EU-AI-Act-Transparenzhinweise — DokuParse
Stand: 2026-06-14 | Doku-Version: v1.5-2026-06-14
Verbindlichkeit: Mit Klick auf „Registrieren" auf https://dokuparse.de bestätigt der Nutzer die Kenntnisnahme dieser Transparenzhinweise gemäß Verordnung (EU) 2024/1689 (EU AI Act). Die App dokumentiert die Bestätigung mit Zeitstempel, IP-Adresse, Browser-User-Agent und Doku-Version.
1. Klassifikation des KI-Systems
DokuParse ist ein KI-System, das auf einem GPAI-Modell beruht (General Purpose AI), im Sinne der Verordnung (EU) 2024/1689. Als Betreiber (Deployer, Art. 26) eines GPAI-Modells (GPT-4o / GPT-4o-mini via Azure OpenAI Service) unterliegt DokuParse den Transparenzpflichten nach Art. 50 der Verordnung. Die GPAI-Provider-Pflichten nach Art. 53–55 (Kapitel V, gültig ab 02.08.2025) liegen bei Microsoft/OpenAI als Bereitsteller des zugrundeliegenden Modells; DokuParse ist Deployer im Sinne des Art. 26.
Nach interner Risiko-Einordnung (Stand 2026-06-14, fachanwaltliche Bestätigung ausstehend) ist DokuParse als KI-System mit begrenztem Risiko (Art. 50) einzustufen und fällt nach derzeitiger Bewertung nicht unter die Hochrisiko-Kategorien des Anhangs III der Verordnung (EU) 2024/1689. Diese Einordnung beruht auf folgender Prüfung aller einschlägigen Anhang-III-Kategorien und wird vor Aufnahme des Produktivbetriebs fachanwaltlich bestätigt:
- Anhang III Nr. 1 (Biometrie): Nicht erfüllt. DokuParse verarbeitet keine biometrischen Daten und trifft keine biometrischen Identifizierungsentscheidungen.
- Anhang III Nr. 2 (Kritische Infrastruktur): Nicht erfüllt. DokuParse ist kein Sicherheitskomponenten-System für Verkehr, Wasser, Gas, Wärme oder Strom.
- Anhang III Nr. 3 (Bildung/Berufsausbildung): Nicht erfüllt. DokuParse trifft keine Entscheidungen über Bildungszugang oder -bewertung.
- Anhang III Nr. 4 (Beschäftigung/Personalverwaltung): Nicht erfüllt. DokuParse wird nicht zur Einstellung, Beförderung oder Aufgabenzuweisung von Personen eingesetzt.
- Anhang III Nr. 5 (Wesentliche Dienstleistungen — Kredit, Sozialleistungen, Notfalleinsatz): Nicht erfüllt. DokuParse trifft keine Bonitätsentscheidungen, berechnet keine Kreditwürdigkeit oder Risikoklassifikation von Personen, verwaltet keine Sozialleistungsansprüche und löst keine Notfalleinsätze aus. Sämtliche eingesetzten Dokumententypen (ESG/Lieferkettendokumentation, WEG-Unterlagen, Logistik-/Zolldokumente) dienen der reinen Feldextraktion aus Geschäftsdokumenten ohne Personenbewertung.
- Anhang III Nr. 6 (Strafverfolgung): Nicht erfüllt. DokuParse wird nicht durch oder für Strafverfolgungsbehörden eingesetzt.
- Anhang III Nr. 7 (Migration/Asyl/Grenzkontrolle): Nicht erfüllt.
- Anhang III Nr. 8 (Rechtspflege/demokratische Prozesse): Nicht einschlägig nach derzeitiger Bewertung. Notarverträge werden ausschließlich im Kontext der Immobilien-/Hausverwaltung (WEG-Vertical) zur Übernahme vordefinierter Stammdaten (Namen, Beträge, Datumsangaben) verarbeitet — nicht zur Unterstützung von Justizbehörden bei der Sachverhaltsermittlung oder Rechtsanwendung und nicht zur Vorbereitung richterlicher Entscheidungen. Es findet keine Rechtsauslegung statt. Diese Subsumtion ist Gegenstand der fachanwaltlichen Prüfung.
