). Wir prüfen, ob diese Rechte per Self-Service umgesetzt sind oder nur auf schriftliche Anfrage (mit bis zu 30 Tagen Reaktionszeit) ausgeübt werden können.

Hinweis: Ein Self-Service-Dashboard ist von der DS-GVO nicht vorgeschrieben — die fristgerechte Bearbeitung auf Anfrage genügt. Wir bewerten Self-Service höher, weil er die Ausübung erleichtert und Reaktionszeiten verkürzt; das ist ein Komfort-, kein reines Compliance-Kriterium.

ScoreBedeutung
10Vollständiges Self-Service-Dashboard für alle Betroffenenrechte
8–9Self-Service für Auskunft, Löschung, Export; Widerspruch auf Anfrage
6–7Self-Service für Hauptrechte, einzelne Rechte nur auf Anfrage
4–5Alle Rechte nur auf Anfrage, Reaktionszeit dokumentiert
2–3Rechte nur auf Anfrage, Reaktionszeit unklar
0–1Keine DSGVO-Betroffenenrechte implementiert

6. Transparenz & Dokumentation

Gewicht: 11 %

Datenschutz setzt Transparenz voraus. Wir prüfen die Qualität und Aktualität der Datenschutzerklärung und ob technisch-organisatorische Maßnahmen (TOMs) öffentlich dokumentiert sind. Ein benannter Datenschutzbeauftragter (DSB) zählt positiv — sein Fehlen werten wir aber nicht ab, wenn der Anbieter gar nicht zur Benennung verpflichtet ist (ein DSB ist nur unter bestimmten Voraussetzungen Pflicht, Art. 37 DS-GVO).

ScoreBedeutung
10Vollständige aktuelle DSE, DSB benannt, TOMs öffentlich, Sub-AV-Liste öffentlich
8–9Gute DSE, DSB benannt, TOMs dokumentiert, Sub-AV auf Anfrage
6–7Gute DSE, kein DSB (unter Schwellenwert), TOMs teilweise dokumentiert
4–5Basis-DSE, DSB fehlt, TOMs nicht öffentlich
2–3Unvollständige oder veraltete DSE
0–1Keine / unzureichende Datenschutzerklärung

7. Technische Sicherheit

Gewicht: 9 %

Art. 32 DS-GVO fordert "dem Risiko angemessene" technische Maßnahmen. Wir prüfen Verschlüsselung, Zwei-Faktor-Authentifizierung und anerkannte Zertifizierungen. Besonders relevant für DACH: ISO 27001 (international) und SOC 2 Type II (US-Standard, kein DSGVO-Äquivalent).

ScoreBedeutung
10TLS 1.3, starke Auth erzwingbar (2FA/Passkey/SSO), ISO 27001 + SOC 2 Type II, regelmäßige Pentests
8–9TLS 1.3, starke Auth verfügbar, ISO 27001 oder SOC 2 Type II
6–7TLS 1.2+, starke Auth verfügbar, SOC 2 Type II (kein EU-Zertifikat)
4–5TLS, starke Auth verfügbar, keine Zertifizierung
2–3TLS vorhanden, keine starke Authentifizierung, keine Zertifizierung
0–1Grundlegende Sicherheitsmaßnahmen fehlen oder unbekannt

Einordnung: Die DS-GVO schreibt weder ISO 27001 noch SOC 2 vor — beide sind freiwillige Nachweise und dienen uns als Indiz für ein gepflegtes Sicherheitsmanagement, nicht als Pflichtkriterium. SOC 2 ist zudem kein Datenschutz-, sondern ein Kontroll-Nachweis. „Starke Authentifizierung" meint 2FA oder gleichwertige Verfahren wie Passkeys oder SSO — nicht zwingend klassische 2FA.

ai-finden Gesamtscore — 5 Dimensionen

Neben dem DSGVO-Härtetest bewertet der ai-finden Score vier weitere Dimensionen, die für den DACH-Einsatz entscheidend sind. DSGVO bleibt das stärkste Signal — schlechter Datenschutz kann ein ansonsten gutes Tool disqualifizieren.

gesamt_score = DSGVO × 0,35 + KI-Qualität × 0,20 + Preis × 0,20
              + Usability × 0,15 + Integrationen × 0,10

DSGVO (35 %): Unser Härtetest — 7 Kategorien, K.O.-Kriterien, Profil-Scores. Details oben. Kein anderes Kriterium hat mehr Gewicht, weil DSGVO-Verstöße existenzielle Folgen haben können.

