Zum Inhalt springen
AI-Governance-Sprint

KI-Nutzung sichtbar machen.
Dann kontrolliert priorisieren.

Der Sprint schafft ein arbeitsfähiges Inventar aus Tools, Datenflüssen, Rollen und Use Cases. Sie erhalten Sofortmaßnahmen für Shadow AI und eine priorisierte Roadmap für sichere Piloten.

  • Inventar statt Bauchgefühl
  • Risiko- und Datenklassen
  • 90-Tage-Roadmap
Beispielansicht Private Umgebung
Sie

Welche KI-Nutzung benötigt als Erstes eine Maßnahme?

Assistent

Priorität 1: private GenAI-Konten im Vertrieb mit möglicher Verarbeitung von Angebots- und Kundendaten. Sofortmaßnahme: Datenklassen kommunizieren, Nutzung sensibler Inhalte stoppen und freigegebene Alternative definieren. Parallel müssen Verantwortliche und tatsächliche Datenflüsse verifiziert werden.

Verwendete Quellen 1. Interview Vertrieb und IT, 16.07.20262. Tool-Inventar v0.23. Datenklassifizierung intern

Illustrative Oberfläche – keine erfundene Kundenaussage oder Ergebnisgarantie.

Ausgangslage

Wenn KI bereits genutzt wird, aber Verantwortung und Datenpfade unklar bleiben

Shadow AI bleibt unsichtbar

Private Konten, Browserfunktionen und eingebettete KI werden genutzt, ohne zentralen Überblick.

Regeln sind zu allgemein

Ein pauschales Verbot oder eine generische Richtlinie unterscheidet nicht nach Datenklasse, Aufgabe und Betriebsmodell.

Piloten konkurrieren um Ressourcen

Viele Ideen werden diskutiert, aber Nutzen, Risiko, Datenlage und verantwortliche Fachbereiche nicht vergleichbar priorisiert.

Arbeitsweise

Vom Dokument zur nachvollziehbaren Unterstützung

Der Agent unterstützt einen definierten Prozess. Freigaben und fachliche Verantwortung bleiben beim Unternehmen.

  1. 01

    Systeme und Nutzung erfassen

    Offizielle Tools, Piloten, eingebettete Funktionen und bekannte Shadow-AI-Nutzung zusammenführen.

  2. 02

    Daten und Rollen zuordnen

    Zwecke, Datenklassen, Nutzer, Anbieter, Verantwortliche und wesentliche Datenpfade dokumentieren.

  3. 03

    Risiken und Nutzen priorisieren

    Use Cases nach Geschäftswert, Umsetzbarkeit, Schutzbedarf und Kontrollierbarkeit bewerten.

  4. 04

    Maßnahmen verbindlich planen

    Sofortmaßnahmen, Verantwortlichkeiten, Zielarchitektur und 90-Tage-Piloten festlegen.

Datenquellen

An bestehendes Wissen anschließen

Im Pilot werden nur vereinbarte Quellen und Berechtigungen angebunden.

Tool-/LizenzlistenInterviewsDatenschutzunterlagenInformationssicherheitProzesslandkarteAnbieterunterlagenNutzungsrichtlinienPilotideen
Kontrollen

Sicherheit wird konfiguriert – nicht behauptet

Arbeitsfähiges KI-Inventar

System, Zweck, Daten, Nutzer, Anbieter, Verantwortliche und Status werden in einer pflegbaren Struktur zusammengeführt.

Daten- und Risikoklassen

Nicht jede KI-Nutzung erhält dieselben Regeln; Schutzbedarf und mögliche Auswirkungen steuern die Maßnahme.

Freigabeprozess

Neue Tools und Use Cases bekommen einen nachvollziehbaren Weg von Idee und Prüfung bis Betrieb oder Ablehnung.

Schulung nach Rolle

Schulungsbedarf wird für Anwender, Führung, Einkauf, IT und Fachverantwortliche getrennt abgeleitet.

Betriebsmodell

On-Prem-first, nicht On-Prem um jeden Preis

Schutzbedarf, Datenpfad, Qualität, Auslastung und Gesamtkosten bestimmen die Architektur.

Bestehende Tools

SaaS kontrollieren

Verträge, Datenresidenz, Aufbewahrung, Trainingsnutzung, Zugriffssteuerung und erlaubte Datenklassen prüfen.

Schnelle neue Piloten

Souveräne Cloud

Deutsche oder europäische Dienste werden anhand des konkreten Datenpfads statt nur anhand des Marketings bewertet.

Höchster Schutzbedarf

On-Prem/Air-Gap

Eigener Betrieb wird dort priorisiert, wo Drittzugriff, Netztrennung oder individuelle Kontrolle den Mehraufwand rechtfertigen.

Fest abgegrenzter Einstieg

Souveränitäts- und AI-Governance-Sprint

Der Sprint schafft Entscheidungsfähigkeit: Was sofort begrenzen, was kontrolliert erlauben und welcher Use Case als Pilot belastbar genug ist.

Preisorientierung3.900–6.900 € netto
Typischer Zeitraum1–2 Wochen
Governance-Sprint anfragen

Im Pilot enthalten

  • Kick-off und Scope
  • strukturierte Interviews/Bestandsaufnahme
  • KI-Inventar-Arbeitsvorlage
  • Daten- und Risikoklassifizierung
  • Sofortmaßnahmen für erkannte Lücken
  • priorisierte 90-Tage-Roadmap

Nicht stillschweigend enthalten

  • verbindliche Rechtsberatung
  • vollständige technische Sicherheitsprüfung aller Anbieter
  • unternehmensweite Schulungsdurchführung
  • Garantie einer lückenlosen Shadow-AI-Erkennung

Häufig gestellte Fragen

Ist der Sprint eine Rechtsberatung?

Nein. Der Sprint strukturiert Systeme, Datenflüsse, Rollen, Risiken und technische Maßnahmen. Verbindliche rechtliche Einzelfallbewertungen müssen durch entsprechend qualifizierte Rechtsberatung beziehungsweise den Datenschutzbeauftragten erfolgen.

Was wird als KI-System erfasst?

Neben offiziell beschafften Tools werden nach vereinbartem Scope auch eingebettete KI-Funktionen, Pilotprojekte, private Zugänge und relevante Dienstleister betrachtet. Ziel ist ein arbeitsfähiges Inventar, nicht die Behauptung vollständiger Erfassung ohne Mitwirkung.

Bekommen wir eine KI-Nutzungsrichtlinie?

Der Sprint kann eine auf das erhobene Risikobild abgestimmte Arbeitsvorlage enthalten. Sie muss intern mit Geschäftsführung, Datenschutz, Informationssicherheit, HR und gegebenenfalls Arbeitnehmervertretung abgestimmt werden.

Deckt der Sprint die AI-Literacy-Pflicht ab?

Er liefert Rollen-, Risiko- und Schulungsbedarf als Grundlage. Schulungen und deren Dokumentation können als Folgeleistung geplant werden; eine pauschale Compliance-Garantie ist nicht Teil des Sprints.

Was ist das Ergebnis nach zwei Wochen?

Ein priorisiertes Inventar, Daten- und Risikobild, Sofortmaßnahmen, ein Zielbild für Betriebsmodelle sowie eine 90-Tage-Roadmap mit verantwortlichen Rollen und Pilotkandidaten.