KI-Compliance

Einstufung

Syncanix ist der Anbieter eines KI-Systems im Sinne der KI-Verordnung der EU — es bringt ein KI-System mit begrenztem Risiko (einen Chatbot, der mit Menschen interagiert) in Verkehr, was die Transparenzpflichten nach Article 50 auslöst, nicht jedoch das strengere Hochrisiko-Regime. Die Kunden, die Syncanix einbetten, sind die Betreiber dieses Systems. Die gesonderten Pflichten für GPAI-Modelle nach Article 53 (Zusammenfassung der Trainingsdaten, Verhaltenskodex zum Urheberrecht) obliegen den Anbietern der Basismodelle (Anthropic, OpenAI) — Syncanix trainiert weder ein Basismodell noch vertreibt es eines und trägt daher nicht die Modellanbieterpflichten nach Article 53.

Syncanix wird zu einem Hochrisiko-System, wenn es für Beschäftigungs- bzw. HR-Entscheidungen, Kreditwürdigkeitsprüfung, Bildungszugang, Strafverfolgung, Migration bzw. Grenzkontrolle oder juristische Schlussfolgerungen eingesetzt wird. Unsere Richtlinie zur akzeptablen Nutzung untersagt diese Branchen in v1 ausdrücklich — siehe den Abschnitt AUP weiter unten.

Transparenzpflichten nach Article 50

Auf Syncanix sind vier Pflichten nach Article 50 anwendbar, die jeweils vor dem Durchsetzungsdatum 2 Aug 2026 erfüllt werden:

1. KI-Offenlegung gegenüber Endnutzern. Vor oder bei der ersten Interaktion sehen Endnutzer die Meldung "Dies ist eine Unterhaltung mit einem KI-Assistenten." Ein dauerhafter Hinweis verbleibt während der gesamten Sitzung in der Chat-Kopfzeile. Die Offenlegung ist in allen sechs Einführungssprachen verfügbar (English, Spanish, French, German, Arabic, Hebrew).
2. Kennzeichnung KI-generierter Inhalte. Synthetische Bilder, Audio oder Video (für Syncanix v1 nicht relevant; den Sprach- oder Vision-Funktionen von v2 vorbehalten) wären über den C2PA-Standard maschinenlesbar als KI-generiert. Die Textausgabe wird in der Chat-Oberfläche sichtbar gekennzeichnet, nicht steganografisch markiert.
3. Deepfake-Offenlegung. Für Syncanix v1 nicht relevant — wir erzeugen keine synthetischen Medien, die reale Personen darstellen.
4. Dokumentation auf Anfrage. Syncanix führt eine technische Dokumentation mit den verwendeten Modellen, der Herkunft der Trainingsdaten (von den Anbietern weitergegeben), den Bewertungsergebnissen und den bekannten Beschränkungen. Aufsichtsbehörden können auf Anfrage Zugang erhalten.

Wer übernimmt was: Syncanix vs. Ihre Betreiberpflichten

Unter der KI-Verordnung ist Syncanix der Anbieter des KI-Systems, und Sie — der es in Ihr Produkt einbettet — sind typischerweise sein Betreiber. Beide Rollen tragen Pflichten nach Artikel 50. Hier ist die Aufteilung, klar benannt.

Was Syncanix für Sie übernimmt

• Die KI-Offenlegung gegenüber Endnutzern selbst: ein Hinweis bei der ersten Interaktion plus ein dauerhafter Indikator über die gesamte Sitzung — standardmäßig aktiv und nicht abschaltbar (das Widget weist sogar Custom-CSS zurück, das sie verbergen würde).
• Die Sprache der Offenlegung: Der Hinweis erscheint in der Sprache des Endnutzers in allen sechs unterstützten Locales, Rechts-nach-links eingeschlossen.
• Die technische Dokumentation — eingesetzte Modelle, von den Anbietern durchgereichte Trainingsdaten-Herkunft, Evaluierungsergebnisse, bekannte Grenzen — auf Anfrage für Sie und für Aufsichtsbehörden verfügbar.
• Die Kennzeichnung KI-erzeugter Inhalte: in v1 nicht anwendbar (es werden keine synthetischen Bilder, Audios oder Videos erzeugt); maschinenlesbare Kennzeichnung ist künftigen Sprach- oder Bildfunktionen vorbehalten.

