AI Governance & Compliance

AI Literacy ist Pflicht — seit 2. Februar 2025 (EU AI Act Art. 4), nicht erst ab August 2026. Die behördliche Durchsetzung startet ab August 2026, aber die rechtliche Pflicht gilt jetzt. Dieser Kurs macht dich und deine Organisation absicherbar.

✦ Lernziel

Du kennst die wichtigsten Regulierungen (EU AI Act, ISO 42001, GDPR), erkennst AI Bias in deinem Arbeitsumfeld und weißt was du als IIO-Operator konkret tun musst um compliant zu sein.

⏱ ~240 Min Assessment starten →

▶ Erklärvideo

Bevor wir in Regulierungen einsteigen: Janelle Shane zeigt in 12 Minuten humorvoll aber treffend warum unkontrollierte AI zu unerwarteten Problemen führt. Das setzt den Rahmen.

The danger of AI is weirder than you thinkURL prüfen

📺 TED ⏱ 12 Min 🌐 EN · 🇩🇪 DE-Untertitel

Humor trifft Präzision: Shane zeigt warum unkontrollierte KI zu völlig unerwarteten Ergebnissen führt. Perfekter Kurs-Einstieg — motiviert ohne zu erschrecken.

▶ Video ansehen

▶ Erklärvideo

Vox zeigt echte Fälle von AI Bias (COMPAS, Amazon Recruiting). Motiviert den Fairness-Teil des Kurses — macht das Thema greifbar.

Coded Bias — Documentary TrailerURL prüfen

📺 Independent ⏱ 3 Min 🌐 EN · Untertitel verfügbar

Trailer zum Dokumentarfilm über AI Bias in Gesichtserkennung und Justiz. 3 Minuten — motiviert das Thema ernst zu nehmen.

▶ Video ansehen

▶ Erklärvideo

IBM gibt in 8 Minuten den besten Überblick über AI Governance als Konzept — bevor wir den ISO 42001 Standard im Detail anschauen.

Introduction to Generative AIURL prüfen

📺 Google Cloud ⏱ 22 Min 🌐 EN · Untertitel verfügbar

Google Cloud erklärt Generative AI — Was ist es, wie funktioniert es, welche Anwendungsfälle gibt es? Guter technischer Kontext für Governance-Überlegungen.

▶ Video ansehen

📖 Lerntext

⏱ ~60 Min lesen

Modul 1: ISO/IEC 42001 — AI Management System

Kurs: ai-governance-compliance | Modul: 1 von 4 | Dauer: ~60 min

Was ist ISO 42001?

ISO/IEC 42001:2023 ist der weltweit erste internationale Standard für ein AI Management System (AIMS).

Er definiert Anforderungen für:

Aufbau einer AI Governance
Implementierung von AI-Risikomanagement
Menschliche Aufsicht über AI-Systeme
Nachweisbare Kompetenz aller Beteiligten
Kontinuierliche Verbesserung

Wichtig: ISO 42001 ist kein Produkt-Standard (kein TÜV für AI-Modelle), sondern ein Organisations-Standard — wie eine Organisation AI verantwortungsvoll einsetzt und steuert.

Die 7 Hauptklauseln

Klausel 4 — Kontext der Organisation

Was muss die Organisation verstehen?

Interne und externe Faktoren die AI-Nutzung beeinflussen
Wer ist von AI-Systemen betroffen?
Welche gesetzlichen Anforderungen gelten?

IIO: layer-premises-catalog.yaml (organisatorischer Kontext) + orchestration/workspace.yaml (Systemumfang)

Klausel 5 — Leadership

Was muss das Management sicherstellen?

AI-Policy dokumentiert und kommuniziert
Rollen und Verantwortlichkeiten klar zugewiesen
Ressourcen für AI-Governance bereitgestellt

IIO: AGENTS.md (AI Policy) + team-roster.yaml (Rollen) + HITL-Gate-System (Ressourcen-Allocation)

Klausel 6 — Planung

Wie werden Risiken und Chancen adressiert?

