23. Februar 2026

    Ist Synthesia DSGVO- und EU AI Act-konform?

    Unser digitaler Mitarbeitender David analysiert regelmäßig die Konformität von Avatar- bzw. Video-KI Tools & Plattformen mit deutschem und EU-Recht. Hier ein Report zu Synthesia, einer der führenden Avatar- und Video-KI-Plattformen mit Sitz in London und Server-Standorten in der EU.

    1. Überblick – Datenschutzrichtlinie und Governance

    Die Datenschutzerklärung von Synthesia Ltd. nennt klar, welche Kategorien personenbezogener Daten verarbeitet werden (Kontakt-, Finanz- und Kontoinformationen, Nutzungs- und technische Daten); sie gilt für die Nutzung der Website, Plattform und Software des Anbieters.

    Verantwortlicher im Sinne der DSGVO wird benannt und es gibt einen EU-GDPR-Vertreter in Dänemark.

    Darüber hinaus kommuniziert Synthesia aktiv ein AI-Governance-Framework zur verantwortungsvollen KI-Nutzung basierend auf Prinzipien wie Zustimmung, Kontrolle und Kollaboration.

     

    2. DSGVO – Konformitätsprüfung

    ✔ Positive, DSGVO-konforme Aspekte

    • Verantwortlichkeit und Ansprechpartner: Synthesia benennt den Verantwortlichen (Synthesia Ltd. UK) und einen EU-DSGVO-Vertreter. Kontaktpunkte für Datenschutzanfragen und die Rechte der Betroffenen sind dokumentiert (z. B. Auskunft, Löschung, Widerspruch, Datenübertragbarkeit, Widerruf von Einwilligungen etc.).
    • Rechtsgrundlagen der Verarbeitung: Es werden explizit Geschäfts- bzw. Vertrags-bezogene Zwecke und legitime Interessen genannt. Für Marketing-Kommunikation und bestimmte Features wird ausdrücklich Einwilligung als Rechtsbasis kommuniziert.
    • Kundensteuerung und Datenverantwortung: Kunden („Controller“) behalten Kontrolle über von ihnen eingereichte Inhalte („Customer Data“), während Synthesia oft als Auftragsverarbeiter fungiert.
    • Internationale Datenübermittlung: Für Transfers aus dem EEA/UK werden Standardvertragsklauseln und ggf. Angemessenheitsentscheidungen genutzt, um Rechtskonformität sicherzustellen.

    ⚠ Bereiche mit möglichem Compliance-Risiko

    • Umfang und Zweck der Datensammlung: Die Richtlinie listet viele Datenkategorien (z. B. technische, Nutzungsdaten) ohne stets klar zwischen „notwendigen“ und optionalen Daten zu unterscheiden. Eine präzisere Zweckbindung mit eindeutigen Rechtsgrundlagen sollte vorhanden sein.
    • Transparenz zu Speicherdauern und Profiling: Konkrete Speicherdauern für verschiedene Verarbeitungskategorien werden allgemein beschrieben, jedoch nicht granular offengelegt. Zudem bleibt unklar, ob und wie stark automatisierte Profiling-Algorithmen (abgesehen vom Avatar-Matching) eingesetzt werden.
    • Biometrische Daten und besondere Kategorien personenbezogener Daten: Synthesia erklärt, dass biometrische Daten (z. B. Gesichtsdaten, Stimmmerkmale) bei der Avatar-Erstellung verarbeitet werden. Dies ist nach GDPR eine sensible Datenkategorie, die besondere Schutzanforderungen auslöst. Die Rechtfertigungen stützen sich auf legitime Interessen und Einwilligung, doch hier wäre eine explizite DSGVO-Konformitätsdarstellung im Detail wünschenswert (z. B. für den Fall der Identifizierung).
    Erfüllt Kling AI die Anforderungen der DSGVO und des EU AI Act?

    Fazit DSGVO:

    Synthesia weist eine robuste und weitgehend DSGVO-konforme Datenschutzerklärung auf, mit klar benannten Verantwortlichen, Betroffenenrechten sowie Transfer- und Sicherheitsmechanismen. Einige Detailaspekte (insbesondere um biometrische Daten und Datenminimierung) sind erklärungsbedürftig, aber grundsätzlich adressiert.

     

    3. EU AI Act – KI-Regulatorik

    Der EU AI Act unterscheidet KI-Systeme nach Risikokategorien und verpflichtet Anbieter zu Transparenz, Governance-Dokumentation und Sicherheits-/Risikoanalysen.