Was bei Ihnen bleibt

• Wenn Sie statt des Widgets eine eigene Oberfläche über der Syncanix-API bauen, liegt die KI-Offenlegung in dieser Oberfläche bei Ihnen — die Schutzmechanismen unseres Widgets reichen dort nicht hin.
• Wenn Ihr Produkt den Agenten mit menschlichem Support mischt, halten Sie die Grenze sichtbar: Nutzer müssen erkennen können, wo die KI endet und ein Mensch übernimmt.
• Wenn Sie die Ausgabe des Agenten in andere KI-Systeme leiten (Content-Generierung, synthetische Medien), liegen die Kennzeichnungs- und Offenlegungspflichten dieser Systeme bei ihnen und bei Ihnen — nicht bei uns.
• Sektorregeln oberhalb der KI-Verordnung — Medizin, Finanzen, Begrenzung von Rechtsberatung, Offenlegungen im Beschäftigungskontext — bleiben bei Ihnen als Betreiber in Ihrer Domäne.
• Ihre eigenen Datenschutzhinweise: Ihren Nutzern in Ihrer Datenschutzerklärung mitzuteilen, dass ein KI-Assistent ihre Anfragen verarbeitet, bleibt Ihre Pflicht.

Dies ist Engineering-Dokumentation, keine Rechtsberatung. Ihre Kanzlei verantwortet Ihre Artikel-50-Position; unsere prüft diese Seite.

Sanktionen

• Bis zu 35 Mio. € oder 7 % des weltweiten Umsatzes für verbotene Praktiken (verbotene KI nach Article 5).
• 15 Mio. € oder 3 % für die meisten sonstigen Verstöße.
• 7,5 Mio. € oder 1 % für unrichtige Angaben gegenüber Behörden.

Modellkarten

Die Basismodelle, die Syncanix in der Produktion aufruft, nach Anbieter:

• Anthropic Claude (verwaltetes LLM). Primärer Anbieter für Chat-Vervollständigungen. Gemäß den API-Bedingungen von Anthropic werden Prompts und Antworten des Kunden nicht zum Training der Modelle von Anthropic verwendet; eine Zero-Data-Retention-Vereinbarung (ZDR) wird derzeit finalisiert, um die vertragliche Nichtaufbewahrung zu ergänzen. Einzelheiten zu Leistung und Sicherheit finden Sie in der veröffentlichten Modellkarte von Anthropic.
• OpenAI der GPT-Klasse (Failover-LLM). Sekundärer Anbieter für Chat-Vervollständigungen, vorgesehen für den Ausfallschutz – in der Produktion noch nicht aktiv. Nach Aktivierung wird er gemäß den API-Bedingungen von OpenAI geleitet (API-Daten sind vom Training ausgeschlossen), mit einer Zero-Data-Retention-Vereinbarung (ZDR) für Unternehmen, die vor der Aktivierung zu bestätigen ist.
• Amazon Bedrock — Embeddings (Amazon Titan Text Embeddings V2). Die Retrieval-Indexierung von Dokumenten läuft über AWS Bedrock in der EU-Region (eu-central-1). Die Daten verbleiben in der Region, und AWS trainiert seine Modelle nicht mit Kundeninhalten.
• Amazon Bedrock — Reranking (Amazon Bedrock Rerank). Reranking der besten Kandidaten zur Verbesserung der Retrieval-Qualität, ebenfalls über Bedrock in eu-central-1 — gleiche In-Region- und Kein-Training-Haltung wie bei den Embeddings.

Das BYOK (bring-your-own-key) von Syncanix wird im Enterprise-Tarif unterstützt — Kunden können LLM-Traffic über ihren eigenen Anthropic-, OpenAI-, AWS-Bedrock-, Azure-OpenAI- oder OpenAI-kompatiblen Endpunkt leiten. Der Anbieter des Kunden sieht den Traffic; Syncanix nicht.

Systemkarte

Syncanix ist eine Komposition aus Retrieval (Amazon-Bedrock-Embeddings + Reranking, in eu-central-1), dem Fähigkeitskatalog des Kunden (typisierte Tool-Oberfläche, ermittelt aus der API des Kunden) und einer Basismodell-Schleife (Anthropic primär, OpenAI als Failover), orchestriert durch die Intent-ausstellende Schicht von Syncanix. Das LLM hält niemals Endnutzer-Anmeldedaten — Tool-Aufrufe werden als signierte Intent-Umschläge ausgestellt, die die eigene API des Kunden prüft und ausführt.

