EU AI Act — Selbstklassifizierung

1. Anwendungsbereich des Systems

ERPforgeAI ist ein KI-gestütztes Werkzeug für SAP-Beratungshäuser und IT-Abteilungen mit folgenden Funktionen:

• Custom-Code-Audit (ATC): Klassifizierung von ATC-XML- bzw. SYCM-ZIP-Befunden in Clean-Core-Stufen A/B/C/D mit Aufwandsschätzung pro Befund.
• Forms-Audit: Klassifizierung von SAPscript-, SmartForms-, Adobe-Forms- und NACE-Einträgen in Migrations-Buckets (Quick-Migrate / Refactor / Re-implement / Replace-with-OutputMgmt).
• DB-Volume-Audit: Klassifizierung von Oracle-DBA_SEGMENTS-Inventaren in DVM-Buckets (Archive / Partition / Delete / Custom-Review / Keep) mit HANA-Lizenz-Ersparnis-Schätzung.
• Code-Reparatur: KI-gestützte Vorschläge zur Reparatur, Migration oder Modernisierung von ABAP-Code auf Basis nutzerseitig hochgeladenen Quelltextes.
• CDS-Generator: KI-gestützte Generierung von SAP CDS Views aus natürlichsprachlicher Beschreibung.
• Berechtigungskonzept-Generator: KI-gestützte Ableitung von SAP-Berechtigungsobjekten aus Anforderungstexten.

2. Risiko-Klassifikation und Begründung

Klassifikation: Limited-Risk-System gem. KI-Verordnung Art. 50 (Transparenzpflichten für bestimmte KI-Systeme).

2.1 Prüfung „Verbotene KI-Praktiken“ (Art. 5)

ERPforgeAI nutzt keine der nach Art. 5 verbotenen Praktiken: keine unterschwellige Beeinflussung, keine Ausnutzung von Vulnerabilitäten, kein Social Scoring, keine biometrische Echtzeit-Identifikation, keine Verhaltensvorhersage zu Strafzwecken. Nicht einschlägig.

2.2 Prüfung „Hochrisiko-KI-System“ (Art. 6 + Anhang III)

Hochrisiko-KI-Systeme nach Anhang III sind systematisch durchgeprüft:

• Anhang III §1 (Biometrie) — nicht einschlägig: ERPforgeAI verarbeitet keine biometrischen Daten.
• Anhang III §2 (kritische Infrastruktur) — nicht einschlägig: kein Einsatz im Betrieb von Straßenverkehr / Wasser / Gas / Heizung / Strom / digitalen Infrastrukturen. SAP-Beratungs-Tooling erbringt keine Steuer- oder Sicherheitskomponenten dieser Bereiche.
• Anhang III §3 (Bildung / berufliche Ausbildung) — nicht einschlägig.
• Anhang III §4 (Beschäftigung / Arbeitnehmer-Management) — nicht einschlägig: keine Bewerber-Auswahl, keine Mitarbeiter-Bewertung, keine Aufgabenzuteilung.
• Anhang III §5 (Zugang zu wesentlichen privaten/öffentlichen Diensten) — nicht einschlägig: kein Kreditscoring, keine Kranken-/Lebensversicherungs-Risikobewertung, keine Notfall-Einsatz-Priorisierung.
• Anhang III §6 (Strafverfolgung) — nicht einschlägig.
• Anhang III §7 (Migration / Asyl / Grenzkontrolle) — nicht einschlägig.
• Anhang III §8 (Justiz / demokratische Prozesse) — nicht einschlägig.

Ergebnis: ERPforgeAI ist kein Hochrisiko-KI-System. Es handelt sich um ein technisches Beratungswerkzeug, dessen Output in der Migration-Vorbereitung von SAP-Bestandssystemen unterstützt; Entscheidungen und Umsetzung erfolgen durch qualifiziertes Fachpersonal beim Nutzer (Senior-ABAP-Entwickler, SAP-Architekten).

2.3 Prüfung „General-Purpose AI“ (Art. 51 ff.)

ERPforgeAI ist kein General-Purpose-KI-Modell-Anbieter. Die zugrundeliegenden Foundation Models (Anthropic Claude, OpenAI GPT, Google Gemini etc.) werden über das BYOK-Modell vom Nutzer selbst eingebunden; die jeweiligen Modellanbieter erfüllen ihre Pflichten nach Art. 51 ff. eigenverantwortlich.

