xH
FluxHuman
Compliance

Regulatorik verstehen. Automation richtig einsetzen.

EU-Regulierungen verändern, wie Unternehmen Technologie einsetzen. Hier ist, was für Ihre Automatisierungsprojekte wichtig ist.

DSGVOEU AI ActNIS2DORA

DSGVO

Seit 2018

Die Datenschutz-Grundverordnung regelt, wie personenbezogene Daten von EU-Bürgern erhoben, gespeichert und verarbeitet werden.

Wer ist betroffen?

Jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet – unabhängig vom Firmensitz.

Wichtige Anforderungen

  • Zweckbindung: Daten nur für festgelegte Zwecke
  • Datenminimierung: Nur erheben, was nötig ist
  • Recht auf Löschung: Daten auf Anfrage löschen
  • Meldepflicht: 72 Stunden bei Datenpannen
  • Auftragsverarbeitungsverträge mit allen Dienstleistern

Praktische Auswirkungen

  • US-Cloud-Dienste erfordern Standardvertragsklauseln (SCCs) und zusätzliche Maßnahmen
  • KI-Tools mit personenbezogenen Daten brauchen Auftragsverarbeitungsverträge
  • Automatisierte Entscheidungen erfordern Option zur menschlichen Prüfung

FluxHuman Ansatz

EU-Hosting bevorzugt. Keine Daten an US-Dienste ohne Ihre Zustimmung. Alle Automatisierungen dokumentiert.

FAQ

EU AI Act

Stufenweise 2024-2027

Die weltweit erste umfassende KI-Verordnung. Klassifiziert KI-Systeme nach Risikolevel und setzt entsprechende Anforderungen.

Wer ist betroffen?

Jeder, der KI-Systeme in der EU entwickelt oder einsetzt. Anforderungen hängen von der Risikoklassifizierung ab.

Zeitplan

Phase 1Feb 2025: Verbotene KI-Praktiken untersagt
Phase 2Aug 2025: GPAI-Modell-Regeln gelten
Phase 3Aug 2026: Hochrisiko-KI-Regeln durchgesetzt

Risikokategorien

  • Verboten: Social Scoring, manipulative KI, Echtzeit-Biometrie im öffentlichen Raum
  • Hochrisiko: HR-Entscheidungen, Kreditwürdigkeitsprüfung, kritische Infrastruktur
  • Begrenztes Risiko: Chatbots (Transparenzpflicht)
  • Minimales Risiko: Die meiste Geschäftsautomatisierung

Praktische Auswirkungen

  • Hochrisiko-KI erfordert Konformitätsbewertung, Dokumentation, menschliche Aufsicht
  • Chatbots müssen als KI gekennzeichnet werden
  • Die meiste Workflow-Automatisierung fällt unter minimales Risiko

FluxHuman Ansatz

Wir designen Use Cases so, dass sie wenn möglich in den minimalen oder begrenzten Risikobereich fallen.

FAQ

NIS2

DE: Dez 2025 / AT: Okt 2026

Die Netzwerk- und Informationssicherheitsrichtlinie 2 erweitert Cybersecurity-Anforderungen auf mehr Sektoren und kleinere Unternehmen.

Wer ist betroffen?

Mittlere und große Unternehmen (50+ Mitarbeiter oder €10M+ Umsatz) in betroffenen Sektoren. In Deutschland: ~30.000 Unternehmen.

Betroffene Sektoren

Energie, Transport, Banken, Gesundheit, Digitale Infrastruktur, Produktion, Abfall, Chemie, Lebensmittel, Post, Forschung

Wichtige Anforderungen

  • Risikomanagement-Richtlinien und -Verfahren
  • Vorfallmeldung innerhalb von 24 Stunden
  • Lieferketten-Sicherheitsaudits
  • Business-Continuity-Pläne
  • Geschäftsführerhaftung: Persönliche Verantwortlichkeit

Praktische Auswirkungen

  • Software-Anbieter werden Teil Ihrer Angriffsfläche
  • Sicherheitsfragebögen für jedes neue Tool
  • Keine Schatten-IT-Käufe mehr durch Abteilungen

FluxHuman Ansatz

Offene Standards, dokumentierte Prozesse, keine Blackbox. Wir liefern Sicherheitsdokumentation.

FAQ

DORA

Seit Jan 2025

Der Digital Operational Resilience Act schafft einen einheitlichen Rahmen für IKT-Risikomanagement im Finanzsektor.

Wer ist betroffen?

Banken, Versicherer, Investmentfirmen, Zahlungsdienstleister, Krypto-Anbieter und deren kritische IKT-Dienstleister.

Wichtige Anforderungen

  • IKT-Risikomanagement-Framework
  • Vorfallklassifizierung und -meldung
  • Regelmäßige Resilienztests
  • Drittanbieter-Register (Frist April 2025)
  • Exit-Strategien für alle kritischen Anbieter

Praktische Auswirkungen

  • Kein Vendor-Lock-in erlaubt, Anbieterwechsel muss möglich sein
  • Alle IKT-Anbieter müssen dokumentiert und überwacht werden
  • Verträge müssen Sicherheit, Audit-Rechte und Exit-Klauseln enthalten

FluxHuman Ansatz

Kein Vendor-Lock-in. Offene Standards. Exit-Strategie immer möglich. Vollständige Dokumentation.

FAQ

Unsere Prinzipien

Keine Ökosystem-Falle

Offene Standards. n8n, Make, Zapier oder maßgeschneidert. Wir nutzen, was passt. Nicht, was Sie bindet.

Von Jedem wartbar

Dokumentierte Prozesse, Standard-Werkzeuge. Jeder Entwickler kann die Arbeit fortführen.

KI nur wo sie hilft

Oft ist einfache Automation zuverlässiger. Wir empfehlen, was wirklich passt.

Manuelle Freigabe für Wichtiges

Kritische Entscheidungen erfordern manuelle Freigabe. Automation unterstützt, überstimmt nicht.

Unsicher, welche Regulatorien greifen?

Ein kurzer Call, um Ihre Compliance-Situation einzuschätzen. Unverbindlich.