Stript als technisch-organisatorische Maßnahme (Art. 32 DSGVO)
Das Dokument für Ihre interne Freigabe. Wer Stript in einer Kanzlei, Praxis oder einem Unternehmen einführen will, muss zwei Fragen beantworten: die des Datenschutzbeauftragten und die der IT- bzw. Anbieterprüfung. Diese Seite beantwortet beide. Sie dürfen den Text für interne Zwecke übernehmen und anpassen.
Hinweis: Dieses Dokument ist eine sachliche Information über die Architektur von Stript und eine Formulierungshilfe. Es ist keine Rechtsberatung. Die datenschutzrechtliche Bewertung im Einzelfall obliegt Ihnen bzw. Ihrem Datenschutzbeauftragten.
Die Kernaussage in einem Absatz
Stript ist eine lokale Desktop-Anwendung, die personenbezogene Daten in Dokumenten erkennt und durch Platzhalter ersetzt, bevor ein Text an ein externes KI-Tool gegeben wird. Die gesamte Verarbeitung der Dokumente (Analyse, Anonymisierung, Wiederherstellung) findet ausschließlich auf dem Gerät der Nutzerin oder des Nutzers statt. Dokumentinhalte werden zu keinem Zeitpunkt an den Hersteller oder an Dritte übertragen. Der Einsatz von Stript ist damit eine Maßnahme der Datenminimierung an der Quelle: Was das Gerät in Richtung eines KI-Dienstes verlässt, enthält keine Klarnamen mehr.
Einordnung nach DSGVO
- Art. 32 Abs. 1 lit. a DSGVO nennt die Pseudonymisierung ausdrücklich als geeignete technisch-organisatorische Maßnahme. Stript setzt genau das um: konsistente Platzhalter (z. B. [PERSON_1]) ersetzen die Klardaten, die Zuordnungstabelle verbleibt AES-256-GCM-verschlüsselt auf dem Gerät.
- Art. 25 DSGVO (Datenschutz durch Technikgestaltung): Die Maßnahme greift, bevor Daten das Gerät verlassen, nicht nachträglich.
- Art. 5 Abs. 1 lit. c DSGVO (Datenminimierung): An das externe KI-Tool gelangt nur der anonymisierte Text; die Menge übertragener personenbezogener Daten wird auf das reduziert, was der Zweck erfordert (im Regelfall: keine).
- Wichtig für die eigene Bewertung: Pseudonymisierte Daten bleiben personenbezogene Daten, solange die Zuordnungstabelle existiert. Bei Stript verbleibt diese Tabelle jedoch ausschließlich verschlüsselt beim Verantwortlichen selbst; der KI-Anbieter erhält sie nie. Ob ein konkreter Output gegenüber dem KI-Anbieter als anonym gelten kann, prüfen Sie anhand Ihres Einzelfalls; die Nutzerin bestätigt jede Erkennung vor der Anonymisierung.
Warum für die Dokumentenverarbeitung kein AVV erforderlich ist
Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist erforderlich, wenn ein Dritter personenbezogene Daten im Auftrag verarbeitet. Bei Stript findet eine solche Verarbeitung durch den Hersteller nicht statt: Die Anwendung läuft wie eine Textverarbeitung vollständig lokal, und Dokumentinhalte erreichen niemals Server des Herstellers. Wo keine Verarbeitung durch einen Dritten stattfindet, entsteht keine Auftragsverarbeitung. Das unterscheidet Stript von cloudbasierten Anonymisierungsdiensten (auch solchen mit Hosting in Deutschland), bei denen das Dokument zur Verarbeitung hochgeladen wird und die deshalb einen AVV benötigen.
Für die wenigen Randprozesse, die nichts mit Dokumentinhalten zu tun haben (Website, Kauf und Lizenzierung, optionale Absturzberichte), gilt die Datenschutzerklärung des Herstellers.