AI-Risikoabschätzung durchführen
Messbaren AI-Objectives festlegen
Behandlungspläne für identifizierte Risiken

IIO: drift-report.yaml (Risiken) + CONTEXT-KNOWLEDGE-GAP-REGISTER.yaml (Behandlungspläne)

Klausel 7 — Support ← Dieser Kurs erfüllt diese Klausel

Welche Unterstützung ist erforderlich?

7.2 Kompetenz: Alle Beteiligten müssen nachweisbar kompetent sein
7.3 Awareness: Alle kennen AI Policy und ihre Auswirkungen
7.4 Kommunikation: Intern und extern kommunizieren
7.5 Dokumentation: Alle Anforderungen dokumentiert

IIO: iio/base/training/ + TRAINING-CADENCE-POLICY.md + training-status.yaml

Klausel 8 — Betrieb

Wie werden AI-Systeme operativ gesteuert?

Operational Controls implementiert
Risikobewertungen durchgeführt
AI System Impact Assessments erstellt
Datenmanagement sichergestellt

IIO: run-release-gate-chain.sh + AI-BIAS-FAIRNESS-FRAMEWORK.md + PII-DATA-RETENTION-POLICY.md

Klausel 9 — Performance-Evaluation

Wie wird die Wirksamkeit gemessen?

Kontinuierliches Monitoring
Interne Audits
Management-Reviews

IIO: AI-METRICS-DASHBOARD-SPEC.md + CONTINUOUS-MONITORING-FRAMEWORK.md + run-full-stack-audit.sh

Klausel 10 — Verbesserung

Wie wird kontinuierlich verbessert?

Nichtkonformitäten identifizieren und beheben
Lernschleifen implementieren

IIO: LEARNING-LOOP-SEED-NODE.md + drift-report.yaml + Session-Closeout-Prozess

Annex A — Kontrollen (ausgewählt)

ISO 42001 enthält in Annex A spezifische Kontrollmaßnahmen. Die wichtigsten für IIO-Operatoren:

Kontrolle	Anforderung	IIO-Umsetzung
A.2.2	AI Policy dokumentiert	`AGENTS.md` + `AGENT-EXECUTION-CONTRACT.md`
A.4.2	AI Risikobewertung	Premises-Katalog + Audit-Chain
A.5.1	Menschliche Aufsicht	HITL-Gate-System
A.5.2	AI Accountability	Evidence-Chain pro Operation
A.5.3	Transparenz	Manual-Portal (veröffentlichte Artefakte)
A.5.4	Fairness	`AI-BIAS-FAIRNESS-FRAMEWORK.md`
A.6.1	Datenqualität	`validate-classification-completeness.sh`
A.8.1	Incident Management	`drift-report.yaml` + Eskalationsprozess

IIO-Compliance-Status: ~92%

IIO wurde unabhängig von ISO 42001 entwickelt, erfüllt aber die meisten Anforderungen durch seine Architektur:

Stärke	Warum ISO-42001-konform
Evidence-native	Klausel 7.5 Dokumentation ist Nebenprodukt des Betriebs
Fail-closed	Klausel 8 Operational Controls sind architektonisch erzwungen
HITL-Gates	Klausel 5.1 Leadership + A.5.1 Human Oversight technisch durchgesetzt
Premises-Katalog	Klausel 6 Risk Management systematisch
Seed→Node-Projektion	Konsistente Governance über alle Tenants (Klausel 4.4)

Was ISO 42001 NICHT ist

Kein Zertifikat für AI-Modelle (das gibt es noch nicht)
Keine Garantie für fehlerfreie AI
Kein Ersatz für den EU AI Act (ergänzend, nicht ersetzend)
Keine Pflicht (aber starker Enterprise-Sales-Enabler)

Deine Pflichten als IIO-Operator (ISO 42001)

Pflicht	Konkret
Kompetenz nachweisen (7.2)	Diesen Kurs absolvieren + Gate-Approval
Policy kennen (7.3)	AGENTS.md lesen bei jedem Session-Start
Risiken dokumentieren (6.1)	Drifts in drift-report.yaml eintragen
Incidents melden (A.8.1)	Sofort eskalieren, nicht ignorieren
Evidence erzeugen (7.5)	Session-Closeout immer ausführen

Wissenscheck — Modul 1

Was ist der Unterschied zwischen ISO 42001 und einem AI-Modell-Zertifikat?
Welche Klausel betrifft direkt die Schulungspflicht?
Wie erfüllt IIO die Anforderung "Human Oversight" (A.5.1)?
Was tust du konkret um ISO 42001 Klausel 6 (Risikoplanung) zu unterstützen?
Warum ist IIO zu ~92% ISO-42001-konform ohne extra Aufwand?