So entsteht der Wert je Dimension: Die in jeder Dimension genannten Einzelkriterien werden je auf einer Skala 0–10 eingeschätzt und gleichgewichtet zu einem Dimensionswert gemittelt (2 Nachkommastellen). Diese fünf Dimensionswerte fließen dann mit den oben genannten Gewichten (35/20/20/15/10 %) in den Gesamtscore ein. Der DSGVO-Score folgt abweichend der eigenen 7-Kategorien-Gewichtung (siehe Formel oben).

Dimension: KI-Qualität (Gewicht 20 %)

Bewertungsfokus: Deutschsprachige KI-Leistung — geprüft mit standardisierten DE-Testprompts.

Wie gut ist die KI-Leistung für deutschsprachige Nutzer wirklich? Wir testen nicht nur Englisch-Performance (die meist in Marketing-Materialien steht), sondern gezielt Deutsche Texte, Fachwörter und typische KMU-Aufgaben.

5 Kriterien

KriteriumWas wir prüfen
Deutsch-QualitätGrammatik, Stil, Idiomatik auf Muttersprachler-Niveau; Fachvokabular Recht/Finanzen/Handwerk
Halluzinations-ResistenzErfindet das Modell Fakten? Wir testen mit verifizierbaren DE-Fachfragen
KonsistenzLiefert dasselbe Prompt ähnliche Ergebnisse? Wichtig für Workflow-Zuverlässigkeit
Modell-TransparenzGibt der Anbieter an, welches Modell läuft? Versionshistorie, Changelog öffentlich?
VerfügbarkeitUptime-SLA vorhanden? Historische Ausfälle? Für Geschäftskunden relevant

Verifikation: KI-gestützte Auswertung standardisierter DE-Testprompts, Abgleich mit öffentlichen Status-Seiten, SLA- und Changelog-Dokumentation. Redaktionell geprüft.

Dimension: Preis & Transparenz (Gewicht 20 %)

Bewertungsfokus: Gesamtkosten mit DACH-Blick — EUR-Abrechnung, AVV-Gebühren, Kostenfallen, Kündigung.

Ein günstiger Preis hilft nichts, wenn er versteckte Kosten hat. Wir analysieren die Gesamtkosten-Struktur mit DACH-Blick: EUR-Abrechnung, DSGVO-Aufpreise, AVV-Gebühren, Kündigungsfristen.

5 Kriterien

KriteriumWas wir prüfen
PreisklarheitSind alle Kosten vor dem Kauf sichtbar? Keine versteckten Setup-Gebühren?
Keine Dark PatternsAutomatische Verlängerungen, schwer auffindbare Kündigungsbuttons, überlange Vertragslaufzeiten?
Preis-Leistungs-VerhältnisVergleich mit direkten Alternativen im Segment; Mehrwert pro EUR
KostenstabilitätHäufigkeit von Preiserhöhungen in den letzten 24 Monaten; Kommunikation bei Änderungen
DACH-KostenfallenAVV kostenpflichtig? DSGVO-Compliance als Aufpreis? USD-Abrechnung ohne EUR-Option?

Verifikation: Auswertung der öffentlichen Preisseiten inkl. archivierter Stände (Wayback Machine, als Momentaufnahme — kein Beleg für Vertragskonditionen), AVV-Kosten aus Anbieter-Doku. Redaktionell geprüft.

Dimension: Usability (Gewicht 15 %)

Bewertungsfokus: Produktive Nutzbarkeit für DACH-Berufsgruppen — Onboarding, DE-Lokalisierung, DACH-Workflows.

Wie schnell kann ein Steuerberater, Handwerker oder Marketing-Manager das Tool produktiv einsetzen? Wir messen konkrete Zeitwerte beim Onboarding und bewerten speziell DACH-relevante UI-Aspekte.

