Compliance-Übersicht
Stand: Mai 2026
Diese Seite fasst zusammen, wie der WP·KI·Assistent die rechtlichen und berufsrechtlichen Anforderungen an die Verarbeitung von Mandantendaten adressiert. Die vollständige Dokumentation (Datenschutzerklärung der Anwendung, Datenschutz-Folgenabschätzung, Selbstklassifizierung nach EU-KI-Verordnung) stellen wir Ihnen auf Anfrage zur Verfügung.
Verarbeitung ausschließlich in der EU
Sämtliche produktiven Verarbeitungen finden in AWS-Regionen innerhalb der Europäischen Union statt, primär eu-central-1 (Frankfurt am Main). Die KI-Inferenz läuft über AWS Bedrock mit EU-Inferenzprofilen; eine Verarbeitung außerhalb der EU-Regionen wird durch IAM-Policy-Conditions technisch ausgeschlossen.
Schutz des Berufsgeheimnisses
Mandantendaten unterliegen dem strafrechtlich bewehrten Wirtschaftsprüfer-Geheimnis nach § 203 Abs. 1 Nr. 3 StGB sowie § 50a WPO (Verschwiegenheit beim Outsourcing). BMU-Trading verarbeitet Mandantendaten ausschließlich als Auftragsverarbeiter auf Weisung des Wirtschaftsprüfers; das Vertragspaket enthält einen separaten § 50a-WPO-Annex. Alle für BMU-Trading tätigen Personen sind zur Verschwiegenheit verpflichtet.
Technische und organisatorische Maßnahmen
- Verschlüsselung in transit (TLS 1.3) und at rest (AES-256).
- Verpflichtende Zwei-Faktor-Authentifizierung (TOTP) für jeden Zugang; Selbstregistrierung deaktiviert.
- Region-Lock über IAM-Policy-Conditions, kein Datenabfluss aus den EU-Regionen.
- Revisionsprotokoll: zwei Jahre operativ in DynamoDB, anschließend zehn Jahre revisionssicher im S3-Archiv mit Object Lock im Compliance-Modus.
Keine dauerhafte Speicherung von Mandantendaten
Mandantendaten verbleiben ausschließlich im Arbeitsspeicher der laufenden Sitzung (in-Memory). Sie werden nicht dauerhaft beim Anbieter gespeichert. Nach den AWS-Bedrock-Service-Terms werden Eingaben und Ausgaben weder zum Training von KI-Modellen verwendet noch über die Antwort hinaus gespeichert.
Datenschutz-Folgenabschätzung
Wegen der systematischen Verarbeitung von Daten unter Berufsgeheimnis und des Einsatzes von KI-Inferenz wurde eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt und dokumentiert. Eine Zusammenfassung stellen wir auf schriftliche Anfrage zur Verfügung.
Einordnung nach EU-KI-Verordnung
Nach Selbstklassifizierung der BMU-Trading GmbH ist der WP·KI·Assistent kein Hochrisiko-KI-System im Sinne der Verordnung (EU) 2024/1689. Er ist als KI-System mit eingeschränktem Risiko eingestuft; die Transparenz- pflichten nach Art. 50 KI-VO werden umgesetzt. Sämtliche prüfungs- bezogenen Entscheidungen trifft der Wirtschaftsprüfer als Berufsträger; die KI liefert ausschließlich Entwürfe zur Vorbereitung.
Sub-Auftragsverarbeiter
Einziger Sub-Auftragsverarbeiter ist die Amazon Web Services EMEA SARL (Luxemburg). Grundlage sind das AWS Customer Agreement, das AWS GDPR Data Processing Addendum sowie die EU-Standardvertragsklauseln. Eine Übermittlung an Werbenetzwerke, Analyse-Dienstleister oder andere KI-Modellanbieter findet nicht statt.
Unabhängige technische Prüfung
Der technische Stand der Anwendung wird in internen Tech-Audit-Berichten dokumentiert und regelmäßig mit den Compliance-Unterlagen abgeglichen. Die AWS-Infrastruktur ist nach ISO/IEC 27001 zertifiziert und nach BSI C5 testiert.
Vollständige Dokumentation auf Anfrage
Datenschutzerklärung der Anwendung, Datenschutz-Folgenabschätzung und KI-VO-Selbstklassifizierung stellen wir interessierten Wirtschaftsprüferinnen und Wirtschaftsprüfern auf schriftliche Anfrage zur Verfügung. Diese Dokumente befinden sich derzeit in der finalen anwaltlichen Prüfung.
Anfragen richten Sie bitte an datenschutz@wp-ki-assistent.de. Die Datenschutzerklärung dieser Website finden Sie unter /datenschutz.