Verfügbar für Interim-Mandate

AI Compliance Architect für regulierte Branchen

Ich baue KI-Compliance-Systeme, die funktionieren – damit Ihre KI-Projekte compliant werden nach EU AI Act & DSGVO.

TÜV-zertifiziert
25+ Jahre Finanzsektor
200+ Audits
Carsten Wittmann - AI Compliance Architect
Carsten Wittmann
🏆 TÜV Rheinland zertifizierter AI Consultant
🔒 Zertifizierter Datenschützer
📋 Compliance-Experte des Koerting Institute

Bekannt aus & Partner

Das Problem

Warum KI-Compliance so schwer ist

Ohne Experten
  • CAIO kann KI – aber keine Compliance
  • Compliance-Team kennt DSGVO – aber keine KI
  • Teure externe Berater ohne Branchenwissen
  • Endlose Abstimmungsschleifen
  • Deadline rückt näher…
Mit TUMAKI
  • Eine Person, die beides versteht
  • 25+ Jahre Finanzsektor-Erfahrung
  • Hands-on Implementierung, nicht nur Papier
  • BaFin-erprobte Frameworks
  • Audit-ready in Wochen, nicht Jahren

Spezialisierung

Was ich für Sie tue

Drei Kernbereiche, ein Ziel: Ihre KI-Projekte compliant und erfolgreich machen.

📋

AI Act Readiness

Von der Risk Classification bis zur Compliance Roadmap – ich mache Sie fit für den EU AI Act.

  • Risk Classification aller KI-Systeme
  • Gap Analyse & Compliance Roadmap
  • Technische Dokumentation
  • BaFin / EBA Compliance
🔧

KI-Governance

Aufbau nachhaltiger Governance-Strukturen für den verantwortungsvollen KI-Einsatz.

  • KI-Richtlinien & Policies
  • Risk Management Framework
  • Rollen und Gremien etablieren
  • Stakeholder-Management
🔒

Datenschutz für KI

DSGVO-konforme KI-Systeme – von der DSFA bis zum Privacy by Design.

  • DSFA für AI/ML Projekte
  • DSGVO-Bewertung von AI-Services
  • Training Data Compliance
  • Privacy by Design

So arbeite ich

In 4 Schritten zur AI Act Compliance

1

Erstgespräch

30 Min. kostenlos – wir besprechen Ihre Situation und Ziele.

2

Assessment

Ich analysiere Ihre KI-Systeme und identifiziere Compliance-Gaps.

3

Roadmap

Klarer Plan mit Prioritäten, Verantwortlichkeiten und Timelines.

4

Umsetzung

Hands-on Begleitung bis zum erfolgreichen Audit.

Track Record

Quantifizierte Erfolge

200+
Anwendungen & KI-Systeme auf DSGVO-Compliance geprüft
100+
Löschkonzepte erstellt & zur Umsetzung gebracht
5 Mio €+
Projektnutzen durch Process Excellence generiert
1000+
Unternehmer, Manager & Mitarbeiter geschult

Zusammenarbeit

Flexible Engagement-Modelle

Vom schnellen Assessment bis zum langfristigen Interim-Mandat.

Assessment

Schneller Überblick über Ihre AI Act Readiness

2-4 Wochen
Projektbasis
  • Risk Classification aller KI-Systeme
  • Gap-Analyse gegen AI Act
  • Priorisierte Compliance Roadmap
  • Executive Summary für Board
  • Keine Implementierung
Anfragen

Interim Leadership

Langfristige Begleitung als Interim AI Compliance Officer

3-12 Monate
2-4 Tage/Woche
  • Alles aus Framework Design
  • Operative Projektbegleitung
  • Team Enablement & Coaching
  • BaFin Audit-Vorbereitung
  • Nachhaltige Übergabe
Anfragen

