Regulierung erklären viele. Wir implementieren sie.

AI Act, DSGVO und NIS2 stellen Anforderungen an Ihr KI-System. Welche davon für Sie gelten, was sie bedeuten und in welcher Frist sie umgesetzt sein müssen, ist für die meisten Unternehmen unklar.

Wir schaffen Klarheit und liefern die Umsetzung: Risikoklassifizierung, Datenschutz, Dokumentation, Schulung. Juristisch abgesichert durch Taylor Wessing.
Warum

Wer KI skalieren will, braucht Regeln, die mitwachsen

KI entfaltet ihren Wert erst, wenn sie über einzelne Pilotprojekte hinausgeht. In neue Wertschöpfung, in Kundenprozesse, in Entscheidungen mit wirtschaftlicher Tragweite. Dafür braucht es einen Rahmen: Wer darf was? Welche Daten fließen wohin? Wie wird dokumentiert, klassifiziert, geschult?

AI Act, DSGVO und NIS2 geben diesen Rahmen vor. Governance übersetzt ihn in Strukturen, die Ihr Unternehmen handlungsfähig machen. Nicht als Einschränkung. Sondern als Voraussetzung dafür, dass KI über das Experiment hinauskommt.

Leistungen

Von der Einordnung bis zur Umsetzung

Aus AI Act, DSGVO und NIS2 leiten sich konkrete Anforderungen an Ihr KI-System ab. Wir implementieren sie. Neun Leistungsbereiche, die zusammen einen vollständigen Governance-Rahmen bilden.

Technische Dokumentation

Der AI Act fordert eine lückenlose Dokumentation von Hochrisiko-KI-Systemen. Wir erstellen technische Dokumentation: Systemarchitektur, Trainingsdaten, Leistungsmetriken, Risikobewertungen. Nachvollziehbar für Prüfer, nutzbar für Ihr Team.

Kompetenznachweis

Seit Februar 2025 müssen Unternehmen sicherstellen, dass alle Mitarbeitenden mit KI-Bezug über ausreichende KI-Kompetenz verfügen. Unsere Workshop-Formate vermitteln das Wissen und schließen mit einem Zertifikat ab.

Zugriffskontrollen

Wer darf welches KI-System nutzen, trainieren oder verändern? Wir definieren und implementieren Berechtigungskonzepte für Ihre KI-Systeme. Rollenbasiert, dokumentiert und konform mit DSGVO und NIS2.

Anonymisierung

Personenbezogene Daten in Trainingsdaten und Inferenz sind einer der häufigsten Compliance-Stolpersteine. Wir implementieren Anonymisierungs- und Pseudonymisierungsalgorithmen, die DSGVO-Konformität sicherstellen und gleichzeitig die Datenqualität erhalten.

Verschlüsselung

Daten in Training, Inferenz und Speicherung müssen geschützt sein. Wir setzen Verschlüsselung entlang der gesamten KI-Pipeline um, at rest und in transit. Eine Kernanforderung aus NIS2 und DSGVO.

Nachvollziehbarkeit

Wir machen KI-Entscheidungen erklärbar und bauen Logging sowie Audit-Trails in Ihre Systeme ein, die jeden Output automatisiert auf seine Eingaben, Modellversion und Parameter zurückführen. So lässt sich jederzeit nachvollziehen, wie ein Ergebnis zustande kam.

Modell-Versionierung

Welches Modell war wann mit welchen Daten im Einsatz? Wir etablieren Versionierungs- und Änderungsmanagement für Modelle und Trainingsdaten. Damit Sie jederzeit nachweisen können, was in Produktion lief.

Monitoring

KI-Systeme verändern sich im Betrieb durch Modelldrift, sinkende Datenqualität oder Performance-Einbrüche. Wir setzen Monitoring-Systeme auf, die Abweichungen automatisch erkennen und melden.

