Governance by Design
Compliance ist kein
Anhang. Sie ist der Kern.
Bei IIO ist kein LLM im Compliance-Pfad. HITL-Gates an jedem kritischen Punkt. Jede Entscheidung erzeugt einen Audit-Trail. Nachweise auf Knopfdruck — bevor die Prüfung kommt.
0
LLMs im Compliance-Pfad
5
HITL-Stufen
82%
ISO 42001 PASS
EU
Datenresidenz
Frameworks
Vier Standards. Ein System.
EU AI Act Limited Risk (Art. 52)
- Automatische Risikoklassifizierung
- Transparenzpflichten via HITL-Gates dokumentiert
- Art. 4 AI Literacy — Training für alle Mitarbeiter
- Audit-Trail für Regulatoren auf Knopfdruck
ISO 42001 82 % PASS
- AI Management System (AIMS) dokumentiert
- Control-Katalog mit Evidence pro Control
- Kontinuierliche Posture-Messung
- ISMS-Integration
DSGVO Privacy by Design
- EU-Hosting (Hetzner DE) — kein US-Cloud-Transfer
- Art. 28 AVV mit Subprozessoren
- Lokale Modelle: Daten verlassen die EU nicht
- Cookieless Analytics (Matomo)
NIST AI RMF aligned
- Govern / Map / Measure / Manage
- Risiko-Register pro KI-System
- Incident-Severity-Matrix
- Federated Wisdom über Tenants
Das Prinzip
Fail-Closed: Im Zweifel stoppt das System.
Kein Silent Fail. Kein Shadow-IT. Kein Kontrollverlust. Drei Garantien:
01
Kein LLM entscheidet über Compliance
Deterministische Policy-Engine prüft jede produktionsrelevante Aktion — AUTO, HITL oder BLOCK. Kein generatives Modell im kritischen Pfad.
02
HITL-Gate vor jeder externen Wirkung
KI-generierte Ausgaben nach außen, Deployments, Verträge, API-Keys — alles durchläuft eine menschliche Freigabe, automatisch dokumentiert.
03
Jede Aktion erzeugt Evidence
Immutable Audit-Trail. Wer hat wann was entschieden, mit welcher Begründung. GoBD-konform, 10-Jahre-Retention.
Audit-Bereitschaft
Wenn die Prüfung kommt, sind Sie bereit.
| Nachweis | Status |
|---|---|
| Risikoklassifizierung pro KI-System | ✓ automatisch |
| HITL-Entscheidungs-Log | ✓ vollständig |
| Art. 4 AI Literacy Trainingsnachweise | ✓ verfügbar |
| Datenfluss-Dokumentation (EU-Residenz) | ✓ lückenlos |
| ISO 42001 Control-Evidence | ✓ 82% PASS |
| Incident-Historie + Severity | ✓ abrufbar |
| Subprozessor-Liste (AVV) | ✓ aktuell |
Compliance-Check
Wo steht Ihre KI-Governance?
30-Minuten-Gespräch: Wir ordnen Ihre KI-Nutzung nach EU AI Act ein und zeigen die nächsten Schritte.