Vier Tage über drei bis vier Wochen — externe, dokumentierte Bestandsaufnahme aller in Ihrem Unternehmen eingesetzten KI-Systeme. Mit GPAI-Klassifikation nach EU AI-Act, Risiko-Matrix und einer priorisierten Maßnahmenliste, die Ihr DPO im nächsten VVT-Update direkt verwenden kann.
Strukturierte Erfassung pro System: Hersteller, Use-Case, Datenkategorien, Output-Verwendung, Sub-Processor-Kette. Auch Schatten-IT-KI (Browser-Plugins, ChatGPT-Account in der Buchhaltung) wird mit-erfasst.
Pro System Klassifikation in: minimales Risiko · begrenztes Risiko (Transparenzpflicht Art. 50) · Hochrisiko (Anhang III) · verbotene Praxis (Art. 5). Plus Kennzeichnung als General-Purpose-AI (GPAI) wo zutreffend.
Visuelle Matrix für die Geschäftsführung. Entscheidungsgrundlage für Budget-Allokation auf Compliance-Maßnahmen.
Konkrete To-dos sortiert nach Aufwand × Wirkung. Pro Punkt: verantwortliche Rolle, geschätzter Aufwand in Personentagen, Frist relativ zum AI-Act-Inkrafttreten.
Ergebnis-Präsentation, Q&A, Maßnahmenliste durchsprechen, offene Fragen klären. Vor-Ort oder Remote nach Wunsch.
PDF (~ 30-40 Seiten), DSGVO Art. 30 VVT-kompatibel, mit Quellverweisen auf AI-Act-Artikel und einschlägige Aufsichts-Hinweise (BSI, BfDI, DSK).
Kurzer Abgleich: passt der Audit zu Ihrem Use-Case? Wer im Unternehmen muss eingebunden werden? Sind eingebundene Sub-Processoren bekannt? Kostenfrei, unverbindlich.
Vor-Ort oder Remote. Inventur-Workshop mit IT-Leitung + Fachbereichsverantwortlichen. Wir erfassen alle bekannten KI-Systeme + befragen nach Schatten-IT.
Wir analysieren pro System: Anbieter-DPA, Hosting-Region, AI-Act-Klassifikation, GPAI-Status. Bei Unklarheit Rückfragen per Mail oder kurzen Call. Vorläufige Risiko-Matrix.
Ergebnis-Präsentation an Geschäftsführung + DPO + IT-Leitung. Maßnahmenliste durchsprechen, Reihenfolge mit Ihrem Team finalisieren. Offene Fragen werden direkt geklärt.
Finale Audit-Dokumentation als PDF + Excel-Maßnahmen-Tracker. Empfehlung welche Punkte als Anirag-Lösung umsetzbar sind (optional, kein Kaufzwang).
Ja, gerade dann. ChatGPT-API-Calls fallen je nach Datenfluss in unterschiedliche AI-Act-Kategorien. Außerdem ist OpenAI als Sub-Processor in Ihrem VVT zu führen — falls das nicht dokumentiert ist, droht ein DSGVO-Bußgeld unabhängig vom AI-Act.
DSGVO-Audits prüfen Verarbeitungstätigkeiten allgemein. Wir fokussieren ausschließlich auf KI-Komponenten und mappen sie auf die EU-AI-Act-Klassifikationen (Art. 5, Art. 6, Anhang III) und die GPAI-Pflichten (Art. 53). Komplementär zu Ihrem bestehenden DSGVO-Audit, kein Ersatz.
Sie haben eine priorisierte Maßnahmenliste, die Ihr DPO ins VVT übernehmen kann. Auf Wunsch begleiten wir die Umsetzung einzelner Maßnahmen (z.B. RAG-Pipeline gegen sicheren EU-Hoster — siehe RAG-Pilot-Service). Kein Kaufzwang für Anirag-Software.
Bei sehr großen Beständen erweitern wir auf 6-8 Tage und passen das Pauschal-Honorar entsprechend an. Wir besprechen das im Discovery-Call und liefern ein Festpreis-Angebot vor Vertragsschluss — keine Stundensatz-Überraschungen.
Senior-Berater mit Praxiserfahrung in DSGVO-Audits + technischem Verständnis von LLM-/RAG-Architekturen. Kein White-Label durch Sub-Berater. Profil und Lebenslauf liefern wir vor Vertragsschluss.
Wir liefern ein DSK- und BSI-konsistentes Format, das Aufsichtsbehörden im Falle einer Anfrage als Nachweis akzeptieren. Eine Vorab-Zertifizierung des Audits ist nach AI-Act erst ab 2027 vorgesehen — bis dahin gilt: dokumentierte Sorgfalt schlägt fehlende Dokumentation.
Kostenfreier Discovery-Call · 4.900 € pauschal · Antwort werktags binnen 6 h.