Zum Inhalt springen
W K
EU AI Act: Nicht Hochrisiko

Equipment-Provisioning-Agent

Eine durchgängige Onboarding- und Offboarding-Pipeline für IT-Equipment, die Geräte ergonomie- und cybersicherheitskonform bereitstellt, über alle Systeme nachverfolgt und beim Austritt sicher löscht - statt der Excel-Listen, in denen NIS2-Lücken und DSGVO-Verstöße unsichtbar bleiben.

IT-Hardware-Bereitstellung Onboarding/Offboarding: BetrVG §87 Mitbestimmung, DGUV V1+V2 Ergonomie und NIS2-Cybersecurity - vollständige Pipeline mit Intune MDM und Asset-Tracking.

Prozess analysieren lassen

Auswahl aus über 5.000 Projekten in 25 Jahren Softwareentwicklung

Airbus Volkswagen Shell Renault Evonik Vattenfall Philips KPMG

Ist dieses Gerät verschlüsselt, mitbestimmt und ergonomisch konform - und lässt sich das belegen?

Die Equipment-Bereitstellung läuft deterministisch nach Regelwerk. Der Agent validiert die Mitbestimmung nach BetrVG §87 Abs. 1 Nr. 6, konfiguriert die Ergonomie nach DGUV V1+V2 und BildscharbV, provisioniert Geräte automatisch über Microsoft Intune und Apple DEP, setzt die Cybersecurity-Vorgaben nach NIS2 und IT-SiG 2.0 durch und verfolgt den Equipment-Lebenszyklus mit Audit-Trail. Eine rein automatisierte Einzelentscheidung nach Art. 22 DSGVO findet nicht statt; Schwerbehinderten-Anpassungen und die Eskalation von Cyber-Vorfällen bleiben beim Menschen.

Ergebnis: In einem manuellen Excel-Setup bleibt unsichtbar, welches Gerät unverschlüsselt ist, welche Tracking-Funktion ohne Betriebsvereinbarung läuft und welcher Arbeitsplatz die Ergonomie verfehlt. Genau das macht Verstöße teuer: Die NIS2-Pflichten sind mit bis zu 10 Mio Euro oder 2 Prozent des weltweiten Jahresumsatzes bewehrt, die DSGVO mit bis zu 4 Prozent Konzernumsatz oder 20 Mio Euro, hinzu kommen BSI-Sanktionen nach IT-SiG 2.0. Bei kapitalmarktorientierten Konzernen droht zudem ein Reputationsschaden mit spürbarer Kursreaktion nach einer BSI-Veröffentlichung. Eine durchgängige Pipeline macht Verschlüsselungs-, Mitbestimmungs- und Ergonomie-Lücken sichtbar, bevor ein Vorfall oder eine Prüfung sie aufdeckt.

79% Regelwerk
7% KI-Agent
14% Mensch

Der Agent zerlegt die Equipment-Bereitstellung in 12 regelbasierte Entscheidungen, einen KI-gestützten Indikator für die Cross-System-Synchronisation und zwei menschliche Entscheidungen - die Schwerbehinderten-Anpassung und die Eskalation von Cyber-Vorfällen -, jede mit Rechtsgrundlage, Audit-Trail aus dem Quellsystem und Anfechtungs-Pfad:

Bei der Equipment-Bereitstellung ist nicht die Logistik das Risiko, sondern die unbelegte Compliance

IT-Equipment-Bereitstellung in Deutschland steht zwischen sechs Regelwerken, die eine einzelne Geräteausgabe gleichzeitig erfassen können. Das BetrVG §87 Abs. 1 Nr. 6 zwingt zur Mitbestimmung des Betriebsrats, sobald eine Tracking-Funktion - Microsoft Intune, Apple DEP, GPS, App-Inventar - das Gerät zur technischen Einrichtung der Mitarbeiterüberwachung macht. Die DSGVO untersagt rein automatisierte Einzelentscheidungen (Art. 22), verlangt Privacy by Design (Art. 25) und eine Folgenabschätzung für Tracking-Algorithmen (Art. 35), bewehrt mit bis zu 4 Prozent Konzernumsatz oder 20 Mio Euro. DGUV V1+V2 und die Bildschirmarbeitsverordnung schreiben die Ergonomie vor - verstellbarer Stuhl, ergonomische Tastatur, Sehtest alle fünf Jahre. Die NIS2-Richtlinie und das IT-SiG 2.0 fordern Cybersecurity-Vorgaben mit Risiko-Management und gestuftem Incident-Reporting, bewehrt mit bis zu 10 Mio Euro oder 2 Prozent des weltweiten Jahresumsatzes. Hinzu kommen die eIDAS-Verordnung für die Signatur-Hardware und SGB IX §164 für behinderungsgerechte Anpassungen. Jede Geräteausgabe kann damit bis zu sechs Compliance-Pflichten zugleich auslösen.

