Zertifizierung
Ihr Prüfer verlangt einen Nachweis. Was nun?
Die DSA-Zertifizierung erzeugt unabhängige, kryptographisch signierte Datenschutzzertifikate, die nachweisen, dass Ihre KI-Pipeline Identität von Inferenz getrennt hat. Überreichen Sie Ihrem Prüfer ein signiertes Zertifikat — kein Vertrauensversprechen.
Die Nachweislücke
Prüfer, Regulierungsbehörden und Unternehmenskunden verlangen zunehmend den Nachweis, dass Ihre KI-Systeme die behaupteten Datenschutzkontrollen tatsächlich durchsetzen. Richtliniendokumente und Architekturdiagramme reichen nicht aus — sie erwarten überprüfbare, technische Belege. Die meisten Organisationen können diese nicht liefern.
Die Lücke zwischen der Behauptung von Compliance und deren Beweis ist der Ort, an dem Risiko entsteht. Ein Datenschutzzertifikat, das kryptographisch signiert, unabhängig zeitgestempelt und spezifischen Regulierungsartikeln zugeordnet ist, schließt diese Lücke.
So funktioniert die Zertifizierung
| Schritt | Was passiert | Wo |
|---|---|---|
| 1. Claim-Erfassung | Das Gateway emittiert einen Ed25519-signierten Veil-Claim auf Request-Ebene und arbeitet fail-closed, wenn dieser Nachweis nicht protokolliert werden kann. Bridge, Sanitizer, Sandbox B und Audit emittieren zusätzliche signierte Claims auf Best-Effort-Basis; Zertifikate werden abhängig von den eingegangenen Claims als FULL oder PARTIAL markiert. | Gateway (fail-closed) + Pipeline-Dienste (Best-Effort) |
| 2. Witness-Verifizierung | Der Veil Witness prüft 5 Konsistenzprüfungen: Signaturen, Vollständigkeit, zeitliche Reihenfolge, Datensichtbarkeit und Ergebnisse der Isolationsprüfung. | Veil Witness |
| 3. Externe Attestierung | Zertifikate werden von einer RFC-3161-Zeitstempelstelle co-signiert und optional im Sigstore-Rekor-Transparenzprotokoll veröffentlicht. | Externe TSA + Rekor |
| 4. Zertifikatsauslieferung | Drei Zertifikatsansichten über die API verfügbar: DSB-Zusammenfassung, technischer Nachweis und Regulierungszuordnung — jeweils auf die Zielgruppe zugeschnitten. | Gateway-API |
Drei Ansichten. Eine Wahrheit.
DSB-Zusammenfassung
Klartext-Attestierung für Datenschutzbeauftragte. Zuordnung zu DSGVO Artikel 25 und 32. Zeigt, was getrennt wurde, was die KI gesehen hat und was nicht.
Technischer Nachweis
Vollständige kryptographische Kette für Sicherheitsteams. Ed25519-Signaturen, Hash-Ketten, TSA-Zeitstempel. Jeder Claim unabhängig verifizierbar.
Regulierungszuordnung
Artikel-für-Artikel-Compliance-Zuordnung. DSGVO Art. 25/32 und EU AI Act Art. 10/14. Jedes Zertifikat ordnet Isolationsnachweise spezifischen Regulierungsvorschriften zu. Es handelt sich um Architektur- und Nachweis-Mappings, keine bestehenden Zertifizierungen — breitere branchenspezifische Testate (DORA, MDR, eIDAS) sind Folgearbeit und werden heute nicht beansprucht.