     

    ✔ Elemente, die auf AI Act-Konformität hindeuten

    • Governance-Rahmenwerk und Prinzipien: Synthesia beschreibt ein strukturiertes AI-Governance-Framework mit Fokus auf Consent, Control und Collaboration. Transparente Steuerungsprozesse, Rollenverteilungen (Provider vs. Deployer), Moderation und Sicherheitsmaßnahmen sind dokumentiert.
    • Verantwortungsmodell unter regulatorischen Rahmen: Synthesia differenziert seine Rollen im Lebenszyklus der KI:
      • Controller unter Datenschutz-Recht (z. B. DSGVO)
      • Provider im AI-Act-Kontext
      • Deployer beim Kunden.
      • Dies entspricht der Risiko- und Compliance-Aufteilung, die der EU AI Act vorsieht.
    • Dokumentation, Transparenz, Sicherheit: Es wird auf ein ISO/IEC 42001-basiertes Governance-System verwiesen, das integrativ auf Sicherheit und Prozess-Transparenz ausgerichtet ist. Zudem berichtet Synthesia in jährlichen Responsible Creation Reports über Moderation und verantwortliche Nutzung.

    ⚠ Aspekte mit Compliance-Unsicherheiten

    • KI-Transparenzpflichten für Nutzer: Der AI Act verlangt Informationspflichten über KI-Systemeigenschaften, Grenzen und Risiken. Synthesia betont Transparenz, doch es gibt keine explizite, detaillierte Offenlegung technischer Merkmale oder Erklärung der internen Algorithmen gegenüber Endnutzern.
    • Risiko- und Folgenabschätzungen (FRIA): Für KI-Systeme mit hohem Risiko fordert der AI Act dokumentierte Risiko- und Impact-Assessments. Synthesia erwähnt Datenschutz-Folgenabschätzungen und datenschutzzentrierte Risikoanalysen im KI-Governance-Kontext, ohne diese jedoch vollständig öffentlich zugänglich zu machen.
    • Kennzeichnungspflichten & Nutzerinformationen: Es fehlt eine systematisch veröffentlichte Erklärung darüber, wie Endnutzer wissen, dass sie mit KI-generierten Inhalten interagieren und welche Einschränkungen oder Risiken bestehen (AI Act-Transparenzpflicht).

    Fazit EU AI Act:

    Synthesia zeigt ein strukturiertes und dokumentiertes KI-Governance-Ansatz, der viele regulatorische Erwartungen adressiert. Für uneingeschränkte Konformität mit allen AI Act-Transparenzpflichten (z. B. detaillierte Nutzerinformation, technische Offenlegung, vollständig veröffentlichte Impact-Assessments) wären jedoch zusätzliche öffentlich zugängliche Nachweise vorteilhaft.

     

    4. Gesamtbewertung

    Synthesia.io verfügt über eine im Marktvergleich gut ausgearbeitete Datenschutz- und KI-Governance-Dokumentation. Die Plattform:

    erfüllt wesentliche DSGVO-Transparenz- und Rechteanforderungen, adressiert Datenübermittlungen, Betroffenenrechte und Rollen klar;

    weist einen starken Governance- und Compliance-Rahmen auf, der auch ISO-Normen und Kunden-Rollenabbildungen beinhaltet;

    adressiert viele Aspekte des EU AI Act, insbesondere Rollen, Sicherheit und verantwortliche KI-Nutzung.

     

    Kritische Themen, die für vollständige Compliance gemanagt werden sollten:

    • Detaillierte Offenlegung sensibler Datenverarbeitungsprozesse, insbesondere Biometrie.
    • Eindeutige, öffentlich zugängliche Impact-Assessments im Sinne des AI Act.
    • Klare und zugängliche Nutzertransparenz über KI-Eigenschaften, Limitationen und Risiken.

    5. Kernpunkte

    DSGVO-Stärken:

    • Benennung von Verantwortlichen und EU-Vertreter.
    • Dokumentierte Betroffenenrechte und Rechtsgrundlagen.
    • Standardtransfer-Mechanismen für Drittlandexporte.

    DSGVO-Verbesserungen:

    • Präzisere Zweckbindung & geringere Datenverarbeitungsbreite.
    • Explizite Biometrie-Spezifizierung.

    AI-Act-Stärken:

    • Governance-Framework, Moderation, Rollen-Trennung.
    • Sicherheits- und ISO-orientierte Praktiken.

    AI-Act-Verbesserungen:

    • Veröffentlichte Risiko-Audits/Impact-Assessments.
    • Explizite technische Transparenz gegenüber Endanwendern.

    Ein Avatar-Update von Masterclass-Avatare.

    Avatar-Updates kostenlos abonnieren
    Tags: Synthesia, David

    Masterclass-Avatare - eine Marke der

    Snack-Content Company (SCC) Deutschland GmbH.
    Friedrich-Ebert-Ufer 44a, 51143 Köln

    LinkedIn Bluesky Instagram YouTube