AI та GDPR в Німеччині й Австрії: вимоги до систем 2026

Австрійська юридична фірма підключила AI-асистента для роботи з клієнтськими договорами. Через три місяці — лист від DSB (австрійського регулятора): "Яка правова база для обробки персональних даних ваших клієнтів через американський AI-сервіс?" Фірма не мала відповіді. Штраф і репутаційні втрати виявились значно дорожчими ніж власне впровадження системи. Коротка відповідь: GDPR в Німеччині і Австрії — це не просто загальноєвропейський регламент. Це GDPR плюс національні закони BDSG і DSG, плюс EU AI Act з серпня 2026, плюс активні регулятори з реальними повноваженнями. Для бізнесу що використовує AI — це подвійний або потрійний шар вимог.

📚 Зміст

• Чим GDPR в Німеччині відрізняється від загальноєвропейського: BDSG і вимоги 2025–2026
• Вимоги австрійського DSG до обробки даних через AI
• EU AI Act і GDPR: подвійний шар відповідальності з серпня 2026
• Які AI-сервіси офіційно заборонені або під питанням в ЄС
• Data Processing Agreement: що підписувати з AI-провайдером
• Сервер у Німеччині vs сервер у США: юридична різниця
• Хто перевіряє і що шукає регулятор при аудиті AI-систем
• Чеклист: 10 кроків відповідності GDPR + AI Act для бізнесу в DE/AT
• Часті питання
• Висновки
• Потрібна консультація?

Чим GDPR в Німеччині відрізняється від загальноєвропейського: BDSG і вимоги 2025–2026

Більшість бізнесів думають: "ми знаємо GDPR — ми відповідаємо вимогам". У Німеччині це не так. За оцінкою CMS Law, 2025 рік був характеристичний динамічними змінами в праві ЄС і Німеччини в сфері захисту даних і AI — зокрема через паралельне впровадження GDPR, BDSG і EU AI Act.

Що таке BDSG і чим він відрізняється від GDPR

Bundesdatenschutzgesetz (BDSG) — федеральний закон Німеччини про захист даних. Він не замінює GDPR а доповнює його в областях де GDPR залишає простір для національного регулювання. Офіційний текст доступний на Gesetze im Internet (Bundesministerium der Justiz).

Ключові відмінності BDSG від базового GDPR для AI-систем:

• ✔️ Автоматизовані рішення (§ 37 BDSG): GDPR забороняє автоматизовані рішення що суттєво впливають на людину — але допускає виключення. BDSG додає суворіші процедурні вимоги для таких виключень у German контексті. Якщо ваш AI-асистент впливає на рішення щодо людини (наприклад HR або кредитні рішення) — § 37 BDSG застосовується
• ✔️ Дані співробітників (§ 26 BDSG): окремий розділ регулює обробку даних в контексті зайнятості. Якщо ваша AI-система обробляє HR-документи — § 26 BDSG встановлює додаткові вимоги до правової бази
• ✔️ Штрафи (§ 83 BDSG): BDSG встановлює порядок накладення штрафів і розподіл компетенцій між федеральними і земельними органами. У Німеччині є 17 DPA — федеральний BfDI і по одному в кожній федеральній землі
• ✔️ Призначення DPO (§ 38 BDSG): Німеччина встановила нижчий поріг для обов'язкового призначення Data Protection Officer — 20 осіб що постійно обробляють персональні дані (GDPR встановлює більш розмиті критерії)

Нові TOM-вимоги від BfDI для AI-систем (червень 2025)

У червні 2025 року німецькі органи захисту даних (DPA) видали суттєво оновлений гайдлайн щодо технічних і організаційних заходів (TOM) для AI-систем. За аналізом Hogan Lovells, цей гайдлайн структурований навколо чотирьох ключових фаз розробки AI-систем: проектування, розробка, впровадження і операційна діяльність.

Для бізнесу що впроваджує AI-асистент на документах — найважливіші вимоги цього гайдлайну:

• ✔️ Privacy by Design: захист даних повинен закладатися на етапі проектування системи, а не додаватися пізніше. Це означає що вибір між хмарним і self-hosted рішенням — це не тільки технічне а й юридичне рішення
• ✔️ Мінімізація даних: AI-система повинна обробляти мінімально необхідний обсяг даних. Якщо для відповіді на питання достатньо анонімізованого фрагменту документа — система не повинна передавати повний документ з метаданими
• ✔️ Прозорість алгоритму: організація повинна бути здатна пояснити як система приймає рішення — особливо якщо рішення стосуються фізичних осіб
• ✔️ Документація: всі TOM повинні бути задокументовані і доступні для перевірки регулятором

Повний офіційний гайдлайн від BfDI доступний на bfdi.bund.de — Федеральний уповноважений Німеччини з питань захисту даних та свободи інформації.

