W D
EU AI Act: Nicht Hochrisiko

Lieferantenmanagement-Agent

HR-Dienstleister-Verwaltung als eine prüfbare Kette statt verstreuter Excel-Tabellen: Sorgfaltspflicht nach Lieferkettengesetz mit BAFA-Bericht, Auftragsverarbeitungs-Verträge nach DSGVO Art. 28 und ESG-Berichterstattung nach CSRD - mit menschlicher Entscheidung dort, wo Verträge verhandelt werden.

HR-Dienstleister-Verwaltung: LkSG-Sorgfaltspflicht mit BAFA-Bericht, DSGVO Art. 28 AVV mit Schrems-II-SCC und CSRD ESRS S2 Workers in Value Chain - mit BetrVG §87 Mitbestimmung.

Prozess analysieren lassen

Auswahl aus über 5.000 Projekten in 25 Jahren Softwareentwicklung

Airbus Volkswagen Shell Renault Evonik Vattenfall Philips KPMG

Wer prüft hier eigentlich die Lieferanten - und hält der Nachweis dem BAFA-Bericht stand?

Das Lieferantenmanagement ist überwiegend deterministische Compliance: Risikoanalyse und Beschwerdeverfahren nach Lieferkettengesetz, der jährliche BAFA-Bericht, die Auftragsverarbeitungs-Verträge nach DSGVO Art. 28 mit Schrems-II-Prüfung, die Vergaberechts-Prüfung und die ESG-Berichterstattung nach CSRD folgen festen Regeln. Die Auswahl eines Lieferanten und die Vertragsverhandlung bleiben jedoch beim Menschen; KI liefert nur Indikatoren für die Performance-Auswertung.

Ergebnis: Ein Verstoß gegen das Lieferkettengesetz kann mit Bußgeldern bis zu 8 Millionen Euro oder 2 Prozent des Konzernumsatzes geahndet werden und schließt das Unternehmen bis zu drei Jahre von öffentlichen Aufträgen aus. Ein mangelhafter Auftragsverarbeitungs-Vertrag kostet nach DSGVO bis zu 4 Prozent des Konzernumsatzes, eine diskriminierende Vendor-Auswahl kehrt nach AGG §22 die Beweislast um. Der Agent liefert die durchgängig auditierbare Kette, die das verhindert.

79% Regelwerk
7% KI-Agent
14% Mensch

Daraus folgt eine Architektur, in der jeder Compliance-Schritt deterministisch und auditierbar abläuft und nur die Vendor-Auswahl und -Verhandlung beim Menschen bleibt:

HR-Dienstleister zu verwalten ist selten ein Aufwands-, sondern ein Nachweis-Problem - und ein Verstoß gegen die Sorgfaltspflicht nach Lieferkettengesetz kann bis zu drei Jahre von öffentlichen Aufträgen ausschließen.

HR-Lieferantenmanagement im LkSG-Kontext

Dieser Agent folgt dem Decision Layer-Prinzip: jede Entscheidung ist entweder regelbasiert, KI-assistiert oder explizit einem Menschen zugeordnet. Nach EU AI Act 2024/1689 ist er kein Hochrisiko-System, weil er keine Menschen bewertet. Seine Anforderungen kommen aus dem Lieferketten-, Datenschutz-, Vergabe- und ESG-Recht - vom Lieferkettengesetz über die Auftragsverarbeitungs-Verträge nach DSGVO Art. 28 bis zur CSRD-Berichterstattung und der GoBD.

Die Verwaltung eines HR-Dienstleisters durchläuft mehrere Verifikations-Schritte: Onboarding mit AVV-Generierung und Schrems-II-Prüfung, die LkSG-Risikoanalyse, eine diskriminierungsfeste Auswahl, bei Ausschreibungen die Vergaberechts-Prüfung, den Mitbestimmungs-Workflow, die Vertragsverhandlung, die Performance-Auswertung sowie den jährlichen BAFA-Bericht und die ESG-Berichterstattung.

Das Problem liegt nicht im Volumen. Es liegt in der auditierbaren Kette: Verfahrensdokumentation, AVV-Pflicht-Inhalte, Drittstaaten-Prüfung, ein belastbarer Audit-Trail für die Auswahl, die Vergaberechts-Schwellen, der BAFA-Bericht und die sechsjährige Aufbewahrung der Verträge. Genau diese Kette stellt der Agent durchgängig her.

