DIFC Regulation 10 — AI & autonome Systeme
Hinweis: Dieser Explainer ist informativ; Framework-Referenzen sind nie eine Compliance-Garantie — stimmen Sie Ihr Programm mit Ihrer Rechtsberatung ab.
Die DIFC Regulation 10 wurde vom Dubai International Financial Centre am 1. September 2023 als Teil der überarbeiteten Data Protection Regulations erlassen — mit voller Durchsetzung ab 1. Januar 2026. Sie ist die erste Regulierung der MEASA-Region zur Verarbeitung personenbezogener Daten durch autonome und semi-autonome Systeme — einschließlich AI, generativer und Machine-Learning-Technologie. Offizieller Text: DIFC — Regulation 10.
Für wen sie gilt
Regulation 10 verankert die Verantwortlichkeit bei den sichtbaren Parteien, die den Betrieb eines Systems autorisieren oder davon profitieren:
- Ein Deployer — die Person, unter deren Autorität oder zu deren Nutzen das System betrieben wird — gilt als Controller.
- Ein Operator — der Anbieter, der das System auf Weisung des Deployers betreibt oder überwacht — gilt als Processor.
Wenn Ihre Organisation AI-Tools nutzt, die personenbezogene Daten im oder aus dem DIFC verarbeiten, sind Sie höchstwahrscheinlich Deployer.
Die Kernpflichten
Regulation 10 verlangt von Deployern und Operatoren, Datenschutzrisiken vor der Verarbeitung personenbezogener Daten durch ein autonomes System zu bewerten, zu dokumentieren und zu mindern — und Transparenz von Anfang an mitzudenken: Betroffene müssen erfahren, dass solche Systeme im Einsatz sind, und genug Informationen erhalten, um die verbundenen Risiken einzuschätzen.
Das setzt etwas Grundlegenderes voraus: zu wissen, welche AI-Systeme Ihre Organisation tatsächlich nutzt — und die Daten steuern zu können, die hineinfließen.
Wie Shield darauf abbildet
Shield liefert die Betriebsebene, die diese Pflichten voraussetzen:
- Discovery macht jedes real genutzte AI-Tool sichtbar, damit Ihr Inventar der Systeme echt ist, nicht angenommen — siehe Discovered Tools prüfen.
- Policies und Enforcement-Modes steuern, welche Daten ein AI-Tool erreichen dürfen — personenbezogene Daten transformieren, Secrets blockieren, den Rest warnen — siehe Enforcement-Modes.
- Das Audit-Log führt einen manipulationsresistenten, exportierbaren Nachweis für die Dokumentation von Risikoentscheidungen — siehe Audit-Log und Export.
Das Bundle DIFC Regulation 10 aus der Vorlagen-Bibliothek macht daraus in Minuten framework-gelabelte Policies. Shield inspiziert keine Datei-Inhalte, daher werden Datei-Upload-Kanäle durch Pauschal-Kontrollen statt durch Inhaltsprüfung gesteuert.
War dieser Artikel hilfreich?
Verwandte Artikel
Richtlinien-Vorlagen und Bundles anwenden
Compliance-fertige Richtlinien aus der Vorlagen-Bibliothek ausrollen — EU AI Act, DSGVO, DIFC, Korea AI Basic Act, US AI in Employment sowie ISO-42001/NIST-Bundles.
Artikel lesenISO/IEC 42001 — AI-Management-System
ISO/IEC 42001 ist der weltweit erste Standard für AI-Management-Systeme. Was ein AIMS verlangt, für wen er gilt und wie Shield operative Controls dazu beiträgt.
Artikel lesenNIST AI Risk Management Framework (AI RMF)
Das NIST AI Risk Management Framework (AI RMF 1.0) ist ein freiwilliges Framework für AI-Risk-Management. Seine vier Funktionen — Govern, Map, Measure, Manage — und wie Shield sie unterstützt.
Artikel lesenEU AI Act Artikel 26 — Betreiberpflichten
Artikel 26 definiert Ihre Pflichten beim Einsatz von Hochrisiko-KI — anwendbar ab Dezember 2027 gemäß Digital Omnibus. Was die Absätze (1), (5) und (6) verlangen und wie Shield Sie heute vorbereitet.
Artikel lesenNoch Fragen?
Schicken Sie uns die Details — wir antworten innerhalb eines Werktags.