Земельні DPA Німеччини і AI

Особливість Німеччини: паралельно з федеральним BfDI діють 16 земельних DPA (Landesbeauftragte für Datenschutz). Для бізнесу це означає що залежно від того в якій землі знаходиться ваш головний офіс — ваш наглядовий орган може бути різним. Наприклад, Баварія має Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) — один з найактивніших регуляторів в ЄС щодо AI і GDPR.

BayLDA у 2024–2025 роках випустило кілька практичних рекомендацій щодо використання ChatGPT і хмарних AI-сервісів у бізнесі, де прямо вказало що стандартне використання ChatGPT Plus без DPA і без data residency в ЄС є порушенням GDPR для більшості корпоративних сценаріїв.

Вимоги австрійського DSG до обробки даних через AI

Офіційний текст австрійського DSG доступний на RIS (Rechtsinformationssystem des Bundes) — реєстрі законодавства Австрії. Наглядовий орган — Datenschutzbehörde (DSB).

Як DSG доповнює GDPR в контексті AI

За роз'ясненнями DSB, AI-системи в Австрії підпадають під принципи мінімізації даних, обмеження мети і прозорості як за GDPR так і за DSG. При цьому DSG містить кілька специфічних національних положень:

• ✔️ Вікова згода (§ 4(4) DSG): Австрія встановила вік згоди для онлайн-сервісів у 14 років (GDPR дозволяє від 13 до 16). Якщо ваш AI-сервіс доступний неповнолітнім — це критично важлива відмінність
• ✔️ Відеоспостереження (§§ 12-13 DSG): окремі правила для CCTV і відеоспостереження — суворіші за GDPR
• ✔️ Трудові відносини: DSG не містить окремого розділу про дані співробітників — натомість діє ArbVG (Arbeitsverfassungsgesetz). Для HR-AI систем в Австрії — потрібна згода виробничої ради (Betriebsrat) для певних систем контролю

Прецедент Google Analytics: чому Австрія — найсуворіша юрисдикція для трансферу даних

У 2022 році DSB випустив рішення проти Google Analytics яке стало прецедентом для всієї Європи. За аналізом RecordingLaw, рішення DSB встановило що додаткові заходи захисту (supplementary measures) повинні демонстративно унеможливлювати доступ іноземних спецслужб — ризиковий підхід що стверджує що таке спостереження малоймовірне — не відповідає цим вимогам.

Це означає: для австрійського регулятора недостатньо сказати "ймовірність доступу NSA до наших даних низька". Потрібна технічна неможливість такого доступу. Для AI-систем що обробляють персональні дані і зберігають їх на американських серверах — це фактично вимога або EU data residency або self-hosted рішення.

Digital Austria Act 2.0 (2025) і суверенітет даних

У 2025 році Австрія прийняла Digital Austria Act 2.0, який мандатує скорочення залежності від не-європейських пропрієтарних технологій і встановлює "Sovereignty Compass" для державного управління. До 1 липня 2026 всі федеральні реєстри даних мають бути підключені до Austrian Micro Data Center (AMDC).

Для приватного бізнесу Digital Austria Act 2.0 не є обов'язковим — але він задає напрямок регуляторного вітру і сигналізує що австрійський регулятор буде все суворіше ставитися до використання неєвропейських AI-платформ для обробки персональних даних.

