KI im Fadenkreuz der Aufsichtsbehörden: Checkliste zur Vorbereitung auf Prüfungen

Was die Behörden wirklich prüfen

Die Datenschutzaufsichtsbehörden bewegen sich in dem ihnen zugeteilten Kompetenzbereich: Geprüft wird daher die Einhaltung der Grundsätze der DSGVO, d.h. die DSGVO-konforme Verarbeitung personenbezogener Daten und die darüber zu erbringende Rechenschaft vor der Behörde.

Die Herausforderung im KI-Kontext besteht darin, dass der Großteil der DSGVO-Grundsätze teilweise im Widerspruch zum KI-Einsatz stehen. Es gilt aufzuzeigen, dass man die KI-spezifischen Risiken bei der datenschutzrechtlichen Bewertung im Blick hat und vermeintliche Widersprüche sachgerecht adressiert und aufgelöst hat.

Uneinigkeit zwischen Aufsichtsbehörden

Um erste Anhaltspunkte zu den konkreten Anforderungen der Datenschutzaufsichtsbehörden zu erlangen, lohnt sich der Blick in die aktuellen Veröffentlichungen der Landesdatenschutzbehörden, der DSK und des EDSA zur Schnittstelle von Datenschutz und KI-Anwendungen.

Vor dem Hintergrund, dass noch keine EuGH-Rechtsprechung zu den konkreten Anforderungen vorliegt, nehmen die Paper nicht für sich in Anspruch, belastbare Lösungen zu bieten, sondern unterbreiten lediglich Vorschläge und bieten eine Orientierungsgrundlage.

Um jedoch die Erwartungen der Aufsichtsbehörden abzustecken, kann man sich an den Papern der Aufsichtsbehörden orientieren. Es ist allerdings zu beachten, dass selbst zwischen den Aufsichtsbehörden nicht immer Einigkeit hinsichtlich datenschutzrechtlicher Fragestellungen herrscht.

Ein Beispiel hierfür ist das Diskussionspapier der Hamburger Datenschutzaufsicht zu Large Language Models (LLMs), welches für Aufsehen in der Datenschutzwelt sorgte. Die Behörde ist der Ansicht, in LLMs würden keine personenbezogenen Daten gespeichert.

Dies steht im Kontrast zur Äußerung der baden-württembergischen Aufsicht und hätte zur Folge, dass sich Betroffenenrechte nur auf den In- und Output eines KI-Systems beschränken, aber nicht das Modell selbst zum Gegenstand haben könnten. Vor diesem Hintergrund ist es seitens der Beratung wichtig, sich zu positionieren und ein Gefühl für die beste Lösung zu entwickeln.

Die Sichtung verschiedener Behördendokumente verschafft Unternehmen somit einen Überblick darüber, was von den Aufsichtsbehörden gefordert wird, aber nicht, WIE damit umzugehen ist. Auffällig ist, dass der Dokumentendschungel Unternehmen, die KI von Dritten beziehen (AiaaS/Dienstleister), im Regen stehen lässt und nur sehr vage Aussagen zu der Konstellation trifft.

Deshalb ist es wichtig, systematisch vorzugehen und den Lebenszyklus der KI vor Augen zu haben, z.B. anhand des MLOPs-Modells. Das bedeutet, dass jede „Lebensphase“ von der Auswahl und des Training des KI-Modells, über das Testen und Validieren bis hin zum Verwenden des KI-Systems gesondert datenschutzrechtlich bewertet werden muss.

Wo KI und DSGVO kollidieren

Transparenz vs. Blackbox

Betroffenenrechte verlangen Nachvollziehbarkeit, während moderne KI-Modelle oft undurchsichtig bleiben.

Die Anforderungen an die Transparenz, insbesondere im Hinblick auf die Betroffenenrechte, wie das Auskunfts- und Informationsrecht, stehen im Widerspruch dazu, dass – bei Verwendung der gegenwärtigen GenAI-Modelle – KI-Entscheidungsprozesse im Einzelnen nicht vollends nachvollziehbar sind (Blackbox-Phänomen).

Dies kann dazu führen, dass Pflichtinformationen nach Art. 13 DSGVO oder Auskunftsansprüche gegebenenfalls nicht ohne Weiteres erfüllt werden können, weil dem Unternehmen nicht ausreichende Informationen zur Verfügung stehen, dies die Offenlegung von Geschäftsgeheimnissen bedeuten würde oder die Informationen nicht dem erforderlichen Level an Verständlichkeit genügen.

