Zum Hauptinhalt springen

Persönliche Haftung beginnt dort, wo der Prüfprozess fehlt.

NIS2, AI Act und DSGVO — drei Regelwerke, eine gemeinsame Anforderung.

Drei Regelwerke wirken zusammen auf jeden, der KI in Entscheidungen einsetzt. Sie verlangen keinen perfekten Output. Sie verlangen einen Pfad, der zeigt, wie ein Mensch den Output geprüft hat. Diese Seite zeigt, welche Anforderung wo entsteht und welche Werkzeuge sie strukturell beantworten.

„Compliance ohne Architektur ist ein Versprechen, das im Audit zerbricht."— Nils Brodersen

Compliance | Drei Regelwerke

Wo die Anforderung entsteht

Jedes der drei Regelwerke adressiert einen anderen Schutzzweck und greift an einer anderen Stelle des KI-Einsatzes. Die Schnittmenge ist eindeutig: Wer KI-gestützte Entscheidungen trifft, muss den Prüfvorgang dokumentieren können — nicht behaupten.

NIS2 / BSI-Gesetz[R-1]

Geschäftsführerhaftung seit 6. Dezember 2025

Das novellierte BSI-Gesetz verpflichtet die Geschäftsleitung regulierter Unternehmen zu einem dokumentierten Risikomanagement für KI-gestützte Systeme. Diese Verantwortung ist persönlich und nicht delegierbar. Wer KI-Output in eine Entscheidung einfließen lässt, ohne den Prüfweg dokumentieren zu können, haftet für die fehlende Dokumentation — unabhängig davon, ob der Output richtig oder falsch war.

Was im Audit zählt: Ein lückenloser Pfad, der zeigt, welche Frage gestellt wurde, wie der Output geprüft wurde und wer die Entscheidung verantwortet.

Werkzeug-Anker: KI-Request-Standard und Entscheidungsnachweis tragen den Audit-Trail. Werkzeuge im Detail ↗

EU AI Act[R-3]

Volle Compliance für Hochrisiko-Systeme ab August 2026

Der AI Act verlangt menschliche Aufsicht über KI-Systeme in regulierten Anwendungsbereichen. Bewerbungsauswahl, Kreditvergabe und Personalbewertung gehören zu den Hochrisiko-Einsätzen. Wer keine prüfende Instanz zwischen KI-Output und Entscheidung dokumentieren kann, kann den Nachweis menschlicher Aufsicht nicht führen. Hinzu kommt die KI-Kompetenzpflicht aus Art. 4: Wer KI einsetzt, muss verstehen, was er tut.

Was im Audit zählt: Eine systematische Prüfung des KI-Outputs durch eine fachkundige Person mit nachvollziehbarem Ergebnis und der Möglichkeit zu übersteuern.

Werkzeug-Anker: Der Guardrail-Check operationalisiert die menschliche Aufsicht zwischen Output und Entscheidung. Werkzeuge im Detail ↗

DSGVO[R-4]

Personenbezogene Daten und automatisierte Entscheidungen

Sobald ein Mitarbeitername, eine Beurteilung oder ein Krankheitsverlauf in einen Prompt fließt, greifen Zweckbindung, Datenminimierung und gegebenenfalls die Pflicht zur Datenschutz-Folgenabschätzung. Eine KI-Empfehlung als Grundlage einer Entscheidung über eine Person, ohne dokumentierte menschliche Prüfung, ist regulatorisch unzulässig.

Was im Audit zählt: Zweckbindung vor der Anfrage, dokumentierte menschliche Prüfung vor jeder Entscheidung, die eine Person betrifft.

Werkzeug-Anker: KI-Request-Standard erzwingt die Zweckbindung, Guardrail-Check sichert die menschliche Prüfung. Werkzeuge im Detail ↗

Compliance | Das Muster, das im Audit auffliegt

Eine Checkliste ist kein Audit-Trail

Viele Unternehmen reagieren auf regulatorischen Druck mit Dokumenten, die einen Prozess behaupten, ohne ihn zu erzwingen. Im Audit wird der Unterschied sofort sichtbar: Zeitstempel, Serienbearbeitung am Tagesende, gleichförmige Antworten ohne Bezug zur konkreten Entscheidung. Der Prüfer erkennt das Muster in Minuten.