Was Verstöße kosten: NIS2, DSGVO und BetrVG, kumulativ

Die Sanktionen treffen kumulativ. Die NIS2-Richtlinie ahndet Cybersecurity-Verstöße in den KRITIS-Sektoren - Energie, Wasser, IT, Finanz, Verkehr, Lebensmittel - mit bis zu 10 Mio Euro oder 2 Prozent des weltweiten Jahresumsatzes. Die DSGVO geht bis 4 Prozent Konzernumsatz oder 20 Mio Euro, wenn ein Tracking-Algorithmus ohne Folgenabschätzung läuft oder gegen das Verbot automatisierter Einzelentscheidungen verstößt. Unterbleibt die Mitbestimmung, kann der Betriebsrat die Nutzung gerichtlich untersagen lassen. Hinzu kommen BSI-Sanktionen nach IT-SiG 2.0 bei unterlassener Vorfallsmeldung, DGUV-Folgen bei Ergonomie-Mängeln und der Verlust der Inklusionsamt-Kostenerstattung bei Verstößen gegen SGB IX §164. Bei kapitalmarktorientierten Konzernen drohen zusätzlich BaFin-Sanktionen und ein Reputationsschaden mit spürbarer Kursreaktion in den Handelstagen nach einer BSI-Veröffentlichung. Der BSI-Schwerpunkt 2024 bis 2026 liegt klar auf der NIS2-Umsetzung und der Equipment-Cybersecurity.

12 regelbasierte Entscheidungen, ein KI-Indikator, zwei menschliche Eskalationen

Der Agent zerlegt die Equipment-Bereitstellung in 15 Micro-Entscheidungen. 12 davon laufen deterministisch nach Regelwerk, eine ist ein KI-Indikator, zwei bleiben beim Menschen. Jede Entscheidung dokumentiert die Frage, ihre Einordnung (R für regelbasiert, A für KI-Indikator ohne Endentscheidung, H für menschliche Pflicht-Eskalation), die Begründung mit Rechtsgrundlage und Audit-Trail aus dem Quellsystem sowie einen Anfechtungs-Pfad. Regelbasiert sind unter anderem die Übernahme der Stammdaten und die Bedarfsklassifikation, die Mitbestimmungsprüfung nach BetrVG §87 Abs. 1 Nr. 6, die Ergonomie-Validierung nach DGUV V1+V2, die Einrichtung über Microsoft Intune und Apple DEP, die NIS2-Cybersecurity-Konfiguration, die Datenschutz-Folgenabschätzung nach Art. 35, die eIDAS-Signatur-Hardware, die Sicherheits-Grundkonfiguration, die Auslieferung, die Geräterückgabe nach Art. 17 und der revisionssichere Audit-Trail. Der eine KI-Indikator ist die Cross-System-Synchronisation des Lebenszyklus-Status, validiert von der IT-Operations-Leitung. Die zwei menschlichen Entscheidungen sind die Schwerbehinderten-Anpassung nach SGB IX §164 unter Beteiligung der Schwerbehinderten-Vertretung und die Eskalation eines Cyber-Vorfalls an Aufsichtsrat und BSI.

Laufender Abgleich mit BSI-Schwerpunkten und Aufsichtspraxis 2024-2026

Der Agent gleicht die Equipment-Konfiguration fortlaufend gegen die BSI-Schwerpunkte und die Aufsichtspraxis ab. Im Zentrum stehen die NIS2-Equipment-Cybersecurity mit Risiko-Management und Incident-Reporting nach BSI-Grundschutz sowie das IT-SiG 2.0 für die KRITIS-Sektoren. Die Datenschutzbehörden prüfen das Equipment-Tracking gegen Art. 22 DSGVO und die Folgenabschätzungs-Pflicht nach Art. 35; die arbeitsgerichtliche Rechtsprechung 2024 bis 2026 behandelt Microsoft Intune und Apple DEP als mitbestimmungspflichtige technische Einrichtungen. Die DGUV setzt Schwerpunkte bei der Bildschirmarbeits-Ergonomie und der Sehtest-Pflicht, Schwerbehinderten-Vertretung und Inklusionsamt bei den behinderungsgerechten Anpassungen. Bei kapitalmarktorientierten Konzernen besteht ein DPR-Folgeprüfungs-Risiko nach Cyber-Vorfällen. Der Agent dokumentiert pro Schwerpunkt die Konformität und meldet Auffälligkeiten früh an den Prüfungsausschuss des Aufsichtsrats (§107 AktG), an das BSI binnen 24 Stunden und als Datenpanne nach Art. 33 DSGVO binnen 72 Stunden.

Schwierige Fälle: Schwerbehinderte, internationale Mitarbeiter, C-Suite

Die komplexen Equipment-Szenarien sind eigens dokumentiert. Eine Schwerbehinderten-Anpassung nach SGB IX §164 verlangt eine individuelle Bedarfsanalyse - Vergrößerungssoftware, Spezial-Tastatur, Sprachsteuerung -, die Beteiligung der Schwerbehinderten-Vertretung und den Schutz der Gesundheitsdaten als Sondercategorie nach Art. 9 DSGVO; das Inklusionsamt kann die Kosten erstatten. Bei internationalen Mitarbeitern kommen Equipment-Spedition, Zollerlaubnis, Außenwirtschaftsrecht mit Embargo-Listen und die A1-Bescheinigung hinzu. C-Suite-Geräte erfordern erhöhte Cybersecurity-Anforderungen mit Hardware Security Module, dediziertem VPN und Smart-Card-Reader für die eIDAS-Signatur. In KRITIS-Sektoren gelten verschärfte Vorgaben mit BSI-Grundschutz und dedizierter Incident-Response, für Field-Worker robuste, spritzwassergeschützte Geräte, in explosionsgefährdeten Bereichen mit ATEX-Zertifizierung. Im Home-Office greifen die Bildschirmarbeits-Ergonomie und VPN-Pflicht. Bei Verlust oder Diebstahl löst die Regel die Datenpannen-Meldung binnen 72 Stunden nach Art. 33 DSGVO, die BSI-Meldung nach IT-SiG 2.0 und die Fernlöschung über Microsoft Intune oder Apple DEP aus.

