Patrick Upmann · Branchenlösungen · 25+ Jahre Erfahrung
Jede Branche
reguliert anders.
Jede Branche
braucht Expertise.
Governance-Risiken sind branchenspezifisch. Patrick Upmann verbindet über 25 Jahre operative Erfahrung mit konkreten Projektreferenzen – von E.ON und VW bis MediaMarkt, TEDI und BSR.
9
Branchen mit Projektreferenzen
Energie, Versicherung, Automobil, Tourismus, ÖPNV, eCommerce, Handel, Abfall, Banking.
10+
Regulatoriken operativ umgesetzt
NIS2, DORA, EU AI Act, DSGVO, Data Act, KRITIS, SAP GRC und mehr.
E2E
Von der Gap-Analyse bis zur Prüfungsreadiness
Kein Silodenken zwischen Branchen und Regulatoriken.
1
Kernfrage in jeder Branche
Können relevante Entscheidungen unter Prüfdruck erklärt und verteidigt werden?
Branchenprofile
Wählen Sie Ihre Branche.
Sehen Sie die Governance-Logik,
die für Sie gilt.
Jedes Profil zeigt Projektreferenzen, regulatorische Kernpflichten und die zentrale Verteidigbarkeitsfrage.
Branche 01 · Energiewirtschaft · Referenz E.ON
Energie – Governance Architect
Energieversorger sind KRITIS-Betreiber und Pflichtadressaten von NIS2, IT-SiG 2.0 und KRITIS-Dachgesetz. Patrick Upmann hat bei E.ON SAP-Berechtigungen und SoD-Strukturen revisionssicher aufgebaut.
Projektreferenz
E.ON SE · SAP GRC & Berechtigungen
Regulatorik
NIS2 · KRITIS · EU Data Act · EU AI Act · SAP
Druck
KritischProjektreferenzen
E.ON – SAP-Berechtigungen & SoD revisionssicher
KRITIS-Energiebetreiber – NIS2-Framework & SzA
Smart-Meter-Netzbetreiber – EU Data Act Datenzugang
Primäre Handlungsfelder
NIS2-Betroffenheitsanalyse & ICT/OT-Risikomanagement
Systeme zur Angriffserkennung (SzA) implementieren
Smart-Meter-Datenpflichten nach EU Data Act
KI in Netzsteuerung nach EU AI Act absichern
SAP-Archivierung & Löschkonzepte GoBD-konform
Kernfrage Verteidigbarkeit
Können ICT/OT-Risiken und SzA BSI-konform nachgewiesen werden?
Sind Smart-Meter-Datenzugangsrechte operativ umsetzbar?
Hält die SAP-Governance Revisionsprüfungen stand?
NIS2KRITIS / IT-SiG 2.0EU Data ActEU AI ActSAP GRCB3S Energie
Zur Energieseite →Branche 02 · Versicherungswirtschaft · Referenz VIRIDIUM & MEAG
Versicherungen – Governance Architect
Versicherungsunternehmen sind DORA-pflichtig und unterliegen Solvency II, NIS2 und VAIT. Patrick Upmann hat bei VIRIDIUM SAP-Berechtigungen und bei MEAG Munich Re ein ISO-27001-ISMS mit DORA-Ausrichtung aufgebaut.
Projektreferenzen
VIRIDIUM · MEAG Munich Re
Regulatorik
DORA · Solvency II · NIS2 · EU AI Act · SAP
Druck
KritischProjektreferenzen
VIRIDIUM – SAP-Berechtigungen & SoD
MEAG Munich Re – ISO 27001 ISMS & DORA-Framework
Versicherungskonzern – EU AI Act Telematik-KI
Primäre Handlungsfelder
DORA ICT-Risikomanagement & TLPT-Vorbereitung
Solvency-II-Governance & IT-Kontrollen für BaFin
KI in Underwriting nach EU AI Act absichern
Telematik- & IoT-Datenpflichten (EU Data Act)
SAP-Berechtigungen & SoD revisionssicher
Kernfrage Verteidigbarkeit
Kann das ICT-RMF BaFin- und EIOPA-Prüfungen standhalten?
Ist Underwriting-KI konform klassifiziert?
Hält die IT-Governance Solvency-II-Revisionen stand?
DORASolvency IINIS2EU AI ActVAITSAP GRC
Zur Versicherungsseite →Branche 03 · Automobilindustrie · Referenz Volkswagen
Automobil – Governance Architect
OEMs und Zulieferer stehen vor EU Data Act, EU AI Act (ADAS-Hochrisiko) und NIS2/OT-Sicherheit. Patrick Upmann hat bei Volkswagen SAP-Berechtigungsstrukturen revisionssicher aufgebaut und Connected-Car-Datenpflichten umgesetzt.