← Kursübersicht→ Modul 2 — EU AI Act

✓ Zwischen-Check

Kurzer Check — kein Druck, nur zum Festigen.

1. ISO 42001 ist ein Standard für...?

a) Die Zertifizierung von AI-Modellen (wie TÜV) b) Das Management-System einer Organisation für verantwortungsvollen AI-Einsatz c) Die technischen Schnittstellen zwischen AI-Systemen

2. Welche ISO-42001-Klausel wird durch DIESEN Kurs erfüllt?

a) Klausel 8 — Betrieb b) Klausel 7.2/7.3 — Kompetenz und Awareness c) Klausel 4 — Kontext

3. Wie erfüllt IIO die Anforderung 'Human Oversight' (ISO 42001 A.5.1)?

a) Durch regelmäßige manuelle Überprüfungen b) Durch das HITL-Gate-System das Human Oversight technisch erzwingt c) Durch Dokumentation in AGENTS.md

🏢 Praxisbeispiel

Situation

Ein Enterprise-Kunde fragt Intelego: 'Ist euer IIO-System ISO 42001 konform? Wir brauchen das für unser Beschaffungsverfahren.' Du musst die Antwort vorbereiten.

❓ Wie beantwortest du die Frage — und wo findest du die Belege?

✅ Richtige Vorgehensweise

IIO erfüllt ~92% der ISO 42001 Anforderungen by Design. Belege:

iio/specs/governance/ISO-42001-COMPLIANCE-MAP.md

Vollständiges Mapping aller 7 Klauseln + Annex A Controls

iio/specs/transformation/evidence/

100+ Evidence-Files aus tatsächlichen Operationen

iio/specs/governance/hitl-gate-definitions.yaml

Nachweisliche Human Oversight (A.5.1)

iio/specs/governance/TRAINING-CADENCE-POLICY.md

Kompetenz-Nachweis Programm (Clause 7.2/7.3)

Antwort an Kunden: "IIO erfüllt ~92% von ISO 42001 nachweisbar.

Wir können Audit-Artefakte bereitstellen. Zertifizierung möglich."

iio_artifacts:

"iio/specs/governance/ISO-42001-COMPLIANCE-MAP.md"
"iio/specs/transformation/evidence/"

type: takeaway

id: M1-T1

title: "ISO 42001 auf einen Blick"

points:

"📊 ISO 42001 = wie eine Organisation AI verantwortungsvoll managt"
"📚 7 Klauseln — IIO erfüllt ~92% davon by Design"
"✅ Klausel 7.2/7.3: Kompetenz + Awareness — dieser Kurs ist der Nachweis"
"🔒 Nicht Pflicht — aber starker Nachweis für Enterprise-Kunden"
"🤝 ISO 42001 + EU AI Act ergänzen sich — keiner ersetzt den anderen"

# ═══════════════════════════════════════════════════════════════

# MODUL 2: EU AI Act

# ═══════════════════════════════════════════════════════════════

type: video

id: M2-V1

title: "EU AI Act — Alles was du wissen musst (IBM)"

video_ref: VID-MOT-001

purpose: >

IBM erklärt den EU AI Act in 12 Minuten klar und praxisnah.

Danach wird der Modultext zur Vertiefung viel leichter.

type: reading

id: M2-R1

title: "EU AI Act"

file: "02-eu-ai-act.md"

duration_min: 60

type: quiz

id: M2-Q1

title: "Kurzer Check: EU AI Act"

questions:

q: "Ein Unternehmen setzt AI für automatisierte Bewerbungsauswahl ein. Welche Klasse?"

options:

a: "Minimales Risiko — internes Tool"

b: "Hohes Risiko — Annex III: Beschäftigung"

c: "Verboten — AI darf nicht bei Einstellung eingesetzt werden"

correct: b

hint: "Annex III listet explizit: Einstellung, Beförderung, Kündigung = Hochrisiko."