Eine vollständige und transparente Information i. S. d. Art. 13, 14 DSGVO über die mittels KI erfolgende Datenverarbeitung ist daher häufig kaum möglich. Dieses Problem versucht der Ansatz „Explainable AI“ (XAI) zu lösen, der mithilfe verschiedener Methoden versucht, Licht ins Dunkel zu bringen. Einer dieser Ansätze sind Post-Hoc-Verfahren wie die SHAP-Methode (Shapley Additive Explanations).

Hierbei wird versucht, den Einfluss, den jede Eingangsvariable auf das Resultat hat, zu ermitteln und zu erläutern. Dies ermöglicht Rückschlüsse auf den Entscheidungsprozess der KI, wodurch insgesamt eine höhere Nachvollziehbarkeit erreicht wird.

Eine weitere Methode nennt sich „Counterfactual Explanations“. Dabei wird der KI ein Input gegeben und im Nachhinein durch Erprobung ermittelt, durch welche Änderungen am Input die KI zu einem signifikant abweichenden Ergebnis gekommen wäre. Hiermit werden die ausschlaggebenden Parameter der Entscheidung eingegrenzt und Entscheidungen von KIs nachvollziehbar.

Unabhängig von der gewählten Methode müssen jedenfalls die Datenflüsse im Zusammenhang mit den KI-Anwendungen phasenweise im Verzeichnis von Verarbeitungstätigkeiten abgebildet werden, um jedenfalls die interne Dokumentation als Grundlage für die Erfüllung der Transparenzpflichten aufzubauen.

Zweckbindung vs. Trainingsdaten

Historische Daten dürfen nicht beliebig neu genutzt werden – es sei denn, sie sind wirksam anonymisiert oder durch Reallabore abgedeckt.

Der in Art. 5 Abs. 1 lit. b DSGVO festgelegte Grundsatz der Zweckbindung besagt, dass erhobene Daten nur zu dem Zweck verarbeitet werden dürfen, zu dem sie erhoben wurden. In der Praxis sollen jedoch gerade historische Daten für das KI-Training genutzt werden. Nach dem Grundsatz der Zweckbindung sind die Daten außerhalb ihres ursprünglichen Zweckes also nicht ohne Weiteres für das Training von KI nutzbar.

Ein Lösungsansatz hierfür kann die Verwendung von anonymisierten oder synthetischen Daten sein. Anonymisierte Daten sind ursprünglich personenbezogene Daten, die aber so verändert wurden, dass sie keine Rückschlüsse mehr auf die Person zulassen. Bei effektiver Anonymisierung sind diese Daten dem Anwendungsbereich des Datenschutzrechtes entzogen, so dass sie frei für das KI-Training verwendet werden können.

Bei anonymisierten Daten stellt sich jedoch besonders für kleine und mittelständische Unternehmen das Problem, dass eine robuste Anonymisierung sehr aufwendig sein kann. Zudem besteht die Gefahr, dass anonymisierte Daten, die im Rahmen des Trainings einer KI verwendet wurden und später durch diese reproduziert werden, in Kombination mit externen Datensätzen, die einem Dritten vorliegen, eine nachträgliche Identifizierbarkeit der betroffenen Personen zulassen.

In der Literatur werden teilweise sehr strenge Ansichten vertreten, wonach dass Daten nur dann anonymisiert sind, wenn eine Re-Identifizierung unter keinen Umständen und auch mit zukünftigen Methoden nicht realisierbar ist. Folgt man dieser Ansicht, sind anonymisierte Daten faktisch nicht zum KI-Training nutzbar, ohne ein Haftungsrisiko einzugehen. Zudem besteht bei anonymisierten Daten das Risiko, dass sie für ein KI-Training ungeeignet sind, weil das für das KI-Training relevante Datum anonymisiert werden musste.

Eine andere Möglichkeit zum Training ist die Nutzung von synthetischen Daten. Dabei handelt es sich um Daten, die vollständig künstlich generiert wurden. Sie sind echten personenbezogenen Daten nachempfunden, ohne aber auf echte Personen bezogen zu sein. Synthetische Daten können unter Umständen im Rahmen des KI-Trainings vergleichbare Lerneffekt zulassen. Allerdings besteht das Risiko, dass das alleinige Training mit synthetischen Daten eine Echokammer erzeugt.

