Partner werden
DE EN
NADOVO

Der KI-Prozess: Kern der NADOVO-Methodik für KI-Compliance

Systeme haben keine Risikoklasse, Einsätze schon. Warum der KI-Prozess - KI-System + Anwendungsbereich - die richtige Einheit für KI-Compliance ist: die Kernformel der NADOVO-Methodik, an der Risikoklasse, Pflichten und deine Rolle hängen.

Best Practices

Grundlagen
Der KI-Prozess: Kern der NADOVO-Methodik für KI-Compliance KI-generiert

In welcher Einheit misst du deine KI-Compliance?

Die meisten Unternehmen antworten, ohne es zu merken: in Systemen. Eine Tool-Liste, eine Spalte „Risiko”, fertig. Nur ist das die falsche Einheit. Systeme haben keine Risikoklasse. Einsätze haben eine.

Genau deshalb hat der Kern der NADOVO-Methodik einen eigenen Namen: der KI-Prozess. Eine Einheit, eine Formel - KI-System + Anwendungsbereich = KI-Prozess. Diese eine Zeile entscheidet über Risikoklasse, Pflichten und deine Rolle. Und sie ist der Grund, warum NADOVO anders arbeitet als jede Systemliste.

Die falsche Einheit: das System

Die Frage „Ist ChatGPT Hochrisiko?” lässt sich nicht beantworten. Nicht, weil sie schwierig wäre, sondern weil sie falsch gestellt ist.

Der EU AI Act stuft nicht Technologien ein, sondern Anwendungsfälle. Ein Sprachmodell, das Marketing-Texte entwirft: minimales Risiko. Dasselbe Modell als Kundenservice-Chatbot: Transparenzpflicht. Dasselbe Modell in der Vorauswahl von Bewerbungen: Hochrisiko nach Anhang III, Bereich Beschäftigung. Die Technik ist identisch. Was sich ändert, ist der Zweck, und mit ihm die komplette Pflichtenlage.

Das ist keine NADOVO-Erfindung. Es steht so im Gesetz, in Artikel 6 und Anhang III. Und trotzdem sieht die Compliance-Praxis fast überall anders aus: Excel-Listen mit Systemnamen. Tool-Inventare mit einer Spalte „Risiko”, in der pro System ein Wert steht. Als hätte ein Werkzeug eine Risikoklasse.

Hat es nicht. Und genau an dieser Stelle brechen System-Inventare zusammen: Ein Unternehmen, das dasselbe Tool in drei Abteilungen für drei Zwecke einsetzt, hat nicht ein Risiko, sondern drei.

Die Kernformel

Deshalb steht im Zentrum des NADOVO-Frameworks eine Formel, die sich durch alles zieht, was wir tun:

KI-System + Anwendungsbereich = KI-Prozess. Und der KI-Prozess bestimmt die Risikoklasse.

Ein Beispiel, durchgespielt. Das System: ein Sprachmodell, sagen wir ChatGPT. Daraus entstehen bei einem Mittelständler drei KI-Prozesse. Erstens „ChatGPT - Marketing”: Produkttexte und Beitragsentwürfe, minimales Risiko, keine besonderen Pflichten. Zweitens „ChatGPT - Kundenservice”: ein Chatbot auf der Website, begrenztes Risiko, er muss sich als KI zu erkennen geben. Drittens „ChatGPT - Recruiting”: Vorauswahl von Bewerbungen, Hochrisiko, mit menschlicher Aufsicht, Dokumentation und den vollen Betreiberpflichten.

Ein Asset. Drei Prozesse. Drei Risikoklassen. Wer nur das System erfasst, sieht eine Zeile und kein Risiko. Wer in Prozessen denkt, sieht drei Einträge und weiß bei jedem genau, was zu tun ist.

Am Prozess hängt alles

Die Formel ist mehr als eine Merkhilfe. Der KI-Prozess ist bei NADOVO die Einheit, an der die gesamte Compliance aufgehängt ist.

Die Risikoklasse gehört zum Prozess, nicht zum System. Das Assessment bewertet den Prozess. Die Maßnahmen, von der menschlichen Aufsicht bis zur Schulung, gelten je Prozess. Sogar deine Rolle im Sinne des Gesetzes kann sich je Prozess unterscheiden: Für das eingekaufte Tool im Marketing bist du Betreiber, für die zweckentfremdete Nutzung im Recruiting womöglich schon Anbieter.