5 Kriterien

KriteriumWas wir prüfen
Onboarding-ZeitWie lang bis zum ersten produktiven Ergebnis? Wir messen: unter 15 Min = gut, über 60 Min = schlecht
Deutsche UIVollständige DE-Lokalisierung oder nur teilweise? Hilfe-Dokumentation auf Deutsch?
LernkurveIntuitiv bedienbar ohne Schulung? Kontextuelle Hilfe vorhanden?
Mobile-TauglichkeitNative App oder responsive Web? Kernfunktionen mobil verfügbar?
DACH-SpezifikaUnterstützt das Tool deutsche Formatierungen (Datum, Währung), Steuerklassen, GoBD-relevante Workflows?

Verifikation: Auswertung von Onboarding-Flows, Grad der DE-Lokalisierung und öffentlich verfügbaren Nutzerbewertungen anhand eines standardisierten Kriterien-Sets. Redaktionell geprüft.

Dimension: Integrationen (Gewicht 10 %)

Bewertungsfokus: DACH-Software-Ökosystem (DATEV, lexoffice, Shopify DE, Zapier/Make) + API-Qualität.

Ein Tool das nirgends angebunden ist, schafft manuelle Arbeit. Wir prüfen besonders DACH-native Integrationen, die im internationalen Marketing oft fehlen — aber für deutsche KMU entscheidend sind.

4 Kriterien

KriteriumWas wir prüfen
API-QualitätREST-API vorhanden? Dokumentation vollständig? Webhooks? Rate Limits kommuniziert?
DACH-IntegrationenDATEV, lexoffice, sevDesk, Deutsche Bank-APIs, ELSTER — für DACH entscheidend
Automation-PlattformenZapier, Make (Integromat), n8n — wie viele Trigger/Actions verfügbar?
Export-FormateCSV, XLSX, PDF, DATEV-Format? Daten-Portabilität im Sinne der DSGVO?

Verifikation: API-Dokumentation geprüft, Zapier/Make-Katalog gezählt, DATEV-Kompatibilität via Anbieter-Docs oder direkter Anfrage verifiziert.

Verifikationsebenen

Jede Kategorienbewertung ist mit einem Verifikationscode versehen, der zeigt, wie wir zu dieser Einschätzung gekommen sind. Je belastbarer die Quelle, desto höher die Konfidenz.

SymbolCodeBedeutung
🔬 tech Technisch verifiziert — z.B. TLS-Version per Scan, Zertifikat aus offizieller Registry geprüft
📄 doc Aus offizieller Dokumentation — AVV-Text, ToS, Datenschutz-Whitepaper des Anbieters (zum Zeitpunkt der Prüfung; Anbieter können Dokumente jederzeit ändern)
✉️ req Direkte Anfrage beim Anbieter — E-Mail oder Support-Ticket mit nachweisbarer Antwort
🌐 web Aus öffentlicher Website oder DSE entnommen — weniger belastbar als offizielle Dokumente
unknown Nicht verifizierbar — Schätzung auf Basis verfügbarer Hinweise; hohe Unsicherheit

Konfidenz-Bewertung

Wir unterscheiden bewusst zwei Arten von Sicherheit — denn nicht jede Bewertung lässt sich gleich hart belegen:

1. Datenkonfidenz (gilt für den DSGVO-Score): Wie belastbar sind die Quellen? Die 7 DSGVO-Kategorien sind faktisch prüfbar (AVV-Text, Serverstandort, Zertifikate). Aus den Verifikationscodes ergibt sich:

  • Hoch — Mindestens 5 von 7 Kategorien mit tech oder doc verifiziert
  • Mittel — 3–4 Kategorien mit tech oder doc, Rest über web
  • Niedrig — Mehrheitlich web oder unknown — Angaben mit Vorsicht zu genießen

2. Bewertungskonfidenz (gilt für KI-Qualität, Preis-Leistung, Usability): Diese Dimensionen enthalten naturgemäß wertende Einschätzungen, die sich nicht rein technisch belegen lassen — z.B. ob ein Preis „fair" ist oder eine Oberfläche „intuitiv". Wir stützen sie auf standardisierte Kriterien und öffentliche Quellen, kennzeichnen sie aber ausdrücklich als Einschätzung, nicht als Messwert.

