# EU-AI-Act-Transparenzhinweise — DokuParse
> ⚠️ **Anwaltsprüfung empfohlen:** Diese Transparenzhinweise nach Art. 50 der Verordnung (EU) 2024/1689 (EU AI Act) sind eine technisch fundierte Ausgangsbasis. Vor Produktiv-Veröffentlichung wird eine fachanwaltliche Schlussprüfung — insbesondere der Risiko-Klassifikation (§ 1) — empfohlen.
>
> **Stand: 2026-05-24 | Doku-Version: v1.0-2026-05-22**
>
> **Verbindlichkeit:** Mit Klick auf „Registrieren" auf https://dokuparse.de bestätigt der Nutzer die Kenntnisnahme dieser Transparenzhinweise gemäß Verordnung (EU) 2024/1689 (EU AI Act). Die App dokumentiert die Bestätigung mit Zeitstempel, IP-Adresse, Browser-User-Agent und Doku-Version.
---
## 1. Klassifikation des KI-Systems
DokuParse ist ein **GPAI-Deployment-System** (General Purpose AI) im Sinne der Verordnung (EU) 2024/1689 und fällt unter die Transparenzpflichten nach Art. 50.
**DokuParse ist NICHT** als High-Risk-System im Sinne von Annex III einzuordnen:
- DokuParse trifft keine eigenständigen Versicherungsentscheidungen
- DokuParse berechnet keine Versicherungsprämien oder Risikoeinschätzungen
- DokuParse trifft keine automatisierten Entscheidungen mit rechtlicher Wirkung gegenüber natürlichen Personen
- DokuParse ist ein Werkzeug zur Datenextraktion mit verpflichtender menschlicher Freigabe vor jeder weiteren Verwertung
Die Selbstklassifikation als Limited-Risk-System ist dokumentiert in: `docs/compliance/2026-05-22-ai-act-risk-assessment.md` (intern).
---
## 2. Eingesetzte KI-Modelle
| Modell | Anbieter | Region | Zweck |
|---|---|---|---|
| GPT-4o (`gpt-4o-2024-11-20`) | Microsoft (Azure OpenAI Service) | West Europe (Amsterdam) | Strukturierte Datenextraktion |
| GPT-4o-mini | Microsoft (Azure OpenAI Service) | West Europe (Amsterdam) | Klassifizierung von Dokumenttypen |
| text-embedding-3-large | Microsoft (Azure OpenAI Service) | West Europe (Amsterdam) | RAG-Suche über Altverträge |
Alle KI-Verarbeitung findet **ausschließlich innerhalb der Europäischen Union** statt. Microsoft trainiert keine Modelle mit Kundendaten (Vertragsbestandteil Azure OpenAI Service Terms).
---
## 3. Was DokuParse KI tut — und was nicht
**Tut:**
- Liest hochgeladene PDF-Dokumente
- Klassifiziert Dokumenttypen (Versicherungsvertrag, Notarurkunde, Rechnung, …)
- Extrahiert vordefinierte Felder (Namen, Beträge, Datumsangaben, …)
- Schätzt Konfidenz-Werte pro extrahiertem Feld
- Schlägt Werte zur menschlichen Prüfung vor
**Tut NICHT:**
- Trifft keine autonomen Entscheidungen
- Versendet keine Daten ans ERP ohne menschliche Freigabe
- Bewertet keine Verträge inhaltlich (gut/schlecht, riskant/sicher)
- Berechnet keine Preise, Prämien oder Risiken
- Erstellt keine Profile über natürliche Personen
- Trifft keine Entscheidungen, die rechtliche Wirkung haben
---
## 4. Bestimmungsgemäße Verwendung und Zweckbindung
**Zulässiger Verwendungszweck.** DokuParse ist ausschließlich ein Werkzeug zur **strukturierten Datenextraktion und -aufbereitung zur Übergabe an ein ERP-System** (Ersetzung der manuellen Dateneingabe). Die KI liest vorhandene Vertragsinhalte aus, schlägt Feldwerte vor und stellt sie zur menschlichen Prüfung bereit. Mehr nicht.