Integration mit IT-Operations-Plattformen, MDM-Systemen und E-Signatur

Der Agent bindet die führenden Equipment-Provisioning-Plattformen über API an. Für Onboarding und Beschaffung sind das auf Konzernebene SAP (SuccessFactors Onboarding, HCM Equipment Tracking, Asset Manager, Ariba) und Workday, im Service-Management ServiceNow mit IT Asset und Service Management, für den Mittelstand Personio und BambooHR. Das Mobile Device Management läuft über Microsoft Intune mit Autopilot und Defender, Jamf Pro für Apple-Geräte sowie VMware Workspace ONE und IBM MaaS360 als plattformübergreifende Alternativen. Für die Asset-Verfolgung kommen Lansweeper, Snipe-IT und Freshservice hinzu. Schriftformbedürftige Erhaltsbestätigungen laufen über eIDAS-konforme E-Signatur-Dienste - DocuSign, Adobe Sign, Yousign. Maßstab der Cybersecurity-Konfiguration sind BSI-Grundschutz, ISO 27001 und ISO 22301. Der Agent verbindet sich mit dem Employee-Self-Service-Agent für die Anbindung ans Mitarbeiterportal, mit dem Compliance-Training-Agent für die Schulung zur KI-Kompetenz und mit dem Audit-Compliance-Agent für HR-Audit-Berichte.

Micro-Decision-Tabelle

Wer entscheidet bei diesem Agent?

14 Entscheidungsschritte, aufgeteilt nach Decider

79%(11/14)
Regelwerk
deterministisch
7%(1/14)
KI-Agent
modellbasiert mit Confidence
14%(2/14)
Mensch
explizit zugewiesen
Mensch
Regelwerk
KI-Agent
Jede Zeile ist eine Entscheidung. Aufklappen zeigt die Entscheidungsakte und ob man anfechten kann.
Stammdaten übernehmen und Equipment-Bedarf klassifizieren Welche Stammdaten werden aus dem Bewerbermanagement übernommen und welcher Equipment-Bedarf ist nach Job-Profil erforderlich - Standard-Office, Power-User, Field-Worker oder eine Schwerbehinderten-Anpassung? Regelwerk

Die Stammdaten werden per API aus dem Bewerbermanagement (Greenhouse, Lever, Personio, SAP SuccessFactors) übernommen, und der Equipment-Bedarf wird nach Job-Profil klassifiziert - Standard-Office, Power-User, Field-Worker oder eine Schwerbehinderten-Anpassung. Rechtsgrundlage sind Art. 6 DSGVO und BDSG §26, bei der Einstellung greift die Mitbestimmung nach BetrVG §99.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch:

Mitbestimmung bei Tracking-Funktionen nach BetrVG §87 prüfen Welche Tracking-Funktionen - Microsoft Intune, Apple DEP, GPS, App-Inventar, Browser-History - machen ein Gerät zur technischen Einrichtung der Mitarbeiterüberwachung und lösen die Mitbestimmung nach BetrVG §87 Abs. 1 Nr. 6 aus? Regelwerk WP/BP

Tracking-Funktionen wie Microsoft Intune, Apple DEP, GPS oder App-Inventar machen ein Gerät zur technischen Einrichtung der Mitarbeiterüberwachung und lösen die zwingende Mitbestimmung nach BetrVG §87 Abs. 1 Nr. 6 aus. Die Regel prüft, ob die jeweilige Funktion von einer Betriebsvereinbarung gedeckt ist; bei Unstimmigkeit entscheidet die Einigungsstelle.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: WP/BP

Ergonomie nach DGUV V1+V2 und BildscharbV validieren Erfüllt das Equipment die Ergonomie-Vorgaben aus DGUV V1+V2 und der Bildschirmarbeitsverordnung - verstellbarer Stuhl, ergonomische Tastatur und Maus, ein Augen-Bildschirm-Abstand von 50 bis 70 cm und 300 bis 500 Lux Beleuchtung? Regelwerk Lieferant

Die Regel prüft die Gerätekonfiguration gegen die Ergonomie-Vorgaben aus DGUV V1+V2 und der Bildschirmarbeitsverordnung: verstellbarer Stuhl, ergonomische Tastatur und Maus, ein Augen-Bildschirm-Abstand von 50 bis 70 cm und eine Beleuchtungsstärke von 300 bis 500 Lux. Hinzu kommt die Sehtest-Pflicht alle fünf Jahre.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: Lieferant

Behinderungsgerechte Equipment-Anpassungen nach SGB IX §164 klären Welche Equipment-Anpassungen sind nach SGB IX §164 erforderlich und kann eine Kostenerstattung über das Inklusionsamt beantragt werden? Mensch

Welche Anpassungen ein schwerbehinderter Mitarbeiter braucht - Spezial-Tastatur, Vergrößerungssoftware, Sprachsteuerung -, lässt sich nicht automatisieren, weil es eine individuelle Bedarfsanalyse unter Beteiligung der Schwerbehinderten-Vertretung verlangt (SGB IX §164, §178). Es geht zudem um Gesundheitsdaten als Sondercategorie nach Art. 9 DSGVO; eine Kostenerstattung über das Inklusionsamt ist möglich.

