Der NADOVO Compliance Cycle

Viele AI Compliance Frameworks zeigen einen linearen Prozess: Schritt eins, dann zwei, dann drei. Das klingt ordentlich, bildet aber nicht die Realität ab. Nicht jeder KI-Prozess braucht denselben Aufwand. Nicht jede Phase ist für jede Risikoklasse relevant. Mit dem NADOVO Compliance Cycle habe ich eine Darstellung entwickelt, die diese Flexibilität zeigt. Die Rauten-Form ist dabei kein Design-Gimmick, sondern bildet die tatsächliche Prozesslogik des EU AI Act ab.

Warum kein Kreis?

Klassische Compliance-Zyklen suggerieren, dass jeder Prozess alle Phasen durchläuft. Das stimmt für Hochrisiko-Systeme. Aber der EU AI Act differenziert nach Risikoklassen, und das muss sich im Prozess widerspiegeln. Ein KI-System mit minimalem Risiko braucht kein vollständiges Risk Assessment. Warum sollte es denselben Weg gehen wie ein Hochrisiko-System im HR-Bereich?

Die neue Darstellung ist eine Raute mit vier inneren Phasen und einem umgebenden Rahmen. Diese Form erlaubt verschiedene Pfade je nach Situation.

Die fünf Phasen im Überblick

DISCOVER bildet die Spitze. Hier entsteht das KI-Asset-Register: Welche KI-Systeme existieren im Unternehmen? Wer ist Provider, wer Deployer? Welche Schatten-KI nutzen Mitarbeiter ohne IT-Freigabe? Ohne diese Transparenz fehlt die Grundlage für alles Weitere.

DEFINE und ASSESS liegen auf der mittleren Ebene, nebeneinander. DEFINE verbindet Asset und Anwendungsfall zum KI-Prozess und bestimmt die Risikoklasse. ASSESS führt die systematische Risikobewertung durch, erstellt Mitigationsmaßnahmen und dokumentiert die menschliche Aufsicht.

IMPLEMENT sitzt darunter. Hier werden Maßnahmen umgesetzt, Schulungen durchgeführt und Standard Operating Procedures erstellt.

MONITOR umgibt alles als kontinuierlicher Rahmen. Diese Phase läuft nicht einmal ab, sondern dauerhaft. Sie überwacht die laufenden Prozesse und triggert bei Bedarf Rücksprünge in frühere Phasen.

Die Pfade durch den Cycle

Der Hauptfluss führt von DISCOVER über DEFINE zu ASSESS und weiter zu IMPLEMENT. Das ist der vollständige Pfad für Hochrisiko-Prozesse nach Annex III des EU AI Act. Hier braucht es die komplette Dokumentation, Risikobewertung und Maßnahmenumsetzung.

Aber nicht jeder Prozess ist Hochrisiko. Für KI-Systeme mit begrenztem oder minimalem Risiko existiert ein direkter Pfad von DEFINE zu IMPLEMENT. Wenn die Risikoklassifizierung ergibt, dass nur Transparenzpflichten oder freiwillige Maßnahmen gelten, kann ASSESS übersprungen werden. Das spart Aufwand, ohne Compliance zu gefährden.

MONITOR ist kein Endpunkt, sondern ein Ausgangspunkt für neue Durchläufe. Wenn ein bestehendes System einen neuen Anwendungszweck bekommt, springt der Prozess zurück zu DEFINE. Die Risikoklasse muss neu bewertet werden. Dasselbe gilt, wenn sich regulatorische Anforderungen ändern.

Bei jährlichen Reassessments oder nach Incidents springt MONITOR direkt zu ASSESS. Das bestehende System wird neu bewertet, ohne die Erfassung und Definition zu wiederholen.

Warum diese Darstellung?

Die Raute kommuniziert drei Dinge gleichzeitig. Erstens: Es gibt eine Struktur mit klaren Phasen. Zweitens: Nicht alle Pfade sind gleich lang. Drittens: Compliance ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess.

Für KMUs ist das entscheidend. Die Angst vor dem EU AI Act speist sich oft aus der Vorstellung, dass jedes KI-Tool denselben Riesenaufwand bedeutet. Der NADOVO Compliance Cycle zeigt: Der Aufwand skaliert mit dem Risiko. Wer hauptsächlich Minimal-Risk-Systeme einsetzt, hat einen schlanken Pfad. Wer Hochrisiko-Systeme betreibt, investiert mehr, aber gezielt und planbar.

Eine weiterentwickelte Darstellung

Die bisherige Visualisierung des NADOVO Frameworks zeigte einen klassischen Kreislauf mit Pfeilen im Uhrzeigersinn. Die fünf Phasen und ihre Inhalte bleiben unverändert. Was sich ändert, ist die Art, wie ich die Zusammenhänge darstelle. Die neue Raute mit MONITOR als Rahmen bildet die flexible Prozesslogik besser ab. Sie zeigt, dass MONITOR keine Phase nach IMPLEMENT ist, sondern eine permanente Funktion, die den gesamten NADOVO Cycle begleitet und bei Bedarf neue Durchläufe anstößt. Und sie macht sichtbar, dass nicht jeder Prozess denselben Pfad nimmt.

Ihr nächster Schritt

Prüfen Sie Ihre bestehenden KI-Systeme: Welche Risikoklasse haben sie? Welchen Pfad durch den Cycle brauchen sie wirklich? Oft stellt sich heraus, dass der Großteil der Systeme den schlanken Pfad nehmen kann. Das macht AI Compliance beherrschbar, auch ohne Enterprise-Budget. Starten Sie mit der Erfassung Ihrer KI-Systeme und arbeiten Sie sich durch den NADOVO Compliance Cycle, Schritt für Schritt, in Ihrem Tempo.

Über den Autor

Jochen Stier ist AI Compliance Experte mit über 20 Jahren Erfahrung in Prozessmanagement und IT Service Management. Er unterstützt deutsche KMUs dabei, die Anforderungen des EU AI Act systematisch und pragmatisch umzusetzen. Sein 5-Phasen Framework NADOVO verbindet regulatorische Anforderungen mit praktischer Umsetzbarkeit, ohne Enterprise-Budgets oder komplexe Tools.