K.O.-Kriterien

Manche Mängel sind so schwerwiegend, dass kein Gesamtscore darüber hinwegtäuschen sollte. Bei diesen Befunden setzen wir einen roten K.O.-Banner, unabhängig davon, wie gut das Tool in anderen Kategorien ist:

K.O.-KriteriumAuslöser
Kein AVV trotz AuftragsverarbeitungKein AVV verfügbar (oder nur für Enterprise), obwohl nach unserer Einschätzung eine Auftragsverarbeitung vorliegt
Drittlandtransfer ohne RechtsgrundlageServer in China/Russland ohne nachweisbare SCCs
Training mit Pflichtdaten, kein Opt-outNutzerdaten werden für Training verwendet, Opt-out nicht vorhanden oder versteckt
KombinationsrisikoUS-Konzern + kein AVV + kein DPF + CLOUD Act-Risiko

Profil-Scores

Nicht alle Nutzungsszenarien haben dieselben Anforderungen. Deshalb berechnen wir neben dem Gesamtscore drei angepasste Profil-Scores:

👤

Freelancer

AVV ist wünschenswert aber nicht immer realistisch. KI-Training und Rechtsgrundlage werden stärker gewichtet. Gut für: Solo-Selbstständige, die keine Kundendaten im Tool verarbeiten.

Anpassung ggü. Standard:
AVV −3 %, KI-Training +3 %

🏢

KMU

AVV ist Pflicht. Rechtsgrundlage wird kritisch bewertet (Audit-Risiko steigt mit Unternehmensgröße). Gut für: Unternehmen die mit Mitarbeiterdaten oder Kundendaten in Tools arbeiten.

Anpassung ggü. Standard:
AVV +3 %, Rechtsgrundlage +2 %, KI-Training −5 %

🏥

Sensible Daten

KI-Training und Rechtsgrundlage funktionieren als faktische K.O.-Kriterien. Tools mit Scores unter 5 in diesen Bereichen sind für Gesundheit, Recht oder Finanzen praktisch nicht nutzbar.

Anpassung ggü. Standard:
KI-Training +8 %, Rechtsgrundlage +5 %, AVV +2 %, übrige −5 %

Die Anpassungen werden auf die Standardgewichtung der 7 DSGVO-Kategorien addiert und die Summe wieder auf 100 % normalisiert. Profil-Scores sind bewusst vereinfachte Orientierungswerte und ersetzen keine individuelle Risikoanalyse.

§ 203 StGB — Berufsgeheimnisträger

Für Steuerberater, Rechtsanwälte, Ärzte und andere Berufsgeheimnisträger reicht ein DSGVO-konformer Auftragsverarbeitungsvertrag (AVV) allein nicht aus. § 203 Abs. 4 StGB verlangt zusätzlich eine schriftliche Geheimhaltungsvereinbarung mit allen Subunternehmern, die Zugang zu Mandanten-, Patienten- oder Klientendaten erhalten könnten — andernfalls droht dem Berufsgeheimnisträger selbst Strafbarkeit.

⚖️ Der Unterschied: Ein Datenschutzverstoß (DSGVO) führt zu Bußgeldern. Ein Verstoß gegen § 203 StGB ist eine Straftat — mit Freiheitsstrafe bis zu einem Jahr. Kein AVV der Welt ersetzt die §-203-Vereinbarung.

Wir prüfen für jedes Tool, ob der Anbieter eine § 203-konforme Vereinbarung anbietet und kennzeichnen das Ergebnis auf jeder Tool-Seite transparent:

SymbolBedeutung
✅ § 203 vorhandenAnbieter stellt eine konforme Vereinbarung bereit — für Berufsgeheimnisträger nutzbar
❌ Kein § 203Keine Vereinbarung verfügbar — für Steuerberater, Anwälte, Ärzte nicht empfohlen
❓ Nicht verifiziertKeine verlässliche Information gefunden — direkte Anfrage beim Anbieter empfohlen

Hinweis: Keines der aktuell gelisteten Tools bietet eine vertraglich gesicherte § 203-Vereinbarung an. Wir aktualisieren diese Angabe sobald uns entsprechende Nachweise vorliegen. Diese Einschätzung ersetzt keine Rechtsberatung.

