Methodik — wie KomplAI prüft und warum die Ergebnisse belastbar sind
KomplAI ist kein Chatbot, sondern ein Prüfwerkzeug. Diese Seite erklärt Schritt für Schritt, wie eine Analyse zustande kommt, wogegen sie geprüft wird und was Sie tun können, um jedes einzelne Ergebnis selbst nachzuvollziehen. Sie ist bewusst so geschrieben, dass Sie sie zitieren können — gegenüber Ihrer Geschäftsführung, Ihrem Datenschutzbeauftragten oder einer Aufsichtsbehörde. Unser Anspruch: nachvollziehbare, am Gesetzestext verankerte Befunde statt einer selbstbewussten Antwort ohne Beleg.
1. Normtext-Grounding — geprüft wird gegen das Gesetz, nicht gegen das Gedächtnis des Modells
Ein Sprachmodell „kennt“ Gesetzestexte nur ungefähr, aus dem Training. Für eine Prüfung reicht das nicht. Deshalb legt KomplAI dem Modell die amtlichen Gesetzestexte direkt in den Arbeitskontext: die einschlägigen Artikel und Anhänge des EU AI Act (Verordnung (EU) 2024/1689 inkl. aller Anhänge), der DORA und der DSGVO — im Wortlaut aus EUR-Lex. Das Modell arbeitet also mit dem Gesetz vor Augen, nicht aus dem Gedächtnis. Für jeden Befund wird der zugehörige Normtext mitgeführt, und Sie können ihn im Ergebnis direkt einblenden. So beruht ein Ergebnis auf dem, was tatsächlich in der Verordnung steht — nicht auf einer Paraphrase aus dem Training.
2. Maschinelle Zitatprüfung — jeder Normverweis wird gegen den Gesetzes-Korpus aufgelöst
Auch mit Grounding kann ein Modell einen Verweis falsch zuordnen oder eine Fundstelle erfinden. Deshalb prüft KomplAI nach der Analyse jeden einzelnen Normverweis im Ergebnis maschinell gegen den lokalen Gesetzes-Korpus: Existiert dieser Artikel, dieser Absatz, dieser Anhang wirklich — und im herangezogenen Rechtsstand? Verweise, die sich auflösen lassen, werden als verifiziert markiert; ein erfundener „Anhang XXVII“ oder eine Fundstelle außerhalb des Korpus wird sichtbar gekennzeichnet (nicht auffindbar / außerhalb des Korpus) statt stillschweigend mitgeliefert. Das Ergebnis zeigt Ihnen die Zahl der verifizierten Verweise offen an. Ein Verweis, der nicht existiert, kann so nicht unbemerkt in Ihren Bericht gelangen.
3. Der Verifikations-Pass — ein zweiter, kritischer Blick auf jeden Befund
Optional lässt sich jede Analyse mit einem Verifikations-Pass durchführen. Dabei prüft ein zweiter, adversarial angesetzter Modelldurchlauf jeden Befund gezielt gegen zwei Dinge: die zitierte Dokumentstelle (steht das wirklich im hochgeladenen Nachweis?) und den Normtext (trägt die Norm den Befund tatsächlich?). Jeder Befund erhält daraufhin eine Einstufung — bestätigt, unsicher oder verworfen. Der Zweitdurchlauf soll nicht zustimmen, sondern widerlegen; was er nicht widerlegen kann, steht belastbarer da. Verworfene und als unsicher markierte Befunde bleiben im Ergebnis sichtbar, damit Sie sehen, was aussortiert wurde und warum. Der Verifikations-Pass ist optional und kostet einen zusätzlichen Credit.
4. Vollständige Provenienz — jeder Bericht ist reproduzierbar
Ein belastbares Ergebnis muss nachvollziehbar sein: Womit wurde geprüft, gegen welchen Rechtsstand, mit welchem Modell? Jeder KomplAI-Bericht trägt deshalb eine Prüfgrundlage mit vollständiger Provenienz — unter anderem:
• SHA-256-Prüfsummen jedes analysierten Dokuments (so ist belegbar, welche Datei-Fassung geprüft wurde);
• die Kennung des verwendeten Modells und der Tool-Version;
• der Hash des verwendeten Prüfprofils (welche Fragen mit welchen Regeln gestellt wurden);
• der Rechtsstand des Gesetzes-Korpus (auf welche Fassung der EUR-Lex-Texte sich die Prüfung stützt);
• Zeitstempel und der Token-/Kostenaufwand des Laufs.
