ToJo Navigator · Modul: KI GovernanceToJo Navigator · Modul: KI GovernanceAnleitung zur sicheren Vorbereitung, Durchführung und Nachverfolgung einer KI-Hosting-Entscheidung — ToJo Navigator.
Dieser User Guide hilft Ihnen, die Eingabe in den ToJo Navigator vorzubereiten und den späteren Decision Record richtig zu nutzen. Je vollständiger Use Case, Datenprofil, Rollen, Anbieterinformationen und Compliance-Angaben vorbereitet sind, desto belastbarer wird die Auswertung. Er erklärt, wofür das Werkzeug gedacht ist, welche Informationen Sie vorab brauchen, wer intern beteiligt sein sollte, welche Daten Sie nicht eingeben sollten, wie der Navigator aufgebaut ist, wie der Decision Record zu lesen ist und welche Aufgaben nach der Auswertung im Betrieb entstehen.
Zweck: Der ToJo Navigator führt Ihr Unternehmen zu einer nachvollziehbaren Entscheidung, wo und wie eine KI-Anwendung betrieben wird (Public Cloud, Private Cloud, On-Premise, Hybrid oder AIaaS).
Ergebnis: ein Decision Record mit Empfehlung, Alternativenvergleich (Hosting-Ranking, qualitativ), Go-live-Auflagen, 90-Tage-Plan, Betriebsroutinen, KPI-Überwachung, Evidence-Matrix und Audit-Anhang — als Entscheidungsgrundlage und Nachweis. Hinweis: Es werden keine TCO-/Euro-Zahlen berechnet; die TCO-/Angebotsprüfung erfolgt separat.
Beteiligte: Geschäftsführung, IT-Leitung, Datenschutz, Security, Fachbereich, bei Bedarf Einkauf/Legal und externe Beratung.
Wann nur vorläufig: Fehlen Pflichtangaben oder zentrale Prüfpunkte (Use Case, Datenprofil, Rollen, Anbieter, Compliance), erzeugt der Navigator nur eine vorläufige Empfehlung — keine freigabefähige Entscheidungsvorlage.
Was es nicht ersetzt: Rechts-, Datenschutz- und Sicherheitsberatung, Anbieter-Audit, Zertifizierung und die finale Managemententscheidung.
Der ToJo Navigator unterstützt Ihr Unternehmen dabei, einen KI-Use-Case strukturiert zu erfassen, das Daten- und Risikoprofil zu dokumentieren, DSGVO- und AI-Act-Prüfpunkte vorzubereiten, Verantwortlichkeiten und Betriebsroutinen zu bewerten, Hosting-Optionen strukturiert zu vergleichen, Freigabebedingungen abzuleiten, einen Decision Record zu erzeugen und Nachweise sowie die laufende Überwachung vorzubereiten.
Wichtig: Das Ergebnis ist eine Entscheidungs- und Dokumentationsgrundlage, keine automatische Freigabe. Die Freigabe sprechen die Verantwortlichen Ihres Unternehmens aus.
Der ToJo Navigator strukturiert relevante Prüfpunkte und macht offene Auflagen sichtbar. Die finale Bewertung und Freigabe verbleiben bei Geschäftsführung, IT, Datenschutz, Security und ggf. externer Beratung. Er ersetzt insbesondere nicht:
Der Guide ist in drei Stufen nutzbar:
Den Zugangscode geben Sie auf der Startseite ein. Über „anderen Zugangscode eingeben" (unten auf der Startseite) wechseln Sie den Zugang.
Es gibt zwei Stellen zum Speichern: Im Eingabe-Formular sichern Sie Ihre Angaben als Entwurf (z. B. um später weiterzumachen, bevor Sie auswerten). Im fertigen Bericht speichern Sie den vollständigen Decision Record (Eingaben + Bewertung + Ihren Tracking-Stand) — das ist die Datei, die Sie aufheben und später wieder laden. Im Zweifel speichern Sie im Bericht.