Lieferkettengesetz und BAFA-Berichtspflicht

Das Lieferkettengesetz (LkSG) vom 16. Juli 2021 gilt seit 2023 für Unternehmen ab 3.000 Beschäftigten und seit 2024 ab 1.000 Beschäftigten. Es verpflichtet zu einer Risikoanalyse (§5), zu Präventions- und Abhilfemaßnahmen (§6, §7), zu einem Beschwerdeverfahren (§8) sowie zur Dokumentation und zum jährlichen Bericht an die BAFA bis zum 1. Juni (§10).

Die Sanktionen sind erheblich: Nach §24 drohen Bußgelder bis zu 8 Millionen Euro oder 2 Prozent des Konzernumsatzes, nach §22 eine Vergabe-Sperre von bis zu drei Jahren. Ab 2027 verschärft die EU-Lieferketten-Richtlinie CSDDD diese Pflichten, mit nationaler Umsetzung bis Mitte 2026.

Aufsichtsbehörde ist die BAFA (Bundesamt für Wirtschaft und Ausfuhrkontrolle); sie nimmt die Berichte entgegen und kann Prüfungs- und Mahnungsverfahren bis hin zur Vor-Ort-Prüfung einleiten.

Auftragsverarbeitung nach DSGVO Art. 28 mit Schrems II

DSGVO Art. 28 verlangt für jeden Dienstleister, der personenbezogene Daten verarbeitet, einen Auftragsverarbeitungs-Vertrag mit den Pflicht-Inhalten nach Abs. 3. Bei Beschäftigtendaten greifen zusätzlich Art. 88 und BDSG §26; für Drittstaaten kommen Standardvertragsklauseln hinzu.

Das Schrems-II-Urteil des EuGH (C-311/18 vom 16. Juli 2020) verlangt bei Drittstaaten ohne Angemessenheits-Beschluss zusätzliche Maßnahmen wie Verschlüsselung, Pseudonymisierung und ergänzende technische und organisatorische Maßnahmen. Verstöße ahndet Art. 83 mit bis zu 4 Prozent des Konzernumsatzes.

Für welche Staaten ein Angemessenheits-Beschluss der EU-Kommission vorliegt - etwa die Schweiz, das Vereinigte Königreich, Japan oder Kanada -, prüft der Agent gegen die jeweils gültige Liste; die EDPB-Leitlinien zur grenzüberschreitenden Datenübermittlung sind dabei maßgeblich.

Vergaberecht bei HR-Ausschreibungen

Bei öffentlichen Aufträgen oder konzerninternen Ausschreibungen greift das Vergaberecht aus Vergabeverordnung (VgV) und GWB, ergänzt um das Gesetz gegen den unlauteren Wettbewerb und die EU-Vergaberichtlinien. Maßgeblich sind die EU-Schwellenwerte - rund 215.000 Euro für Liefer- und Dienstleistungen, rund 5,4 Millionen Euro für Bauaufträge.

Über die Einhaltung wachen die Vergabekammern von Bund und Ländern, die Vergabesenate der Oberlandesgerichte und das Bundeskartellamt.

Bei der Auswahl von HR-Dienstleistern - besonders Recruiting-Plattformen und Background-Check-Anbietern - greift zudem das AGG: Nach §22 kehrt sich bei Indizien für eine Benachteiligung die Beweislast um. Die US-Sammelklage Mobley gegen Workday (2023) zeigt, dass KI-Bias in HR-Software dabei zum Präzedenzfall werden kann.

Zusammenspiel mit Payroll-Processing, Compensation-Benchmarking und HR-Document-Management

Der Lieferantenmanagement-Agent ist eingebettet in eine Pipeline aus spezialisierten HR-Agenten: Der Payroll-Processing-Agent erhält die Payroll-Vendor-Konfiguration, der Compensation-Benchmarking-Agent die Daten der Vergütungs-Dienstleister wie Mercer und Korn Ferry. Der Pre-Hire-Due-Diligence-Agent bezieht die Daten der Background-Check-Anbieter, der HR-Document-Management-Agent archiviert die Vendor-Verträge revisionssicher über sechs Jahre. Der Audit-Compliance-Agent prüft die GoBD-, LkSG- und DSGVO-Konformität, der Travel-Expense-Agent erhält die Daten der Reise-Dienstleister, und der Sick-Leave-Processing-Agent die der Krankenkassen.

