Compliance- und Datenresidenz-Leitfaden für Smart Processing
Stand: 03.09.2025
Dieser Leitfaden erklärt, wie Smart Processing externe AI-Dienste nutzt, welche Compliance-Anforderungen je Land/Region relevant sind und wie Sie durch regionale Bereitstellung (Data Residency) und konfigurierbare Optionen die Vorgaben erfüllen.
Wichtiger Hinweis (keine Rechtsberatung)
Dieser Artikel stellt keine Rechtsberatung dar. Prüfen Sie die Anforderungen mit Ihrer Rechts-/Datenschutzabteilung und schließen Sie die notwendigen Verträge (z. B. DPA, SCCs) mit Ihren Auftragsverarbeitern/Sub-Prozessoren.
Überblick: Welche externen AI-Dienste setzt Smart Processing ein?
Smart Processing kann – je nach konfiguriertem Workflow – folgende Microsoft-Dienste verwenden:
| Zweck | Dienst | Kernaussagen zur Datenverarbeitung |
|---|---|---|
| Klassifizieren/Extrahieren (Dokumente) | Azure AI Document Intelligence | Verarbeitung in der Region Ihres Dienst-Ressourcenstandorts; Eingaben/Resultate werden temporär verschlüsselt gespeichert und innerhalb von 24 Stunden gelöscht. Custom-Modelle verbleiben in Ihrer Region/Subscription. (Microsoft Learn) |
| Klassifizieren/Extrahieren (generisch, mehrmodal) | Azure AI Content Understanding | Verarbeitung in der Region des Content-Understanding-Ressourcenstandorts; Daten werden temporär verschlüsselt in Azure Storage gehalten und ggf. an Azure OpenAI zur Weiterverarbeitung übergeben (innerhalb des Service-Rahmens). (Microsoft Learn) |
| Generatives KI-Modell / Matching-Logik | Azure OpenAI Service | Prompts/Outputs werden nicht zum Training von OpenAI- oder Azure-Modellen verwendet; Verarbeitung innerhalb der gewählten Geographie (außer bei Global/DataZone-Deployments, s. unten); optionale Abuse-Monitoring-Logs, regionenspezifische Datenzugriffe. (Microsoft Learn) |
Empfehlung
Legen Sie alle AI-Ressourcen (OpenAI, Document Intelligence, Content Understanding) in der Ziel-Geographie an, in der Ihre Daten verbleiben sollen (z. B. EU). Für strikte Data-Residency keine Global-Deployments verwenden (siehe unten). (Microsoft Learn, Microsoft Azure)
Datenflüsse & Datentypen in Smart Processing
| Datentyp | Beispiele | Typischer Fluss |
|---|---|---|
| Dokumentinhalt | PDF, Bild, E-Mail-Anhang, XML | Upload → Klassifizierung/Extraktion (DI/CU) → Ergebnisse zurück in BC; bei DI/CU regionale Verarbeitung, temporäre Speicherung, fristgerechte Löschung. (Microsoft Learn) |
| Extrahierte Felder/Metadaten | Header-/Line-Felder, Beträge, IDs | Rückgabe an Smart Processing; Verwendung in Templates/Matching; optionale Archivierung in Document Central. |
| KI-Prompts/Outputs | Zuordnungsvorschläge, Validierungs-Hinweise | Über Azure OpenAI verarbeitet; kein Trainingszweck; Verarbeitung in der gewählten Geographie (keine Datenweitergabe an OpenAI.com). (Microsoft Learn) |
| Protokolle/Diagnostik | Status, Fehler, Abuse-Monitoring | Service-seitig (Azure) ggf. zeitweise Speicherung/Review bei Verdacht; Optionen zum Abschalten/Anpassen verfügbar. (Microsoft Learn) |
Rollen & Verantwortlichkeiten (typisches GDPR-Modell)
- Ihr Unternehmen: Verantwortlicher (Controller) für die verarbeiteten personenbezogenen Daten.
- Simova-Lösung/Smart Processing: Auftragsverarbeiter (Processor) innerhalb Ihrer BC-Umgebung.
- Microsoft (Azure-Dienste): Sub-Auftragsverarbeiter, der die konfigurierten AI-Funktionen bereitstellt (Azure OpenAI, DI, CU).