**Ausdrücklich untersagte Verwendungen.** DokuParse darf insbesondere **nicht** eingesetzt werden für:
- die **inhaltliche Bewertung** von Verträgen (gut/schlecht, riskant/sicher, Empfehlung/Abraten);
- **Bonitäts-, Risiko- oder Scoring-Bewertungen** natürlicher Personen;
- die **Berechnung oder Festlegung von Versicherungsprämien, Preisen oder Konditionen**;
- als **Rechts- oder Versicherungsberatung** — der KI-Output ersetzt weder eine anwaltliche noch eine versicherungsfachliche Beratung; die fachliche Bewertung und Verantwortung verbleiben vollständig beim Nutzer;
- als **automatisierte Entscheidung im Einzelfall i. S. v. Art. 22 DSGVO** — eine ausschließlich auf der automatisierten Verarbeitung beruhende Entscheidung mit rechtlicher Wirkung oder erheblicher Beeinträchtigung gegenüber einer betroffenen Person findet nicht statt. Die menschliche Freigabe (§ 5) ist verbindlicher Pflicht-Checkpoint und schließt eine Art.-22-Konstellation aus.
**Rechtliche Einordnung und Folge der Zweckentfremdung.** Die Einstufung von DokuParse als KI-System mit **begrenztem Risiko** (Transparenzpflichten nach Art. 50 der Verordnung (EU) 2024/1689 statt Hochrisiko-Einordnung nach Annex III Nr. 5) beruht maßgeblich darauf, dass das System keine Bewertung, kein Scoring und keine Entscheidung über Personen vornimmt (dokumentiert in `docs/compliance/2026-05-22-ai-act-risk-assessment.md`, §§ 3.2 und 5). Ein zweckwidriger Einsatz — insbesondere zu Bewertungs-, Scoring- oder Entscheidungszwecken — würde diese Einordnung gefährden und kann zu einer **Re-Klassifikation als Hochrisiko-System** führen. Eine solche Nutzung ist daher unzulässig und führt zur Sperrung des Zugangs.
---
## 5. Menschliche Aufsicht (Human Oversight, Art. 14 EU AI Act)
Jede Datenübergabe an ein ERP-System erfordert die ausdrückliche Freigabe durch einen Menschen. Der Workflow:
1. KI extrahiert Felder aus PDF
2. Mensch öffnet das Dokument zur Prüfung (Side-by-Side-Ansicht)
3. Mensch korrigiert bei Bedarf einzelne Felder (jede Korrektur wird mit Vorher/Nachher protokolliert)
4. Mensch klickt explizit „Freigeben & Exportieren"
5. System erzeugt einen einmalig gültigen Approval-Token (JWT, 15 Min)
6. Erst mit gültigem Token wird die Datei in das gewünschte ERP-Format exportiert
**Kein Workflow läuft ohne menschliche Freigabe.** Diese Regel ist architektonisch erzwungen, nicht nur in den Nutzungsbedingungen festgeschrieben.
---
## 6. Konfidenz-Werte und ihre Bedeutung
Jedes von der KI extrahierte Feld wird mit einem Konfidenz-Wert zwischen 0 und 100 % versehen:
| Konfidenz | Visualisierung | Empfehlung |
|---|---|---|
| ≥ 95 % | Grün | Sichtprüfung ausreichend |
| 85–94 % | Standard | Wertprüfung empfohlen |
| 70–84 % | Orange | Pflichtprüfung |
| < 70 % | Rot | Manuell extrahieren empfohlen |
Niedrige Konfidenz heißt nicht „falsch" — sie heißt „bitte besonders sorgfältig prüfen".
---
## 7. Bekannte Limitationen
Die KI extrahiert **nicht zuverlässig**:
- Handschriftliche Ergänzungen oder Unterschriften
- Stark gescannte oder fotografierte PDFs mit schlechter Qualität (< 60 % Lesbarkeit)
- Ungewöhnliche Tabellen-Layouts oder Multi-Spalten-Designs
- Mehrsprachige Verträge (nur Deutsch ist umfassend getestet)
- Beträge in ausgeschriebener Schriftform („Eintausendzweihundert Euro")
- Schemata, die nicht im konfigurierten ExtractionSchema definiert sind
Bei diesen Konstellationen empfiehlt sich die manuelle Erfassung oder eine 4-Augen-Prüfung mit erhöhter Sorgfalt.
---
## 8. Verarbeitungsorte und Datenflüsse
| Datenkategorie | Speicherort | Verarbeitungsort |
|---|---|---|
| Original-PDFs | Azure Blob Storage (Amsterdam, NL) | Amsterdam, NL |
| Extrahierte Felder | PostgreSQL (Amsterdam, NL) | Amsterdam, NL |
| KI-Anfragen + Antworten (transient) | — | Azure OpenAI West Europe (Amsterdam, NL) |
| Embeddings für RAG | PostgreSQL pgvector (Amsterdam, NL) | Amsterdam, NL |
**Speicherung und Verarbeitung erfolgen ausschließlich in der EU (Region West Europe, Amsterdam); ein aktiver Datentransfer in Drittländer findet nicht statt.**
> **Transparenz-Hinweis (US-Recht):** Die eingesetzten Cloud-Anbieter (u. a. Microsoft Azure / Azure OpenAI) gehören zu US-Konzernen und unterliegen damit theoretisch US-Zugriffsgesetzen (CLOUD Act, FISA 702). Ein behördlich erzwungener Zugriff auf in der EU gespeicherte Daten lässt sich dadurch — wie bei allen marktüblichen US-Cloud-Diensten — **nicht absolut ausschließen**. Wir begegnen diesem Rest-Risiko mit EU-Datenresidenz, EU-Standardvertragsklauseln, Verschlüsselung (AES-256 at rest, TLS in transit) und Datenminimierung.