Häufige Fragen zum EU AI Act

Was Compliance-Verantwortliche wissen müssen

Wann tritt der EU AI Act in Kraft und welche Fristen gelten? +
Der EU AI Act ist am 1. August 2024 in Kraft getreten und wird stufenweise anwendbar. Die wichtigsten Fristen sind: Seit 2. Februar 2025 gelten die Verbote für bestimmte KI-Praktiken (z.B. Social Scoring, Emotionserkennung am Arbeitsplatz) und die Pflicht zur KI-Kompetenz. Seit 2. August 2025 gelten die Regeln für General Purpose AI (GPAI) wie ChatGPT oder Gemini sowie die Governance-Strukturen. Ab 2. August 2026 werden die umfassenden Anforderungen für Hochrisiko-KI-Systeme verbindlich – das ist die kritische Deadline für die meisten Unternehmen. Für KI-Systeme, die in regulierte Produkte eingebettet sind, gilt eine verlängerte Frist bis August 2027.
Welche KI-Systeme gelten als Hochrisiko nach dem AI Act? +
Der AI Act definiert Hochrisiko-KI-Systeme in Anhang III. Für den Finanzsektor besonders relevant sind: KI zur Kreditwürdigkeitsprüfung und Bonitätsbewertung natürlicher Personen, KI zur Risikobewertung und Preisgestaltung bei Lebens- und Krankenversicherungen, sowie KI zur Betrugserkennung. Weitere Hochrisiko-Bereiche umfassen biometrische Identifizierung, KI in kritischen Infrastrukturen, Bildungs- und Beschäftigungsentscheidungen, Zugang zu wesentlichen Dienstleistungen, Strafverfolgung und Migration. Für diese Systeme gelten strenge Anforderungen an Risikomanagement, Datenqualität, technische Dokumentation, Transparenz, menschliche Aufsicht und Cybersicherheit.
Welche Strafen drohen bei Verstößen gegen den EU AI Act? +
Die Bußgelder im EU AI Act sind gestaffelt nach Schwere des Verstoßes: Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für verbotene KI-Praktiken wie Social Scoring oder manipulative KI. Bis zu 15 Millionen Euro oder 3% des Umsatzes für Verstöße gegen andere Pflichten des AI Act, etwa bei Hochrisiko-Systemen. Bis zu 7,5 Millionen Euro oder 1% des Umsatzes für falsche, unvollständige oder irreführende Angaben gegenüber Behörden. Diese Strafen gelten für EU- und Nicht-EU-Unternehmen gleichermaßen, sofern sie KI-Systeme im EU-Markt anbieten.
Brauche ich für KI-Systeme eine Datenschutz-Folgenabschätzung (DSFA)? +
Eine DSFA nach Art. 35 DSGVO ist für KI-Systeme in vielen Fällen verpflichtend. Sie ist erforderlich bei: systematischer und umfassender Bewertung persönlicher Aspekte (Profiling), Verarbeitung besonderer Kategorien personenbezogener Daten in großem Umfang, und systematischer Überwachung öffentlich zugänglicher Bereiche. Da die meisten KI-Systeme auf maschinellem Lernen mit personenbezogenen Trainingsdaten basieren und automatisierte Entscheidungen treffen, ist eine DSFA fast immer notwendig. Der AI Act ergänzt die DSGVO: Für Hochrisiko-KI-Systeme fordert er zusätzlich eine Grundrechte-Folgenabschätzung. Beide Anforderungen sollten in einem integrierten Assessment-Prozess adressiert werden.
Welche BaFin-Anforderungen gelten für KI im Finanzsektor? +
Finanzinstitute müssen KI-Systeme im Rahmen bestehender Regulierung einordnen: Die MaRisk (Mindestanforderungen an das Risikomanagement) verlangen ein angemessenes Risikomanagement für alle wesentlichen Risiken – KI-Modellrisiken fallen darunter. Die BAIT (Bankaufsichtliche Anforderungen an die IT) fordern Dokumentation, Testverfahren und Kontrollmechanismen für IT-Systeme, was KI einschließt. Die EBA Guidelines on ML for IRB Models stellen spezifische Anforderungen an maschinelles Lernen in internen Rating-Modellen. Zusätzlich wird der AI Act ab August 2026 für Hochrisiko-KI im Finanzsektor (Kreditwürdigkeitsprüfung, Versicherungs-Scoring) verbindlich. Eine integrierte Compliance-Struktur, die MaRisk, BAIT und AI Act gemeinsam adressiert, vermeidet Doppelarbeit.
Wie baue ich ein KI-Governance Framework auf? +
