KI-Governance

KI, die das Compliance-Review übersteht

Jedes KI-System, das wir liefern, kommt mit der Dokumentation und dem Engineering, nach dem Legal, Security und Betriebsrat fragen: Welches Modell läuft wo, wer hat es geprüft, was passiert, wenn es falsch liegt, und wie kommen Sie wieder heraus. Diese Seite beschreibt, wie wir KI in Kundensystemen steuern, in derselben Tiefe, mit der wir sie bauen.

Wie wir KI in Kundensystemen steuern

Jedes KI-System, das wir ausliefern, kommt mit den Unterlagen zum EU AI Act und der Technik, die das belegt. Wir klassifizieren jeden Anwendungsfall im Scoping, halten dort, wo Entscheidungen zählen, einen Menschen in der Schleife, protokollieren jede automatisierte Entscheidung prüfbar und trainieren kein öffentliches Modell mit Ihren Daten. Das Hosting bleibt in der Region, die Sie verlangen, auf Wunsch ausschließlich in der EU, und Code und Daten gehören Ihnen ab dem ersten Commit. Das Ergebnis ist ein System, das Recht, Security, Betriebsrat und Einkauf jeweils freigeben können, gesteuert in derselben Tiefe, mit der wir es bauen.

  • Klassifizierung der Anwendungsfälle nach EU AI Act und die zugehörige technische Dokumentation
  • Der Mensch behält die Kontrolle: jede automatisierte Entscheidung ist übersteuerbar und protokolliert
  • Ihre Daten trainieren kein öffentliches oder geteiltes Modell, Hosting ausschließlich in der EU auf Anfrage
  • Code und Daten gehören Ihnen ab dem ersten Tag, mit dokumentiertem Ausstieg

Vier Zusagen

Menschen behalten die Kontrolle

Jeder automatisierte Entscheidungspfad hat einen definierten menschlichen Aufsichtspunkt. Agenten handeln innerhalb expliziter Grenzen und übergeben, wenn die Konfidenz sinkt oder das Risiko steigt.

Ihre Daten trainieren nichts

Wir konfigurieren Provider mit No-Training-Vereinbarungen und dokumentieren das. Kundendaten fließen nicht ins Training von Foundation-Modellen, vertraglich und technisch.

Belege statt Behauptungen

Qualität wird mit Evaluations-Sets und vor Go-live vereinbarten Abnahmekriterien gemessen, nicht mit Demos. Was wir nicht messen können, sagen wir.

Der Ausstieg ist Teil des Designs

Modell- und Provider-Entscheidungen sind dokumentiert und austauschbar. Sie erhalten Prompts, Evaluationsdaten und Runbooks. Ein Wechsel weg von uns darf das System nicht kosten.

Wie eine geregelte KI-Anfrage durchläuft

Jede Anfrage durchläuft denselben auditierten Pfad: freigegebene Quellen, berechtigungsbewusster Abruf, ein begrenzter Modellschritt, menschliche Freigabe und ein Audit-Log.

Approved sources
Permission-aware retrieval
Model / agent (bounded tools)
Human approval
Audit log
Schutzplanken und Feedback bei jedem Schritt

Schutzmechanismen und Feedback umschließen jeden Schritt. Folgenreiche Aktionen warten auf die menschliche Freigabe, bevor etwas verbindlich wird.

Wo wir beim EU AI Act stehen

Nach unserer bisherigen Einschätzung fallen die Systeme, die wir typischerweise bauen (interne Automatisierung, Retrieval, Assistenten mit Offenlegung), in die Kategorien minimales oder begrenztes Risiko des EU AI Act; jeden Use Case klassifizieren wir individuell im Scoping. Berührt ein Use Case eine Hochrisiko-Kategorie, sagen wir das im Angebotsstadium und bauen die geforderten Kontrollen ein: Risikomanagement, Logging, menschliche Aufsicht, technische Dokumentation. Als Entwicklungspartner unterstützen wir Sie bei Ihren Betreiberpflichten und dokumentieren alles, was Sie für Ihre eigene Bewertung brauchen. Wir verkaufen keine Zertifizierung; wir liefern die technische Grundlage, die Ihre Compliance-Arbeit möglich macht.

Wer freigibt, und was jede Rolle erhält

Ein KI-System durchläuft mehrere Prüfinstanzen, bevor es live geht. Wir geben jeder die Nachweise, die ihre Rolle verlangt.

Recht und Datenschutz (DSB)

Sie müssen die Position zu DSGVO und EU AI Act bestätigen, bevor das System echte Daten verarbeitet.

Risikoklassifizierung je Anwendungsfall, ein Verzeichnis der Verarbeitungstätigkeiten, AVV und TOM auf Anfrage sowie Hosting ausschließlich in der EU, wo Sie es brauchen.