Beim Ausfüllen des Formulars werden Ihre Eingaben automatisch im Browser-Speicher (localStorage) gesichert. Das bleibt lokal auf Ihrem Gerät — es wird nichts an den Server gesendet. Beim erneuten Öffnen erscheint ein Banner „Entwurf vorhanden", den Sie laden oder verwerfen können. Möchten Sie alle lokal gespeicherten Navigator-Daten löschen, klicken Sie im Formular auf „Lokale Browser-Daten löschen" unter der Auto-Sicherungs-Anzeige (oder löschen Sie die Browser-Daten für diese Seite). Bei Nutzung in fremden Browsern (z. B. Internet-Café) sollten Sie diese Funktion am Ende immer ausführen.
Was Sie im Bericht eintragen, wird automatisch in Ihrem Browser gesichert — Sie können die Seite schließen und am selben Rechner weitermachen. Mit „Stand speichern" (⚙-Menü unten links) legen Sie zusätzlich eine versionierte Datei an, die Sie archivieren, weitergeben oder auf ein Netzlaufwerk legen können. Der Dateiname enthält Firmenname, Datum und Version (z. B. Decision-Record_Muster-GmbH_17-06-2026_v2.json).
Wo die Datei gespeichert wird: In Chrome/Edge wählen Sie Ordner und Speicherort selbst. In Safari/Firefox landet sie im Downloads-Ordner; möchten Sie auch dort den Ort wählen, stellen Sie in Safari unter Einstellungen → Allgemein → Download-Speicherort auf „Beim Download nachfragen".
Der Speichern-Knopf zeigt den Stand an: rot = es gibt ungespeicherte Änderungen, grün = aktueller Stand ist als Datei gespeichert. Ein bestehendes Audit laden Sie auf der Startseite über „Bestehendes Audit laden".
Hinweis: Nicht jedes hier genannte Konzept ist ein separates Formularfeld — manches wird über zusammengesetzte Angaben erfasst (z. B. wird die Frage nach „automatischer Entscheidung mit erheblicher Wirkung" über die AI-Act-Risikoklasse mit abgedeckt, „Kritikalität" über Datenkategorien + Use-Case-Beschreibung). Die Liste hilft Ihnen, die Diskussion intern vorzubereiten.
Vorbereitend zu klären (nicht als Einzelfeld, aber in der Auswertung relevant): Fachbereich & Nutzergruppen, geplante menschliche Prüfung vor externer Nutzung, Kritikalität der Anwendung.
Vorbereitend zu klären: IT-Verantwortliche/r, Fachbereichsverantwortliche/r, Stellvertretungen. Diese werden im Rollen-Reiter im erzeugten Decision Record dokumentiert, sind aber keine Pflicht-Eingabefelder.
| Rolle | Beitrag zur Eingabe | Typische Verantwortung |
|---|---|---|
| Geschäftsführung | Zielsetzung, Risikoappetit, Budgetrahmen | finale Freigabe |
| IT-Leitung | Technik, Betrieb, Hosting-Optionen, Security-Baseline | technischer Betrieb & Sicherheit |
| Fachbereich | Use Case, Nutzen, Nutzergruppen, Kundenwirkung | fachlicher Owner der Anwendung |
| Datenschutzbeauftragte/r | Personenbezug, DSFA, VVT, Rechtsgrundlage | Datenschutz-Bewertung |
| Security / Informationssicherheit | Verschlüsselung, Zugriffe, Logging, Incident | Security-Freigabe |
| Einkauf / Legal | AVV, SLA, Subprozessoren, Vertrag | Vertragsprüfung |
| Controlling | Kostenannahmen, Budgettreue | Wirtschaftlichkeit |
| Externer Berater (falls vorhanden) | Recht, Datenschutz, Security, AI Act | fachliche Absicherung |
In kleinen Unternehmen können mehrere Rollen von einer Person wahrgenommen werden. Entscheidend ist nicht die Stellenbezeichnung, sondern dass jede Verantwortung eindeutig einer Person zugeordnet ist.