EU AI Act і GDPR: подвійний шар відповідальності з серпня 2026

EU AI Act набув чинності 1 серпня 2024 і застосовується поетапно. Для бізнесу в DE/AT важливі такі дедлайни:

Ключові дати EU AI Act

Дата	Що набуло чинності	Що це означає для бізнесу
1 серпня 2024	AI Act набув чинності	Початок перехідного періоду
2 лютого 2025	Заборонені практики + AI грамотність	8 видів AI вже заборонені — штрафи до €35 млн
2 серпня 2025	Правила для GPAI-моделей	Постачальники загальних AI-моделей (GPT, Gemini) мають нові зобов'язання
2 серпня 2026	Повні вимоги для AI високого ризику	Conformity assessment, реєстрація в EU AI database, QMS
2 серпня 2027	AI у регульованих продуктах	Медичні пристрої, промислове обладнання з AI

Які AI-системи вважаються "високим ризиком" (Annex III)

AI-системи високого ризику — це ті що використовуються в критичних галузях або для конкретних цілей переліку Annex III AI Act, зокрема:

• ✔️ HR і рекрутмент: AI що допомагає відбирати кандидатів, оцінювати резюме або приймати рішення про звільнення
• ✔️ Кредитний скоринг: AI для оцінки кредитоспроможності фізичних осіб
• ✔️ Освіта: AI для оцінювання студентів або визначення доступу до освітніх ресурсів
• ✔️ Критична інфраструктура: AI в управлінні водопостачанням, електромережами, транспортом
• ✔️ Правоохоронна діяльність: AI для оцінки ризику рецидиву або профілювання підозрюваних
• ✔️ Медичні рішення: AI що впливає на медичні діагнози або лікування

Важливий нюанс для більшості бізнесів: AI-асистент на корпоративних документах що тільки відповідає на питання співробітників або клієнтів — як правило не є системою високого ризику. Він стає таким якщо його відповіді безпосередньо впливають на рішення щодо конкретних осіб (HR, кредит, медицина). Для більшості RAG-систем на внутрішніх документах — AI Act застосовується в частині заборонених практик і вимог до GPAI-моделей, але не в частині high-risk obligations.

Подвійний шар: GDPR + AI Act одночасно

Стаття 2(7) AI Act прямо встановлює що AI Act не впливає на GDPR і зобов'язання контролерів та процесорів даних — тобто GDPR продовжує застосовуватися повною мірою поряд з AI Act.

Що це означає практично:

• ✔️ DPA (наглядовий орган з захисту даних) перевіряє GDPR-відповідність AI-системи
• ✔️ AI-регулятор (в Німеччині — BNetzA, в Австрії — орган ще визначається) перевіряє AI Act відповідність
• ✔️ Обидві перевірки можуть відбуватися паралельно і незалежно
• ✔️ Штрафи за GDPR: до €20 млн або 4% обороту. Штрафи за AI Act: до €35 млн або 7% обороту

Єврокомісія оголосила у листопаді 2025 "Digital Omnibus" — пакет змін до GDPR і AI Act з метою спрощення регуляторного навантаження. Переговори тривають у 2026 році. Але поки зміни не прийняті — діють поточні вимоги. Очікувати пом'якшень і відкладати підготовку — ризиковано.

Які AI-сервіси офіційно заборонені або під питанням в ЄС

Офіційно заборонені AI-практики з лютого 2025 (стаття 5 AI Act)

AI Act забороняє вісім конкретних AI-практик з лютого 2025, включаючи системи соціального скорингу від державних органів, AI що маніпулює поведінкою через підпорогові техніки, і системи розпізнавання емоцій на робочому місці:

• ✔️ Соціальний скоринг: системи оцінки фізичних осіб на основі їхньої поведінки, соціального статусу або особистісних характеристик з метою дискримінації
• ✔️ Підпорогова маніпуляція: AI що використовує техніки поза свідомим сприйняттям людини для маніпуляції поведінкою
• ✔️ Exploitation вразливих груп: AI що використовує вразливість осіб (вік, інвалідність, соціально-економічна ситуація) для маніпуляції
• ✔️ Розпізнавання емоцій на роботі і в навчанні: системи що аналізують емоційний стан співробітників або студентів
• ✔️ Біометрична категоризація за захищеними характеристиками: AI що категоризує людей за расою, релігією, сексуальною орієнтацією на основі біометрії
• ✔️ Біометрична ідентифікація в реальному часі: в публічних місцях — заборонена за винятком вузьких правоохоронних сценаріїв з судовим дозволом
• ✔️ Ретроспективна біометрична ідентифікація: великомасштабний аналіз записів відеоспостереження для ідентифікації осіб
• ✔️ Предикативне поліціювання: системи оцінки ризику злочину на основі профілювання без конкретних дій

AI-практики "під питанням" — регулятори видали попередження

Окрім офіційних заборон є практики щодо яких регулятори в DE/AT вже видали попередження або відкрили розслідування:

ChatGPT і хмарні AI без data residency в ЄС. Як BayLDA (Баварія) так і DSB (Австрія) випустили рекомендації що використання ChatGPT Plus або стандартного OpenAI API для обробки персональних даних без підписаного DPA і data residency в ЄС — ймовірно порушує GDPR. Штраф OpenAI від Garante (Італія) у €15 млн підтвердив що регулятори готові діяти.