EU-KI-Verordnung — Risikoklassen

Die EU-KI-Verordnung (AI Act, in Kraft ab 2024, schrittweise Anwendung bis 2027) klassifiziert KI-Systeme nach ihrem Risikopotenzial. Wir geben für jedes Tool eine Einschätzung der voraussichtlichen Risikoklasse an — als Orientierungshilfe, nicht als Rechtsgutachten.

KlasseSymbolTypische ToolsPflichten
Minimal 🟢 Übersetzungstools, Rechtschreibprüfung, Buchhaltungssoftware Keine besonderen Pflichten
Begrenzt 🟡 KI-Chatbots, Texterstellungstools, KI-Assistenten Transparenzpflicht: Nutzer müssen wissen, dass sie mit KI interagieren
Hoch 🔴 KI in Personalentscheidungen, Kreditbewertung, kritische Infrastruktur Strenge Anforderungen: Risikomanagement, Dokumentation, menschliche Aufsicht
Inakzeptabel Soziale Kreditbewertung, manipulative KI Verboten in der EU

Die meisten im DACH-Markt genutzten KI-Bürotools fallen in die Klassen Minimal oder Begrenzt. Unsere Einstufung basiert auf dem dokumentierten Verwendungszweck — die finale rechtliche Einstufung hängt immer vom konkreten Einsatz ab.

EU-U.S. Data Privacy Framework (DPF)

Das DPF beruht auf einem Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 — nicht auf einem Urteil des EuGH. Auf seiner Grundlage sind Datentransfers an DPF-zertifizierte US-Unternehmen grundsätzlich zulässig.

Warum wir trotzdem warnen: Es ist bereits das dritte derartige Abkommen — die beiden Vorgänger wurden vom EuGH gekippt (Safe Harbor 2015 / Schrems I, Privacy Shield 2020 / Schrems II). Den aktuellen DPF-Beschluss hat der EuGH bislang nicht überprüft; Datenschützer (u.a. noyb / Max Schrems) haben rechtliche Schritte angekündigt. Eine künftige Ungültigerklärung ist daher nicht ausgeschlossen.

Wir kennzeichnen Tools, die sich auf das DPF stützen, mit einem gelben Hinweisbanner. Unternehmen mit hohen Datenschutzanforderungen sollten zusätzlich Standardvertragsklauseln (SCCs) als Absicherung vereinbaren.

Prüfzyklus

Datenschutzpraktiken ändern sich — ToS-Updates, neue Zertifizierungen, Unternehmensübernahmen. Wir prüfen daher:

  • Spätestens alle 6 Monate — über unseren internen Prüfprozess mit terminierter Wiedervorlage
  • Bei Trigger-Events sofort — z.B. neue ToS, EuGH-Urteile, Datenpannen
  • Auf Hinweis — Nutzer können Korrekturen über unsere Kontaktseite melden

Auf jeder Tool-Seite ist das Prüfdatum sichtbar.

Disclaimer

Die DSGVO-Scores auf ai-finden.de basieren auf öffentlich zugänglichen Informationen und eigener Recherche. Sie stellen keine Rechtsberatung dar und ersetzen nicht die Einschätzung eines Datenschutzbeauftragten oder Rechtsanwalts. Fehler und veraltete Angaben sind trotz sorgfältiger Recherche möglich.

Wenn du einen Fehler in unserer Bewertung gefunden hast, freuen wir uns über einen Hinweis — Transparenz ist unser Kernwert.

Methodik in der Praxis

Alle KI-Tools nach diesem Schema bewertet

24 Tools mit vollständigen DSGVO-Scores, Profil-Empfehlungen und Quellenbelegen — alle nach dieser Methodik geprüft.

Alle Tools ansehen → KI-Finder starten