Vollständiges Fehlen technischer Dokumentation und nachweisbarer Transparenz, wodurch Konformität und Aufsichtsprüfungen nicht gewährleistet sind.
Management Summary
Das Unternehmen im Bildungssektor (Österreich, 2-10 Mitarbeitende) entwickelt AI-Systeme mit personenbezogenen Daten und weist eine schwache Gesamteinstufung von 38/100 auf. Kritisch sind fehlende technische Dokumentation und mangelnde nachweisbare Transparenz, was die Anbieterpflichten erheblich gefährdet. Governance, menschliche Aufsicht, Datenschutz und Shadow AI Kontrollen sind schwach ausgeprägt, während sektorale Risikoreduzierung und operative Resilienz solide, aber ohne Governance-Unterbau potenziell fragil sind. Die Handlungspriorität lautet zeitnah handeln.
KPI Dashboard
Organisationsprofil
Sektorprofil
Sektorspezifische Antworten
KPI Dashboard
Misst, wie klar Verantwortung, Rollen, Steuerung und interne AI Governance bereits angelegt sind.
- Ausgangsstand: Wir haben erste Regeln oder Gespräche.
- Governance: Verantwortliche Person, aber unklarer Umfang
- Dokumentation: Nicht dokumentiert
Misst, wie gut menschliche Prüfung, Freigabe und Kontrolle vor relevanter AI Nutzung abgesichert sind.
- Aufsicht: Informelle Prüfung
- Sektorprüfung: Informelle Prüfung
- Governance: Verantwortliche Person, aber unklarer Umfang
Misst, wie gut Datenexposition, Tool Kontrolle und Dokumentation zusammen geschützt sind.
- Datenart allgemein: Personenbezogene Daten
- Sektordaten: Nur Daten erwachsener Lernender
- Tool Kontrolle: Informelle Empfehlungen
Misst, wie gut die besondere Sensitivität des gewählten High Risk Sektors kontrolliert wird.
- Sektornähe: Lernunterstützung ohne Bewertungswirkung
- Sektordaten: Nur Daten erwachsener Lernender
- Sektorprüfung: Informelle Prüfung
Misst, wie gut Dokumentation, Nachvollziehbarkeit und Konformitätsvorbereitung bereits vorhanden sind.
- Dokumentation: Nicht dokumentiert
- Governance: Verantwortliche Person, aber unklarer Umfang
- Tool Kontrolle: Informelle Empfehlungen
Misst, wie gut AI Nutzung, Ergebnisse und relevante Auswirkungen erklärt, geprüft und nachvollzogen werden können.
- Dokumentation: Nicht dokumentiert
- Aufsicht: Informelle Prüfung
- Sektorprüfung: Informelle Prüfung
Misst, wie gut nicht freigegebene, private oder unkontrollierte AI Nutzung begrenzt ist.
- Tool Kontrolle: Informelle Empfehlungen
- Governance: Verantwortliche Person, aber unklarer Umfang
- Dokumentation: Nicht dokumentiert
Misst, wie stabil die Organisation gegenüber falschen AI Ergebnissen, Abhängigkeit und fehlenden Fallbacks ist.
- AI Einsatz: Erprobung oder informelle Tests
- AI Zweck: Verwaltung
- Aufsicht: Informelle Prüfung
Diagnostische Einordnung
Kontext
Unternehmen: Bildungssektor · Österreich · 2-10 Mitarbeitende · AI-Anbieter
Gesamtbewertung: 38/100 · schwach · Handlungspriorität: zeitnah handeln
Executive Diagnostic
Das Unternehmen entwickelt oder stellt AI-Systeme für andere bereit - im Bildungssektor, mit personenbezogenen Daten, in einem regulatorisch sensiblen Umfeld. Der EU AI Act klassifiziert AI-Systeme im Bildungsbereich unter bestimmten Bedingungen als hochriskant (Anhang III). Die Anbieterrolle verschärft die Anforderungen erheblich: Anbieter tragen die primäre Konformitätslast, unabhängig davon, ob das System intern oder extern eingesetzt wird.
Der Gesamtscore von 38/100 zeigt eine Organisation, die sich in einem frühen, informellen Zustand befindet. Erste Gespräche und Regeln existieren, aber keine tragfähige Struktur. Zwei KPIs befinden sich im kritischen Bereich. Die Kombination aus Anbieterrolle, personenbezogenen Daten und fehlender Dokumentation erzeugt ein konkretes regulatorisches Risiko.