AI для автоматизованого прийняття рішень щодо персоналу. Якщо AI-система допомагає менеджеру приймати рішення про наймання, оцінювання або звільнення — без забезпечення права на пояснення і оскарження (стаття 22 GDPR) — це порушення GDPR навіть якщо остаточне рішення приймає людина.

Тренування AI на корпоративних даних без згоди суб'єктів. Якщо компанія використовує власні документи з персональними даними клієнтів для fine-tuning AI-моделі — без відповідної правової бази — це порушення GDPR. Це стосується не тільки провайдерів AI але й корпорацій що використовують AI-інструменти для "покращення" систем.

Конкретні прецеденти штрафів пов'язаних з AI

Ось реальні кейси що задають контекст для DE/AT бізнесу:

• ✔️ OpenAI — €15 млн (Garante, Італія, 2024): за відсутність правової бази для обробки даних при тренуванні ChatGPT. Джерело: DPO Europe
• ✔️ TikTok — €530 млн (DPC, Ірландія, квітень 2025): за передачу даних ЄС на сервери в Китай без належних гарантій. Джерело: Skillcast
• ✔️ Clearview AI — €30,5 млн (BDD, Нідерланди, 2022): за збір біометричних даних без правової бази. Показово що компанія не має офісу в ЄС — штраф все одно накладено
• ✔️ Austrian Postal Service — €16 млн (DSB, Австрія): за незаконне профілювання клієнтів з використанням алгоритмічних методів. Джерело: GDPRhub

Data Processing Agreement: що підписувати з AI-провайдером

Що таке DPA і чому він обов'язковий

Стаття 28 GDPR вимагає що контролер даних (ваша компанія) при залученні процесора (AI-провайдера) укладає письмовий договір який регулює обробку. Без цього договору — будь-яка обробка персональних даних через AI-сервіс є незаконною незалежно від того чи є у провайдера гарні умови використання.

DPA повинен містити:

• ✔️ Предмет і тривалість обробки: що конкретно обробляється і як довго
• ✔️ Характер і мета обробки: для чого AI-сервіс обробляє ваші дані
• ✔️ Категорії персональних даних: які конкретно дані передаються
• ✔️ Категорії суб'єктів даних: дані яких осіб (клієнти, співробітники)
• ✔️ Субпроцесори: перелік третіх сторін яким провайдер може передати дані
• ✔️ Зобов'язання провайдера: технічні і організаційні заходи захисту
• ✔️ Умови повернення або видалення даних після закінчення договору

Де знайти DPA для основних AI-провайдерів

Провайдер	Де знайти DPA	Важливі умови
OpenAI	openai.com/policies/data-processing-addendum	Доступний онлайн. Для Enterprise — окремий DPA з data residency в ЄС
Google (Gemini/Vertex)	cloud.google.com/terms/data-processing-addendum	Є опція вибору регіону ЄС для зберігання
Microsoft Azure OpenAI	Microsoft Online Subscription Program	GDPR DPA вбудований в Microsoft Customer Agreement
Anthropic (Claude)	anthropic.com/legal/data-processing-addendum	Доступний для API-клієнтів
AskYourDocs (self-hosted)	Не потрібен — дані на вашому сервері	Ви є і контролером і процесором

DPA недостатньо — потрібен Transfer Impact Assessment

Після рішення Schrems II (2020) і практики DSB (Австрія) підписаний DPA і навіть SCCs (Standard Contractual Clauses) самі по собі недостатні для законного трансферу даних до США. Потрібен також Transfer Impact Assessment (TIA) — оцінка чи не знецінює американське законодавство (FISA, CLOUD Act) гарантії захисту.

EDPB (Рада із захисту даних ЄС) випустила рекомендації щодо TIA доступні на edpb.europa.eu. На практиці проведення якісного TIA — це робота юриста на кілька тижнів і тисячі євро витрат.