Entscheidungsakte

Entscheider-ID und Rolle
Begründung der Entscheidung
Zeitstempel und Kontext

Anfechtbar: Ja - über Vorgesetzten, Betriebsrat oder formalen Einspruch.

Anfechtbar durch:

Geräte über Microsoft Intune und Apple DEP einrichten Wie werden die Geräte über Microsoft Intune und Apple DEP registriert - mit DSGVO-konformer Konfiguration nach Privacy by Design (Art. 25), wobei Tracking-Funktionen erst nach Genehmigung des Betriebsrats (BetrVG §87 Abs. 1 Nr. 6) aktiv werden? Regelwerk Lieferant

Die Geräte werden über Microsoft Intune und Apple DEP automatisch eingerichtet - mit Compliance-Policies, Conditional Access und Cybersecurity-Konfiguration. Privacy by Design nach Art. 25 DSGVO ist dabei eingebaut, und die Tracking-Funktionen werden erst nach Genehmigung durch den Betriebsrat (BetrVG §87 Abs. 1 Nr. 6) aktiviert.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: Lieferant

Cybersecurity nach NIS2 und IT-SiG 2.0 konfigurieren Erfüllt das Equipment die Cybersecurity-Anforderungen der NIS2-Richtlinie und des IT-SiG 2.0 - durchgängige Verschlüsselung, BSI-Grundschutz und ein gestuftes Incident-Reporting in den Stufen 24 Stunden, 72 Stunden und 30 Tage? Regelwerk WP/BP

Die Regel prüft die Gerätekonfiguration gegen die NIS2-Richtlinie und das IT-SiG 2.0: durchgängige Verschlüsselung mit BitLocker oder FileVault, BSI-Grundschutz und ein Incident-Reporting in den Stufen 24 Stunden Frühwarnung, 72 Stunden Bewertung und 30 Tage Endbericht. Verstöße sind mit bis zu 10 Mio Euro oder 2 Prozent des weltweiten Jahresumsatzes bewehrt.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: WP/BP

Datenschutz-Folgenabschätzung für Tracking-Algorithmen prüfen Ist für die Equipment-Tracking-Algorithmen - etwa GPS, App-Inventar oder Browser-History - eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich? Regelwerk WP/BP

Sobald Equipment-Tracking mit GPS, App-Inventar oder Browser-History ein hohes Risiko für die Betroffenen birgt, prüft die Regel die Pflicht zur Datenschutz-Folgenabschätzung nach Art. 35 DSGVO - mit Risikoanalyse, Verhältnismäßigkeitsprüfung, Mitigationsmaßnahmen und Konsultation des Datenschutzbeauftragten. Verstöße kosten bis zu 4 Prozent Konzernumsatz oder 20 Mio Euro.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: WP/BP

Equipment für die qualifizierte E-Signatur nach eIDAS ausstatten Welches Equipment ist für die qualifizierte elektronische Signatur nach eIDAS konfiguriert - mit der nötigen Hardware wie Smart-Card, USB-Token oder Hardware Security Module? Regelwerk Lieferant

Geräte für die qualifizierte elektronische Signatur nach eIDAS werden mit der nötigen Hardware ausgestattet - Smart-Card, USB-Token oder Hardware Security Module - und an einen Vertrauensdiensteanbieter angebunden. Rechtsgrundlage ist die eIDAS-Verordnung in der deutschen Umsetzung durch das Vertrauensdienstegesetz.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: Lieferant

Sicherheits-Grundkonfiguration für jedes Gerät festlegen Welche Sicherheits-Grundkonfiguration ist für jedes Mitarbeitergerät Standard - Festplattenverschlüsselung mit BitLocker oder FileVault, VPN, Antivirus mit Endpoint Detection and Response sowie Data Loss Prevention? Regelwerk WP/BP

Jedes Mitarbeitergerät erhält dieselbe Sicherheits-Grundkonfiguration: Festplattenverschlüsselung mit BitLocker oder FileVault (AES-256), ein VPN-Client, Antivirus mit Endpoint Detection and Response sowie Data Loss Prevention. Maßstab sind ISO 27001, der BSI-Grundschutz und die NIS2-Cybersecurity-Anforderungen.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: WP/BP

Auslieferung und Selbst-Installation steuern Wie wird das Equipment an den neuen Mitarbeiter geliefert - an die Privatadresse oder zur Büro-Erstabholung - und welcher Selbst-Installations-Workflow ist konfiguriert? Regelwerk Lieferant

Die Regel steuert die Auslieferung samt Validierung der Lieferadresse (Privatadresse oder Büro-Erstabholung) und richtet die Geräte per Microsoft Autopilot und Apple DEP automatisch ein. Der Mitarbeiter erhält eine Selbst-Installations-Anleitung und bestätigt den Erhalt elektronisch.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: Lieferant

Equipment-Lebenszyklus über alle Systeme synchronisieren Sind die Equipment-Daten zwischen den angebundenen Systemen - ServiceNow, Microsoft Intune, Jamf Pro, SAP HCM, Workday - korrekt synchronisiert, mit konsistentem Lebenszyklus-Status von bestellt über aktiviert und in Nutzung bis zurückgegeben? KI-Agent Lieferant

Das Modell gleicht die Equipment-Daten zwischen den Systemen ab - ServiceNow, Microsoft Intune, Jamf Pro, Lansweeper, SAP HCM, Workday - und markiert Abweichungen im Lebenszyklus-Status als Indikator. Es entscheidet nicht selbst; die Korrektur einer erkannten Inkonsistenz bestätigt die IT-Operations-Leitung.