Trust und Datenverarbeitung prüfen

Security und IT

Sie müssen wissen, welches Modell und welcher Anbieter jede Anfrage bearbeitet und wo die Daten physisch liegen.

Ein Modell- und Anbieterregister, EU-Hosting auf Render in Frankfurt, eine benannte Liste der Unterauftragsverarbeiter und Protokolle für jede automatisierte Entscheidung.

Die Sicherheitslage ansehen

Betriebsrat

Sie müssen bestätigen, dass das System nicht ohne Menschen über Beschäftigte entscheidet und transparent bleibt.

Menschliche Aufsicht bei Entscheidungen, die Personen betreffen, vollständige prüfbare Protokolle und keine automatisierte Aktion ohne Menschen in der Schleife, wo es darauf ankommt.

Lesen, wie wir KI steuern

Einkauf

Sie müssen einen neuen Anbieter freigeben und Preis, Eigentum und Ausstieg bestätigen, bevor Budget fließt.

Eine deutsche GmbH mit vollständigem Impressum, Festpreis-Engagements ab 25k EUR, Code in Ihren eigenen Repositories und eine dokumentierte Uebergabe.

Konditionen ansehen

Öffentlich prüfbares Engineering

Läuft auf dieser Website

Live

Der Assistent auf dieser Website ist ein agentisches, werkzeugnutzendes System, das wir gebaut haben und in Produktion betreiben, kein Demo hinter einem Login.

Vendure Data Hub

Open Source

Ein Vendure-Commerce-Plugin, das wir gebaut und veröffentlicht haben, öffentlich auf GitHub. Zwei unserer elf entwickelten Bundles sind öffentlich.

Auf GitHub ansehen

Pimcore Asset Pilot

Open Source

Ein Pimcore-Asset-Bundle, das wir gebaut und veröffentlicht haben, öffentlich auf GitHub und vollständig einsehbar.

Auf GitHub ansehen

Das Modell- und Provider-Register

Jedes Projekt führt ein lebendes Register, geliefert als Teil der Dokumentation:

Modell und Version

Welches Modell läuft, mit gepinnten Versionen und Änderungslog bei jedem Upgrade.

Provider und Region

Wo Inferenz stattfindet, unter welchem Vertrag, in welcher Jurisdiktion.

Zweck im System

Was das Modell im System tun darf und was nicht.

Datenklassen

Welche Datenkategorien das Modell erreichen, abgeglichen mit Ihrer Datenschutz-Dokumentation.

No-Training-Status

Die vertragliche und technische Einstellung, die Ihre Daten aus dem Training heraushält.

Fallback-Verhalten

Was das System tut, wenn das Modell ausfällt, in den Timeout läuft oder Unsinn liefert.

Was wir mit Ihren Daten tun, und was wir niemals tun

Governance lässt sich leichter vertrauen, wenn sie konkret ist. Das ist die Linie, die wir bei Ihren Daten halten.

Was wir tun

  • Ihre Daten in der von Ihnen geforderten Region halten, einschließlich Hosting ausschließlich in der EU
  • Einem Modell nur den Kontext geben, den eine Aufgabe braucht, nicht mehr
  • Jede automatisierte Entscheidung protokollieren, damit sie geprüft und erklärt werden kann
  • Einem Menschen erlauben, jede automatisierte Aktion zu übersteuern oder zu stoppen
  • Daten nach dem vereinbarten Zeitplan löschen und nachweisen, dass es geschehen ist

Was wir niemals tun

  • Öffentliche oder geteilte Modelle mit Ihren Daten trainieren
  • Personenbezogene Daten ohne Ihre Einwilligung an Dritte senden
  • Eine AI-Entscheidung dort ohne menschliche Kontrolle in Produktion bringen, wo es darauf ankommt
  • Verbergen, welches Modell oder welcher Provider eine Anfrage bearbeitet hat
  • Sie ohne Ausstieg zurücklassen: Das System und seine Daten bleiben Ihre

Governance über den Lebenszyklus

01

Scoping und Risikoklassifizierung

Bevor wir bauen: Was entscheidet das System, wer ist betroffen, wie sieht der schlimmste glaubwürdige Fehler aus, und welche EU-AI-Act-Kategorie greift.

02

Daten-Mapping

Welche Daten erreichen welches Modell unter welchem Vertrag. Mit Ihrem Datenschutzbeauftragten abgestimmt, bevor das erste Token fließt.

03

Evaluation und Abnahme

Ein Evaluations-Set und Abnahmekriterien, mit Ihnen vereinbart. Das System geht live, wenn es besteht, und die Zahlen wandern in die Übergabedokumentation.

04

Design der menschlichen Aufsicht

Definierte Prüf-Queues, Konfidenzschwellen und Eskalationspfade. Wer das System beaufsichtigt, bekommt Werkzeuge, nicht nur Verantwortung.