Ось чому для DE/AT бізнесу self-hosted рішення з сервером в ЄС є не тільки технічно а й юридично вигіднішим: немає трансферу — немає TIA, немає SCCs, немає постійного моніторингу змін в американському законодавстві.

Сервер у Німеччині vs сервер у США: юридична різниця

Сервер у Німеччині (або ЄС)

При сервері в ЄС для AI-системи що обробляє персональні дані громадян ЄС:

• ✔️ Транскордонний трансфер відсутній: дані не виходять за межі ЄС — вимоги статей 44–49 GDPR не застосовуються
• ✔️ DPA з AI-провайдером не потрібен якщо ви self-hosted і є єдиним обробником своїх даних
• ✔️ TIA не потрібен — немає трансферу, немає оцінки
• ✔️ CLOUD Act США не застосовується: американські правоохоронці не можуть запросити дані з ЄС-сервера напряму через CLOUD Act — тільки через міжнародне правове співробітництво (MLAT) що займає місяці і передбачає судовий контроль в країні зберігання
• ✔️ Рекомендовані юрисдикції: Німеччина (Frankfurt), Нідерланди (Amsterdam), Австрія (Vienna), Фінляндія

Сервер у США

При сервері в США або будь-якому американському хмарному провайдері (AWS, Google Cloud, Azure — навіть на ЄС-регіонах):

• ✔️ CLOUD Act (2018): американські правоохоронці можуть вимагати від американських компаній надати дані збережені на будь-яких серверах — включаючи ЄС-регіони — без попереднього повідомлення власника даних
• ✔️ FISA Section 702: дозволяє масове спостереження за іноземцями через американські технологічні компанії
• ✔️ Транскордонний трансфер: потрібні SCCs або EU-US DPF — плюс TIA
• ✔️ DPA обов'язковий
• ✔️ Ризик визнання EU-US DPF недійсним: як Privacy Shield до нього, поточний механізм вже оскаржується в суді

Важливий нюанс: AWS/Azure EU Region не рятує від CLOUD Act

Поширена помилка: бізнес вважає що якщо AWS EU-West-1 (Ірландія) — то дані "в ЄС" і проблем немає. Це неправда. AWS — американська компанія. CLOUD Act поширюється на всі дані якими управляє американська компанія — незалежно від фізичної локації серверів. Те саме стосується Microsoft Azure і Google Cloud EU регіонів.

Єдиний спосіб повністю вийти з-під CLOUD Act — це сервер яким керує неамериканська компанія: Hetzner (Німеччина), OVH (Франція), Contabo (Німеччина) або власний фізичний сервер компанії. Детальніше про архітектуру закритого контуру — у статті Закритий контур з Ollama: AI без інтернету для бізнесу.

Хто перевіряє і що шукає регулятор при аудиті AI-систем

Наглядові органи в Німеччині

Орган	Повноваження	Офіційний сайт
BfDI (Bundesbeauftragte für den Datenschutz)	Федеральний рівень — федеральні органи влади і телекомунікаційні компанії	bfdi.bund.de
Земельні DPA (16 органів)	Приватний бізнес — залежно від федеральної землі реєстрації компанії	Наприклад BayLDA (Баварія), BlnBDI (Берлін)
BNetzA (майбутній AI-регулятор)	Запропонований як AI Act market surveillance authority для Німеччини	bundesnetzagentur.de
BaFin	Фінансові установи — AI в банківській та страховій діяльності	bafin.de
BfArM	Медичні пристрої — AI в медицині	bfarm.de

Наглядові органи в Австрії

Орган	Повноваження	Офіційний сайт
DSB (Datenschutzbehörde)	GDPR і DSG — основний орган захисту даних Австрії	dsb.gv.at
FMA	Фінансовий ринок — AI в банках і страховиків	fma.gv.at
BASG	Медичні продукти і пристрої	basg.gv.at

Що перевіряє регулятор при аудиті AI-систем

На основі оновленого гайдлайну BfDI від червня 2025, при аудиті AI-системи регулятор перевіряє:

Блок 1: Правова база обробки

• ✔️ Яка стаття GDPR є правовою основою для кожної операції обробки даних через AI
• ✔️ Чи підписаний DPA з AI-провайдером
• ✔️ Чи проведений TIA якщо дані передаються за межі ЄС
• ✔️ Чи включена операція обробки в реєстр ROPA (Record of Processing Activities)