Der Navigator benötigt in der Regel Beschreibungen von Datenarten, nicht konkrete Rohdaten.
Geben Sie nur Informationen ein, die für die Bewertung erforderlich sind. Für die meisten Prüfpunkte genügt eine Beschreibung der Datenart, nicht der konkrete Datensatz.
Der Guide übermittelt Ihre Eingaben nicht an externe Dienste; es kommt kein externes KI-Sprachmodell zum Einsatz. Die Auswertung erfolgt auf Ihrer eigenen Infrastruktur.
| Schritt | Zweck | Ergebnis |
|---|---|---|
| 1 · Vorbereitung | Unterlagen, Rollen und Datenprofil bereitlegen | eingabebereit |
| 2 · Use Case & Datenprofil | Anwendung, Daten, Residenz und Verantwortliche erfassen | dokumentierter Use Case |
| 3 · Machbarkeit | sieben Grundvoraussetzungen prüfen | Go / zurückgestellt |
| 4 · Datenschutz / DSGVO | Personenbezug, DSFA-Relevanz, Art. 9 strukturieren | Datenschutz-Prüfpunkte |
| 5 · EU AI Act | Rolle und Risikoklasse vorläufig einordnen | AI-Act-Voreinstufung |
| 6 · Verantwortung & Betriebsroutinen | vier Routinen und Owner bewerten | Reifegrad & Auflagen |
| 7 · Hosting-Auswahl | Optionen in acht Kriterien gewichtet bewerten | Ranking & Empfehlung |
| 8 · Anbieter- & Security-Prüfung | bei Cloud/AIaaS Anbieter und Baseline prüfen | Anbieter-Checkliste |
| 9 · Decision Record | Ergebnis, Auflagen und 90-Tage-Plan erzeugen | Entscheidungsvorlage |
| 10 · Routinen & KPIs im Betrieb | laufende Nachweise und Kennzahlen pflegen | auditfähiger Betrieb |
Schritt 1 — Vorbereitung: Stellen Sie Unterlagen und Ansprechpartner zusammen (siehe Abschnitt 5). Je vollständiger, desto belastbarer das Ergebnis.
Schritt 2 — Use Case & Datenprofil: Sie beschreiben die Anwendung, die Datenarten, die gewünschte Datenresidenz und die Verantwortlichen. Diese Angaben sind Pflichtfelder für die Freigabe.
Schritt 3 — Machbarkeit: Sieben Grundvoraussetzungen (Daten, Owner, Prozesse, Regulatorik, Sektor, Vertrauen, Kapazität). Ist eine nicht erfüllt, wird die Entscheidung zurückgestellt.
Schritt 4 — Datenschutz: Der Navigator strukturiert die Datenschutz-Fragen; er trifft keine abschließende Rechtsbewertung.
Schritt 5 — EU AI Act: Vorläufige Einordnung von Rolle und Risikoklasse. Bei High-Risk-Verdacht erfolgt ein Warnhinweis.
Schritt 6 — Verantwortung: Vier Betriebsroutinen werden auf Reifegrad bewertet; ein „Nein" hält die Entscheidung an.