Auditierung

Konformität muss nachweisbar sein. Wir bereiten Ihre KI-Systeme auf Audits vor und führen strukturierte Prüfungen durch. Gemeinsam mit Taylor Wessing bieten wir ein AI Act Audit an, das Recht und Technik verbindet.
Kooperation

Einzigartige Beratung für eine neuartige Regulierung

Komplexe Regulierung erfordert neue Ansätze. In Kooperation mit Taylor Wessing, einer der führenden Kanzleien für IT- und Datenschutzrecht, bündeln wir juristische Einordnung und technische Umsetzung. Für Governance, die nicht im Gutachten endet, sondern in Ihrem System läuft.

Beratungstermin vereinbaren
Unsere Projektformate

Governance starten und vertiefen

Vom Kompetenznachweis bis zur Konformitätsprüfung: drei Formate, die direkt auf die Anforderungen aus AI Act und DSGVO einzahlen.

AI Act Crashkurs

Was der AI Act für Sie bedeutet – rechtlich fundiert, technisch greifbar.
AI Act verstehen

KI Management Crashkurs

Ein strukturierter Einstieg in KI. Klarheit statt Hype. Wissen statt Aktionismus.
Jetzt Wissen aufbauen

KI Compliance

IT-Security, DSGVO und KI-VO im Griff

Wir entwickeln, betreiben und supporten KI in Deutschland gemäß ISO 27001. Verschlüsselung, Anonymisierung, klare Architektur und auditierbare Dokumentation stellen sicher, dass Datenschutz, IT-Sicherheit und regulatorische Anforderungen eingehalten werden.

KI Made in Germany - Entwicklung, Support & Hosting
DSGVO Konform, KI-VO-konform, Nis 2-konform
LLMs gehostet in Europa
Sicherheit der Enterprise-Klasse, ISO27001 konform

Cases

Passende Case Studies

700 Mitglieder, eine KI

Wie ein Verband KI-Dokumentenmanagement für 700 Mitglieder bezahlbar machte

700+

Mitgliedsunternehmen mit Zugang zur KI-Suche
Learn more

Digitalstrategie für 1,2 Millionen Mitglieder

Digitalstrategie für ADAC Hansa: Wenn die Ankerleistung an Relevanz verliert

100%

Zustimmung von Soundingboard und Führungskreis
Learn more

360°-Kundensicht für den Vertrieb

360°-Kundensicht mit KI: Datengetriebener Vertrieb für 1,2 Millionen Kunden

2x

Verdopplung der Verkaufswahrscheinlichkeit
Learn more

Von KI-Zurückhaltung zur KI Roadmap

KI-Strategie für FinTech: Wie ein Scale-up eine investorenreife KI Roadmap entwickelt

2

intensive Tage KI Ideenwerkstatt
Learn more

Preisprognose in Sekunden

Von 10 Jahren Transaktionsdaten zur verbindlichen Preisprognose in Echtzeit

24h → 1 Sek.

Prozessbeschleunigung der Wertermittlung
Learn more
PLAN D Logo

Reparaturkosten in Sekunden

KI-Prognose von Reparaturkosten im Kfz-Schadenmanagement

93 %

schnellere Schadenregulierung
Learn more
PLAN D Logo

Datenstrategie statt Datensilos

Datenstrategie für die Finanzbranche: Von 50 Datenquellen zur KI-fähigen Lakehouse-Plattform

6 Monate

vom Assessment bis zur produktiven Plattform
Learn more
PLAN D Logo

50 Millionen Euro durch Daten

Einkaufsoptimierung in der Kfz-Versicherung

~50 Mio. €

Einsparung pro Jahr dank KI
Learn more

Fachwissen auf Knopfdruck

KI-Assistent im Kundenservice mit RAG-System

100

Tage Idee bis MVP
Learn more

Digitale Zukunft für die Energiewende

KI-gestützte Digitalstrategie: Wie ein Bundesunternehmen seine Prozesse modernisiert

7

Monate von Ist-Analyse bis Roadmap
Learn more
PLAN D Logo

KI kalkuliert Hagelschäden

Hagelschaden in Millisekunden kalkuliert: Wie KI Versicherungen bei der Massenregulierung entlastet