q: "Ab wann ist AI Literacy für alle Beteiligten Pflicht (EU AI Act Art. 4)?"

options:

a: "Sofort — seit Inkrafttreten August 2024"

b: "Februar 2025"

c: "August 2026 (vollständige Anwendung)"

correct: c

hint: "Art. 4 AI Literacy gilt seit 2. Februar 2025 — nicht erst ab August 2026. August 2026 ist der Start der behördlichen Aufsicht, nicht der Pflicht."

q: "IIO als Systemhaus (Intelego) ist im EU AI Act welche Rolle?"

options:

a: "Deployer — setzt AI ein"

b: "Provider — entwickelt und vermarktet AI-Systeme für andere"

c: "Affected Person — von AI-Entscheidungen betroffen"

correct: b

hint: "Intelego entwickelt IIO-basierte Dienste für Tenants = Provider."

type: case

id: M2-C1

title: "Praxisfall: Der Tenant mit der neuen Idee"

scenario: >

Ein Tenant (Netplans) möchte AI einsetzen um Kreditanträge

von Geschäftskunden automatisch vorzusortieren.

Er fragt dich: 'Können wir das einfach deployen?'

question: "Was ist deine Antwort und was passiert als nächstes?"

answer: |

Nicht einfach deployen. Das ist ein Hochrisiko-System (EU AI Act Annex III: Grundversorgung — Kredit).

Korrekte Sequenz:

Risikoklassifizierung dokumentieren (Annex III bestätigen)
AI Impact Assessment (AIA) durchführen
Art. 9-15 Pflichten implementieren bevor Deployment:

Risikomanagementsystem
Datenqualitäts-Check
Technische Dokumentation
Logging
Human Oversight Mechanismus

HITL-Gate für dieses Deployment anlegen
Erst nach Gate-Approval deployen

iio_artifacts:

"iio/specs/governance/EU-AI-ACT-COMPLIANCE-MAP.md"
"iio/specs/governance/AI-BIAS-FAIRNESS-FRAMEWORK.md"
"iio/specs/governance/hitl-gate-definitions.yaml"

type: takeaway

id: M2-T1

title: "EU AI Act auf einen Blick"

points:

"⚠️ 4 Risikoklassen: Verboten → Hoch → Begrenzt → Minimal"
"📚 Art. 4 AI Literacy: Pflicht seit 2. Februar 2025 — Durchsetzung ab August 2026"
"🏢 Beschäftigung, Kredit, Bildung, Strafverfolgung = immer Hochrisiko"
"🔍 Hochrisiko braucht: Risikomanagement + Logging + Human Oversight"
"🚫 Verboten ab Feb 2025: Social Scoring, Emotion Recognition am Arbeitsplatz"

# ═══════════════════════════════════════════════════════════════

# MODUL 3: GDPR & PII

# ═══════════════════════════════════════════════════════════════

type: video

id: M3-V1

title: "GDPR in 7 Minuten erklärt"

video_ref: VID-GOV-001

purpose: >

Fireship erklärt GDPR klar und zugänglich.

Ideal vor dem Modultext — senkt die Einstiegshürde erheblich.

type: reading

id: M3-R1

title: "GDPR & PII-Handling in IIO"

file: "03-gdpr-pii.md"

duration_min: 50

type: quiz

id: M3-Q1

title: "Kurzer Check: GDPR & PII"

questions:

q: "Ein Agent soll eine Analyse erstellen. Dafür wäre Kundendaten nützlich. Was tust du?"

options:

a: "Kundendaten in den Prompt einbetten — der Agent braucht den Kontext"

b: "Prüfen ob PII wirklich notwendig ist. Wenn nein: ohne PII arbeiten."

c: "Kundendaten anonymisieren und dann verwenden"

correct: b

hint: "Datensparsamkeit: Zuerst prüfen ob PII überhaupt nötig ist. Meistens nicht."

q: "Gate-Approval-Records müssen wie lange aufbewahrt werden?"

options:

a: "1 Jahr"

b: "3 Jahre"

c: "7 Jahre"

correct: c

hint: "7 Jahre: Handelsrechtliche Aufbewahrungspflicht (HGB §257). Nicht 1 oder 3."