Auf einen Blick

  • Klassifikation: Compliance-Support, kein EU-AI-Act-Hochrisiko (Beschaffungsverwaltung, keine Bewertung von Menschen)
  • Compliance-Anker: Lieferkettengesetz ab 1.000 Beschäftigten, Auftragsverarbeitung nach DSGVO Art. 28 mit Schrems II, Vergaberecht, ESG-Berichterstattung nach CSRD (ESRS S2), AGG §22 und Mitbestimmung nach BetrVG §87 Abs. 1 Nr. 6; ab 2027 zusätzlich die EU-Richtlinie CSDDD
  • Aufbewahrung: sechs Jahre für Vendor-Verträge, zehn Jahre für Lohnkonten (HGB §257, AO §147)
  • Mitbestimmung: BetrVG §87 Abs. 1 Nr. 6 zwingend für das Vendor-Management-System
  • Sanktionen: bis zu 8 Millionen Euro oder 2 Prozent Konzernumsatz und drei Jahre Vergabe-Sperre nach LkSG, bis zu 4 Prozent Konzernumsatz nach DSGVO, bis zu drei Bruttomonatsgehälter nach AGG §15
  • Entscheidungslogik: überwiegend regelbasiert, KI nur als Indikator, menschliche Entscheidung bei Vendor-Verhandlung und Aufsichtsrats-Bericht

Entscheider-Verteilung Lieferantenmanagement-Agent

SchrittDeciderBegründung
Vendor-Onboarding mit AVVRPflicht-Inhalte nach DSGVO Art. 28 und Schrems II
LkSG-RisikoanalyseRfeste Risiko-Klassifikations-Matrix
AGG-konforme Vendor-AuswahlRacht geschützte Merkmale, Audit-Trail
Vergaberechts-PrüfungREU-Schwellenwerte und Vergabeverfahren
Vendor-Vertrags-VerhandlungHPreise, Vertragsstrafen und SLAs zwingend menschlich
BetrVG §87 MitbestimmungRBeteiligung an der System-Einführung
Vendor-Performance-KPIAstatistischer Indikator mit menschlicher Validierung
BAFA-Berichts-GenerierungRfeste Pflicht-Inhalte und 1.-Juni-Frist nach LkSG §10
ESG-Berichterstattung nach CSRDREFRAG-Vorgaben, prüfungspflichtig ab 250 MA
Beschwerdeverfahren LkSG §8RHinweisgeber-Schutz nach HinSchG
Vendor-Vertrags-LifecycleRfeste Verlängerungs- und Kündigungsfristen
Vendor-Wechsel BGB §613aRInformation und einmonatige Widerspruchsfrist
GoBD-Aufbewahrung 6/10 JahreRfeste Fristen nach HGB §257 und AO §147
Aufsichtsrats-Bericht AktG §107HVorstand-Haftung zwingend menschlich

Micro-Decision-Tabelle

Wer entscheidet bei diesem Agent?

14 Entscheidungsschritte, aufgeteilt nach Decider

79%(11/14)
Regelwerk
deterministisch
7%(1/14)
KI-Agent
modellbasiert mit Confidence
14%(2/14)
Mensch
explizit zugewiesen
Mensch
Regelwerk
KI-Agent
Jede Zeile ist eine Entscheidung. Aufklappen zeigt die Entscheidungsakte und ob man anfechten kann.
Vendor-Onboarding mit AVV-Generierung und Schrems-II-Prüfung Wird beim Vendor-Onboarding deterministisch ein Auftragsverarbeitungs-Vertrag mit den Pflicht-Inhalten nach DSGVO Art. 28 erzeugt - bei Drittstaaten samt Standardvertragsklauseln und Schrems-II-Prüfung? Regelwerk

Der Auftragsverarbeitungs-Vertrag wird mit den Pflicht-Inhalten nach DSGVO Art. 28 Abs. 3 generiert; bei Drittstaaten kommen Standardvertragsklauseln und die nach Schrems II nötige Prüfung hinzu. Diese Inhalte sind vorgegeben und damit deterministisch.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

LkSG-Risikoanalyse plus Risiko-Klassifikation Vendor Wird die Risikoanalyse nach LkSG §5 deterministisch durchgeführt - mit einer Risiko-Klassifikation aus Geographie, Branche und Menschenrechts-Indikatoren - und an den BAFA-Berichts-Workflow übergeben? Regelwerk

Die Risikoanalyse nach LkSG §5 ordnet jeden Lieferanten anhand einer festen Matrix aus Geographie, Branche und Menschenrechts-Indikatoren ein. Diese Klassifikation folgt definierten Kennzahlen und ist deterministisch.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Vendor-Auswahl-Prozess plus AGG §22-konforme Begründungs-Dokumentation Wird die Vendor-Auswahl AGG §22-konform mit Prüfung der acht geschützten Merkmale + Diskriminierungs-Indikatoren bei HR-Vendoren (Recruiting-Plattformen + Background-Check-Anbieter) durchgeführt? Regelwerk