Wichtigste Befunde
Kritische Lage
- Dokumentation existiert nicht. Für einen AI-Anbieter ist das kein Mangel, sondern ein Konformitätsausfall. Der EU AI Act verlangt technische Dokumentation vor dem Inverkehrbringen.
- Transparenz und Erklärbarkeit sind nicht operationalisiert. Nutzer und betroffene Personen erhalten keine strukturierten Informationen über das AI-System.
Schwache Lage
- Governance ist personengebunden, aber ohne definierten Umfang. Eine verantwortliche Person ohne klare Mandate ist kein Governance-System.
- Menschliche Aufsicht ist informell. Informelle Prüfung erfüllt die Anforderungen an Human Oversight unter dem EU AI Act nicht.
- Shadow AI ist schwach kontrolliert. Bei einem kleinen Team mit informellen Tests besteht ein erhöhtes Risiko unkontrollierter AI-Nutzung außerhalb jedes Rahmens.
- Datenschutz-Bereitschaft ist unzureichend. Personenbezogene Daten werden verarbeitet, ohne dass ein belastbarer Datenschutzrahmen erkennbar ist.
Stabilisierungsbedarf
- Der Sektor-Sensitivitätskontrollindex (63/100) ist der stärkste Einzelwert. Die Einschränkung auf Lernunterstützung ohne Bewertungswirkung und ausschließlich erwachsene Lernende reduziert das sektorale Risiko spürbar. Dieser Vorteil ist jedoch nur wirksam, wenn er dokumentiert und nachweisbar ist.
- Operative Resilienz (61/100) ist solide, aber ohne Governance-Unterbau strukturell fragil.
KPI Interpretation
| KPI | Score | Rating | Bedeutung |
|---|---|---|---|
| Dokumentations- und Konformitätsindex | 22/100 | kritisch | Keine technische Dokumentation vorhanden; Anbieterkonformität nicht herstellbar ohne diesen Baustein |
| Transparenz- und Erklärbarkeitsindex | 22/100 | kritisch | Keine strukturierte Information für Nutzer oder betroffene Personen; Transparenzpflichten nicht erfüllt |
| Shadow AI Kontrollindex | 26/100 | schwach | Informelle Testumgebung ohne Kontrollrahmen; unkontrollierte AI-Nutzung wahrscheinlich |
| Index für menschliche Aufsicht | 34/100 | schwach | Informelle Prüfung genügt nicht den Anforderungen an nachweisbare Human Oversight |
| Governance Klarheitsindex | 39/100 | schwach | Verantwortung ist personengebunden, Umfang unklar, keine strukturelle Absicherung |
| Datenschutz-Bereitschaftsindex | 40/100 | schwach | Personenbezogene Daten in Verarbeitung ohne belastbaren Datenschutzrahmen |
| Operativer Resilienzindex | 61/100 | solide | Funktionsfähigkeit vorhanden, aber ohne Governance-Fundament nicht nachhaltig |
| Sektor-Sensitivitätskontrollindex | 63/100 | solide | Risikoreduktion durch Fokus auf Lernunterstützung und erwachsene Lernende; Vorteil nur wirksam wenn dokumentiert |
Sektorbezogene Risikolage
Sektorbezogene Risikolage
Der Bildungssektor ist in Anhang III des EU AI Act explizit als Hochrisikobereich gelistet. Die konkrete Einstufung hängt vom tatsächlichen Verwendungszweck ab.
Risikoreduzierende Faktoren im vorliegenden Fall
- Der AI-Einsatz ist auf Lernunterstützung ohne Bewertungswirkung beschränkt. Systeme, die Bewertungen, Prüfungsergebnisse oder Bildungszugangsentscheidungen beeinflussen, tragen das höchste Risikoprofil. Dieser Bereich wird hier nicht berührt.
- Es werden ausschließlich Daten erwachsener Lernender verarbeitet. Minderjährige als besonders schutzbedürftige Gruppe sind nicht betroffen.
Verbleibende Risikofaktoren
- Die Anbieterrolle bleibt bestehen. Auch wenn das System nicht hochriskant im Sinne von Anhang III eingestuft wird, gelten allgemeine Anbieterpflichten: Transparenz, Dokumentation, Konformitätserklärung, Marktüberwachung.