Ergebnis: DokuParse fällt nach derzeitiger Bewertung in die Kategorie KI-System mit begrenztem Risiko (Limited Risk) nach Art. 50 der Verordnung (EU) 2024/1689. Eine automatisierte Einzelentscheidung i. S. v. Art. 22 DSGVO findet aus zwei Gründen nicht statt: (1) DokuParse extrahiert lediglich Felddaten und nimmt keine Bewertung, kein Scoring und keine Entscheidung über Personen vor; (2) zusätzlich ist jeder Datenexport von einer ausdrücklichen, inhaltlich-substanziellen Prüfung und Freigabe durch einen Menschen abhängig (§ 5, Human-in-the-Loop).
Die Risiko-Einordnung ist intern dokumentiert (Risiko-Assessment, Stand 2026-05-24, fortgeschrieben) und auf Anfrage einsehbar; die abschließende fachanwaltliche Bestätigung — insbesondere zur Abgrenzung von Anhang III Nr. 5 und Nr. 8 — ist vor Aufnahme des Produktivbetriebs einzuholen.
2. Eingesetzte KI-Modelle
| Modell | Anbieter | Region | Zweck |
|---|---|---|---|
GPT-4o (gpt-4o-2024-11-20) | Microsoft (Azure OpenAI Service) | West Europe (Amsterdam) | Strukturierte Datenextraktion |
| GPT-4o-mini | Microsoft (Azure OpenAI Service) | West Europe (Amsterdam) | Klassifizierung von Dokumenttypen |
| text-embedding-3-large | Microsoft (Azure OpenAI Service) | West Europe (Amsterdam) | RAG-Suche über Altverträge |
Alle KI-Verarbeitung findet ausschließlich innerhalb der Europäischen Union statt. Microsoft trainiert keine Modelle mit Kundendaten (Vertragsbestandteil Azure OpenAI Service Terms).
3. Was DokuParse KI tut — und was nicht
Tut:
- Liest hochgeladene PDF-Dokumente
- Klassifiziert Dokumenttypen (z. B. Lieferanten-Zertifikat, Eigentümerversammlungs-Protokoll, Handelsrechnung, Notarurkunde, …)
- Extrahiert vordefinierte Felder (Namen, Beträge, Datumsangaben, …)
- Schätzt Konfidenz-Werte pro extrahiertem Feld
- Schlägt Werte zur menschlichen Prüfung vor
Tut NICHT:
- Trifft keine autonomen Entscheidungen
- Versendet keine Daten ans ERP ohne menschliche Freigabe
- Bewertet keine Verträge inhaltlich (gut/schlecht, riskant/sicher)
- Berechnet keine Preise, Tarife oder Risiken
- Erstellt keine Profile über natürliche Personen
- Trifft keine Entscheidungen, die rechtliche Wirkung haben
4. Bestimmungsgemäße Verwendung und Zweckbindung
Zulässiger Verwendungszweck. DokuParse ist ausschließlich ein Werkzeug zur strukturierten Datenextraktion und -aufbereitung zur Übergabe an ein ERP-System (Ersetzung der manuellen Dateneingabe). Die KI liest vorhandene Vertragsinhalte aus, schlägt Feldwerte vor und stellt sie zur menschlichen Prüfung bereit. Mehr nicht.
Ausdrücklich untersagte Verwendungen. DokuParse darf insbesondere nicht eingesetzt werden für:
- die inhaltliche Bewertung von Verträgen (gut/schlecht, riskant/sicher, Empfehlung/Abraten);
- Bonitäts-, Risiko- oder Scoring-Bewertungen natürlicher Personen;
- die Berechnung oder Festlegung von Preisen, Tarifen oder Konditionen;
- als Rechts- oder Fachberatung — der KI-Output ersetzt weder eine anwaltliche noch eine sonstige fachliche Beratung; die fachliche Bewertung und Verantwortung verbleiben vollständig beim Nutzer;
- als automatisierte Entscheidung im Einzelfall i. S. v. Art. 22 DSGVO — eine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidung mit rechtlicher Wirkung oder vergleichbar erheblicher Beeinträchtigung gegenüber einer betroffenen Person findet nicht statt: primär, weil keine Bewertung oder Entscheidung über Personen erfolgt; ergänzend, weil jeder Export eine inhaltlich-substanzielle menschliche Prüfung und Freigabe (§ 5) voraussetzt — eine Side-by-Side-Kontrolle mit Korrekturmöglichkeit jedes Feldes, nicht bloß formales Durchklicken.