Entscheidungsakte

Modell-Version und Confidence Score
Eingabedaten und Klassifikationsergebnis
Entscheidungsgrund (Erklärbarkeit)
Audit Trail mit vollständiger Nachvollziehbarkeit

Anfechtbar: Ja - vollständig dokumentiert, durch Menschen überprüfbar, Einspruch über formalen Prozess.

Anfechtbar durch: Lieferant

Geräterückgabe beim Offboarding mit Datenlöschung orchestrieren Wie wird die Geräterückgabe beim Austritt orchestriert - mit Fernlöschung nach Art. 17 DSGVO, Widerruf der eIDAS-Zertifikate und Aktualisierung des Asset-Status, sodass keine Daten auf dem Gerät zurückbleiben? Regelwerk WP/BP

Beim Austritt orchestriert die Regel die Geräterückgabe mit Datenlöschung nach Art. 17 DSGVO: Fernlöschung über Microsoft Intune und Apple DEP, Widerruf der eIDAS-Zertifikate, Aktualisierung des Asset-Status und elektronische Rückgabebestätigung. So bleiben keine personenbezogenen oder vertraulichen Daten auf dem Gerät zurück.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: WP/BP

Equipment-Daten revisionssicher protokollieren Sind alle Equipment-Daten revisionssicher protokolliert - nach dem Prüfungsstandard IDW PS 951 für ausgelagerte Prozesse und nach Art. 32 DSGVO - und gelten die Aufbewahrungsfristen von 6 und 10 Jahren nach HGB §257 und AO §147? Regelwerk WP/BP

Die Regel prüft, ob alle Equipment-Daten revisionssicher protokolliert sind - nach dem Prüfungsstandard IDW PS 951 für ausgelagerte Prozesse und nach Art. 32 DSGVO. Es gelten die Aufbewahrungsfristen von 6 Jahren für Handelsbriefe und 10 Jahren für Buchungsbelege (HGB §257, AO §147), bei kapitalmarktorientierten Konzernen prüfungssicher gegenüber der DPR.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: WP/BP

Cyber-Vorfälle an Aufsichtsrat und BSI eskalieren Welche Cybersecurity-Vorfälle mit NIS2-Meldepflicht müssen an den Prüfungsausschuss des Aufsichtsrats (§107 AktG) und an das BSI eskaliert werden - mit den engen Fristen von 24 Stunden Frühwarnung und 72 Stunden Datenpannen-Meldung? Mensch

Ein Cybersecurity-Vorfall mit NIS2-Meldepflicht oder drohender Bestandsgefährdung wird vom Menschen eskaliert - an den Prüfungsausschuss des Aufsichtsrats (§107 AktG) und an das BSI nach IT-SiG 2.0. Die Meldefristen sind eng: 24 Stunden Frühwarnung an das BSI, 72 Stunden für die Datenpannen-Meldung nach Art. 33 DSGVO. Diese Beurteilung trägt kein Modell.

Entscheidungsakte

Entscheider-ID und Rolle
Begründung der Entscheidung
Zeitstempel und Kontext

Anfechtbar: Ja - über Vorgesetzten, Betriebsrat oder formalen Einspruch.

Entscheidungsakte und Anfechtbarkeit

Jede Entscheidung, die dieser Agent trifft oder vorbereitet, wird in einer vollständigen Entscheidungsakte dokumentiert. Betroffene Mitarbeitende können jede einzelne Entscheidung einsehen, nachvollziehen und anfechten.

Welche Regel in welcher Version wurde angewandt?
Welche Daten lagen der Entscheidung zugrunde?
Wer (Mensch, Regelwerk oder KI) hat entschieden - und warum?
Wie kann die betroffene Person Einspruch einlegen?
So setzt der Decision Layer das architektonisch um →

Passt dieser Agent zu Ihrem Prozess?

Wir analysieren Ihren konkreten HR-Prozess und zeigen, wie dieser Agent in Ihre Systemlandschaft passt. 30 Minuten, keine Vorbereitung nötig.