- Der Verwaltungszweck in Kombination mit personenbezogenen Daten erzeugt datenschutzrechtliche Pflichten unabhängig von der AI-Act-Einstufung. DSGVO-Anforderungen sind parallel zu prüfen.
- Informelle Tests ohne Dokumentation bedeuten: Die tatsächliche Systemfunktion ist nicht nachweisbar. Im Streitfall oder bei Aufsichtsprüfungen fehlt jede Evidenzbasis.
- Die Grenze zwischen Lernunterstützung und Bewertungswirkung ist fließend. Ohne klare Definition und Dokumentation dieser Grenze kann die Risikoeinstufung nicht stabil gehalten werden.
Evidenzgrenzen
- Die tatsächliche technische Funktionsweise des AI-Systems ist nicht bekannt. Die Einstufung als Lernunterstützung ohne Bewertungswirkung basiert auf Selbstauskunft.
- Der Umfang der verarbeiteten personenbezogenen Daten ist nicht spezifiziert. Art, Menge und Sensitivität der Daten bleiben unklar.
- Die Qualität der informellen Prüfprozesse ist nicht beurteilbar. Informell kann von rudimentär bis faktisch wirksam reichen.
- Die Reichweite des Systems ist unbekannt. Wie viele Personen sind betroffen, in welchen Kontexten, mit welcher Entscheidungsrelevanz?
- Die rechtliche Einordnung als Hochrisiko-System oder Nicht-Hochrisiko-System erfordert eine vollständige Systemanalyse durch eine qualifizierte Rechts- und Technikprüfung. Diese Diagnose ersetzt diese Prüfung nicht.
Drei nächste Richtungen
Richtung 1: Dokumentationsfähigkeit herstellen
Der kritischste Einzelmangel ist das vollständige Fehlen von Dokumentation. Ohne Dokumentation ist keine Konformität nachweisbar, keine Aufsichtsprüfung bestehbar, keine Haftungsgrundlage verteidigbar. Die erste Richtung ist die Klärung, was das System tut, wie es entscheidet, welche Daten es verarbeitet und wer dafür verantwortlich ist - in einer Form, die schriftlich vorliegt und reproduzierbar ist.
Richtung 2: Governance-Umfang definieren
Eine verantwortliche Person ohne definierten Umfang ist kein Governance-System. Die zweite Richtung ist die Klärung, welche Entscheidungen diese Person treffen darf, welche Eskalationswege existieren und wie AI-bezogene Entscheidungen nachvollziehbar werden. Das ist keine Frage der Unternehmensgröße, sondern der Klarheit.
Richtung 3: Rechtliche Einstufung klären
Die Anbieterrolle im Bildungssektor mit personenbezogenen Daten erfordert eine fundierte Einschätzung, ob das System unter Anhang III fällt oder nicht. Diese Einschätzung muss auf der tatsächlichen Systemfunktion basieren, nicht auf der intendierten Nutzung. Die dritte Richtung ist die Einholung einer qualifizierten Ersteinschätzung durch eine auf AI-Recht spezialisierte Stelle - als Grundlage für alle weiteren Schritte.
Diagnostischer Report · EU AI Act High Risk Check · M13 Reasoning · Österreich · Bildungssektor
Gesamtscore 38/100 · Zwei kritische KPIs · Anbieterrolle aktiv · Handlungspriorität: zeitnah handeln
Qualitätssicherung
Die Diagnose wurde intern gegen Konsistenz, Evidenzgrenzen, Übertreibungsrisiken und fehlende Annahmen geprüft.
Die interne Prüfung ist nicht Teil des Kundenreports. Sie wurde genutzt, um die finale Auswertung zu begrenzen und zu schärfen.
Grenze dieses Reports
Dieser Report ist eine diagnostische Auswertung.
Er ersetzt keine rechtliche Einzelfallprüfung und keine vollständige technische Systemprüfung.
Er enthält keine vollständige AI Use Policy, keine Verantwortlichkeitsmatrix, keine technische Dokumentationsvorlage und kein vollständiges Umsetzungspaket.
Diese Artefakte gehören in den anschließenden Action Builder.
Wichtige Ausführungsschritte können über den Public Ledger nachvollziehbar gemacht werden.