Rechtliche Einordnung und Folge der Zweckentfremdung. Die Einstufung von DokuParse als KI-System mit begrenztem Risiko (Transparenzpflichten nach Art. 50 der Verordnung (EU) 2024/1689 statt Hochrisiko-Einordnung nach Annex III Nr. 5) beruht maßgeblich darauf, dass das System keine Bewertung, kein Scoring und keine Entscheidung über Personen vornimmt (intern dokumentiert, auf Anfrage einsehbar). Ein zweckwidriger Einsatz — insbesondere zu Bewertungs-, Scoring- oder Entscheidungszwecken — würde diese Einordnung gefährden und kann zu einer Re-Klassifikation als Hochrisiko-System führen. Eine solche Nutzung ist daher unzulässig und führt zur Sperrung des Zugangs.
5. Menschliche Aufsicht (Human Oversight, Art. 14 EU AI Act)
Jede Datenübergabe an ein ERP-System erfordert die ausdrückliche Freigabe durch einen Menschen. Der Workflow:
- KI extrahiert Felder aus PDF
- Mensch öffnet das Dokument zur Prüfung (Side-by-Side-Ansicht)
- Mensch korrigiert bei Bedarf einzelne Felder (jede Korrektur wird mit Vorher/Nachher protokolliert)
- Mensch klickt explizit „Freigeben & Exportieren"
- System erzeugt einen einmalig gültigen, auf 15 Minuten befristeten Freigabe-Token
- Erst mit gültigem Token wird die Datei in das gewünschte ERP-Format exportiert
Kein Datenexport an ein ERP-System läuft ohne menschliche Freigabe. Dieser Checkpoint ist nach dem aktuellen Stand der Implementierung technisch durchgesetzt — ohne gültigen, zeitlich befristeten Freigabe-Token erfolgt kein Export. Die menschliche Freigabe ist damit by design verankert, nicht allein in den Nutzungsbedingungen festgeschrieben.
6. Konfidenz-Werte und ihre Bedeutung
Jedes von der KI extrahierte Feld wird mit einem Konfidenz-Wert zwischen 0 und 100 % versehen:
| Konfidenz | Visualisierung | Empfehlung |
|---|---|---|
| ≥ 95 % | Grün | Sichtprüfung ausreichend |
| 85–94 % | Standard | Wertprüfung empfohlen |
| 70–84 % | Orange | Pflichtprüfung |
| < 70 % | Rot | Manuell extrahieren empfohlen |
Niedrige Konfidenz heißt nicht „falsch" — sie heißt „bitte besonders sorgfältig prüfen".
7. Bekannte Limitationen
Die KI extrahiert nicht zuverlässig:
- Handschriftliche Ergänzungen oder Unterschriften
- Stark gescannte oder fotografierte PDFs mit schlechter Qualität (< 60 % Lesbarkeit)
- Ungewöhnliche Tabellen-Layouts oder Multi-Spalten-Designs
- Mehrsprachige Verträge (nur Deutsch ist umfassend getestet)
- Beträge in ausgeschriebener Schriftform („Eintausendzweihundert Euro")
- Schemata, die nicht im konfigurierten ExtractionSchema definiert sind
Bei diesen Konstellationen empfiehlt sich die manuelle Erfassung oder eine 4-Augen-Prüfung mit erhöhter Sorgfalt.
8. Verarbeitungsorte und Datenflüsse
| Datenkategorie | Speicherort | Verarbeitungsort |
|---|---|---|
| Original-PDFs | Azure Blob Storage (Amsterdam, NL) | Amsterdam, NL |
| Extrahierte Felder | PostgreSQL (Amsterdam, NL) | Amsterdam, NL |
| KI-Anfragen + Antworten (transient) | — | Azure OpenAI West Europe (Amsterdam, NL) |
| Embeddings für RAG | PostgreSQL pgvector (Amsterdam, NL) | Amsterdam, NL |
Speicherung und Verarbeitung erfolgen ausschließlich in der EU (Region West Europe, Amsterdam); ein aktiver, durch uns veranlasster Datentransfer in Drittländer findet nicht statt (zum theoretischen Zugriff nach US-Recht siehe den folgenden Transparenz-Hinweis).
Transparenz-Hinweis (US-Recht): Die eingesetzten Cloud-Anbieter (u. a. Microsoft Azure / Azure OpenAI) gehören zu US-Konzernen und unterliegen damit theoretisch US-Zugriffsgesetzen (CLOUD Act, FISA 702). Ein behördlich erzwungener Zugriff auf in der EU gespeicherte Daten lässt sich dadurch — wie bei allen marktüblichen US-Cloud-Diensten — nicht absolut ausschließen. Wir begegnen diesem Rest-Risiko mit EU-Datenresidenz, EU-Standardvertragsklauseln, Verschlüsselung (AES-256 at rest, TLS 1.2+ in transit) und Datenminimierung.