Prozess analysieren lassen

Governance-Hinweise

EU AI Act: Nicht Hochrisiko
Der Agent trifft keine existenziellen Entscheidungen über Beschäftigte und ist daher kein Hochrisiko-System nach EU AI Act. Die Tracking-Funktionen von Microsoft Intune und Apple DEP unterliegen aber dem Verbot rein automatisierter Einzelentscheidungen nach Art. 22 DSGVO mit menschlicher Pflicht-Validierung durch die IT- oder HR-Leitung sowie der Datenschutz-Folgenabschätzung nach Art. 35. Weil Equipment-Tracking als technische Einrichtung der Mitarbeiterüberwachung gilt, greift die zwingende Mitbestimmung nach BetrVG §87 Abs. 1 Nr. 6. Auf der Arbeitsschutz-Seite gelten die Ergonomie-Vorgaben aus DGUV V1+V2 und der Bildschirmarbeitsverordnung samt Sehtest-Pflicht, dazu die behinderungsgerechten Anpassungen nach SGB IX §164 unter Beteiligung der Schwerbehinderten-Vertretung. Cyberseitig setzen die NIS2-Richtlinie und das IT-SiG 2.0 ein Risiko-Management mit gestuftem Incident-Reporting (24 Stunden, 72 Stunden, 30 Tage) voraus, und die eIDAS-Verordnung regelt die Hardware für qualifizierte Signaturen. Equipment-Daten werden 6 bis 10 Jahre nach HGB §257 und AO §147 aufbewahrt. Das Kostenrisiko ist kumulativ und hoch: NIS2 bis 10 Mio Euro oder 2 Prozent des weltweiten Jahresumsatzes, DSGVO bis 4 Prozent Konzernumsatz oder 20 Mio Euro, BSI-Sanktionen nach IT-SiG 2.0 und bei kapitalmarktorientierten Konzernen ein Reputationsschaden mit Kursreaktion nach einer BSI-Veröffentlichung. Weil jede Equipment-Entscheidung mit Audit-Trail dokumentiert ist, lässt sich gegen Datenpannen, BSI-Sanktionen und Behördenverfahren belegen, dass die Vorgaben eingehalten wurden.

Bewertung

Agent Readiness 66-73%
Governance-Komplexität 64-71%
Economic Impact 58-65%
Leuchtturm-Wirkung 36-43%
Implementation Complexity 40-47%
Transaktionsvolumen Monatlich

Voraussetzungen

  • ATS-Integration mit Greenhouse + Lever + Personio + SAP SuccessFactors + Workday + iCIMS + Smartrecruiters mit Read-Zugriff auf Mitarbeiter-Stammdaten + Equipment-Bedarfs-Klassifikation + DSGVO Art. 6+7+88 + BDSG §26 + SGB IX §164 Schwerbehinderten-Status
  • Mobile Device Management Setup mit Microsoft Intune + Microsoft Endpoint Manager + Microsoft Autopilot + Apple Device Enrollment Program ADM + Apple Business Manager + Jamf Pro + VMware Workspace ONE + IBM MaaS360 mit DSGVO-konformer Konfiguration + BetrVG §87 Abs. 1 Nr. 6-Mitbestimmungs-Workflow
  • BetrVG-Betriebsrat-Setup mit BetrVG §87 Abs. 1 Nr. 6-Mitbestimmungs-Workflow + Auswahlrichtlinien §95 + Personalfragebogen §94 + Konzernbetriebsvereinbarung-Equipment-Richtlinie + Konsultation 1-Wochen-Frist + Einigungsstellen-Verfahren bei Unstimmigkeit
  • DGUV-Setup mit DGUV V1+V2 Unfallverhütungsvorschriften + DGUV-Information 215-410 (Bildschirmarbeit) + DGUV V3 Prüfung elektrische Anlagen + BildscharbV Ergonomie-Anforderungen + Sehtest-Pflicht alle 5 Jahre + Berufsgenossenschaft-Beratung Equipment-Anschaffung + jährliche Unterweisungspflicht
  • DSGVO-Art-35-DPIA für Equipment-Tracking-Algorithmen + Microsoft Intune MDM + Apple DEP + GPS + App-Inventar + Browser-History + RAT Art. 30 Equipment-Verarbeitungs-Tabelle + Standardvertragsklauseln Cloud-MDM-Datenübertragung + DSB-Konsultation Art. 39 + DSGVO Art. 22 Validierungs-Pflicht
  • BSI/NIS2-Setup mit IT-Sicherheitsgesetz 2.0 + IT-SiG 3.0-Erweiterung + KritisV + KRITIS-Sektoren-Cybersecurity + Risk-Management-Equipment + Incident-Reporting 24/72/30-Tage-Stufen + BSI-Grundschutz + BSI-Standards 200-1 bis 200-4 + Cyber-Sicherheitswarnungen-Subscription

Was diese Erstbewertung enthält: 9 Slides für Ihr Führungsteam

Personalisiert mit Ihren Zahlen. Generiert in 2 Minuten direkt im Browser. Kein Upload, kein Login.

  1. 1

    Titelfolie - Prozessname, Entscheidungspunkte, Automatisierungspotenzial

  2. 2

    Executive Summary - FTE-Freisetzung, Kosten pro Vorgang vorher/nachher, Break-Even-Datum, Kosten des Wartens

  3. 3

    Ausgangslage - Transaktionsvolumen, Fehlerkosten, Wachstumsszenario mit FTE-Vergleich

  4. 4

    Lösungsarchitektur - Mensch - Regelwerk - KI-Agent mit konkreten Entscheidungspunkten

  5. 5

    Governance - EU AI Act, Betriebsrat (§87 BetrVG), Audit Trail - mit Ampelstatus

  6. 6

    Risikoanalyse - 5 Risiken mit Eintrittswahrscheinlichkeit, Auswirkung und Gegenmaßnahme

  7. 7

    Roadmap - 3-Phasen-Plan mit konkreten Kalenderdaten und Go/No-Go

  8. 8

    Business Case - 3-Szenarien-Vergleich (Nichtstun/Neueinstellung/Automatisierung) plus 3×3-Sensitivitätsmatrix

  9. 9

    Diskussionsvorschlag - Konkrete nächste Schritte mit Zeitplan und Verantwortlichkeiten

Enthält: 3-Szenarien-Vergleich

Nichtstun vs. Neueinstellung vs. Automatisierung - mit Ihrem Gehaltsniveau, Ihrer Fehlerquote und Ihrem Wachstumsplan. Die eine Slide, die Ihr CFO als erstes sehen will.