Блок 2: Технічні і організаційні заходи (TOM)

• ✔️ Шифрування даних в стані спокою і при передачі
• ✔️ Контроль доступу — хто може бачити які дані
• ✔️ Логування доступу до AI-системи
• ✔️ Процедура реагування на витоки (Incident Response Plan)
• ✔️ Регулярні перевірки безпеки

Блок 3: Права суб'єктів даних

• ✔️ Як компанія забезпечує право на доступ до даних (Art. 15 GDPR)
• ✔️ Як забезпечується право на видалення (Art. 17 GDPR) — включаючи видалення з векторної бази AI
• ✔️ Чи є механізм відмови від автоматизованих рішень (Art. 22 GDPR)

Блок 4: Документація і прозорість

• ✔️ DPIA (Data Protection Impact Assessment) для AI-систем що обробляють чутливі дані
• ✔️ Документація технічної архітектури системи
• ✔️ Privacy notices для суб'єктів даних що пояснюють використання AI

Чеклист: 10 кроків відповідності GDPR + AI Act для бізнесу в DE/AT

Ми в AskYourDocs пройшли цей шлях з десятками клієнтів у Німеччині і Австрії. Ось що реально потрібно зробити:

Крок 1: Інвентаризація AI-систем

Складіть список всіх AI-інструментів які вже використовуються в компанії — включаючи shadow AI (особисті акаунти ChatGPT співробітників). Для кожного: хто використовує, які дані передаються, де зберігаються. Без цього кроку — неможливо оцінити реальний ризик.

Крок 2: Класифікація AI-систем за ризиком (AI Act)

Для кожної системи зі списку визначте чи є вона "забороненою", "високого ризику" або "загального ризику" за AI Act. Офіційна класифікація — на сайті GDPR Local з посиланнями на Annex III AI Act. Заборонені — негайно вимикаємо. Високого ризику — готуємо conformity assessment до серпня 2026.

Крок 3: Визначення правової бази (GDPR)

Для кожної AI-системи що обробляє персональні дані — визначте правову базу за статтею 6 GDPR: згода, контрактна необхідність, законний інтерес тощо. Задокументуйте. Без правової бази — будь-яка обробка незаконна.

Крок 4: Підписати DPA з усіма AI-провайдерами

Для кожного хмарного AI-сервісу — знайти і підписати DPA. Посилання на DPA основних провайдерів — в секції 5 цієї статті. Якщо провайдер не надає DPA — це вже підстава відмовитись від його використання для персональних даних.

Крок 5: Transfer Impact Assessment (якщо дані йдуть за межі ЄС)

Якщо AI-провайдер зберігає дані в США або іншій третій країні — провести TIA. Методологія EDPB для TIA. Якщо TIA показує неприйнятний ризик — або переходити на EU data residency або на self-hosted.

Крок 6: Оновити реєстр обробки (ROPA)

Додати всі операції обробки персональних даних через AI до Реєстру операцій обробки (Article 30 GDPR). Це обов'язковий документ який регулятор запитує першим при перевірці.

Крок 7: DPIA для ризикових AI-систем

Провести Data Protection Impact Assessment для AI-систем що обробляють чутливі дані або дані у великому масштабі. Стаття 35 GDPR і гайдлайни BfDI для AI — як відправна точка.

Крок 8: Технічні заходи захисту (TOM)

Впровадити мінімальний набір TOM: шифрування, контроль доступу, логування, процедура реагування на витоки. TOM-гайдлайн BfDI (червень 2025) — конкретні рекомендації по кожній фазі AI-системи.

Крок 9: Навчання співробітників (AI Act, Art. 4)

З лютого 2025 стаття 4 AI Act вимагає AI literacy для персоналу. Співробітники повинні розуміти можливості і обмеження AI-систем які вони використовують. Задокументуйте навчання — регулятор може запросити докази.

Крок 10: Моніторинг змін і регулярний огляд

GDPR і AI Act — живі регуляторні системи що постійно оновлюються. Підпишіться на оновлення від BfDI, DSB і EDPB. Проводьте огляд відповідності раз на 6 місяців або при суттєвих змінах в системі.

Часті питання

Чи застосовується AI Act до моєї компанії якщо вона знаходиться за межами ЄС але продає в ЄС?