Bei der Auswahl von HR-Dienstleistern - etwa Recruiting-Plattformen oder Background-Check-Anbietern - prüft der Agent regelbasiert auf Diskriminierungs-Indikatoren und dokumentiert die Begründung. Dieser Audit-Trail trägt im Streitfall die Beweislast-Umkehr nach AGG §22; die US-Sammelklage Mobley gegen Workday zeigt, dass auch KI-Bias bei der Vendor-Auswahl relevant ist.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Vergaberechts-Prüfung nach VgV und GWB bei öffentlichen Aufträgen Wird bei öffentlichen Aufträgen oder Ausschreibungen das Vergaberecht nach Vergabeverordnung und GWB gegen die EU-Schwellenwerte deterministisch geprüft? Regelwerk

Bei öffentlichen Aufträgen prüft der Agent das Vergaberecht nach Vergabeverordnung und GWB gegen die EU-Schwellenwerte - rund 215.000 Euro für Liefer- und Dienstleistungen. Diese Schwellen und Verfahren sind klar definiert und deterministisch.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Vendor-Vertrags-Verhandlung plus menschliche Verhandlungs-Pflicht Wie wird die individuelle Vendor-Vertrags-Verhandlung durch den Procurement-Manager geführt - über Preise, Service-Level, Vertragsstrafen und Schiedsgerichtsbarkeit? Mensch

Die Vertragsverhandlung gehört zwingend in menschliche Hand, weil Preise, Service-Level, Vertragsstrafen und Schiedsgerichtsbarkeit individuell ausgehandelt werden und der Vorstand für wesentliche Outsourcing-Entscheidungen haftet.

Entscheidungsakte

Entscheider-ID und Rolle
Begründung der Entscheidung
Zeitstempel und Kontext

Anfechtbar: Ja - über Vorgesetzten, Betriebsrat oder formalen Einspruch.

BetrVG §87 Abs. 1 Nr. 6 Mitbestimmungs-Workflow plus Audit-Trail Wird der BetrVG §87 Abs. 1 Nr. 6 Mitbestimmungs-Workflow bei Einführung Vendor-Management-IT-System mit Audit-Trail + IT-System-Einführungs-Beteiligung + Audit-Trail-Zugang Betriebsrat eingehalten? Regelwerk

Weil das Vendor-Management-System der technischen Überwachung dient, ist der Betriebsrat nach BetrVG §87 Abs. 1 Nr. 6 an der Einführung zu beteiligen und erhält Zugang zum Audit-Trail. Dieser Workflow ist regelhaft und deterministisch.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Vendor-Performance-KPI-Auswertung plus ML-Anomalie-Detection Werden die Vendor-Performance-KPIs - etwa SLA-Erfüllung, Liefertreue, Qualität und ESG-Rating - mit einer ML-gestützten Anomalie-Erkennung ausgewertet? KI-Agent WP/BP

Auffällige Vendor-Kennzahlen wie SLA-Erfüllung, Liefertreue oder ESG-Rating erkennt eine statistische Anomalie-Detection auf Basis der unternehmenseigenen Historie. Ihr Output ist ein Indikator, keine Entscheidung; jede Eskalation prüft der Procurement-Manager selbst.

Entscheidungsakte

Modell-Version und Confidence Score
Eingabedaten und Klassifikationsergebnis
Entscheidungsgrund (Erklärbarkeit)
Audit Trail mit vollständiger Nachvollziehbarkeit

Anfechtbar: Ja - vollständig dokumentiert, durch Menschen überprüfbar, Einspruch über formalen Prozess.

Anfechtbar durch: WP/BP

BAFA-Berichts-Generierung jährlich bis 1.6. Wird der BAFA-Bericht nach LkSG §10 jährlich bis zum 1. Juni aus den Pflicht-Inhalten - Risikoanalyse, Präventions- und Abhilfemaßnahmen, Beschwerdeverfahren - deterministisch generiert? Regelwerk

Der BAFA-Bericht nach LkSG §10 wird aus den Pflicht-Inhalten - Risikoanalyse, Präventions- und Abhilfemaßnahmen, Beschwerdeverfahren - bis zur Frist am 1. Juni generiert. Inhalt und Termin sind vorgegeben und damit deterministisch.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

ESG/CSRD ESRS S2 Workers in Value Chain Reporting Werden die jährlichen ESG-Daten für CSRD ESRS S2 Workers in Value Chain + ESRS S1 Eigene Beschäftigte + Wirtschaftsprüfer-Verifikation Pflicht ab 250 MA dokumentiert? Regelwerk

