1Scope-Klärung vor dem Start
Vor Beginn wird abgegrenzt, welche Gesellschaften, Standorte, Fachbereiche, KI-Systeme, Use Cases, Dokumente und Ergebnisformate betrachtet werden. Dadurch bleibt das Projekt kontrollierbar und die Erwartung an das Ergebnis wird klar.
Ergebnis: Klarer Auftrag statt unbestimmter Regulierungsdiskussion.
2Gesicherter Intake für vertrauliche Angaben
Die öffentliche Demo verarbeitet keine sensiblen Daten. Für Enterprise Version-Fälle kann die Aufnahme der Angaben getrennt, kontrolliert und bei Bedarf mit gesondertem Sicherheitsprozess erfolgen.
Ergebnis: Bessere Trennung zwischen Website, Anfrage und vertraulicher Auswertung.
3Erweitertes KI-Systemverzeichnis
Bis zu fünf KI-Systeme oder KI-Anwendungsfälle werden detaillierter beschrieben: Zweck, Fachbereich, Nutzergruppen, betroffene Personen, Datenquellen, Anbieter, Modellart, Einsatzstatus, Entscheidungseinfluss, technische Abhängigkeiten, vorhandene Nachweise und offene Angaben.
Ergebnis: Eine zentrale Arbeitsgrundlage für Geschäftsführung, Datenschutz, Einkauf, IT-Sicherheit, Rechtsberatung und Fachbereiche.
4Rollen-, Risiko- und Pflichtenmatrix
Die Ergebnisse werden pro System oder Use Case in eine Matrix übertragen. Sichtbar werden mögliche Rollen, sensible Einsatzbereiche, Nutzergruppen, Anbieterbezug, Datenarten, Entscheidungseinfluss, Transparenzbedarf, menschliche Kontrolle und offene Prüffragen.
Ergebnis: Komplexe Sachverhalte werden in eine prüfbare Struktur übersetzt.
5Hochrisiko- und Sensibilitätsindikatoren
Die Enterprise Version markiert besonders prüfbedürftige Themen, etwa Personal, Bildung, Zugang zu Leistungen, Kredit, Gesundheit, Sicherheit, kritische Infrastruktur, biometrische Anwendungen, KI in Produkten oder Prozesse mit erheblichem Einfluss auf Menschen.
Ergebnis: Kritische Themen verschwinden nicht in allgemeinen Maßnahmenlisten.
6Dokumenten- und Nachweisstruktur
Geprüft wird, welche Unterlagen vorhanden, unklar oder fehlend sind: KI-Richtlinien, Freigaben, Anbieterunterlagen, Datenschutzdokumente, Schulungsnachweise, technische Beschreibungen, Protokollierungs- und Monitoringkonzepte, Betriebsvereinbarungen oder Managemententscheidungen.
Ergebnis: Die Dokumentenlage wird sichtbar und für die nächste Prüfung vorbereitet.
7Geschützte lokale Auswertung möglich
Für vertraulichere Fälle kann die Auswertung von der öffentlichen Website getrennt und lokal auf einem geschützten Auswertungsrechner erfolgen. Dadurch werden Rohdaten nicht unnötig öffentlich verarbeitet oder an Drittanbieter übermittelt.
Ergebnis: Mehr Kontrolle, bessere Vertraulichkeit und ein starkes Vertrauensargument gegenüber Kunden.
8Nachweisdossier für Fachleute
Das Dossier bündelt Antworten, KI-Systemverzeichnis, Lücken, offene Fragen, Nachweise, Prioritäten und Risikohinweise so, dass eine qualifizierte Person die weitere Prüfung effizienter durchführen kann.
Ergebnis: Anwälte, Datenschutzbeauftragte, Auditoren und interne Fachstellen erhalten eine geordnete Grundlage.
9Priorisierter Maßnahmenfahrplan
Die Enterprise Version übersetzt die Analyse in konkrete Schritte: Sofortmaßnahmen, 30-/60-/90-Tage-Aufgaben, Verantwortliche, Abhängigkeiten, Nachweise, offene Entscheidungen und Themen für externe Prüfung.
Ergebnis: Management und Fachbereiche können aus dem Bericht ein Umsetzungsprojekt machen.
10Zusammenfassung für Geschäftsführung und Prüfer
Die Geschäftsführung erhält eine kompakte Management-Zusammenfassung. Fachleute erhalten eine strukturierte Prüfübersicht mit offenen Fragen, Systemübersicht, Risiken, Dokumentenlage und empfohlenen nächsten Schritten.
Ergebnis: Führung, Fachbereiche und externe Prüfer bekommen jeweils die passende Informationsdichte.
11Menschliche Plausibilitätsprüfung
Vor der Freigabe wird der Ergebnisentwurf auf erkennbare Widersprüche, fehlende Angaben, offensichtliche Unklarheiten und Priorisierung geprüft. Das ersetzt keine Rechtsberatung, erhöht aber die Qualität der Übergabe.
Ergebnis: Der Kunde erhält kein ungeprüftes Automatenpapier, sondern eine plausibilisierte Vorbereitung.
12Ergebnisgespräch und Nutzung des Dossiers
Ein Ergebnisgespräch erläutert die wichtigsten Feststellungen, Grenzen, offenen Fragen und nächsten Schritte. Das Gespräch dient der Nutzung des Dossiers und der Vorbereitung der Anschlussprüfung.
Ergebnis: Der Kunde versteht, wie das Dossier intern und gegenüber Experten eingesetzt werden kann.