Und hier zeigt sich ein unterschätzter Nebeneffekt: Die Prozess-Sicht ist dein Frühwarnsystem für den Rollenwechsel. Eine Zweckänderung ist in dieser Logik kein unsichtbares Abdriften, sondern ein neuer KI-Prozess, der definiert und bewertet werden muss. Genau der Moment, in dem aus dem Betreiber ein Anbieter werden kann, wird sichtbar, bevor er passiert.

Wie sich die Formel durchs Framework zieht

Unser Framework hat fünf Phasen, und die Formel ist ihr roter Faden.

In DISCOVER erfasst du die KI-Systeme, auch die eingebettete und die inoffizielle KI. Das ist die Inventur, in vier Wochen machbar. In DEFINE passiert der entscheidende Schritt, den die meisten überspringen: Jedes System wird seinen konkreten Anwendungsfällen zugeordnet, aus Assets werden KI-Prozesse. In ASSESS bekommt jeder Prozess seine Risikoklasse, geprüft gegen Verbote, Hochrisiko-Bereiche und Transparenzpflichten. IMPLEMENT setzt die Maßnahmen je Prozess um. Und MONITOR hält das Bild aktuell, denn ein neuer Zweck heißt: ein neuer Prozess, eine neue Bewertung.

Die NADOVO-Plattform ist exakt so gebaut. KI-Systeme und KI-Prozesse sind dort getrennte, verknüpfte Objekte, und die Risikoklassifizierung läuft regelbasiert am Prozess, nicht am System. Deshalb kann sie Fragen beantworten, an denen Systemlisten scheitern: Welche unserer Einsätze sind Hochrisiko? Wo hat sich ein Zweck geändert? Welcher Prozess braucht welche Maßnahme?

Warum das unser Anspruch ist

Ehrlich gesagt: Dass der Anwendungsfall zählt, könnte jeder wissen, es steht im Gesetz. Der Unterschied liegt darin, Konsequenzen daraus zu ziehen.

Die meisten Werkzeuge und Vorlagen führen Systeme, weil Systeme leicht zu zählen sind. Wir haben das Framework und die Plattform von Anfang an um den KI-Prozess herum gebaut, weil nur er die Frage beantwortet, die das Gesetz stellt. Das ist unbequemer in der Erfassung und unbezahlbar in der Compliance: Jede Bewertung, jede Maßnahme, jeder Nachweis hat eine eindeutige Adresse.

Governance als Enabler heißt für uns genau das. Nicht mehr Bürokratie, sondern die richtige Einheit, damit jede Pflicht dort landet, wo sie hingehört.

Die Frage, die alles sortiert

Eine Frage zum Schluss. Nimm dein wichtigstes KI-Tool und zähle nicht, was es ist, sondern wofür es überall im Einsatz ist. Kommst du auf mehr als einen Zweck? Dann hast du gerade deine ersten KI-Prozesse definiert, und vermutlich mehr Risikoklassen, als deine Systemliste zeigt.

Wie du vom System zum Anwendungsfall kommst, beschreibt auch unser Mitgründer Jochen Stier auf Contoro: Vom Asset zum Anwendungsfall. Wo du insgesamt stehst, zeigt der Schnellcheck, und wenn du die Prozess-Sicht in deinem Unternehmen aufsetzen willst, begleiten wir dich in der KI-Compliance-Beratung.


Über den Autor

Jochen Stier ist Mitgründer von NADOVO mit über 20 Jahren Erfahrung in Prozessmanagement und IT Service Management. Er unterstützt deutsche KMU dabei, die Anforderungen des EU AI Act systematisch und pragmatisch umzusetzen. Sein 5-Phasen-Framework NADOVO verbindet regulatorische Anforderungen mit praktischer Umsetzbarkeit, ohne Enterprise-Budgets oder komplexe Tools.

Weiterführende Informationen:


← Zurück zum Blog

© 2026 CONTORO SOLUTIONS OÜ. Alle Rechte vorbehalten.
NADOVO - nadovo.ai