Man kann sich hierzu ein KI-System vorstellen, das die eigenen Prüfungsergebnisse korrigiert und im nächsten Schritt die Korrektur der Korrektur liest und bewertet. Hierbei könnte der wünschenswerte Fall eintreten, dass das KI-System eigene Fehler erkennt, da es bereits ausreichendes Trainingsmaterial erhalten hat und darauf basierend sukzessive Fehler entfernt, bis das Ergebnis fehlerfrei ist. Es besteht jedoch auch das Risiko, dass das KI-System die Fehler nicht erkennt, sondern den fehlerhaften Teil als korrekt identifiziert und den gleichen Fehler erneut in größerem Ausmaß begeht.

Der Grundsatz der Zweckbindung erfährt jedoch mit Art. 59 Abs. 1 AI Act eine Durchbrechung. Dort ist ein datenschutzrechtlicher Erlaubnistatbestand geregelt, der eine Weiterverarbeitung personenbezogener Daten im Rahmen der Entwicklung von KI-Systemen in einem KI-Reallabor unter strengen und zahlreichen Voraussetzungen zulässt.

KI-Reallabore bezeichnen Experimentierräume für Unternehmen und weitere Akteure, um KI-Systeme in einem geschützten Rahmen aber unter realen Bedingungen zu testen, bevor sie in Verkehr gebracht werden. Durch die Möglichkeit KI-Systeme unter vereinfachten Regeln zu entwickeln und zu testen, werden Freiräume zur Erprobung von Innovationen geschaffen. Bereits in einem frühen Stadium sollen die Beteiligten etwaige Risiken und Chancen ermitteln und basierend hierauf Entscheidungen treffen können.

Praktisch betrachtet basieren solche Reallabore auf sog. Experimentierklauseln, durch welche der zuständigen Behörde ermöglicht wird, den Akteuren Ausnahmen von Vorgaben und Verboten zu erteilen. Reallabore dienen also dazu, einen Kompromiss zwischen staatlichen Vorgaben und Verboten einerseits und den Interessen der Beteiligten sowie der Allgemeinheit an Fortschritt und Weiterentwicklung andererseits zu erzielen.

Speicherbegrenzung vs. Big Data

KI braucht große Datenmengen, die DSGVO verlangt zeitnahe Löschung. Nur konsequente Data Governance schafft hier Klarheit.

KI-Modelle benötigen umfangreiche Datensätze, die langfristig verfügbar sind. Die DSGVO verlangt jedoch, dass personenbezogene Daten sachlich richtig und auf dem neuesten Stand sind und gelöscht werden, sobald sie für ihren Zweck nicht mehr benötigt werden.

Ob personenbezogene Daten im Rahmen von Big-Data-Trainingsdaten auf Richtigkeit geprüft werden können, ist höchst zweifelhaft. Auch die Berichtigung oder Löschung bereits verarbeiteter personenbezogener Daten ist nahezu unmöglich. Um den Konflikt zwischen dem Datenschutz-Prinzip der Richtigkeit und der Speicherbegrenzung beim KI-Training aufzulösen, sollte ein Unternehmen von Anfang an eine konsequente Data Governance verankern.

Hierbei müssen Datenquellen zunächst analysiert und strukturiert dokumentiert und die zulässigen weiteren Verarbeitungszwecke geprüft und definiert werden. Zweckänderungen und Verarbeitungen auf Basis berechtigter Interessen einschließlich Löschfristen müssen dokumentiert sein.

Anschließend sorgen technische Pipelines dafür, dass nur geprüfte, standardisierte, de-duplizierte und versionierte Datensätze aus zugelassenen Datenquellen ins Training gelangen.

Integrität & Vertraulichkeit vs. KI-Dienstleister

Werden US-Anbieter eingebunden, drohen zusätzliche Risiken – insbesondere wenn keine DPF-Zertifizierung vorliegt.

Bei der Datenverarbeitung im Rahmen von KI-Systemen müssen die Integrität und Vertraulichkeit der verarbeiteten Daten gewährleistet sein (Art. 32 DSGVO). Der AI Act stellt für Anbieter von Hochrisiko-KI-Systemen gesonderte Anforderungen auf. Indes stellen sich Herausforderungen beim Einsatz von außereuropäischen Dienstleistern, denn nicht überall herrscht ein der EU entsprechendes Schutzniveau.