type: takeaway

id: M3-T1

title: "GDPR & PII auf einen Blick"

points:

"🔐 PII Klassen 1-4: von direkt identifizierend bis anonymisiert"
"⚖️ 6 GDPR-Grundsätze: Rechtmäßigkeit, Zweckbindung, Sparsamkeit, Richtigkeit, Speicherbegrenzung, Sicherheit"
"❌ Agenten dürfen keine PII in Prompts einbetten ohne Notwendigkeit"
"⏱ Gate-Records: 7 Jahre (HGB). Session-Evidence: 3 Jahre."
"🚨 PII-Breach: Sofort stoppen + Workspace Owner informieren (1h) + ggf. Behörde (72h)"

# ═══════════════════════════════════════════════════════════════

# MODUL 4: AI Bias & Fairness

# ═══════════════════════════════════════════════════════════════

type: reading

id: M4-R1

title: "AI Bias & Fairness"

file: "04-bias-fairness.md"

duration_min: 50

type: quiz

id: M4-Q1

title: "Kurzer Check: Bias & Fairness"

questions:

q: "Ein Agent empfiehlt immer denselben Lösungstyp. Welcher Bias?"

options:

a: "Datenbias"

b: "Bestätigungsbias"

c: "Auswahlbias"

correct: b

hint: "Bestätigungsbias = Agent verstärkt bekannte Muster ohne Alternativen zu prüfen."

q: "Was tust du wenn du vermutest dass Tenant A schnellere Gate-Approvals bekommt als Tenant B?"

options:

a: "Nichts — das variiert natürlich"

b: "Als Bias-Concern in drift-report.yaml dokumentieren + Risk Owner informieren"

c: "Gate-Prozess für Tenant A verlangsamen"

correct: b

hint: "Immer dokumentieren + Risk Owner. Nicht selbst 'korrigieren' ohne Analyse."

type: case

id: M4-C1

title: "Praxisfall: Der parteiische Algorithmus"

scenario: >

Ein Tenant nutzt ein AI-System zur Dokumenten-Klassifizierung.

Eine Mitarbeiterin bemerkt: Das System lehnt Dokumente aus

bestimmten Regionen häufiger als 'unvollständig' ab,

obwohl die Dokumente dieselbe Qualität haben.

question: "Was ist das — und was muss jetzt passieren?"

answer: |

Das ist möglicherweise Datenbias (historische Bias in Trainingsdaten)

oder Algorithmusbias. Muss sofort untersucht werden.

Schritte:

Sofort dokumentieren in drift-report.yaml (type: bias-concern, severity: high)
Risk Owner einbeziehen
AI Impact Assessment (AIA) für dieses System auslösen
Deployment stoppen bis Ursache geklärt (F-5 Non-Discrimination verletzt)
Fallweise Entscheidungen manuell prüfen bis System korrigiert ist

Warum sofort stoppen?

F-5 Non-Discrimination ist ein Fairness-Kriterium — Verletzung ist nicht

'irgendwann beheben', sondern sofort eskalationspflichtig.

iio_artifacts:

"iio/specs/governance/AI-BIAS-FAIRNESS-FRAMEWORK.md"
"iio/specs/agents/drift-report.yaml"

type: takeaway

id: M4-T1

title: "AI Bias & Fairness auf einen Blick"

points:

"🎯 3 Bias-Kategorien: Datenbias, Algorithmusbias, Interaktionsbias"
"⚖️ 6 Fairness-Kriterien (F-1 bis F-6): Prozedural, Transparenz, Accountability, Proportionalität, Non-Diskriminierung, Anfechtbarkeit"
"📋 AI Impact Assessment (AIA) vor jedem neuen AI-Deployment"
"🚨 F-5 Non-Discrimination verletzt → sofort eskalieren, nicht 'irgendwann'"
"📊 Tenant-Outcome-Verteilung quartalsweise prüfen (BF-003 Metrik)"

type: case

id: M4-C2

title: "Praxisfall: Der verdächtige Chatbot"

scenario: >

Ein Tenant setzt einen Chatbot ein der Kundensupportanfragen beantwortet.