Antwortbogen für die Anbieterprüfung
Die typischen Fragen einer Anbieter- bzw. Toolprüfung, mit den zutreffenden Antworten für Stript:
| Prüffrage | Antwort für Stript |
|---|---|
| Wo werden die Dokumente verarbeitet? | Ausschließlich lokal auf dem Endgerät der Nutzerin/des Nutzers. Kein Upload, keine Cloud-Verarbeitung. |
| Wo werden die Dokumente gespeichert? | Lokal auf dem Endgerät, verschlüsselt (AES-256-GCM); Schlüssel im Betriebssystem-Schlüsselbund. Löschung jederzeit durch die Nutzerin. |
| Welche Unterauftragsverarbeiter haben Zugriff auf Dokumentinhalte? | Keine. Dokumentinhalte verlassen das Gerät nicht. |
| Ist ein AVV nach Art. 28 DSGVO erforderlich? | Für die Dokumentenverarbeitung nein, da keine Verarbeitung durch den Hersteller stattfindet (siehe oben). |
| Findet eine Drittlandübermittlung von Dokumentinhalten statt? | Nein. |
| Welche Netzwerkverbindungen baut die Anwendung auf? | Abschließend: einmaliger Download der KI-Modelle bei der Einrichtung, Lizenzprüfung (höchstens alle 30 Tage, ohne Dokumentdaten), Update-Prüfung beim Start, Update-Download nur auf Veranlassung der Nutzerin, sowie optionale, standardmäßig deaktivierte Absturzberichte ohne Dokumentinhalte. Details in der Datenschutzerklärung, Abschnitt 2.6. |
| Lässt sich das überprüfen? | Ja. Nach dem Modell-Download funktioniert Stript vollständig offline; die Netzwerkaktivität kann mit Bordmitteln oder Tools wie Little Snitch/Wireshark kontrolliert werden. Anleitung: So überprüfen Sie unsere Angaben. |
| Gibt es Telemetrie oder Nutzungsdaten? | Nein. Keine Nutzungstelemetrie, keine Inhaltstelemetrie. Absturzberichte nur nach ausdrücklicher Aktivierung, ohne Inhalte und ohne Identifikatoren. |
| Wie wird die Nachvollziehbarkeit sichergestellt? | Die Anwendung führt ein manipulationsevidentes Verarbeitungsprotokoll (Hash-Kette) ohne Inhaltsdaten; Zuordnungstabellen können exportiert und nachweisbar vernichtet werden (Vernichtungszertifikat). |
| Welche Rolle hat der Mensch? | Jede Erkennung wird vor der Anonymisierung von der Nutzerin geprüft und bestätigt; die Anwendung entscheidet nicht allein. |
Formulierungsvorschlag für Ihr Verarbeitungsverzeichnis / Ihre TOM-Liste
„Vor der Nutzung externer KI-Dienste werden Dokumente mit einer lokal auf dem Endgerät laufenden Anonymisierungssoftware verarbeitet. Personenbezogene Daten werden erkannt, durch die Bearbeiterin geprüft und durch konsistente Platzhalter ersetzt; erst der so bereinigte Text wird an den KI-Dienst übergeben. Die Zuordnungstabelle verbleibt verschlüsselt (AES-256-GCM) auf dem Endgerät und wird nicht an Dritte übermittelt. Die Software überträgt keine Dokumentinhalte an ihren Hersteller (lokale Verarbeitung, überprüfbar offline lauffähig).”
Grenzen, die Sie kennen sollten
Ehrlichkeit gehört zu einer belastbaren TOM-Beschreibung:
- Stript erkennt direkte Identifikatoren (Namen, Adressen, IBANs, Aktenzeichen und weitere). Indirekte Identifizierbarkeit aus dem Kontext (eine seltene Kombination aus Rolle, Ort und Datum) kann kein Werkzeug vollständig ausschließen; dafür bleibt die menschliche Prüfung im Arbeitsablauf verankert.
- Die Erkennung ist ein sehr guter erster Durchgang, kein Ersatz für die Bestätigung durch die Bearbeiterin. Genau deshalb ist der Prüfschritt verpflichtender Teil des Ablaufs.
- Die Nutzung des externen KI-Dienstes selbst (mit dem anonymisierten Text) bewerten Sie unabhängig davon nach Ihren eigenen Maßstäben.
Stand: Juli 2026. Dieses Dokument wird gepflegt; die jeweils aktuelle Fassung finden Sie unter dieser Adresse.