Viele KIaaS-Anbieter sitzen in den USA und nicht alle sind nach dem Data Privacy Framework (DPF) zertifiziert und insofern auch nicht vom Angemessenheitsbeschluss zwischen der EU und den USA erfasst. Es muss insofern geprüft werden, ob das US-Unternehmen, das in die individuelle KI-Wertschöpfungskette eingebunden ist und hierbei personenbezogene Daten verarbeitet, DPF-zertifiziert ist. Sollte dies nicht der Fall sein, müssen andere Garantien entsprechend nach Art. 46 DSGVO bereitgestellt werden.

Empfehlenswert ist es daher, mit EU-basierten KI-Dienstleistern zusammenzuarbeiten oder alternativ mit US-Unternehmen, bei denen keine Daten transferiert werden. KI-Modelle von US-Anbietern lassen sich auch fixiert und ohne laufende Datenflüsse an den Modellanbieter nutzen. Weiterhin erforderlich ist, dass die Verantwortlichkeiten im Hinblick auf die KI-Anwendung bzw. die zugrundeliegenden Verarbeitungstätigkeiten geklärt werden, insbesondere, ob eine gemeinsame Verantwortlichkeit besteht oder es sich um eine Auftragsverarbeitung handelt, bei der ggf. Auftragsverarbeitungsverträge abgeschlossen werden müssen.

So läuft eine KI-Prüfung wirklich ab

Der Ablauf einer behördlichen Prüfung ist zwar immer auch vom Einzelfall und den aktuellen Schwerpunkten der jeweiligen Aufsichtsbehörde geprägt, dennoch lassen sich bestimmte Grundmuster erkennen.

Im Zentrum steht dabei stets die datenschutzrechtliche Zuständigkeit der Behörde: geprüft wird ausschließlich, ob die Vorgaben der DSGVO im Zusammenhang mit dem konkreten KI-Einsatz eingehalten werden. Unternehmen sollten sich daher darauf einstellen, dass zwar individuelle Themenschwerpunkte gesetzt werden, die Prüfschritte jedoch einem wiederkehrenden Schema folgen – von der ersten Kontaktaufnahme bis hin zur Anforderung detaillierter Nachweise.

1. Vorbereitung: Anhörungsbogen und Fragen

Der erste Schritt besteht üblicherweise in einem Anhörungsbogen sowie ggf. Abstimmungsterminen zur Terminierung, Bestimmung der benötigten Unterlagen oder Einsicht in relevante Systeme und teilnehmende Personen auf beiden Seiten. Prüftermine können als reine Dokumentenprüfungen oder auch kombiniert mit Vor-Ort-Besuchen angelegt sein.

Die Beantragung der Akteneinsicht kann in bestimmten Konstellationen unbedingt geboten sein, um den Aufhänger der Prüfaktivität nachzuvollziehen. Wir haben Prüftermine begleitet die mit sehr kurzer Ankündigungsfrist (2–3 Wochen) erfolgten.

2. Von der Belehrung bis zur Systemvorstellung

Die Prüfung vor Ort beginnt üblicherweise mit einer Belehrung hinsichtlich der Rechte und Pflichten des Unternehmens. Es bietet sich anschließend an, das Unternehmen und die Produkte oder Leistungen sowie den Prüfgegenstand aus Sicht des verantwortlichen Unternehmens vorzustellen. Im Termin erfolgt dann erwartungsgemäß eine detaillierte Erläuterung der einzelnen KI-Systeme und der KI-Gesamtarchitektur.

Hier werden die konkreten Zwecke und Ziele, die technischen Funktionen des KI-Systems und der operative Einsatz dargelegt. Input und Varianz des Outputs der Systeme sollten pro System detailliert veranschaulicht werden können, auch Fehlerrisiken oder das sich aus dem Ausfall externer Dienstleister gegebenenfalls ergebende Verfügbarkeitsrisiko können im Rahmen der Prüfung eine zentrale Rolle spielen.