40.000+

abgewickelte Hagelschäden über das KI-System pro Jahr
Learn more
PLAN D Logo

Computer Vision im Schadenmanagement

KI-Bilderkennung im Kfz-Schadenmanagement: Schadenbewertung in Sekunden statt Tagen

93 %

Prognosegüte in der Bauteilserkennung, auf Gutachter-Niveau
Learn more

Mit Daten Leben retten

KI in der Medizin: Datenanalyse in der Notfallversorgung

1,3 Stunden

schnellere Behandlung pro Schlaganfall
Learn more

Remote Videobesichtigung von Kfz Schäden

Remote Videobesichtigung von Kfz Schäden einer Versicherungsnehmerin

100.000 Euro

Projektvolumen pro bono
Learn more

Omnikanal im Versicherungsvertrieb

Gemeinsam mehr erreichen: Omnikanal im Versicherungs-Vertrieb

Learn more
Insights

Wissen rund um KI Governance

Debatte: Geht der EU AI Act in die richtige Richtung?

Governance
Von
Ebba Schröder

AI Act now: Umsetzung der KI-Verordnung

Governance
Von
Sebastian Bluhm

Fragen & Antworten

KI Governance ist der organisatorische und technische Rahmen, der regelt, wie Ihr Unternehmen KI-Systeme entwickelt, betreibt und kontrolliert. Dazu gehören Verantwortlichkeiten, Zugriffskontrollen, Dokumentation, Monitoring und Auditierbarkeit.

Ohne Governance fehlt die Grundlage, um KI über Pilotprojekte hinaus zu skalieren. Seit dem AI Act sind viele dieser Maßnahmen gesetzlich vorgeschrieben. Gleichzeitig fordern DSGVO und NIS2 eigene Anforderungen an KI-Systeme. Governance bringt alle drei Regulierungen in einen umsetzbaren Rahmen.

KI Strategie definiert, wo und warum Ihr Unternehmen KI einsetzen will: Ziele, Use Cases, Priorisierung, Roadmap. KI Governance regelt, wie dieser Einsatz kontrolliert und compliant umgesetzt wird: Rollen, Richtlinien, Dokumentation, Monitoring, Auditierung.

Strategie beantwortet die Frage "Was machen wir mit KI?" Governance beantwortet "Wie stellen wir sicher, dass wir es richtig machen?" Beides hängt zusammen, aber Governance wird oft erst relevant, wenn KI in Produktion geht oder regulatorische Anforderungen greifen.

Personenbezogene Daten in Trainingsdaten erfordern eine Rechtsgrundlage nach Art. 6 DSGVO, typischerweise berechtigtes Interesse oder Einwilligung. Zusätzlich gelten die Grundsätze der Datenminimierung und Zweckbindung.

In der Praxis setzen wir auf Anonymisierung und Pseudonymisierung, bevor Daten ins Training fließen. Dabei ist entscheidend, dass die Datenqualität erhalten bleibt. Synthetische Daten können eine Alternative sein, wenn Originaldaten nicht verwendet werden dürfen. Welche Methode passt, hängt vom Anwendungsfall und der Datenlage ab.

Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist Pflicht, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Bei KI-Systemen ist das häufig der Fall: automatisierte Entscheidungsfindung, Profiling, Verarbeitung sensibler Daten oder große Datenmengen sind typische Auslöser.

In der Praxis brauchen die meisten produktiven KI-Systeme eine DSFA. Wir empfehlen, sie frühzeitig durchzuführen, nicht erst kurz vor dem Go-live. Die DSFA dokumentiert Risiken und Gegenmaßnahmen und ist bei einer Prüfung durch Aufsichtsbehörden eines der ersten Dokumente, das angefragt wird.

NIS2 verpflichtet Unternehmen in kritischen und wichtigen Sektoren zu umfassenden Cybersicherheitsmaßnahmen. Für KI-Systeme bedeutet das: Risikomanagement, Vorfallmeldung, Zugriffskontrollen, Verschlüsselung und Lieferkettensicherheit müssen auch für KI-Komponenten umgesetzt sein.