Eine Kundenberaterin bemerkt: Der Bot antwortet auf Fragen von Frauen

mit anderen Empfehlungen als auf identische Fragen von Männern —

erkennbar an Namen und Anredeformen im Chat-Verlauf.

question: "Was ist das — EU AI Act relevant? Und was muss jetzt passieren?"

answer: |

Das ist Algorithmusbias (Rahmungsbias / historischer Bias in Trainingsdaten).

Möglicherweise auch ein Verstoß gegen Art. 5 EU AI Act (Diskriminierung).

Korrekte Sequenz:

Chatbot sofort offline nehmen (F-5 Non-Discrimination verletzt)
Vorfall dokumentieren: drift-report.yaml + incident-log.yaml
Risk Owner + Workspace Owner informieren
AI Impact Assessment für diesen Chatbot auslösen
Root Cause Analyse: Trainingsdaten? Prompt-Engineering? Modell?
Vor Reaktivierung: Bias-Test mit strukturierten Testfällen
EU AI Act: Falls Hochrisiko (Kundendienst-Entscheidungen) → Compliance-Check

Warum sofort offline?

Aktive Diskriminierung ist nicht 'irgendwann beheben' —

jede weitere Nutzung vertieft den Schaden und die Haftung.

wrong_approaches:

approach: "Nichts tun und beobachten ob es wirklich systematisch ist"

why_wrong: "Aktive Diskriminierung muss sofort gestoppt werden. Beobachten = weiterer Schaden."

approach: "Nur intern dokumentieren und extern nichts sagen"

why_wrong: "Je nach Schwere: GDPR Art. 34 und EU AI Act können Meldepflichten auslösen."

type: reflection

id: M4-RF1

title: "Abschluss-Reflexion: Dein AI-Governance-Commitment"

question: "Was wirst du nach diesem Kurs in deiner täglichen Arbeit konkret anders machen?"

prompt: "Ein klares Commitment — auch kleine Schritte zählen."

examples:

"Ich werde vor jedem neuen AI-Einsatz die Risikoklasse prüfen"
"Ich werde Bias-Bedenken sofort dokumentieren statt sie im Kopf zu behalten"
"Ich werde Gate-Approvals erst nach Prüfung der Kriterien erteilen"

course_completion:

message: >

Alle 4 Module abgeschlossen. 🎓

Dieses Assessment wird jährlich erneuert (EU AI Act Art. 4).

Jetzt das Assessment (25 Fragen, Mindest 80%) starten.

next_step: "assessment.html"

cta: "Assessment starten →"

1 / 1 Assessment starten →

📚 Primärquellen dieses Kurses

OCC

Verifizierte Public-Domain-Quellen — occ.space

⚖️

EU AI Act Primär 🇪🇺 EU

EU AI Act — alle Pflichten für Provider und Deployer

EU Artificial Intelligence Act (Full Text)

Quelle →

⚖️

EU AI Act Art. 6 Primär 🇪🇺 EU

EU AI Act Art. 6 — Hochrisiko-Klassifikation

EU AI Act — Article 6: Classification Rules for High-Risk AI

Quelle →

⚖️

GDPR Primär 🇪🇺 EU

DSGVO — Datenschutz im AI-Kontext

General Data Protection Regulation (GDPR)

Quelle →

📐

NIST AI RMF Primär 🇺🇸 US

NIST AI RMF — Referenz-Framework für ISO 42001

NIST AI Risk Management Framework 1.0

Quelle →

▸ Weitere Quellen (4)

📐

NIST GenAI RMF 🇺🇸 US

NIST GenAI RMF — generative KI Compliance

NIST AI 600-1: Artificial Intelligence Risk Management Framework — Generative AI

Quelle →

🌐

UNESCO AI Ethics 🌍 International

UNESCO AI Ethics — Bias und Fairness

UNESCO Recommendation on the Ethics of AI

Quelle →

📋

EC Trustworthy AI Guidelines 🇪🇺 EU

EC Trustworthy AI Guidelines

European Commission: Ethics Guidelines for Trustworthy AI

Quelle →

🤝

CoE AI Convention 🌍 International

Europarat KI-Konvention

Council of Europe — Framework Convention on AI (CETS 225)

Quelle →

🎓

Kurs abgeschlossen!

Assessment starten →