Schritt 7 — Hosting-Auswahl: Acht Kriterien werden je Option mit 1–5 bewertet und gewichtet. Es gibt drei Bewertungs-Modi (umschaltbar):
| Status | Wann angezeigt | Bedeutung für den Kunden |
|---|---|---|
| Entwurf | Use Case / Datenprofil leer oder Platzhalter | Pflichtangaben fehlen; der Report kann zur Vorbereitung exportiert werden, ist aber nicht freigabefähig. |
| Vorläufige Empfehlung | Ranking liegt vor, aber Pflichtangaben unvollständig | Ein Hosting-Ranking liegt vor, aber zentrale Angaben zu Use Case, Datenprofil, Anbieterprüfung oder Compliance sind noch unvollständig. |
| Entscheidungsreif mit Go-live-Auflagen (bernstein) | Mindestangaben vorhanden, keine harten Stopper | Die Empfehlung ist entscheidungsreif; offene Punkte sind als Go-live-Auflagen dokumentiert. Die Produktivnahme ist erst nach Nachweis dieser Auflagen zulässig. |
| Produktivnahme freigegeben (grün) | alle Go-live-Auflagen erfüllt + Sign-off | Alle Go-live-Auflagen sind nachgewiesen und die verantwortlichen Personen haben freigegeben. |
| Nicht freigabefähig | harte Stopper aktiv | Harte Stopper verhindern die Produktivnahme, z. B. fehlender AVV bei personenbezogenen Daten, nicht erfüllbare DE-/EU-Datenresidenz, kritischer Security-Kontrollpunkt „nicht erfüllt" oder ungeklärter High-Risk-Verdacht. |
| Zurückgestellt | Gate 1 (Machbarkeit) oder Gate 2 (Verantwortung) nicht erfüllt | Grundvoraussetzungen offen — es wird keine Empfehlung ausgesprochen; zuerst die offenen Punkte klären und erneut auswerten. |
| Begriff | Bedeutung | Beispiel |
|---|---|---|
| Pflichtfeld | Information, die benötigt wird, damit die Auswertung belastbar ist. | „Verarbeitete Datenarten müssen beschrieben werden." |
| Go-live-Auflage | Aufgabe, die vor der Produktivnahme erledigt und nachgewiesen werden muss (die Empfehlung kann bereits entscheidungsreif sein). | „Unterzeichneten AVV nachvollziehbar ablegen." |
| Stopper | Kritischer Punkt, der die Freigabefähigkeit verhindert, bis er geklärt ist. | „Kein AVV bei personenbezogenen Daten" · „kritischer Security-Kontrollpunkt nicht erfüllt" · „DE-only gefordert, aber keine DE-/EU-Region nachweisbar" · „ungeklärter High-Risk-Verdacht". |
Im Formular sind Pflichtfelder mit * markiert. Fehlt eine Angabe oder steht dort ein Platzhalter, wird der Report nur als „Vorläufige Empfehlung" ausgewiesen.
Zu vielen Go-live-Auflagen wird ein Nachweis/Dokument verlangt (z. B. Sign-off, AVV-Prüfung, DSFA-Schwellwert, Risiko-Check). Der Decision Record stellt dafür ausfüllbare Muster bereit — Sie müssen nicht bei null anfangen. Besonders für weniger erfahrene Anwender ist das die Brücke von „was ist zu tun" zu „wie sieht der Nachweis aus".
⚠ Die Muster sind Orientierung, keine Rechtsberatung. Rechtsdokumente (insbesondere der AVV) sind bewusst nur als Prüf-Checkliste hinterlegt — den eigentlichen Vertrag finalisieren Sie mit Datenschutzbeauftragtem/Anwalt.
Der Datenschutz-Abschnitt fragt nicht nach einer abschließenden Rechtsbewertung, sondern strukturiert die benötigten Informationen: personenbezogene Daten, Datenarten, Zweck, Rechtsgrundlage, AVV, Unterauftragsverarbeiter, Drittlandtransfers, Prompt-/Output-Speicherung, Löschfristen, TOMs, DSFA, VVT und Betroffeneninformation.
Der AI-Act-Abschnitt erfasst die Risikoklasse (verboten / hoch / begrenzt / minimal / unsicher) als vorläufige Einordnung. Weitere Aspekte — Rolle des Unternehmens (Anbieter / Betreiber), GPAI- oder Fremdmodell, automatische Entscheidung mit erheblicher Personen-/Kundenwirkung, Transparenz- und Schulungspflichten — sind bei der Einstufung mitzudenken und gesondert fachlich zu prüfen; der Navigator fragt sie nicht einzeln ab.