05

Versionierung und Change Control

Modell-Upgrades sind Changes, keine Überraschungen: gegen das Evaluations-Set getestet, im Register protokolliert, umkehrbar.

06

Incident-Handling

Definierte Schweregrade, ein Kill-Switch oder Degradationspfad und ein ehrliches Post-Mortem. KI-Vorfälle werden wie Produktionsvorfälle behandelt, weil sie es sind.

Vier Zusagen

  • Menschen behalten die Kontrolle
  • Ihre Daten trainieren nichts
  • Belege statt Behauptungen
  • Der Ausstieg ist Teil des Designs
Mit einem Engineer sprechen

Standards und Praktiken, an denen wir uns ausrichten

Wir erfinden Governance nicht von Grund auf neu. Wir richten uns an den Rahmenwerken aus, die Ihre Prüfer bereits kennen.

GDPR

Datenminimierung, Zweckbindung und das Recht auf Löschung sind in das System hineinkonstruiert statt nachträglich aufgesetzt. Die Verarbeitung bleibt dokumentiert und rechtmäßig.

EU AI Act

Wir klassifizieren jeden AI-Einsatz nach Risiko und wenden die Transparenz, Aufsicht und Dokumentation an, die diese Stufe verlangt, damit Sie bereit sind, sobald die Regeln in Kraft treten.

OWASP LLM Top 10

Prompt Injection, Datenabfluss und unsichere Ausgabeverarbeitung sind Bedrohungen, gegen die wir gestalten, mit derselben Sorgfalt wie bei jeder anderen Anwendungssicherheit.

Datenresidenz

Hosting in der EU-Region und, wo Sie es brauchen, On-Premise- oder Private-Cloud-Betrieb, damit Ihre Daten dort bleiben, wo Ihre Richtlinie es vorschreibt.

Fragen, die Legal- und Security-Teams stellen

Können Sie Modelle nur in der EU betreiben?

Ja. Wir wählen standardmäßig EU-Regionen, wo der Provider sie anbietet, und dokumentieren die Region pro Modell im Register. Existiert eine Fähigkeit nur außerhalb der EU, markieren wir das, und Sie entscheiden.

Was passiert mit unseren Prompts und Outputs?

Sie werden verarbeitet, um das System zu betreiben, und für Betrieb und Audit geloggt, nach Ihren Aufbewahrungsregeln. Unter den Provider-Bedingungen, die wir vertraglich vereinbaren, und den Konfigurationen, die wir im Register dokumentieren, werden sie nicht zum Training von Foundation-Modellen verwendet. Das Logging ist dokumentiert, damit Ihr Datenschutzbeauftragter es prüfen kann.

Wer haftet, wenn die KI falsch liegt?

Das System ist so gebaut, dass folgenreiche Entscheidungen einen menschlichen Aufsichtspunkt passieren. Der Vertrag regelt Verantwortlichkeiten präzise; die Architektur macht die Antwort prüfbar, und das Entscheidungslog zeigt, was passiert ist.

Können wir das System auditieren?

Ja. Die Dokumentation umfasst Register, Evaluationsergebnisse, Datenflüsse und Runbooks. Wir unterstützen Audits, statt sie zu fürchten; das System ist gebaut, um erklärt zu werden.

Was, wenn ein Provider die Bedingungen ändert oder abschaltet?

Provider-Entscheidungen sind dokumentiert, die Integrationsschicht hält Modelle austauschbar. Das Fallback-Verhalten ist Teil des Designs, und das Register nennt die Alternativen, die wir validiert haben.

Den AI-Stack erkunden

Produktionsreife KI
Enterprise-KI
RAG-Systeme
Agentische Frameworks

Engagement-Stufen

Oronts arbeitet mit ernsthaften Teams, die Senior-Delivery brauchen, kein Billig-Outsourcing.

Production Pilot
ab 25k EUR
Individualsoftware- und KI-Projekte
ab 50k EUR
Laufende technische Retainer
ab 15k EUR/Monat

Der genaue Preis hängt von Umfang, Verantwortung, Liefergeschwindigkeit, Teamgröße, Integrationen, Support-Erwartungen und Produktionsrisiko ab.

Den 90-Tage Production Pilot anfragen

Mit wem Sie arbeiten

HRB 288224
Eingetragen in München
15+
Jahre, gründergeführt
DE · EN · AR
Liefersprachen
2
Open Source auf GitHub
EU
Datenresidenz, Frankfurt
AVV/DPA
Unterschriftsbereit, Art. 28

Bringen Sie Ihre Governance-Fragen mit

Der schnellste Test: Bringen Sie die Fragen mit, die Ihr Legal- oder Security-Team bereits gestellt hat. Wir beantworten sie konkret, an Ihrem Fall.