9. Rechte des Nutzers
Diese Übersicht betrifft Sie als registrierten Nutzer (Kunde) von DokuParse für die von der easytect UG verantwortete Verarbeitung Ihrer Konto-/Vertragsdaten. Sind Sie eine von einem hochgeladenen Dokument betroffene Person (Endkunde unseres Kunden), richten sich Ihre Rechte gegen den jeweiligen Verantwortlichen (unseren Kunden) — siehe dessen Datenschutzinformation nach Art. 13/14 DSGVO. Die easytect UG handelt insoweit als Auftragsverarbeiter und setzt Betroffenenanfragen nur auf Weisung des Verantwortlichen um.
| Recht | Details |
|---|---|
| Auf Information | Dieses Dokument + Datenschutzerklärung |
| Auf menschliche Prüfung | Technisch durchgesetzt by design (siehe §5) |
| Auf Korrektur | Jedes von der KI vorgeschlagene Feld kann manuell geändert werden |
| Auf Löschung | Settings → Datenschutz → Daten löschen (als Verantwortlicher/Kunde) bzw. formloser Antrag an datenschutz@dokuparse.de |
| Auf Datenportabilität | Settings → Datenschutz → Daten exportieren (JSON-Export) |
| Auf Beschwerde | An die zuständige Datenschutzaufsicht: für die Verarbeitung Ihrer Konto-/Vertragsdaten durch easytect der LfDI Rheinland-Pfalz (Mainz); für die in Dokumenten enthaltenen personenbezogenen Daten die für den jeweiligen Verantwortlichen (unseren Kunden) bzw. Ihren Wohnsitz zuständige Behörde (AT: DSB; CH: EDÖB). Zur KI-Marktüberwachung siehe § 11. |
10. AI-Literacy (Art. 4 EU AI Act)
easytect UG verpflichtet sich gemäß Art. 4 EU AI Act zur Förderung der KI-Kompetenz seiner Nutzer:
- Diese Transparenzhinweise sind Pflichtlektüre bei der Registrierung
- Im Dashboard ist ein KI-Schulungs-Modul verlinkt (PDF + Erklär-Video)
- Bei Rückfragen zu KI-Funktionen: info@dokuparse.de
11. Verantwortlicher und Kontakt
Verantwortlich für das KI-System: easytect UG (haftungsbeschränkt) Marktplatz 10a, 56457 Westerburg, Deutschland Geschäftsführer: Usman Ahmad E-Mail: info@dokuparse.de
KI- / Datenschutzkontakt: Die easytect UG hat geprüft, ob eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht (Art. 37 DSGVO, § 38 BDSG), und ist nach derzeitiger Einschätzung nicht zur Benennung verpflichtet; sie hat keinen Datenschutzbeauftragten benannt. Diese Einschätzung wird bei Änderung der Verarbeitungstätigkeit überprüft. KI- und Datenschutzkontakt ist der Geschäftsführer Usman Ahmad (datenschutz@dokuparse.de).
KI-Marktüberwachungsbehörde (DE): Voraussichtlich die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen; die formelle Zuständigkeit als KI-Marktüberwachungsbehörde greift ab dem 2. August 2026 (mit Inkrafttreten des nationalen KI-Durchführungsrechts). Im Übergangszeitraum ist die KI-Koordinierungs-/Servicestelle der Bundesnetzagentur Ansprechpartner. (Vor Veröffentlichung mit dem aktuellen Stand des KI-Durchführungsgesetzes abzugleichen.)
12. Annahme und Beweisbarkeit
Mit Klick auf „Registrieren" bestätigt der Nutzer die Kenntnisnahme dieser Transparenzhinweise. Die easytect UG dokumentiert die Bestätigung mit:
- Datum und Uhrzeit (UTC-Zeitstempel)
- IP-Adresse zum Zeitpunkt der Bestätigung
- Browser-User-Agent
- Version dieses Dokuments
Dieses Dokument wird versioniert (MAJOR.MINOR). Wesentliche Änderungen (neues KI-Modell, neue Verarbeitungsregion, geänderte Risiko-Klassifikation) erhöhen die MAJOR-Version, lösen eine E-Mail-Benachrichtigung aus und erfordern beim nächsten Login eine erneute Kenntnisnahme. Rein redaktionelle Klarstellungen erhöhen nur die MINOR-Version und lösen keine erneute Kenntnisnahmepflicht aus.