Bei Public Cloud und AIaaS verlassen Daten Ihr Haus — deshalb prüft der Navigator eine Security-Baseline aus 16 Kontrollpunkten: MFA, Rollen-/Rechtekonzept, API-Key-Speicherung, API-Key-Rotation, Verschlüsselung in Transit (TLS), Verschlüsselung at Rest, Logging/Audit-Logs, Monitoring, Incident-Meldeweg, SLA, Backup/Fallback, Supportzugriffe (EU/EWR), Training-Ausschluss mit Kundendaten, Prompt-/Output-Speicherung, Lösch-/Exportmöglichkeit und Mandantentrennung.
Jeder Punkt erhält zwei Bewertungen: (a) inhaltliche Bewertung (erfüllt / mit Auflage / offen / nicht erfüllt / nicht anwendbar) und (b) Nachweisstatus (offen / abgelegt / geprüft / nicht erforderlich). Die Eingabe erfolgt im Formular; der Report zeigt sie read-only.
Acht Punkte sind kritisch (★): MFA, Rollen-/Rechtekonzept, Key-Speicherung, TLS, at Rest, Logging, Training-Ausschluss, Mandantentrennung.
Betriebsroutinen sind wiederkehrende Governance-Nachweise. Sie dokumentieren, dass die KI-Anwendung nicht nur vor Go-live geprüft wurde, sondern auch im Betrieb kontrolliert bleibt. Sie werden also nicht nur einmal ausgefüllt.
| Routine | Wann wiederholen? | Typischer Nachweis |
|---|---|---|
| 1 · Risiko-Check vor Produktivnahme | vor Go-live, bei Major Update, Anbieter-/Modellwechsel, neuer Datenkategorie, neuer Kundenwirkung | Risk-Report |
| 2 · Fairness & Nachvollziehbarkeit | quartalsweise, nach Beschwerden, nach Vorfällen, nach größeren Änderungen | Fairness-/Monitoring-Report |
| 3 · Änderungen an Daten & Modell (Change Control) | bei Prompt-/System-Prompt-Änderung, RAG-Dokumentenänderung, Modellversionswechsel, Anbieterupdate, neuer Datenquelle | Change-Log mit Freigabe |
| 4 · Incident & Rollback | bei jedem Vorfall, SLA-Verletzung, Datenleckverdacht, Prompt-Injection, Kundenbeschwerde, Ausfall | Incident-Report + Rollback-Nachweis |
Jede Durchführung sollte mit Datum, Anlass, Systemversion, Ergebnis, verantwortlicher Person, Nachweis und Sign-off dokumentiert werden.
Das Routine-Logbuch dokumentiert jede Durchführung einer Betriebsroutine. Pro Eintrag sollten enthalten sein: Datum · Anlass · KI-System / Version · durchgeführt durch · geprüft durch · Ergebnis · offene Punkte · Maßnahmen · Nachweis / Ablageort · Sign-off · nächste Fälligkeit.
KPIs beantworten die Frage, ob die KI im laufenden Betrieb zuverlässig, sicher, wirtschaftlich und kontrolliert bleibt. Sie laufen in drei Phasen:
Typische Kennzahlen: Verfügbarkeit · Pflicht-Nachweise / Audit-Bereitschaft · ernste KI-Vorfälle · Budgettreue · Owner-Abdeckung · Kunden-/Fachbereichsnutzen · Schulungsquote / KI-Kompetenz · Time-to-Value.
| Bereich | Frage | Zeitpunkt | Ergebnis |
|---|---|---|---|
| Betriebsroutine | Haben wir den Prozess eingerichtet und durchgeführt? | vor Go-live, bei Änderungen, bei Reviews, bei Vorfällen | Reifegrad, Logbuch, Nachweis, Go-live-Auflage |
| KPI | Funktioniert die KI im Betrieb tatsächlich? | nach Go-live laufend | grün / gelb / rot, Maßnahme, Review |
Routinen prüfen die organisatorische Fähigkeit und Nachweisführung. KPIs messen die tatsächliche Betriebsleistung.
