Case Study

Die Situation

Ein regionales Krankenhaus stand vor der Herausforderung, seine Governance-Strukturen zu modernisieren und regulatorische sowie technologische Risiken übergreifend zu adressieren. Getrieben durch steigende Anforderungen aus ISO/IEC 27001-basiertem Informationssicherheitsmanagement (ISMS), organisatorische Anforderungen an Kritische Infrastrukturen (KAEP/BCM) sowie durch die zunehmende Nutzung von KI-basierten Systemen, bestand für den Kunden die Notwendigkeit, diese Themen nicht isoliert, sondern in einer integrierten Steuerungsarchitektur zu betrachten.

Ohne eine ganzheitliche Governance blieben Effizienz, Risiko-Transparenz und Compliance-Reife hinter den Erwartungen zurück. Data Protection (DS)-Verpflichtungen wurden fragmentiert erfüllt und KI-Projekte drohten, ohne klare Steuerungs- und Kontrollmechanismen eingeführt zu werden – was Risiken für Datenschutz, Bias, Nachvollziehbarkeit und Geschäftsprozesse erhöhte.

Die Anforderungen

Unser Kunde stand vor diversen inselartigen Herausforderungen: Governance-Strukturen für Informationssicherheit, Datenschutz, Business Continuity und KI waren isoliert organisiert, regulatorische Anforderungen aus NIS-2 und dem EU-AI-Act wurden nur punktuell adressiert und es fehlte ein integrierter Überblick über Risiken, Verantwortlichkeiten und Steuerungsmechanismen. Insbesondere der Einsatz von KI-Anwendungen erfolgte ohne einheitliche Governance-Leitplanken hinsichtlich Transparenz, Datenqualität und Nachvollziehbarkeit. Zusätzlich führten begrenzte personelle Ressourcen dazu, dass Compliance- und Sicherheitsmaßnahmen nur reaktiv umgesetzt wurden.

Im Rahmen der initialen Analyse erkannte der Kunde die Notwendigkeit, eine ganzheitliche Governance-Basis zu schaffen, die ISMS, KAEP, Datenschutz und KI systematisch verbindet. Ohne ein konsistentes Governance-Modell bestand ein erhebliches Risiko, regulatorische Vorgaben nicht nachhaltig zu erfüllen, Sicherheits- und KI-Risiken nicht angemessen zu steuern und Innovationspotenziale nicht kontrolliert zu realisieren. Dies hätte sowohl die regulatorische Resilienz als auch die strategische Weiterentwicklung der Organisation deutlich beeinträchtigt.

Unsere Vorgehensweise 

Im Projekt haben wir zunächst die bestehende Governance- und Managementarchitektur analysiert, um Optimierungspotenziale in den Bereichen Informationssicherheit, Business Continuity (KAEP), Datenschutz und KI zu identifizieren und gezielt bei der Weiterentwicklung zu unterstützen. Dabei kam ein integrierter Governance-Ansatz zum Einsatz, der regulatorische Anforderungen aus NIS-2, DSGVO und EU-AI-Act konsistent berücksichtigt.

Unser Vorgehen umfasste dabei folgende Schwerpunkte: 

• Analyse der bestehenden Governance-Strukturen und Managementsysteme
• Bewertung der regulatorischen Abdeckung (u. a. NIS2, EU-AI-Act, DSGVO)
• Identifikation von Steuerungs-, Rollen- und Kontrolllücken
• Ableitung von Optimierungs- und Integrationspotenzialen über alle Domänen hinweg

Das Projekt wurde in vier aufeinander aufbauende Phasen strukturiert:

1. Scoping: 
   Festlegung des Governance-Umfangs über ISMS, KAEP, Datenschutz und KI hinweg 
2. Ist-Aufnahme: 
   Strukturierte Erhebung des aktuellen Reifegrads mittels standardisierter Assessments 
3. Soll-Konzept & Roadmap: 
   Entwicklung einer integrierten Governance-Zielarchitektur inkl. priorisierter Umsetzungs-Roadmap
4. Implementierung: 
   Begleitung bei der Umsetzung der definierten Maßnahmen und Governance-Strukturen

Im weiteren Projektverlauf unterstützten wir den Kunden bei der Umsetzung zentraler Governance-Initiativen, unter anderem:

• Aufbau und Weiterentwicklung eines Informationssicherheitsmanagementsystems (ISMS)
• Integration von KAEP- und Business-Continuity-Anforderungen
• Etablierung eines Datenschutz- und Daten-Governance-Modells
• Einführung klarer Governance-Leitplanken für den Einsatz von KI-Systemen gemäß EU-AI-Act
• Definition von Rollen, Verantwortlichkeiten und Reporting-Strukturen
• Schulung von Management und Fachbereichen zur Stärkung von Awareness und Accountability
• Vorbereitung auf regulatorische Prüfungen und Audits

Diese strukturierte Vorgehensweise schuf eine belastbare Grundlage für eine ganzheitliche Governance, erhöhte die Transparenz über Risiken und Verantwortlichkeiten und stärkte nachhaltig die regulatorische Resilienz sowie die Innovationsfähigkeit der Organisation.

Der Mehrwert

In den vergangenen Jahren haben wir den Kunden dabei begleitet, eine konsistente und zukunftsfähige Governance-Struktur aufzubauen und weiterzuentwickeln. Dabei konnten wir uns als verlässlicher Ansprechpartner für Informationssicherheit, Datenschutz, Business Continuity und den verantwortungsvollen Einsatz von KI positionieren. Durch unsere Unterstützung wurde der organisatorische Reifegrad gezielt erhöht, indem bestehende Governance-Strukturen überprüft, weiterentwickelt und systematisch mit regulatorischen Vorgaben in Einklang gebracht wurden.

Ein wesentlicher Fokus lag auf der Steigerung der operativen Wirksamkeit: Der Einsatz geeigneter Tools sowie klar definierter Steuerungs- und Kontrollmechanismen führte zu effizienteren Prozessen und einer höheren Transparenz. Gleichzeitig wurde das organisationsweite Verständnis für Risiken, Compliance-Anforderungen und verantwortungsvolle KI-Nutzung nachhaltig geschärft – auch im Zusammenspiel mit externen Dienstleistern.

Der erzielte Fortschritt zeigte sich nicht zuletzt in der breiten Beteiligung unterschiedlicher Fachbereiche an gemeinsamen Governance-Initiativen. So konnte eine bereichsübergreifende Verantwortungskultur etabliert werden, die als Fundament für weitere Maßnahmen dient. Aufbauend auf den geschaffenen Strukturen sind zusätzliche Initiativen geplant, um die Governance-Fähigkeiten der Organisation langfristig zu stärken und weiter auszubauen.