Так. AI Act має екстериторіальне застосування аналогічне GDPR. Якщо AI-система компанії впливає на ринок ЄС — незалежно від місця реєстрації компанії — AI Act застосовується. Це критично для українських компаній що надають послуги клієнтам у DE/AT.

Чи потрібен DPO (Data Protection Officer) моїй компанії в Німеччині?

Згідно з § 38 BDSG — так, якщо у вас є 20 або більше осіб що постійно обробляють персональні дані. Це нижчий поріг ніж у загальному GDPR. Для більшості середніх компаній в Німеччині — DPO обов'язковий. Детальніше на сайті BfDI.

Що робити якщо наш AI-провайдер не надає DPA?

Якщо провайдер відмовляється підписувати DPA або не має стандартного DPA на сайті — ви не можете законно використовувати його сервіс для обробки персональних даних. Або вимагайте DPA, або переходьте на іншого провайдера, або на self-hosted рішення де DPA не потрібний.

Чи можна використовувати ChatGPT Enterprise для роботи з юридичними документами в Австрії?

Технічно можливо — якщо підписано DPA з OpenAI, активована data residency в ЄС (доступно для Enterprise), проведено TIA і DPIA. Але навіть з усіма цими заходами DSB (Австрія) — один з найсуворіших регуляторів щодо трансферу даних до США. Для адвокатської таємниці і медичних даних — self-hosted залишається єдиним надійним рішенням.

Коли набирають чинності вимоги AI Act для AI-систем високого ризику?

2 серпня 2026 — дедлайн для нових AI-систем. Системи що вже на ринку до цієї дати — отримують відтермінування якщо їх суттєво не модифікують. Але підготовку варто починати зараз: conformity assessment, документація, реєстрація в EU AI database — все це потребує місяців роботи.

Висновки

• 🇩🇪 Німеччина: GDPR + BDSG + TOM-гайдлайн BfDI (2025) — потрійний шар вимог. 17 DPA з різними акцентами. DPO обов'язковий при 20+ осіб що обробляють дані
• 🇦🇹 Австрія: GDPR + DSG + Digital Austria Act 2.0 — прецедент Google Analytics встановив що "малоймовірність" доступу США не є достатнім захистом. Сервер в ЄС або self-hosted — єдині надійні варіанти
• ⚖️ EU AI Act з серпня 2026: додатковий шар до GDPR. Штрафи до €35 млн або 7% обороту — вищі ніж GDPR. 8 видів AI вже заборонені з лютого 2025
• 📄 DPA обов'язковий: без нього будь-яке використання AI-сервісу для персональних даних — незаконне. Більшість компаній цього не роблять
• 🏠 Сервер у ЄС від неамериканського провайдера: єдиний спосіб вийти з-під CLOUD Act і TIA-вимог одночасно
• 📋 10 кроків: інвентаризація → класифікація → правова база → DPA → TIA → ROPA → DPIA → TOM → навчання → моніторинг

Потрібна консультація щодо GDPR-відповідності вашої AI-системи?

Покажіть нам вашу поточну AI-конфігурацію і ми за 30 хвилин покажемо де є GDPR-ризики і як їх усунути — технічно і без дорогих юридичних послуг.

Написати в Telegram →

Впровадження self-hosted AI-асистента під ключ за 5–7 днів. Сервер в ЄС. Без передачі даних назовні. Детальніше — askyourdocs.org/uk

Читайте також

• GDPR та AI на документах: що повинен знати бізнес у 2026
• Self-hosted AI vs хмарний: де залишаються ваші дані
• 6 ризиків витоку даних через AI: як захистити бізнес у 2026
• Закритий контур з Ollama: AI без інтернету для бізнесу
• AI для юридичних компаній: безпека клієнтських даних
• Всі статті про безпеку даних та AI

⸻

Джерела: CMS Law — EU & German Data Protection 2025 · Hogan Lovells — German DPAs TOM Guidance June 2025 · CMS — AI Laws Germany 2026 · CMS — AI Laws Austria 2026 · EU AI Act Timeline — All Deadlines · GDPR Local — EU AI Act Summary · RecordingLaw — Austria Data Privacy Laws 2026 · Regulations.ai — Austria AI Regulatory Landscape · EDPB — European Data Protection Board · DSB — Austrian Data Protection Authority · BfDI — German Federal Data Protection Commissioner