Die Evidence-Matrix zeigt, welche Aussage im Decision Record auf welchem Nachweis beruht.
| Aussage | Nachweis |
|---|---|
| DE-only erfüllt | Anbieterbestätigung / Vertrag |
| AVV abgeschlossen | unterschriebener AVV |
| Risiko-Check durchgeführt | Risk-Report |
| Incident-Prozess vorhanden | Incident-Plan |
| Security-Baseline geprüft | 16-Punkte-Baseline mit Bewertung + Nachweisstatus je Punkt |
| AI-Act-Einstufung dokumentiert | AI-Act-Check |
| DSFA geprüft | DSFA-Entscheid |
Ohne Nachweis sollte ein Punkt nicht als erfüllt markiert werden.
Antwortoptionen je Zeile: ja / nein / unklar.
Diese Übersicht erklärt für jedes Eingabefeld, was im Hintergrund passiert — ob es die Auswertung steuert oder nur dokumentiert wird. Viele dieser Hinweise stehen auch direkt an den Feldern im Formular; hier sind sie zum Nachschlagen gesammelt.
| Feld | Was dahinter steckt |
|---|---|
| Firmenname | Nur Dokumentation — erscheint auf Deckblatt, Fußzeile und im Datei-Namen beim Speichern. Keine Wirkung auf das Ergebnis. |
| Branche / Sektor | Steuert die Startwerte in Schritt 3. Bei Healthcare, Finance und Energie werden die Vorschlags-Noten von Public Cloud und AIaaS bei Compliance/Risiko gesenkt (dort heikler). Erscheint außerdem im Regulatorik-Anhang. |
| Größe (Micro/Small/Medium/Large) | Nur Dokumentation/Kontext. Es wird keine automatische Kostenschätzung berechnet; kein Einfluss auf das Ranking. |
| Land | Nur Dokumentation. |
| Anwendungsfall (Beschreibung) | Nur Dokumentation — Freitext im Bericht. |
| Typ der KI-Anwendung | Nur Dokumentation. |
| Datenkategorien | Überwiegend Dokumentation. Mild wirksam: dient als Ersatz-Signal für „personenbezogen", falls das Feld unten leer bleibt; „Gesundheitsdaten" blendet im Anhang den Art.-9-Hinweis ein. |
| Feld | Was dahinter steckt |
|---|---|
| Personenbezogene Daten? = Ja | Erzeugt zwei Freigabebedingungen: „Personenbezug dokumentieren" und „DSFA-Relevanz bewerten". |
| Besondere Kategorien (Art. 9)? = Ja | Stärkster Hebel: zusammen mit „DSB nicht eingebunden" wird die ganze Entscheidung zurückgestellt — auch wenn alle Schritte bestanden sind. |
| Kundendaten? = Ja | Erzeugt die Auflage „Vertraulichkeit & Geheimnisschutz prüfen". |
| Geschäftsgeheimnisse? = Ja | Gleiche Vertraulichkeits-Auflage. |
| Datenschutzbeauftragte/r eingebunden? | Sicherheits-Schalter zur Art.-9-Frage: nur in dieser Kombination wirksam. „Ja" lässt die Entscheidung weiterlaufen, „Nein"/leer hält sie an. Ohne Art.-9-Daten folgenlos. |
| IT-Verantwortliche/r | Wird gespeichert, bewirkt aktuell nichts — reines Dokumentationsfeld. |
| Auswahl | Was dahinter steckt |
|---|---|
| Verboten | Sofortiger Stopp — es findet keine weitere Auswertung statt. |
| Hochrisiko | Kein Stopp, aber ein prominentes Warnbanner „außerhalb des vorgesehenen KMU-Standardrahmens". |
| Begrenzt / Minimal | Normaler Durchlauf, kein Sonderverhalten. |
| Unsicher | Vorläufige Empfehlung — die Risikoklasse ist vor Go-live fachlich/rechtlich final einzustufen (kein harter Stopp, aber keine saubere Freigabe). |
Nur die angekreuzten Optionen werden in Schritt 3 bewertet. Was nicht angehakt ist, kommt nicht in den Vergleich.