Ein wirksames KI-Governance Framework umfasst fünf Kernelemente: Erstens eine KI-Policy, die Grundsätze, Anwendungsbereiche und Verantwortlichkeiten definiert. Zweitens klare Rollen und Gremien – der AI Act fordert die Benennung von Verantwortlichen, viele Unternehmen etablieren einen AI Compliance Officer oder ein AI Ethics Board. Drittens ein Risk Assessment Prozess zur Klassifizierung aller KI-Systeme nach Risikoklassen und Identifikation von Compliance-Gaps. Viertens technische und organisatorische Dokumentation gemäß Art. 11 AI Act für Hochrisiko-Systeme. Fünftens ein laufendes Monitoring mit Post-Market-Surveillance und regelmäßigen Audits. Der Aufbau dauert typischerweise 3-6 Monate, abhängig von Unternehmensgröße und Anzahl der KI-Systeme.
Was ist der Unterschied zwischen AI Act und DSGVO bei KI? +
AI Act und DSGVO ergänzen sich und müssen beide erfüllt werden. Die DSGVO (seit 2018) regelt den Schutz personenbezogener Daten und gilt für alle KI-Systeme, die solche Daten verarbeiten – Rechtsgrundlage, Betroffenenrechte, DSFA und Auftragsverarbeitung sind zentral. Der AI Act (ab 2024/2026) reguliert KI-Systeme unabhängig davon, ob personenbezogene Daten verarbeitet werden – er fokussiert auf Sicherheit, Transparenz und Grundrechte. Überschneidungen gibt es bei Transparenzpflichten (beide fordern Information über automatisierte Entscheidungen), bei der Dokumentation (DSGVO Art. 30 und AI Act Art. 11) und bei Folgenabschätzungen (DSFA nach DSGVO, Grundrechte-Folgenabschätzung nach AI Act). Ein integriertes Compliance-Management ist daher sinnvoll.
Welche KI-Praktiken sind nach dem AI Act verboten? +
Seit 2. Februar 2025 sind folgende KI-Anwendungen in der EU verboten: Social Scoring durch Behörden oder Unternehmen, das zu ungerechtfertigter Benachteiligung führt. Manipulative KI-Techniken, die unterschwellig das Verhalten beeinflussen. Ausnutzung von Schwächen schutzbedürftiger Gruppen (Kinder, ältere Menschen, Menschen mit Behinderungen). Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen (mit Ausnahmen für Sicherheit und Medizin). Biometrische Kategorisierung nach sensiblen Merkmalen wie Ethnie oder politischer Überzeugung. Ungezieltes Scraping von Gesichtsbildern aus dem Internet für Gesichtserkennung. Echtzeit-Biometrie in öffentlichen Räumen durch Strafverfolgung (mit engen Ausnahmen). Verstöße können mit bis zu 35 Mio. Euro oder 7% des Umsatzes geahndet werden.
Was bedeutet die KI-Kompetenz-Pflicht nach Art. 4 AI Act? +
Seit 2. Februar 2025 müssen alle Anbieter und Betreiber von KI-Systemen sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Das bedeutet: Mitarbeiter, die KI-Systeme entwickeln, einsetzen oder überwachen, müssen die Funktionsweise, Risiken und Grenzen dieser Systeme verstehen. Schulungen müssen den technischen Kenntnisstand, die Erfahrung und den Einsatzkontext berücksichtigen. Dokumentation der Schulungsmaßnahmen ist erforderlich. Für Finanzinstitute empfiehlt sich ein abgestuftes Schulungskonzept: Basis-Awareness für alle Mitarbeiter, vertieftes Training für KI-Anwender und Spezialisierung für Compliance- und Entwicklungsteams. Die konkrete Ausgestaltung liegt beim Unternehmen – es gibt keine vorgeschriebenen Zertifikate.
Gilt der AI Act auch für ChatGPT und andere KI-Tools, die wir nutzen? +
Ja, der AI Act gilt auch für Unternehmen, die KI-Systeme nur nutzen (als Deployer oder Betreiber). ChatGPT, Copilot, Gemini und ähnliche Tools fallen unter die Regeln für General Purpose AI (GPAI). Für Nutzer bedeutet das: Sie müssen die Transparenzpflichten beachten – Mitarbeiter und Kunden müssen wissen, wenn sie mit KI interagieren. KI-generierte Inhalte (Texte, Bilder, Audio, Video) müssen als solche gekennzeichnet werden. Die KI-Kompetenz-Pflicht gilt auch für Nutzer dieser Tools. Wenn Sie GPAI in Hochrisiko-Anwendungen einsetzen (z.B. Kreditentscheidungen), gelten zusätzliche Pflichten. Prüfen Sie auch die Nutzungsbedingungen und Datenschutz-Vereinbarungen mit dem Anbieter – Sie bleiben für den DSGVO-konformen Einsatz verantwortlich.

Bereit?

Starten Sie Ihre AI Act Compliance jetzt

30 Minuten Erstgespräch – kostenlos und unverbindlich. Wir besprechen Ihre Situation und wie ich helfen kann.