Dokument

Behauptung eines Prüfvorgangs

  • ·entsteht nachträglich, oft am Tagesende
  • ·ist von der Entscheidung losgelöst
  • ·nutzt gleichförmige Pauschalformeln
  • ·im Audit als Rationalisierung erkennbar

Prozess

Spur eines tatsächlichen Vorgangs

  • ·entsteht zeitgleich mit dem Denken
  • ·ist eindeutig der Entscheidung zugeordnet
  • ·belegt Frageformulierung, Prüfweg, Verantwortung
  • ·im Audit als Spur des Vorgangs erkennbar

Eine Architektur, die den Prozess erzwingt, erzeugt die Dokumentation als Nebenprodukt — nicht als Aufgabe danach. Genau das leisten die drei Werkzeuge der Entscheidungsarchitektur.

Compliance | Werkzeuge

Drei Werkzeuge, drei Schutzfunktionen

Die drei operativen Werkzeuge der Entscheidungsarchitektur greifen an unterschiedlichen Stellen des Prozesses. Sie erzeugen den Audit-Trail im Vorbeigehen — nicht als zusätzliche Bürde, sondern als Spur des Denkens.

KI-Request-Standard

vor der Anfrage · 3 Destruktionsfragen + 7 Felder

Schützt vor der Plausibilitätsfalle und vor kontaminierten Prompts. Drei Fragen zerstören die eigene Erwartung an die Antwort. Sieben Felder strukturieren die Anfrage so, dass sie Zweckbindung, Datenminimierung und Prüfbarkeit erfüllt.

Compliance-Effekt: Erfüllt Zweckbindung (DSGVO Art. 5) und schafft die Grundlage des Audit-Trails (NIS2 § 30).

Guardrail-Check

zwischen Output und Entscheidung · 6 Prüffragen

Externalisiert die menschliche Aufsicht in eine objektivierbare Checkliste. Statt einer Selbstbefragung („Habe ich das geprüft?") sechs konkrete Fragen, die beantwortet sind oder nicht. Die Prüfung wird durch Dritte nachvollziehbar.

Compliance-Effekt: Operationalisiert menschliche Aufsicht (AI Act Art. 14) und blockiert ungeprüfte Personalentscheidungen (DSGVO Art. 22).

Entscheidungsnachweis

als Teil der Entscheidung · 9 Felder

Eine geführte Denkübung, die die Entscheidung verbessert, während sie dokumentiert wird. Die Dokumentation entsteht als Nebenprodukt des Denkprozesses. Ein Auditor erkennt sofort, ob ein Nachweis während oder nach der Entscheidung entstanden ist.

Compliance-Effekt: Trägt die persönliche Verantwortung der Geschäftsleitung (NIS2 § 38) und genügt der Dokumentationspflicht für Hochrisiko-Anwendungen (AI Act Art. 12–13).

Nicht jeder KI-Output erfordert alle drei Werkzeuge. Eine reine Textoptimierung genügt sich selbst. Sobald der Output in eine Entscheidung einfließt, kommen KI-Request-Standard und Guardrail-Check ins Spiel. Bindet die Entscheidung Ressourcen, betrifft sie regulierte Bereiche oder die persönliche Haftung, ist zusätzlich der Entscheidungsnachweis erforderlich.

Alle drei Werkzeuge im Detail mit Feldlogik ↗

„Wer Verantwortung trägt, braucht ein System, das den Prüfprozess erzwingt — nicht einen Ordner mit Checklisten."— Nils Brodersen

Tiefergehende Herleitung

Im Standardisierungswerk

Diese Seite zeigt, was Compliance im KI-Einsatz strukturell verlangt und welche Werkzeuge die Anforderungen erfüllen. Die ausführliche Herleitung der Anforderungen mit Detail-Mapping zu Paragraphen, der wissenschaftlichen Begründung der Werkzeuge und ausgearbeiteten Praxisszenarien findet sich im Standardisierungswerk B251211 (Springer Gabler, in Vorbereitung).

Zur Mitwirkung am Werk ↗

Zurück zur Startseite