3. Detaillierte Nachfragen der Behörde zu KI-Training, Daten und Schutzmaßnahmen

Ein besonderes Augenmerk der Prüfung wird auf der Verwendung von Daten zum KI-Training in technischer und (datenschutz-)rechtlicher Hinsicht liegen. Hier sollten nicht nur die einzelnen verwendeten Komponenten, insbesondere die KI-Modelle genau erläutert werden können, sondern auch die Frage nach Gründen für die Auswahl des Modells, Lizenzen und erfolgten Tests.

Nachfragen sind zudem zur konkreten Datennutzung, den betroffenen Datenkategorien, dem Umfang der Datenverarbeitung und den verschiedenen genutzten Quellen zu erwarten. Standardisierungs- und Anonymisierungsverfahren sollten sowohl abstrakt beschrieben als auch in der Praxis im System erkennbar umgesetzt sein. Werden synthetische Daten eingesetzt, sollte die Generierung erläutert werden können. Man sollte damit rechnen, dass die Gewährleistung der datenschutzrechtlichen Betroffenenrechten in allen Phasen des KI-Lebenszyklus für die Behörden von Interesse ist.

Besondere Beachtung werden außerdem die Erläuterung der KI-Datenverarbeitungen in den Datenschutzhinweisen für die betroffenen Personen finden: hierbei sollte darauf geachtet werden, dass die Zusammenhänge für die jeweilige Zielgruppe der betroffenen Personen zum richtigen Zeitpunkt erfolgt, inhaltlich nachvollziehbar und angemessen kompakt ist und Änderungen an KI-Systemen auch stets durch eine Aktualisierung der Datenschutzinformationen nach Art. 13 DSGVO flankiert wird. Zum Nachweis sollten versionierte Datenschutzinformationen vorgehalten werden.

4. Nachbereitung: Welche Unterlagen die Behörde anfordert

Im Nachgang eines ersten Prüftermins ist mit der Anforderung weiterer Unterlagen zu rechnen. Neben den gezeigten Präsentationen und technischen Detailinformationen zu KI-Systemen und deren technischen und organisatorischen Maßnahmen muss auch damit gerechnet werden, dass die Dokumentationen der Interessenabwägungen nach aktuellen EDSA-Standards sowie die Verfahrensdokumentationen nach Art. 30 DSGVO angefordert werden.

Auch Prozessbeschreibungen zu Protokollierungsverfahren, Anonymisierungs- und Löschungskonzepte, Berechtigungskonzepte zu Datenbanken, die für das KI-Training verwendet werden und schließlich die Dokumentation der Datenschutzfolgeabschätzung einschließlich der Risikoanalyse sollten parat liegen.

Unser Fazit: So machen Sie Ihre KI behördensicher

Abschließend lässt sich sagen, dass die Datenschutzbehörden den produktiven Einsatz von KI in der Unternehmensrealität erkannt haben und hierzu Informationen bieten, wenngleich diese teilweise einander widersprechen. Die Behörden haben mit der Prüfung des KI-Einsatzes aus datenschutzrechtlicher Sicht begonnen und jedes Unternehmen sollte die eigenen Pflichtdokumentationen im Rahmen der Rechenschaftspflicht pflegen, um Rückfragen der Behörden beantworten zu können.

Es ist schlussendlich unerlässlich, dass jedes Unternehmen ein sachgerechtes, individuelles Konzept zum eigenen KI-Einsatz erstellt und die datenschutzkonforme KI-Nutzung im Detail dokumentiert. Dies ist elementar, um bei einer späteren Behördenprüfung souverän auftreten zu können und nicht in Erklärungsnot zu geraten.

Checkliste: Sind Sie auf eine KI-Prüfung vorbereitet?

1. Dokumentation des KI-Systems

• Was: Beschreiben Sie Zweck, Funktion, Architektur und Einsatzbereich jedes KI-Systems.
• Warum wichtig: Behörden wollen verstehen, welche Datenflüsse bestehen und welche Geschäftsprozesse betroffen sind.
• Praxis-Tipp: Legen Sie ein zentrales „KI-Dossier“ an, das alle Systeme mit kurzer Funktionsbeschreibung, Verantwortlichkeiten und Schnittstellen dokumentiert.

2. Transparenz und Nachvollziehbarkeit

• Was: Stellen Sie sicher, dass Sie Entscheidungen des KI-Systems erklären können (z. B. mit Explainable-AI-Methoden wie SHAP oder Counterfactuals).
• Warum wichtig: Transparenz ist Kern der Betroffenenrechte (Art. 13, 15 DSGVO).
• Praxis-Tipp: Halten Sie einfache Erklärungen bereit („Management Summary“) und separate technische Unterlagen für Fachfragen der Behörde.