KI-Systeme sind besonders betroffen, weil sie oft auf externe APIs, Cloud-Infrastruktur und Drittanbieter-Modelle zugreifen. Jeder dieser Punkte ist eine potenzielle Angriffsfläche, die NIS2 adressiert. Wenn Ihr Unternehmen unter NIS2 fällt und KI einsetzt, müssen beide Anforderungen zusammengedacht werden.

Unternehmen in KRITIS-Sektoren (Energie, Gesundheit, Finanz, Transport, Wasser) unterliegen einer Dreifach-Regulierung: AI Act, DSGVO und NIS2 greifen gleichzeitig. Das bedeutet höhere Dokumentationspflichten, strengere Anforderungen an Verfügbarkeit und Integrität sowie kürzere Meldefristen bei Sicherheitsvorfällen.

Für KI-Systeme in KRITIS-Umgebungen gelten zusätzliche Anforderungen an Ausfallsicherheit und Nachvollziehbarkeit. Modelle, die in kritischen Prozessen eingesetzt werden, brauchen redundante Monitoring-Systeme und dokumentierte Fallback-Mechanismen. Governance muss hier alle drei Regulierungsrahmen in einer integrierten Struktur abbilden.

Ein KI-Register erfasst alle KI-Systeme, die in Ihrem Unternehmen im Einsatz oder in Planung sind. Pro System dokumentieren Sie: Zweck, Risikoklasse, verantwortliche Person, eingesetzte Daten, Anbieter, Schnittstellen und den aktuellen Compliance-Status.

Wir starten mit einer Bestandsaufnahme: Welche KI-Tools werden bereits genutzt, auch informell? Häufig sind mehr Systeme im Einsatz als der IT bekannt ist. Das Register wird zum zentralen Steuerungsinstrument für Governance, weil es auf einen Blick zeigt, wo Handlungsbedarf besteht. Für Hochrisiko-KI-Systeme nach AI Act ist ein solches Register faktisch Pflicht.

Der AI Act tritt stufenweise in Kraft. Seit Februar 2025 gilt die Schulungspflicht nach Art. 4: Alle Mitarbeitenden, die KI-Systeme betreiben oder beaufsichtigen, müssen über ausreichende KI-Kompetenz verfügen. Ab August 2025 gelten die Verbote für inakzeptable KI-Praktiken. Ab August 2026 greifen die vollständigen Anforderungen für Hochrisiko-KI-Systeme: Dokumentation, Risikomanagement, Monitoring, Auditierbarkeit.

Die DSGVO gilt bereits seit 2018 für alle KI-Systeme, die personenbezogene Daten verarbeiten. NIS2 ist seit Oktober 2024 als EU-Richtlinie in Kraft und wird in nationales Recht umgesetzt. Wer KI produktiv einsetzt, sollte Governance jetzt aufbauen, nicht erst wenn die letzte Frist greift.

Ja, in den meisten Fällen. Sobald ein externer KI-Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO Pflicht. Das betrifft Cloud-basierte KI-Tools, API-Dienste und SaaS-Plattformen, die mit Ihren Daten arbeiten.

Prüfen Sie bei jedem KI-Tool: Werden personenbezogene Daten übermittelt? Werden Eingaben gespeichert oder für Training verwendet? Wo werden die Daten verarbeitet? Bei vielen gängigen KI-Tools ist die DSGVO-Konformität nicht ohne Weiteres gegeben. Ein AVV allein reicht nicht, er muss durch technische Maßnahmen wie Anonymisierung und Zugriffskontrollen ergänzt werden.

Bereit wenn Sie es sind

Zukunft beginnt, wenn menschliche Intelligenz künstliche Intelligenz entwickelt. Der erste Schritt ist nur ein Klick.

Vertrieb kontaktieren
Jetzt bewerben

Seit 2017 entwickeln wir KI-Systeme, die Unternehmen verändern. Sprechen wir über Ihres.

KI Entwicklung
KI Operations
© PLAN D GmbH  – All rights reserved