Berechnungsmethodik anzeigen

Stundensatz: Jahresgehalt (Ihre Eingabe) × 1,3 AG-Anteil ÷ 1.720 Jahresarbeitsstunden

Einsparung: Vorgänge × 12 × Automatisierungsrate × Minuten/Vorgang × Stundensatz × Economic Factor

Qualitäts-ROI: Fehlerreduktion × Vorgänge × 12 × EUR 260/Fehler (APQC Open Standards Benchmarking)

FTE: Eingesparte Stunden ÷ 1.720 Jahresarbeitsstunden

Break-Even: Benchmark-Investition ÷ monatliche Gesamteinsparung (Effizienz + Qualität)

Neueinstellung: Jahresgehalt × 1,3 + EUR 12.000 Recruiting pro FTE

Alle Daten bleiben in Ihrem Browser. Nichts wird an Server übertragen.

Equipment-Provisioning-Agent

Erstbewertung für Ihr Führungsteam

In 2 Minuten eine fundierte Erstbewertung - mit Ihren Zahlen, Ihrem Risikoprofil und Branchenbenchmarks. Kein Anbieter-Logo, kein Vendor-Pitch.

Alle Daten bleiben in Ihrem Browser. Nichts wird übertragen.

Verwandte Agenten

Arbeitsvertrags- und Angebots-Agent

Ein Arbeitsvertrag wird nicht teuer, weil seine Erstellung zu langsam war, sondern weil ein Formfehler die Befristung in ein unbefristetes Arbeitsverhältnis kippt.

W K
Readiness: 68-75%
Economic: 58-65%
Governance: 64-71%
Micro-Decisions: 13
Monatlich

Häufige Fragen

Welche BetrVG §87 Abs. 1 Nr. 6 Mitbestimmungs-Pflichten gelten für Equipment-Tracking?

BetrVG §87 Abs. 1 Nr. 6 verpflichtet zur Mitbestimmung des Betriebsrats, sobald eine technische Einrichtung Verhalten oder Leistung der Arbeitnehmer überwachen kann. Das trifft auf alle Equipment-Tracking-Funktionen zu - Microsoft Intune, Apple DEP, GPS-Tracking, App-Inventar, Browser-History oder Standort-Tracking. Das Verfahren läuft in Schritten: Vorab-Information des Betriebsrats über die geplante Konfiguration, Konsultation mit einer Wochenfrist, Verhandlung der Betriebsvereinbarung, bei Unstimmigkeit die Einigungsstelle nach BetrVG §76 und bei konzernweiten Richtlinien die Konsultation des Konzernbetriebsrats. Fehlt die Mitbestimmung, kann der Betriebsrat die Nutzung gerichtlich untersagen lassen, und es droht Schadensersatz. Die Rechtsprechung 2024 bis 2026 behandelt Microsoft Intune und Apple DEP klar als mitbestimmungspflichtige technische Einrichtungen.

Wie funktioniert die DGUV V1+V2 plus BildscharbV Ergonomie-Konfiguration für Bildschirmarbeit?

DGUV V1+V2 und die Bildschirmarbeitsverordnung schreiben eine ergonomische Arbeitsplatzausstattung vor: einen verstellbaren Bürostuhl mit einem 90-Grad-Winkel zwischen Ober- und Unterschenkel, eine ergonomische Tastatur und Maus, einen höhenverstellbaren Tisch (65 bis 85 cm), einen Augen-Bildschirm-Abstand von 50 bis 70 cm und eine Beleuchtungsstärke von 300 bis 500 Lux. Hinzu kommen die Sehtest-Pflicht alle fünf Jahre und bei Aufnahme neuer Bildschirmarbeit sowie Bildschirmpausen. Die Berufsgenossenschaft berät kostenlos; bei Nicht-Konformität drohen BG-Kostenrisiken und die Anerkennung einer Berufskrankheit. Der Agent prüft die Gerätekonfiguration regelbasiert gegen DGUV V1+V2 und die Bildschirmarbeitsverordnung - belegt durch Lieferanten-Zertifikat, Foto-Dokumentation und Sehtest-Bescheinigung.

Wie funktioniert NIS2-Richtlinie 2022/2555 plus IT-SiG 2.0 plus BSI-KritisV Cybersecurity-Equipment?