- Verträge & Garantien: Schließen/prüfen Sie DPA (Microsoft Products and Services DPA) und bei Datenübermittlungen in Drittländer die Standardvertragsklauseln (SCCs). (Microsoft Learn, European Commission)
Region & Datenresidenz: so bleiben Daten „zu Hause“
Azure-Grundsatz
Die meisten Azure-Dienste erlauben Ihnen, die Region/Geo für Speicherung und Verarbeitung festzulegen. Microsoft speichert/verarbeitet Kundendaten nicht außerhalb der gewählten Geo, außer für Resilienz innerhalb dieser Geo. (Microsoft Azure)
EU-Spezifika
Mit der Microsoft EU Data Boundary werden Kundendaten und personenbezogene Daten für Microsofts Enterprise-Onlinedienste (u. a. Azure, Dynamics 365) innerhalb der EU verarbeitet/gespeichert. (Microsoft Learn, Microsoft)
Dienst-spezifische Punkte
-
Azure OpenAI
-
Prompts/Outputs nicht für Trainingszwecke, keine Weitergabe an OpenAI.com; Verarbeitung in Ihrer Geographie, außer bei Global oder DataZone-Deployments (dann Verarbeitung in der jeweiligen Zone, Daten at rest bleiben in Ihrer Geo). (Microsoft Learn)
-
Option Abuse-Monitoring-Logging anpassen/abschalten (auf Antrag); für EWR-Deployments erfolgen etwaige Human-Reviews durch Mitarbeitende im EWR. (Microsoft Learn)
-
Document Intelligence
-
Verarbeitung in der Region der Ressource; temporäre (regionale) Speicherung für asynchrone Analyse; Löschung binnen 24 h; Custom-Modelle verbleiben in Ihrer Region/Subscription. (Microsoft Learn)
-
Content Understanding
-
Verarbeitung in der Region; Daten werden temporär verschlüsselt in Azure Storage gehalten und anschließend innerhalb des Service-Rahmens (u. a. Azure OpenAI) weiterverarbeitet. Beachten Sie Preview-Einschränkungen/Regionen. (Microsoft Learn)
Rechtliche Rahmenbedingungen (Auswahl)
| Rechtsraum | Kernthema | Bedeutung für Sie |
|---|---|---|
| EU (GDPR) | Datenübermittlungen in Drittländer | Nutzen Sie SCCs/geeignete Garantien; prüfen Sie DPA & Transfer-Impact-Assessment. (European Commission) |
| EU (AI Act) | Stufenweise Anwendung (erste Verbote 02.02.2025, umfassende Pflichten 02.08.2026) | Prüfen Sie, ob Ihre Anwendungsfälle Hochrisiko sind und ob GPAI-Transparenzpflichten greifen. (DLA Piper, Digitale Strategie Europas) |
| UK (UK GDPR) | International Transfers | Nutzen Sie IDTA/Addendum und BCRs für Drittlandtransfers. (ICO) |
| Schweiz (nFADP) | Revidiertes Datenschutzrecht seit 01.09.2023 | Prüfen Sie Informationspflichten, DSFA, Auftragsbearbeitung, Drittlandübermittlungen. (KMU.admin.ch) |
| USA (Kalifornien, CCPA/CPRA) | Betroffenenrechte/Opt-out | Beachten Sie Informationspflichten, Löschanfragen, Opt-out-Mechanismen (falls anwendbar). (Justizministerium Kalifornien, cppa.ca.gov) |
Konfigurations-Checkliste (empfohlen)
- Regionswahl festlegen
- Legen Sie alle AI-Ressourcen (OpenAI, DI, CU) in der Ziel-Geo an (z. B. EU). Vermeiden Sie „Global“ für strikte Data-Residency; DataZone nur nutzen, wenn die Zone Ihrer Compliance entspricht. (Microsoft Learn, Microsoft Azure)
- Datenminimierung
- Nur notwendige Felder capturen; sensible Felder maskieren/überschreiben, wo möglich.
- Abuse-Monitoring prüfen (Azure OpenAI)
- Logging-Status prüfen und – falls genehmigt – abschalten/anpassen; dokumentieren Sie die Einstellung. (Microsoft Learn)
- Verschlüsselung & Schlüsselverwaltung
- Standard: TLS 1.2+ in Transit, AES-256 at Rest; optional CMK einsetzen, wo verfügbar. (Microsoft Learn)
- Löschfristen & Retention
- DI: automatische Löschung i. d. R. binnen 24 Stunden; OpenAI/BC-Copilot: kurzzeitige Speicherung möglich (z. B. Abuse-Monitoring bis zu 24 h) – intern dokumentieren. (Microsoft Learn)
- Vertragliche Absicherung
- DPA (Microsoft), SCCs für Drittlandtransfers, Auftragsverarbeitungsverträge mit Partnern. (Microsoft Learn, European Commission)
- EU-Data-Boundary nutzen (falls EU-Scope)
- Prüfen Sie, ob alle eingesetzten Microsoft-Dienste unter die EU Data Boundary fallen. (Microsoft Learn, Microsoft)
Häufige Fragen (FAQ)
Werden unsere Daten zum Training verwendet?
Bei Azure OpenAI werden Prompts/Outputs/Embeddings nicht zum Training von OpenAI- oder Azure-Modellen genutzt und sind nicht für andere Kunden oder OpenAI zugänglich. (Microsoft Learn)
Bleiben Dokumente in der EU, wenn wir EU-Ressourcen nutzen?
Document Intelligence und Content Understanding verarbeiten in der Region der Ressource; Azure OpenAI verarbeitet in der gewählten Geographie (achten Sie auf Global/DataZone-Deployments). (Microsoft Learn)
Wie adressieren wir EU-Transfers rechtlich?
Nutzen Sie SCCs/geeignete Garantien für Drittländer; im UK nutzen Sie IDTA/Addendum. (European Commission, ICO)
Speichert Simova GmbH Daten?
Nein. Wir verarbeiten keine Daten außerhalb Ihrer Business Central-Umgebung.