3. Transparenzpflichten (Art. 50 KI-VO) und Umsetzung

Als Limited-Risk-System unterliegt ERPforgeAI der Transparenzpflicht gemäß Art. 50 KI-Verordnung. Die Pflicht ist erfüllt durch:

• Sichtbarer KI-Hinweis im UI: Vor jeder generierten Ausgabe wird ein gelb-orangefarbener Banner angezeigt: „KI-Vorschlag — keine produktionsreife Lösung. Vor produktivem Einsatz fachlich prüfen.“
• AGB §8: Vertragliche Klausel, dass KI-Outputs Vorschläge sind und der Nutzer fachlich verantwortlich bleibt.
• Diese Klassifizierungsseite: Öffentlich und maschinenlesbar einsehbar, dauerhaft über feste URL.
• White-Label-Reports: Tragen einen Methodik-Anhang, der KI-Anteil und Limitationen offenlegt.
• Markenrechtshinweis: Verlinkt auf jeder Seite, weist auf SAP-Drittmarken-Verwendung hin (siehe /markenrechtshinweis.html).

4. Mitigations-Maßnahmen

Auch ohne Hochrisiko-Einstufung implementiert ERPforgeAI vorsorglich technische und organisatorische Schutzmaßnahmen:

• Layer-A-Redaktor (Forge Shield): Maskiert SAP-System-Identifier (System-IDs, Hostnames, IP-Adressen) automatisch vor Weiterleitung an das KI-Modell.
• PII-Drop am Parser: Personenbezogene Felder (LAST_CHANGED_BY, Ansprechpartner) werden bereits beim Parsen verworfen und erreichen die KI-Pipeline nie.
• BYOK-Modell: Nutzer wählt eigenen API-Key-Anbieter und kontrolliert vollständig, an welchen Modellanbieter Daten fließen.
• EU-Hosting: Hetzner Falkenstein/Nürnberg, kein US-Hyperscaler, kein US-Datenabfluss bei der ERPforgeAI-eigenen Verarbeitung.
• Anonymity-Policy: Kunden-System-IDs (z. B. SID-Kennungen) werden in sämtlichen öffentlich-sichtbaren Artefakten (Sample-Reports, Marketing) durch <SID> ersetzt.
• Audit-Trail: Pro KI-Output werden Modell-Name, Token-Verbrauch und Zeitstempel im UI angezeigt (Nachvollziehbarkeit für Prüfer).

5. Menschliche Aufsicht

Die menschliche Letztverantwortung ist auf zwei Ebenen verankert:

• Operator-Side: Senior-Berater-Sanity-Check vor Auslieferung jedes Express-, Forms- oder DB-Volume-Audits an den Nutzer.
• Customer-Side: AGB §9 verpflichtet Beratungs-Nutzer, KI-Output durch eigenes qualifiziertes Personal zu reviewen, bevor Ergebnisse an den Endkunden übergeben werden. Verstöße lösen eine Freistellungspflicht gem. § 257 BGB aus.

6. Datenflussgrenzen

Kein Datenabfluss außerhalb der vom Nutzer freigegebenen Pfade:

• ERPforgeAI-eigenes Hosting: ausschließlich Hetzner DE (Falkenstein/Nürnberg).
• KI-Modell-Calls: an den vom Nutzer per BYOK gewählten Modellanbieter (Anthropic, OpenAI, Google, Anthropic-EU-Region soweit verfügbar etc.).
• Kein Training: ERPforgeAI verwendet Nutzer-Inputs nicht zum Training eigener Modelle.
• Subprozessoren: vollständig dokumentiert auf /subprozessoren.html.

7. Überprüfung und Aktualisierung

Diese Klassifizierung wird überprüft:

• Bei jedem neuen Funktions-Paket (z. B. SQL-Optimizer, Forms-Migrate)
• Bei wesentlichen Änderungen der KI-Verordnung oder der harmonisierten Normen
• Mindestens halbjährlich
• Im Rahmen der geplanten anwaltlichen Review nach BAFA-Beratungsförderungs-Bewilligung

8. Kontakt und Hinweise

Verantwortlich für diese Selbstklassifizierung:
Youssef Boukachabine, Deutz-Kalker Str. 13, 50679 Köln · [email protected]

Hinweise auf mögliche Klassifizierungsfehler oder Vorschläge zur Präzisierung bitte an die o. g. Adresse. Eine Prüfung erfolgt zeitnah.

← Startseite · AGB · Datenschutz · Markenrechtshinweis · Subprozessoren · TOMs · Löschkonzept