Die ESG-Berichterstattung nach CSRD - insbesondere der Standard ESRS S2 zu Beschäftigten in der Wertschöpfungskette - folgt den EFRAG-Vorgaben und ist ab 250 Beschäftigten prüfungspflichtig. Die Datenzusammenstellung ist regelhaft und deterministisch.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Beschwerdeverfahren plus Hinweisgeber-Schutz LkSG §8 Wird das Beschwerdeverfahren nach LkSG §8 eingerichtet - mit Vertraulichkeit, Hinweisgeber-Schutz und Repressalien-Verbot im Einklang mit dem HinSchG? Regelwerk

Das Beschwerdeverfahren nach LkSG §8 sichert Vertraulichkeit, Hinweisgeber-Schutz und das Verbot von Repressalien zu, im Einklang mit dem Hinweisgeberschutzgesetz. Diese Anforderungen an die Meldestelle sind fest definiert und deterministisch umsetzbar.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Vendor-Vertrags-Lifecycle plus Lifecycle-Management Wird der Vendor-Vertrags-Lifecycle deterministisch verwaltet - mit Vertragsstart, Verlängerungs-Workflow, Kündigungsfristen und automatischer Eskalation? Regelwerk

Der Vertrags-Lifecycle steuert Start, Verlängerungs- und Kündigungsfristen mit automatischer Eskalation. Diese Fristen sind fest hinterlegt; die Verträge bleiben sechs Jahre aufbewahrt (HGB §257, AO §147). Das ist deterministisch.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Vendor-Wechsel BGB §613a Betriebsübergang-Prüfung Wird bei Vendor-Wechsel BGB §613a Betriebsübergang-Prüfung mit Information Mitarbeiter + 1-Monats-Widerspruchsfrist deterministisch durchgeführt? Regelwerk

Bei einem Vendor-Wechsel prüft der Agent regelbasiert, ob ein Betriebsübergang nach BGB §613a vorliegt - mit Information der betroffenen Mitarbeiter und deren einmonatiger Widerspruchsfrist. Diese Prüfung folgt festen Vorgaben und ist deterministisch.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

GoBD Verfahrensdokumentation plus 6/10-Jahres-Aufbewahrung Vendor-Verträge Wird die GoBD-Verfahrensdokumentation laufend aktualisiert, mit sechs Jahren Aufbewahrung für Vendor-Verträge und zehn Jahren für Lohnkonten nach AO §147 und HGB §257? Regelwerk

Die Verfahrensdokumentation nach GoBD entsteht aus jedem Schritt automatisch mit, statt nachträglich gepflegt zu werden. Vendor-Verträge bleiben sechs Jahre, Lohnkonten zehn Jahre aufbewahrt - eine deterministische Lifecycle-Regel.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Aufsichtsrats-Berichts-Generierung plus AktG §107 Prüfungs-Ausschuss Wie wird der Aufsichtsrats-Bericht nach AktG §107 mit wesentlichen Vendor-Risiken + LkSG-Compliance + DSGVO-Compliance an Prüfungs-Ausschuss generiert? Mensch

Der Bericht an den Prüfungsausschuss des Aufsichtsrats nach AktG §107 muss zwingend menschlich validiert werden, weil der Vorstand für die wesentlichen Vendor-Risiken haftet. Diese Bewertung kann kein Automatismus übernehmen.

Entscheidungsakte

Entscheider-ID und Rolle
Begründung der Entscheidung
Zeitstempel und Kontext

Anfechtbar: Ja - über Vorgesetzten, Betriebsrat oder formalen Einspruch.

Entscheidungsakte und Anfechtbarkeit

Jede Entscheidung, die dieser Agent trifft oder vorbereitet, wird in einer vollständigen Entscheidungsakte dokumentiert. Betroffene Mitarbeitende können jede einzelne Entscheidung einsehen, nachvollziehen und anfechten.

Welche Regel in welcher Version wurde angewandt?
Welche Daten lagen der Entscheidung zugrunde?
Wer (Mensch, Regelwerk oder KI) hat entschieden - und warum?
Wie kann die betroffene Person Einspruch einlegen?
So setzt der Decision Layer das architektonisch um →

Passt dieser Agent zu Ihrem Prozess?

Wir analysieren Ihren konkreten HR-Prozess und zeigen, wie dieser Agent in Ihre Systemlandschaft passt. 30 Minuten, keine Vorbereitung nötig.