Mit diesen Angaben lässt sich ein Bericht einordnen, gegenüber Dritten belegen und — bei gleicher Eingabe — nachvollziehbar wiederholen. Sie prüfen nicht eine Blackbox, sondern einen dokumentierten Lauf.
5. Lücken statt Halluzinationen — im Zweifel konservativ
Die gefährlichste Fehlerart eines KI-Werkzeugs in der Compliance ist nicht die gefundene Lücke, sondern die erfundene Sicherheit: ein Befund, der eine Rechtsgrundlage, eine Klausel oder einen Nachweis behauptet, den es nicht gibt. KomplAI ist bewusst in die andere Richtung ausgelegt. Fehlt eine Angabe im hochgeladenen Material, wird sie als Lücke ausgewiesen — nicht plausibel ergänzt. In generierten Dokumenten (etwa Transparenzhinweisen) stehen fehlende Details als klar erkennbare Platzhalter, nie als erfundener Inhalt. Diese Vorsicht bedeutet, dass KomplAI Sie eher auf eine offene Frage hinweist, als sie stillschweigend für Sie zu beantworten. Für ein Prüfwerkzeug ist das die richtige Fehlerrichtung: Eine markierte Lücke kostet Sie Prüfaufwand — eine übersehene oder erfundene Angabe kostet Sie die Verlässlichkeit des Berichts.
6. Grenzen — und die Grenze zur Rechtsberatung
Wir sind offen darüber, was KomplAI nicht leistet. Die Prüfung ist immer nur so gut wie das hochgeladene Material: Was Sie nicht bereitstellen, kann nicht bewertet werden — ein fehlender Nachweis erscheint als Lücke, nicht als Freigabe. Die Zitatprüfung stellt sicher, dass ein Verweis existiert und der zitierte Wortlaut stimmt; sie ersetzt nicht die juristische Auslegung, ob eine Norm auf Ihren konkreten Einzelfall zutrifft. Auch der Verifikations-Pass senkt das Fehlerrisiko, er beseitigt es nicht. Und das Gesetz ist selten eindeutig: Vieles hängt von Kontext, Absicht und aufsichtsbehördlicher Praxis ab, die ein automatisiertes Werkzeug nicht abschließend würdigen kann.
Deshalb, unmissverständlich: Alle Ergebnisse von KomplAI sind fachliche Hilfsergebnisse und stellen keine Rechtsberatung dar. Sie sind dafür gemacht, die Arbeit fachkundiger Menschen — Ihres Datenschutzbeauftragten, Ihrer Compliance-Funktion, Ihrer Rechtsberatung — vorzubereiten und zu strukturieren, nicht sie zu ersetzen. Die Verantwortung für jede Entscheidung, die auf einem Bericht aufbaut, bleibt bei Ihnen und Ihren Beraterinnen und Beratern.
7. Optionales Experten-Review — ein Mensch als letzte Instanz
Weil ein automatisiertes Ergebnis die menschliche Fachprüfung vorbereitet, aber nicht ersetzt, bietet Tippel als kostenpflichtige Zusatzleistung ein optionales Experten-Review an: Auf Wunsch werden die Befunde eines Berichts von einem Datenschutzexperten mit über 10 Jahren Erfahrung durchgesehen, bevor Sie sich darauf verlassen. Das richtet sich an Kundinnen und Kunden, die vor der Verwendung eine menschliche Prüfung der Ergebnisse wünschen — der Mensch im Prozess als letzte Instanz hinter Grounding, Zitatprüfung und Verifikations-Pass. Das Experten-Review ist ein optionaler, gesondert beauftragter Managed-Service von Tippel und in der Standard-Analyse nicht enthalten. Auch mit Review gilt die Grenze aus Abschnitt 6 fort: Es ist eine fachliche Durchsicht durch einen Datenschutzexperten, keine Rechtsberatung und keine Garantie eines bestimmten Ergebnisses.