---
## 9. Rechte des Nutzers
| Recht | Details |
|---|---|
| Auf Information | Dieses Dokument + Datenschutzerklärung |
| Auf menschliche Prüfung | Architektonisch erzwungen (siehe §5) |
| Auf Korrektur | Jedes von der KI vorgeschlagene Feld kann manuell geändert werden |
| Auf Löschung | Settings → Datenschutz → Daten löschen (oder formloser Antrag an datenschutz@easytect.de) |
| Auf Datenportabilität | Settings → Datenschutz → Daten exportieren (JSON-Export) |
| Auf Beschwerde | An die zuständige Datenschutzaufsicht (für easytect: LfDI Rheinland-Pfalz; AT: DSB; CH: EDÖB) oder an die zuständige KI-Marktüberwachungsbehörde (DE: Bundesnetzagentur ab 2. August 2026) |
---
## 10. AI-Literacy (Art. 4 EU AI Act)
easytect UG verpflichtet sich gemäß Art. 4 EU AI Act zur Förderung der KI-Kompetenz seiner Nutzer:
- Diese Transparenzhinweise sind Pflichtlektüre bei der Registrierung
- Im Dashboard ist ein KI-Schulungs-Modul verlinkt (PDF + Erklär-Video)
- Bei Rückfragen zu KI-Funktionen: dokuparse@easytect.de
---
## 11. Verantwortlicher und Kontakt
**Verantwortlich für das KI-System:**
easytect UG (haftungsbeschränkt)
Marktplatz 10a, 56457 Westerburg, Deutschland
Geschäftsführer: Usman Ahmad
E-Mail: dokuparse@easytect.de
**KI- / Datenschutzkontakt:**
Die easytect UG ist gesetzlich nicht zur Benennung eines Datenschutzbeauftragten verpflichtet und hat keinen benannt. KI- und Datenschutzkontakt ist der Geschäftsführer Usman Ahmad (datenschutz@easytect.de).
**Marktüberwachungsbehörde (DE):**
Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (ab 2. August 2026)
---
## 12. Annahme und Beweisbarkeit
Mit Klick auf „Registrieren" bestätigt der Nutzer die Kenntnisnahme dieser Transparenzhinweise. Die easytect UG dokumentiert die Bestätigung mit:
- Datum und Uhrzeit (UTC-Zeitstempel)
- IP-Adresse zum Zeitpunkt der Bestätigung
- Browser-User-Agent
- Version dieses Dokuments
Bei wesentlichen Änderungen (neues KI-Modell, neue Region, geänderte Klassifikation) wird der Nutzer per E-Mail informiert und beim nächsten Login zur erneuten Kenntnisnahme aufgefordert.
---
## Änderungshistorie
| Doku-Version | Datum | Änderung |
|---|---|---|
| v1.0-2026-05-22 | 2026-05-22 | Erstfassung |
| v1.0-2026-05-22 | 2026-05-24 | Redaktionell: Stammdaten der easytect UG eingetragen, Anwalts-Hinweis ergänzt, Aufsichtsbehörde präzisiert (keine materielle Änderung — Doku-Version bleibt v1.0-2026-05-22, da an Code-Konstante `AI_NOTICE` gebunden) |
| v1.0-2026-05-22 | 2026-05-24 | Neuer § 4 „Bestimmungsgemäße Verwendung und Zweckbindung" (Zweckentfremdungs-Sperre: Verbot von Bewertung/Scoring/Prämien, Rechts-/Versicherungsberatung, Art.-22-DSGVO-Einzelentscheidung; stützt die Art.-50/Limited-Risk-Einordnung). Folgeabschnitte §§ 5–12 neu nummeriert. Adressiert Audit-Finding F-02 (`docs/audits/06-legal-contract-suite-review.md`). Doku-Version bleibt v1.0-2026-05-22 (an Code-Konstante `AI_NOTICE` gebunden; Re-Akzeptanz wird gesondert über `LEGAL_VERSIONS` gesteuert) |