Act-Check
Technischer Datenfluss und Anonymisierungs-Verfahren
Whitepaper | Version 1.0 | Dezember 2025
1. Executive Summary
Act-Check ist eine SaaS-Plattform zur automatisierten KI-Inventarisierung und Compliance-Bewertung gemäß EU AI Act, NIS2-Richtlinie und DSGVO. Das System nutzt eine strikte Zwei-Schichten-Architektur mit datenschutzfreundlicher Anonymisierung bereits bei der Datenaufnahme (Ingestion).
Kernprinzip: Datensparsamkeit durch kryptografisches Hashing (SHA-256) und Zero-Knowledge-Architektur für sensible Zugangsdaten.
2. Systemarchitektur
🔹 Schicht 1: Ingestor (Datenaufnahme)
- Funktion: Empfang und Vorverarbeitung von Proxy-Logs, API-Verkehr, GitHub-Repositories
- Anonymisierung: IP-Adressen, User-IDs und URLs werden sofort mit SHA-256 gehasht
- Datenspeicherung: Nur gehashte Werte werden persistiert (irreversibel)
- Ausgabe: Strukturierter, anonymisierter Datensatz für Schicht 2
Anonymisierte Daten
🔹 Schicht 2: Core-System (RAG & Analyse)
- RAG-Modell: Vektorisierung von EU AI Act, NIS2-Texten und Firmendokumenten
- KI-Erkennung: Pattern-Matching auf gehashten Endpunkten (z. B. Hash von "openai.com")
- Risikobewertung: Automatische Klassifizierung nach AI Act Anhang III (Hochrisiko-KI)
- Keine Roh-Logs: Core-System hat niemals Zugriff auf personenbezogene Originaldaten
3. Anonymisierungsverfahren (SHA-256 Hashing)
# Beispiel: Proxy-Log vor Anonymisierung
192.168.1.42 | user.mueller@firma.de | https://api.openai.com/v1/chat
# Nach SHA-256 Hashing (Ingestor-Schicht)
IP: a3f5b8... (irreversibel)
User: d7c92e... (irreversibel)
Domain: 8e4a3b... (bekannter Hash für "openai.com")
Rechtsgrundlage: Art. 25 DSGVO (Privacy by Design) – Pseudonymisierung als Stand der Technik
Vorteil: Selbst bei Datenleck keine Rückführbarkeit auf natürliche Personen (Anonymisierung nach DSGVO ErwG 26)
4. Zero-Knowledge-Architektur für Zugangsdaten
- GitHub PATs, API-Keys: Werden AES-256 verschlüsselt mit kundenspezifischem Schlüssel
- Master-Key-Verwaltung: Asymmetrische Verschlüsselung (RSA-4096), Key-Rotation alle 90 Tage
- Zugriffsbeschränkung: Nur Ingestor-Prozess kann temporär entschlüsseln (never logged)
💡 Zero-Knowledge bedeutet: Act-Check kann die Secrets des Kunden nicht im Klartext einsehen. Nur der automatisierte Ingestor-Prozess nutzt sie zur Laufzeit für API-Calls.
5. Hosting und Infrastruktur
🏢 Rechenzentrum
Hetzner Online GmbH
Standort: Deutschland (DSGVO-konform)
Zertifizierung: ISO 27001
🔒 Transportverschlüsselung
TLS 1.3 via Caddy Webserver
HSTS aktiviert
Automatische Zertifikatserneuerung
6. Compliance-Nachweise
| Regulierung | Technische Umsetzung |
|---|---|
| DSGVO Art. 25 | SHA-256 Hashing bei Ingestion (Privacy by Design) |
| DSGVO Art. 32 | AES-256 für Secrets, TLS 1.3, Zugriffskontrolle |
| NIS2 Art. 21 | Supply Chain Security durch isolierte Ingestor-Schicht |
| EU AI Act Art. 11 | Automatische KI-Inventarisierung aus Proxy-Logs |
7. Zusammenfassung
✓ Strikte Datentrennung: Ingestor anonymisiert, Core-System analysiert – keine Roh-Logs im Analysesystem
✓ DSGVO-konform: SHA-256 Hashing macht Personenbezug irreversibel (Anonymisierung nach ErwG 26)
✓ Zero-Knowledge: Kundensecrets sind selbst für Act-Check-Admins nicht einsehbar
✓ Audit-ready: Technische Dokumentation erfüllt ISO 27001 und NIS2-Anforderungen
Lutz Hoffmann / Invory
Hittastraße 11, 41061 Mönchengladbach
E-Mail: admin@invory.de | Web: www.act-check.eu