Prozess analysieren lassen

Governance-Hinweise

EU AI Act: Nicht Hochrisiko
Dieser Agent ist kein Hochrisiko-System nach EU AI Act: Er bewertet keine Bewerber oder Mitarbeitenden, sondern verwaltet Dienstleister-Beziehungen. Die hohen Anforderungen kommen aus dem Lieferketten-, Datenschutz-, Vergabe- und ESG-Recht. Ein Verstoß gegen das Lieferkettengesetz kann mit Bußgeldern bis zu 8 Millionen Euro oder 2 Prozent des Konzernumsatzes geahndet werden und schließt bis zu drei Jahre von öffentlichen Aufträgen aus; ein mangelhafter Auftragsverarbeitungs-Vertrag kostet nach DSGVO bis zu 4 Prozent des Konzernumsatzes, und eine diskriminierende Vendor-Auswahl kehrt nach AGG §22 die Beweislast um. Der Agent begegnet dem strukturell: Risikoanalyse, AVV-Generierung mit Schrems-II-Prüfung, Vergaberechts-Prüfung, ESG-Berichterstattung und BAFA-Bericht laufen als regelbasierte Schritte. Die Vertragsverhandlung und der Bericht an den Prüfungsausschuss des Aufsichtsrats bleiben zwingend beim Menschen, und der Betriebsrat ist über BetrVG §87 Abs. 1 Nr. 6 am System beteiligt. Ab 2027 verschärft die EU-Lieferketten-Richtlinie CSDDD diese Pflichten zusätzlich.

Bewertung

Agent Readiness 71-78%
Governance-Komplexität 58-65%
Economic Impact 61-68%
Leuchtturm-Wirkung 56-63%
Implementation Complexity 44-51%
Transaktionsvolumen Wöchentlich

Voraussetzungen

  • Verfahrensdokumentation nach DSGVO Art. 30 + DPIA Art. 35 + GoBD-Schreiben BMF 28.11.2019
  • LkSG-Risikoanalyse-Engine + BAFA-Berichts-Workflow
  • DSGVO Art. 28 AVV-Generator + SCC + Schrems II-Prüfung
  • Vergaberecht VgV + GWB-Prüfung bei öffentlichen Aufträgen
  • Betriebsvereinbarung BetrVG §87 Abs. 1 Nr. 6 zur Vendor-Management-IT-System
  • 6/10-Jahres-Aufbewahrungs-Engine HGB §257 + AO §147
  • ESG/CSRD ESRS S2 Workers in Value Chain Reporting + EFRAG-Standards
  • EcoVadis + Sustain.Life-Schnittstelle für Vendor-Sustainability-Audit

Infrastruktur-Beitrag

Mehrere Bausteine dieses Agenten dienen angrenzenden HR-Agenten als gemeinsame Grundlage. Der Generator für Auftragsverarbeitungs-Verträge mit Standardvertragsklauseln und Schrems-II-Prüfung wird von jedem Agenten genutzt, der Daten in Drittstaaten verarbeitet. Die Audit-Trail-Engine, die jeden Schritt revisionssicher und AGG-konform protokolliert, bildet das Rückgrat aller compliance-relevanten Agenten, und die ESG-Vendor-Bewertung über Anbieter wie EcoVadis wird zum Standard für das Sustainability-Audit. Auch die zur Laufzeit entstehende Verfahrensdokumentation wird zum gemeinsamen Standard, sobald mehrere Agenten dieselben Vendor-Prozesse bedienen.

Was diese Erstbewertung enthält: 9 Slides für Ihr Führungsteam

Personalisiert mit Ihren Zahlen. Generiert in 2 Minuten direkt im Browser. Kein Upload, kein Login.

  1. 1

    Titelfolie - Prozessname, Entscheidungspunkte, Automatisierungspotenzial

  2. 2

    Executive Summary - FTE-Freisetzung, Kosten pro Vorgang vorher/nachher, Break-Even-Datum, Kosten des Wartens

  3. 3

    Ausgangslage - Transaktionsvolumen, Fehlerkosten, Wachstumsszenario mit FTE-Vergleich

  4. 4

    Lösungsarchitektur - Mensch - Regelwerk - KI-Agent mit konkreten Entscheidungspunkten

  5. 5

    Governance - EU AI Act, Betriebsrat (§87 BetrVG), Audit Trail - mit Ampelstatus

  6. 6

    Risikoanalyse - 5 Risiken mit Eintrittswahrscheinlichkeit, Auswirkung und Gegenmaßnahme

  7. 7

    Roadmap - 3-Phasen-Plan mit konkreten Kalenderdaten und Go/No-Go

  8. 8

    Business Case - 3-Szenarien-Vergleich (Nichtstun/Neueinstellung/Automatisierung) plus 3×3-Sensitivitätsmatrix

  9. 9

    Diskussionsvorschlag - Konkrete nächste Schritte mit Zeitplan und Verantwortlichkeiten

Enthält: 3-Szenarien-Vergleich

Nichtstun vs. Neueinstellung vs. Automatisierung - mit Ihrem Gehaltsniveau, Ihrer Fehlerquote und Ihrem Wachstumsplan. Die eine Slide, die Ihr CFO als erstes sehen will.