| Auswahl | Was dahinter steckt |
|---|---|
| Zwingend DE / EU reicht | Souveränitäts-Filter: Public Cloud und AIaaS werden in Schritt 3 wegen Datenabfluss markiert; zusätzlich entsteht die Auflage „DE-/EU-Datenresidenz nachweisen". |
| Keine Beschränkung | Kein Filter, keine Residenz-Auflage. |
Jede Frage hat Erfüllt / Bedingt / Nicht erfüllt. Ein einziges „Nicht erfüllt" stellt die ganze Entscheidung zurück. „Bedingt" ist nur ein Hinweis und hält nicht an.
| Feld | Prüft … |
|---|---|
| T1 — Datenverfügbarkeit | Stehen nutzbare Daten bereit? (Ohne Daten kein KI-Betrieb.) |
| O1 — Owner | Ist eine verantwortliche Person benannt oder benennbar? |
| O2 — Prozesse | Gibt es dokumentierte Prozesse, in die die KI andockt? |
| E1 — Regulatorik | Sind DSGVO, AI Act und NIS2 identifiziert? |
| E2 — Sektor | Sektorrecht (BaFin, MDR, KRITIS …)? Hat zusätzlich „Nicht zutreffend". |
| P1 — Vertrauen | Akzeptanz bei Leitung und Fachbereich? |
| P2 — Change-Kapazität | Kann die Organisation den Roll-out stemmen? |
Jede Frage hat Ja / Teilweise / Nein. Ein einziges „Nein" stellt zurück und markiert die betroffene Routine. „Teilweise" ist nur ein Hinweis. Das Owner-Feld bei Routine 1 leer zu lassen zählt wie „Nein" — ohne benannte Verantwortung keine Freigabe.
| Routine | Worum es geht |
|---|---|
| SOP 1 — Risiko-Check | Auslöser, Bias-/Robustheitstests, Mitigation, Nachweis — plus verantwortliche Person. |
| SOP 2 — Fairness-/Transparenz-Monitoring | Laufende Überwachung, feste Frequenz, Gruppenvergleich, Nachweis. |
| SOP 3 — Change Control | Versionierung/Rollback, Freigabe-Rolle, gestaffelter Rollout, Artefakt-Logs. |
| SOP 4 — Incident & Rollback | Incident-Pfad, getesteter Rollback, Eskalation, Post-Incident-Review. |
| Feld | Was dahinter steckt |
|---|---|
| Noten-Matrix (8 Kriterien × Optionen, 1–5) | Kern der Berechnung: Note × Gewicht, aufsummiert — die höchste Summe gewinnt. Vorbelegt mit Branchen-Startwerten. |
| Gewichte (8 Felder, %) | Wie wichtig jedes Kriterium ist. Vorbelegt mit der Standardgewichtung des Bewertungsmodells (Herleitung im Methodik-Anhang). Ändern Sie sie, weist der Bericht „eigene Gewichtung" aus. Werden auf 100 % normiert. |
| Wirtschaftlichkeit | Fließt nur qualitativ in Gate 3 ein. Es werden keine TCO-/Euro-Zahlen berechnet; die TCO-/Angebotsprüfung erfolgt separat. Kein Einfluss aufs Ranking über das qualitative Kriterium hinaus. |