Die NIS2-Richtlinie und das IT-SiG 2.0 verlangen eine Cybersecurity-Grundkonfiguration jedes Geräts: ein regelmäßiges Risiko-Management, durchgängige Verschlüsselung mit BitLocker oder FileVault (AES-256), einen VPN-Client, Antivirus mit Endpoint Detection and Response, Data Loss Prevention, Conditional Access mit Multi-Faktor-Authentifizierung und ein automatisiertes Patch-Management - alles nach BSI-Grundschutz. Das Incident-Reporting an das BSI ist gestuft: 24 Stunden Frühwarnung, 72 Stunden Bewertung, 30 Tage Endbericht. Für die KRITIS-Sektoren - Energie, Wasser, IT, Finanz, Verkehr, Lebensmittel - sind Verstöße mit bis zu 10 Mio Euro oder 2 Prozent des weltweiten Jahresumsatzes bewehrt. Für den Cybersecurity-Audit arbeitet der Agent mit dem Audit-Compliance-Agent (Cluster #22) zusammen.

Welche Schwerbehinderten-Equipment-Anpassungen SGB IX §164 sind möglich plus Inklusionsamt-Kostenerstattung?

SGB IX §164 verpflichtet den Arbeitgeber zur behinderungsgerechten Beschäftigung mit passenden Equipment-Anpassungen ab einem Grad der Behinderung von 50 - etwa Vergrößerungssoftware und Screenreader für Sehbehinderte, Spezial-Tastaturen oder ein Braille-Display für motorische Einschränkungen, Sprachsteuerung für Bewegungseinschränkungen, einen höhenverstellbaren Tisch für Mobilitätseinschränkungen oder ein Headset mit Hörgeräte-Anbindung. Das Inklusionsamt kann die Mehrkosten bis zu 100 Prozent erstatten, beantragt über die Bundesanstalt für Arbeit. Die Schwerbehinderten-Vertretung ist nach SGB IX §178 obligatorisch zu beteiligen, dazu gilt der Sonderkündigungsschutz nach §168. Weil es um Gesundheitsdaten als Sondercategorie nach Art. 9 DSGVO geht, sind besondere Schutzmaßnahmen und eine Folgenabschätzung nach Art. 35 nötig. Der Agent koordiniert dabei Schwerbehinderten-Vertretung, Inklusionsamt und Datenschutzbeauftragten.

Wie funktioniert Microsoft Intune MDM plus Apple Device Enrollment Program ADM Auto-Provisioning?

Microsoft Intune und Apple DEP richten Geräte automatisch ein: Das Enrollment läuft über Apple Business Manager oder Microsoft Autopilot, Compliance-Policies erzwingen Verschlüsselung, Passwort-Anforderungen und Updates, und Conditional Access entscheidet den Zugriff abhängig vom Gerätestatus samt Multi-Faktor-Authentifizierung. App-Deployment, ein Self-Service-Portal und die selektive Fernlöschung gehören ebenso dazu. Das Standort-Tracking ist allerdings mitbestimmungspflichtig nach BetrVG §87 Abs. 1 Nr. 6. Microsoft und Apple verarbeiten als EU-Anbieter mit Standardvertragsklauseln und einem Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO. Pflicht sind daher die Mitbestimmung des Betriebsrats, eine Folgenabschätzung nach Art. 35 und eine Konzernbetriebsvereinbarung. Für die Schulung zur KI-Kompetenz arbeitet der Agent mit dem Compliance-Training-Agent (Cluster #28) zusammen.

Worin unterscheidet sich der Equipment-Provisioning-Agent vom Employee-Self-Service-Agent?

Beide Agents arbeiten in der HR-Domain, aber mit unterschiedlichen Schwerpunkten. Der Employee-Self-Service-Agent (Cluster #32) betreibt das Mitarbeiterportal - Auskunfts- und Datenportabilitäts-Rechte, Standardanträge wie Urlaub und Krankmeldung, Pay-Slip, Entgeltauskunft, qualifizierte E-Signatur und Chatbot. Der Equipment-Provisioning-Agent (dieser hier) verantwortet die IT-Hardware-Bereitstellung beim Onboarding und Offboarding: Mitbestimmung nach BetrVG §87 Abs. 1 Nr. 6, Einrichtung über Microsoft Intune und Apple DEP, Ergonomie nach DGUV V1+V2, Cybersecurity nach NIS2 und IT-SiG 2.0, behinderungsgerechte Anpassungen nach SGB IX §164 und den Equipment-Lebenszyklus mit Asset-Tracking. Sie greifen ineinander: Die Equipment-Bereitstellung stößt beim neuen Mitarbeiter die Erstkonfiguration des Self-Service-Portals an, und das Portal meldet umgekehrt Anträge zu Gerätewechsel, Reparatur oder Verlust zurück. Beide stützen sich auf dieselben Grundlagen - BetrVG-Mitbestimmung, DSGVO Art. 22 und 88 sowie IDW PS 951.

Was passiert als Nächstes?

1

30 Minuten

Erstgespräch

Wir analysieren Ihren Prozess und identifizieren den optimalen Startpunkt.

2

1 Woche

Discover

Mapping Ihrer Entscheidungslogik. Regelwerke dokumentiert, Decision Layer designt.

3

3-4 Wochen

Build

Produktiver Agent in Ihrer Infrastruktur. Governance, Audit Trail, prüfungsfähig ab Tag 1.

4

12-18 Monate

Eigenständig

Voller Zugang zu Quellcode, Prompts und Regelversionen. Kein Vendor Lock-in.

Diesen Agent implementieren?

Wir bewerten Ihre Prozesslandschaft und zeigen, wie dieser Agent in Ihre Infrastruktur passt.