Berechnungsmethodik anzeigen

Stundensatz: Jahresgehalt (Ihre Eingabe) × 1,3 AG-Anteil ÷ 1.720 Jahresarbeitsstunden

Einsparung: Vorgänge × 12 × Automatisierungsrate × Minuten/Vorgang × Stundensatz × Economic Factor

Qualitäts-ROI: Fehlerreduktion × Vorgänge × 12 × EUR 260/Fehler (APQC Open Standards Benchmarking)

FTE: Eingesparte Stunden ÷ 1.720 Jahresarbeitsstunden

Break-Even: Benchmark-Investition ÷ monatliche Gesamteinsparung (Effizienz + Qualität)

Neueinstellung: Jahresgehalt × 1,3 + EUR 12.000 Recruiting pro FTE

Alle Daten bleiben in Ihrem Browser. Nichts wird an Server übertragen.

Lieferantenmanagement-Agent

Erstbewertung für Ihr Führungsteam

In 2 Minuten eine fundierte Erstbewertung - mit Ihren Zahlen, Ihrem Risikoprofil und Branchenbenchmarks. Kein Anbieter-Logo, kein Vendor-Pitch.

Alle Daten bleiben in Ihrem Browser. Nichts wird übertragen.

Weiterführende Seiten

Decision Layer
Governance-Schicht zwischen KI-Agent und Zielsystem. Jede Entscheidung dokumentiert und anfechtbar.
Mitbestimmung & KI
Betriebsrat (§87 Abs. 1 Nr. 6 BetrVG), Betriebsvereinbarung und Mitbestimmung als Architektur-Anforderung.
HR AI Agents
Alle HR-Agent-Leistungen im Überblick.
HR Agent Readiness
7 Fragen, 3 Minuten. Wie bereit ist Ihre Organisation?
Assessment eBook
15 Fragen für Ihr Führungsteam als PDF.

Agent-Blueprint verfügbar

Für Lieferantenmanagement-Agent existiert ein vollständiger Blueprint mit Micro-Decision-Zerlegung, Branchenvarianten und Implementierungsdetails.

Blueprint ansehen

Verwandte Agenten

Auslagen-Agent

Jeder eingereichte Beleg entscheidet zugleich über Betriebsausgabe, Vorsteuer und Lohnsteuerfreiheit - der Agent trennt erfassen, prüfen und genehmigen in klar verantwortete Schritte.

D W
Readiness: 86-93%
Economic: 76-83%
Governance: 8-15%
Micro-Decisions: 13
Täglich

HR-Vendor-Rechnungen-Agent

HR-Vendor-Rechnungen (Recruiting, Trainings, bAV) erfassen, Personal-Kostenstellen zuordnen, Mitbestimmung prüfen. Allgemeine Eingangsrechnungs-Erfassung (XRechnung, ZUGFeRD, PEPPOL) läuft im Eingangsrechnungs-OCR-Agent.

D
Readiness: 88-95%
Economic: 81-88%
Governance: 6-13%
Micro-Decisions: 7
Täglich

Vertragsanalyse-Agent

Verträge analysieren, Risiken identifizieren, Klauseln gegen Standards prüfen.

D K
Readiness: 61-68%
Economic: 58-65%
Governance: 51-58%
Micro-Decisions: 9
Wöchentlich
Zurück zum Katalog

Häufige Fragen

Trifft der Agent autonome Vendor-Auswahl-Entscheidungen?

Nein. Der Agent verwaltet HR-Dienstleister deterministisch: Risikoanalyse nach Lieferkettengesetz, AVV-Generierung nach DSGVO Art. 28, Vergaberechts-Prüfung, ESG-Berichterstattung nach CSRD, der jährliche BAFA-Bericht und die Performance-Auswertung. Die Anomalie-Erkennung liefert nur Indikatoren, keine Vendor-Entscheidungen. Die Vertragsverhandlung braucht menschliche Validierung, weil Vertragsstrafen und Service-Level individuell ausgehandelt werden. So bleibt der Prozess durchgehend konform mit dem Lieferkettengesetz, der Auftragsverarbeitung nach DSGVO Art. 28, dem Diskriminierungsschutz nach AGG §22 und dem Vergaberecht.