3. Datenstrategie und Trainingsdaten

• Was: Prüfen Sie, welche Daten für das Training genutzt wurden: Alt-/Bestandsdaten, anonymisierte oder synthetische Daten.
• Warum wichtig: Zweckbindung (Art. 5 DSGVO) schränkt die Weiterverwendung ein. Behörden prüfen hier besonders kritisch.
• Praxis-Tipp: Erstellen Sie eine Übersicht, woher Ihre Trainingsdaten stammen, wie sie aufbereitet wurden und ob rechtliche Erlaubnistatbestände (z. B. Reallabore, Art. 59 AI Act) genutzt wurden.

4. Data Governance & Löschkonzepte

• Was: Definieren Sie klare Prozesse zur Datenqualität, Korrektur und Löschung.
• Warum wichtig: Behörden erwarten, dass auch bei KI-Systemen Speicherbegrenzung und Richtigkeit eingehalten werden.
• Praxis-Tipp: Setzen Sie auf automatisierte Datenpipelines, die nur geprüfte und deduplizierte Datensätze ins Training lassen. Dokumentieren Sie Löschfristen.

5. Verträge und Dienstleister

• Was: Prüfen Sie, ob Ihr KI-Anbieter in der EU sitzt oder ob ein Drittlandtransfer vorliegt.
• Warum wichtig: Der Einsatz von US-Anbietern ohne DPF-Zertifizierung erfordert zusätzliche Garantien (Art. 46 DSGVO).
• Praxis-Tipp: Schließen Sie klare Auftragsverarbeitungsverträge (AVV) ab und dokumentieren Sie die Verantwortlichkeiten – gerade bei komplexen KI-Wertschöpfungsketten.

6. Datenschutzhinweise & Betroffenenrechte

• Was: Aktualisieren Sie Ihre Datenschutzhinweise regelmäßig und passen Sie diese an den Einsatz von KI an.
• Warum wichtig: Behörden prüfen, ob Betroffene ihre Rechte effektiv wahrnehmen können.
• Praxis-Tipp: Führen Sie eine versionierte Sammlung aller Datenschutzhinweise. Achten Sie darauf, dass die Texte für Laien verständlich und zugleich rechtlich belastbar sind.

7. Technische und organisatorische Maßnahmen (TOMs)

• Was: Schützen Sie Datenintegrität und Vertraulichkeit (z. B. Verschlüsselung, Berechtigungskonzepte).
• Warum wichtig: Behörden erwarten Nachweise nach Art. 32 DSGVO.
• Praxis-Tipp: Dokumentieren Sie nicht nur vorhandene TOMs, sondern auch regelmäßige Tests, Schulungen und Notfallpläne.

8. Datenschutzfolgenabschätzung (DSFA) & Risikoanalyse

• Was: Führen Sie für KI-Systeme mit erhöhtem Risiko eine DSFA durch.
• Warum wichtig: KI-Einsatz in sensiblen Bereichen (z. B. Gesundheit, Beschäftigtendaten) erfordert zwingend eine DSFA.
• Praxis-Tipp: Ergänzen Sie die DSFA um KI-spezifische Fragen (Bias, Diskriminierung, Blackbox-Effekte). Beziehen Sie IT, Fachabteilungen und ggf. externe Expertise ein.

9. Interne Zuständigkeiten und Rollen

• Was: Klären Sie, wer im Unternehmen für KI-Systeme verantwortlich ist (Datenschutzbeauftragter, KI-Beauftragter, IT-Leitung).
• Warum wichtig: Behörden verlangen klare Ansprechpartner und Verantwortungszuweisungen.
• Praxis-Tipp: Bilden Sie ein interdisziplinäres „KI-Compliance-Team“ aus Recht, IT und Business, das laufend dokumentiert und vorbereitet.

10. Prüfungssimulation

• Was: Testen Sie intern den Ablauf einer behördlichen Prüfung.
• Warum wichtig: So erkennen Sie Lücken und trainieren Ihre Argumentationslinien.
• Praxis-Tipp: Simulieren Sie ein Szenario mit Anhörungsbogen, Behördengespräch und Nachweisführung. Lassen Sie Fachabteilungen ihre Systeme vorstellen.