Zum Inhalt springen
>_<
AI EngineeringWiki
DEEN

VerifyWise — Open-Source AI-Governance für EU AI Act

Compliance · 9 min · Stand: Mai 2026

📋 Überblick
VerifyWise ist ein Open-Source-Tool (BSL 1.1) für AI-Governance, Risk-Management und Compliance. Es deckt die EU AI Act und ISO 42001 ab und kann self-hosted betrieben werden — relevant für DACH-KMUs, die ihre Compliance- Dokumentation nicht in eine US-Cloud auslagern wollen. Funktionen: KI-Inventar, Risiko-Register, Vendor-Assessments, Policy-Templates, Audit-Trail. Einordnung: Solides Fundament für die Pflicht-Dokumentation ab 02.08.2026, ersetzt aber keine inhaltliche Beratung und keine KI-Kompetenz-Schulung.

Was ist VerifyWise?

VerifyWise ist eine Open-Source-Plattform für „AI Governance, Risk and Compliance" (GRC), entwickelt vom Bluewave-Labs-Team. Lizenz: BSL 1.1. Das Tool bildet den Lebenszyklus von KI-Systemen ab — von der Erfassung im Inventar über die Risiko-Klassifizierung und Vendor-Bewertung bis zur Audit-Vorbereitung. Es positioniert sich als self-hosted-Alternative zu kommerziellen GRC-SaaS-Anbietern wie Credo AI, Holistic AI oder Fairly AI.

Welche Frameworks deckt VerifyWise ab?

FrameworkWas abgebildet ist
EU AI ActRisiko-Klassifizierung pro System, Pflichten je nach Klasse, Dokumentations-Templates
ISO 42001AI Management System (AIMS) Controls, Audit-Vorbereitung
NIST AI RMFGovern / Map / Measure / Manage Funktionen
DSGVODPIA-Verknüpfung, Vendor-Assessments, Daten-Inventar

Funktionen im Überblick

1. KI-System-Inventar

Zentrale Erfassung aller eingesetzten KI-Systeme mit Metadaten: Anbieter, Zweck, Datenkategorien, Nutzer, Lifecycle-Phase. Pflichtbasis für Art. 4 EU AI Act.

2. Risiko-Register

Pro System: Risikoklasse nach EU AI Act, Eintrittswahrscheinlichkeit, Schwere, dokumentierte Gegenmaßnahmen, Restrisiko. Audit-fähige Historie.

3. Vendor-Assessment

Strukturierte Fragebögen für KI-Anbieter: Trainings-Daten, Modell-Versionierung, DSGVO-Compliance, Sub-Auftragsverarbeiter, Drittland-Transfer.

4. Policy-Templates

Vorgefertigte Richtlinien: KI-Nutzungsrichtlinie, Incident-Response-Plan, Schulungsplan, Data-Governance-Policy. Anpassbar pro Organisation.

5. Audit-Trail

Wer hat wann welche Bewertung geändert. Wichtig für Nachweispflicht („nach besten Kräften" im Sinne Art. 4 EU AI Act).

6. Role-based Access Control

Rollen: Admin, Reviewer, Editor, Viewer. Trennung zwischen Compliance-Verantwortlichen und Fachabteilungen.

Self-Hosting Setup (Docker Compose)

VerifyWise lässt sich via Docker Compose lokal oder auf einem self-hosted Server betreiben. Empfohlener Stack: PostgreSQL + Node.js Backend + React Frontend. Minimal-Anforderungen: 2 vCPU, 4 GB RAM, 20 GB Storage.

git clone https://github.com/verifywise-ai/verifywise.git
cd verifywise
cp .env.example .env
# .env anpassen (DB-Passwort, Admin-User, SMTP)
docker compose up -d

Sicherheit: Self-Hosted bedeutet auch Self-Patched. TLS via Reverse-Proxy (Caddy/Traefik), regelmässige Updates über git pull + docker compose pull, Backup der PostgreSQL-Datenbank. Nicht öffentlich exponieren ohne Auth-Proxy.

Wann passt VerifyWise zu deinem KMU?

ProfilEmpfehlung
1–10 Mitarbeitende, 1–3 KI-ToolsExcel/Markdown reicht. VerifyWise ist Overhead.
10–50 Mitarbeitende, 5+ KI-ToolsVerifyWise lohnt sich. Strukturierte Dokumentation spart Zeit beim ersten Audit.
50+ Mitarbeitende, mehrere StandorteVerifyWise klar empfehlenswert. Audit-Trail + RBAC werden Pflicht.
KI-Anbieter (eigene Produkte)VerifyWise als Basis, ergänzt durch eigene Modell-Cards und technische Dokumentation.

Was VerifyWise nicht leistet

  • Keine inhaltliche Beratung — die Bewertung „ist mein System High-Risk?" musst du selbst treffen
  • Keine KI-Kompetenz-Schulung — Art. 4 verlangt geschulte Mitarbeitende, nicht nur Doku
  • Keine technische Modell-Prüfung (Bias-Tests, Adversarial-Tests) — dafür braucht es separate Tools
  • Keine Rechtsberatung — bei Unsicherheit zur Risikoklasse: Anwalt fragen

Alternativen im Vergleich

ToolLizenz / HostingAnmerkung
VerifyWiseBSL 1.1 / Self-HostedOpen Source, DACH-tauglich
Credo AIProprietär / US-SaaSMarktführer, aber Cloud-only und US-basiert
Holistic AIProprietär / SaaSStark in Bias-Auditing, Enterprise-Preise
Excel / Notion-TemplateFrei / Self-HostedFür 1–3 Systeme ausreichend, skaliert nicht

Empfohlener Workflow

  1. VerifyWise self-hosted aufsetzen (1–2 Stunden)
  2. KI-Inventar aus bestehenden Tools-Listen importieren
  3. Pro System die Risiko-Klassifizierung gemäß EU AI Act durchgehen
  4. Vendor-Assessments für kritische Anbieter (Microsoft, OpenAI, Anthropic, etc.) starten
  5. Policy-Templates anpassen und intern freigeben lassen
  6. Schulungsplan parallel aufsetzen — VerifyWise dokumentiert, Schulung muss extern erfolgen

Weiterführend in unserem Wiki

Weitere Inhalte auf den AI Engineering Plattformen

Quellen

War dieser Artikel hilfreich?

Auf GitHub bearbeiten

Nächster Schritt: Compliance in den Betrieb bringen

Nutze fertige DSGVO-Templates, Checklisten und Praxis-Guides für AI-Systeme, die dokumentiert und auditierbar sein müssen.

Produkte ansehenAlle Produkte ansehen
Warum AI Engineering
  • Lokal und self-hosted gedacht
  • Dokumentiert und auditierbar
  • Aus eigener Runtime entwickelt
  • Made in Austria
Kein Ersatz für Rechtsberatung.