Warum ist dieser Agent KEIN EU AI Act Hochrisiko-System?

Vendor-Management ist Beschaffungsverwaltung - Risikoanalyse, AVV-Generierung, Vergaberechts-Prüfung und Performance-Auswertung -, ohne KI-gestützte Bewertung von Mitarbeitenden. Die Hochrisiko-Tatbestände des EU AI Act in Annex III(4) zielen auf Recruitment-Bias und Vergütungsentscheidungen; hier wird nichts entschieden, nur verwaltet. Liefert der Dienstleister allerdings selbst KI-Tools - etwa eine AI-Recruiting-Plattform -, kommt bei der Vendor-Auswahl die Bias-Audit-Pflicht nach Annex III(4)(a) samt Datenschutz-Folgenabschätzung hinzu. Die hohen Anforderungen kommen aus dem Lieferketten-, Datenschutz-, Vergabe- und ESG-Recht, nicht aus dem EU AI Act.

Wie wird LkSG-Compliance ab 1.1.2024 sichergestellt?

Das Lieferkettengesetz gilt seit 2024 für Unternehmen ab 1.000 Beschäftigten. Es verlangt eine Risikoanalyse nach §5, Präventions- und Abhilfemaßnahmen nach §6 und §7, ein Beschwerdeverfahren nach §8 sowie die Dokumentation und den jährlichen Bericht an die BAFA bis zum 1. Juni nach §10. Bei Verstößen drohen Bußgelder bis zu 8 Millionen Euro oder 2 Prozent des Konzernumsatzes und eine Vergabe-Sperre von bis zu drei Jahren. Der Agent erzeugt den BAFA-Bericht automatisch aus den Pflicht-Inhalten. Ab 2027 verschärft die EU-Lieferketten-Richtlinie CSDDD diese Pflichten, mit nationaler Umsetzung bis Mitte 2026.

Wie funktioniert DSGVO Art. 28 AVV + SCC + Schrems II?

DSGVO Art. 28 verlangt für jeden Dienstleister einen Auftragsverarbeitungs-Vertrag mit den Pflicht-Inhalten nach Abs. 3 - Gegenstand, Dauer, Art und Zweck der Verarbeitung, betroffene Datenkategorien sowie die Pflichten und Rechte des Verantwortlichen. Für Drittstaaten kommen die Standardvertragsklauseln der EU-Kommission hinzu. Das Schrems-II-Urteil des EuGH (C-311/18 vom 16.7.2020) verlangt bei Drittstaaten ohne Angemessenheits-Beschluss zusätzliche Maßnahmen wie Verschlüsselung und Pseudonymisierung samt ergänzender technischer und organisatorischer Maßnahmen. Verstöße können mit bis zu 4 Prozent des Konzernumsatzes geahndet werden; die maßgebliche Auslegung geben die EDPB-Leitlinien zur grenzüberschreitenden Datenübermittlung.

Welche Cross-References zu anderen HR-Agenten existieren?

Der Payroll-Processing-Agent erhält die Payroll-Vendor-Konfiguration, der Compensation-Benchmarking-Agent die Daten der Vergütungs-Dienstleister wie Mercer und Korn Ferry. Der Pre-Hire-Due-Diligence-Agent bezieht die Daten der Background-Check-Anbieter wie Sterling und HireRight, der HR-Document-Management-Agent archiviert die Vendor-Verträge sechs Jahre HGB-konform. Der Audit-Compliance-Agent prüft die GoBD-, LkSG- und DSGVO-Konformität, der Travel-Expense-Agent erhält die Daten der Reise-Dienstleister wie Concur und Egencia, und der Sick-Leave-Processing-Agent die der Krankenkassen.

Was passiert als Nächstes?

1

30 Minuten

Erstgespräch

Wir analysieren Ihren Prozess und identifizieren den optimalen Startpunkt.

2

1 Woche

Discover

Mapping Ihrer Entscheidungslogik. Regelwerke dokumentiert, Decision Layer designt.

3

3-4 Wochen

Build

Produktiver Agent in Ihrer Infrastruktur. Governance, Audit Trail, prüfungsfähig ab Tag 1.

4

12-18 Monate

Eigenständig

Voller Zugang zu Quellcode, Prompts und Regelversionen. Kein Vendor Lock-in.

Diesen Agent implementieren?

Wir bewerten Ihre Prozesslandschaft und zeigen, wie dieser Agent in Ihre Infrastruktur passt.