Tool-Aufrufe mit hoher Auswirkung (alles mit zerstörerischer oder finanziell erheblicher Wirkung) erfordern vor der Ausstellung der Absicht eine ausdrückliche Bestätigung durch einen Menschen in der Chat-Oberfläche. Dies gibt dem Kunden (als Verantwortlichem) die Werkzeuge zur Erfüllung seiner Pflichten nach Article 22 DSGVO — keine ausschließlich automatisierte Entscheidung mit rechtlicher oder erheblicher Wirkung wird ohne menschliches Eingreifen getroffen.

Bewertungsmethodik

Jede Syncanix-Version wird gegen ein gemessenes Eval-Set ausgeliefert. Die Methodik kombiniert deterministische Rubrik-Bewertung mit LLM-as-judge für freie Antworten:

• Retrieval-F1 auf einem kuratierten Abfrage-/Passage-Set je Kunden-Mandant (sofern ein Mandant ein Beispiel-Abfrage-Set bereitgestellt hat).
• Treue — LLM-as-judge bewertet, ob die erzeugte Antwort im abgerufenen Kontext verankert ist. Der Treue-Schwellenwert ist kundenseitig konfigurierbar; Standardwert 0,85 von 1,0.
• Genauigkeit der Tool-Aufrufe — ob das LLM die richtige Fähigkeit ausgewählt und gültige Argumente gegen das streng validierte Schema der Fähigkeit erzeugt hat. Bestanden/nicht bestanden; keine Teilpunkte.
• Ablehnungsrate — ob das Modell richtlinienwidrige Anfragen (z. B. Versuche der Exfiltration personenbezogener Daten, mandantenübergreifende Abfragen) in der erwarteten Rate ablehnte. Nächtliche synthetische Probes speisen die Metrik.

Bias-Bewertung

Die Bias-Bewertung von Syncanix führt die von den Anbietern der Basismodelle veröffentlichten Bias-Benchmarks (BBQ, BOLD, HELM-Bias-Slices) auf den in der Produktion angesteuerten Modellversionen aus und verfolgt die Differenz zwischen den Releases. Die Ergebnisse sowie die Methodik werden als Teil der technischen Dokumentation veröffentlicht, die die Dokumentationspflicht nach Article 50 der KI-Verordnung der EU erfordert. Kundenspezifische Bewertungen anhand der eigenen Szenarien des Kunden werden im Enterprise-Tarif mit benannten Persona-Probes unterstützt.

Richtlinie zur akzeptablen Nutzung

Die AUP von Syncanix untersagt den Einsatz in den folgenden Hochrisiko-Branchen in v1 ohne eine gesonderte schriftliche Vereinbarung ausdrücklich:

• Beschäftigungs- bzw. HR-Entscheidungen (Einstellung, Kündigung, Beförderung, Leistungsbewertung).
• Kreditwürdigkeitsprüfung oder Bonitätsbewertung.
• Bildungszugang (Zulassungen, Prüfungsbewertung).
• Strafverfolgung (vorausschauende Polizeiarbeit, Beweisbewertung).
• Entscheidungen zu Migration, Grenzkontrolle oder Asyl.
• Juristische Schlussfolgerungen oder Strafzumessungsempfehlungen.
• Betrieb kritischer Infrastrukturen.
• Gesundheits- bzw. klinische Entscheidungen mit geschützten Gesundheitsdaten (PHI) (kein HIPAA-BAA in v1).
• Kinder unter 13 Jahren (COPPA — keine gesonderte Vereinbarung).

Verstöße sind ein Grund für die sofortige Sperrung. Enterprise-Kunden, die einen Einsatz in einer regulierten Branche benötigen, können eine gesonderte schriftliche Vereinbarung samt des tiefergehenden Compliance-Regimes anfordern, das diese Branche erfordert.

Prüfung durch Rechtsberatung

Der AVV, der Text der KI-Offenlegung (englische Referenzfassung + Übersetzungen in 6 Sprachen) und diese Seite werden vor jeder kommerziellen Veröffentlichung von einer EU-Datenschutz-Rechtsberatung geprüft. Die Freigabe wird festgehalten in docs/legal/counsel-sign-off.md mit Name der Rechtsberatung, Prüfdatum und Umfang. Die Prüfung durch die Rechtsberatung ist eine startblockierende Voraussetzung.

Verwandtes

• Compliance-Status → — JSON-gesteuertes Status-Raster (SOC 2 / ISO 27001 / KI-Verordnung der EU / DSGVO / CCPA).
• Datenschutzhinweis → — Aufbewahrung, DSGVO-Rechte, Umgang mit personenbezogenen Daten, Quellcode-Datenschutz.
• Sicherheitsübersicht → — Verschlüsselung, IAM, Header, Reaktion auf Vorfälle.