Projektreferenz
Volkswagen AG · SAP Governance
Regulatorik
EU Data Act · EU AI Act · NIS2 · DSGVO · SAP
Druck
HochProjektreferenzen
Volkswagen – SAP-Governance & Berechtigungen
OEM – Connected-Car EU Data Act Datenzugang
Tier-1-Zulieferer – EU AI Act ADAS-Konformität
Primäre Handlungsfelder
Fahrzeugdatenpflichten nach EU Data Act strukturieren
ADAS-KI nach EU AI Act klassifizieren & dokumentieren
NIS2 & OT-Sicherheit für OEM und Zulieferer
SAP-Governance für Konzernlandschaft revisionssicher
Mobility Data Space & DGA-Vorbereitung
Kernfrage Verteidigbarkeit
Sind Fahrzeugdatenzugangsrechte FRAND-konform strukturiert?
Kann die ADAS-KI-Konformität Marktaufsicht standhalten?
Hält die SAP-Governance Konzernrevisionen stand?
EU Data ActEU AI ActNIS2DSGVOUN-R155SAP GRC
Zur Automobilseite →Branche 04 · Tourismus · Referenz TUI
Tourismus – Governance Architect
Tourismus ist datenintensiv – Buchungsdaten und KI-gestütztes Dynamic Pricing erfordern DSGVO- und EU-AI-Act-Compliance. Patrick Upmann hat bei TUI SAP-Governance und DSGVO-konforme Datenaufbewahrung für globale Prozesse aufgebaut.
Projektreferenz
TUI Group · SAP & DSGVO
Regulatorik
DSGVO · EU AI Act · DSA · PSD2 · PKG
Druck
HochProjektreferenzen
TUI Group – SAP-Governance & DSGVO
OTA-Plattform – NIS2 & PSD2 Compliance
Hotelkette – EU AI Act Dynamic Pricing
Primäre Handlungsfelder
Kundendaten & Buchungsprofile DSGVO-konform
KI in Pricing & Empfehlungen nach EU AI Act
DSA-Transparenzpflichten für Buchungsplattformen
PSD2/PSD3 für Online-Zahlungsabwicklung
PKG-Pflichten IT-seitig abbilden
Kernfrage Verteidigbarkeit
Hält die DSGVO-Governance Datenschutzbehörden stand?
Ist Dynamic-Pricing-KI transparent und konform?
Erfüllen Buchungsprozesse DSA- & PKG-Pflichten?
DSGVOEU AI ActDSAPSD2/3PKGNIS2
Zur Tourismusseite →Branche 05 · ÖPNV & Mobilität · Referenz Mobility Inside
ÖPNV – Governance Architect
ÖPNV ist kritische Infrastruktur und Datendrehscheibe – NIS2/KRITIS-Pflichten und EU-Data-Act-Anforderungen für Echtzeitmobilitätsdaten greifen ineinander. Patrick Upmann hat bei Mobility Inside IT-Governance und DSGVO-konforme Datenarchitektur aufgebaut.
Projektreferenz
Mobility Inside GmbH
Regulatorik
NIS2 · KRITIS · EU Data Act · EU AI Act · DSGVO
Druck
KritischProjektreferenzen
Mobility Inside – IT-Governance & EU Data Act
Städt. Verkehrsbetrieb – NIS2 & KRITIS SzA
Verkehrsverbund – AI Act & Mobility Data Space
Primäre Handlungsfelder
NIS2/KRITIS ICT/OT-Framework & SzA aufbauen
Echtzeitmobilitätsdaten nach EU Data Act strukturieren
Mobility Data Space & DGA-Anbindung vorbereiten
Dispositions-KI nach EU AI Act & ISO 42001
Fahrgastdaten & Ticketing DSGVO-konform gestalten
Kernfrage Verteidigbarkeit
Kann das KRITIS-Framework BSI-Prüfungen standhalten?
Sind Mobilitätsdatenpflichten operativ umsetzbar?
Ist Dispositions-KI prüfbar dokumentiert?
NIS2 / KRITISEU Data ActDGAEU AI ActDSGVOMMTIS
Zur ÖPNV-Seite →Branche 06 · eCommerce · Referenz MediaMarkt
eCommerce – Governance Architect
eCommerce ist der DSGVO-intensivste Sektor. Patrick Upmann hat bei MediaMarktSaturn ein DSGVO-konformes Löschkonzept für Kundendaten und Kaufhistorien entwickelt und implementiert – prüfungssicher für Datenschutzbehörden.
Projektreferenz
MediaMarktSaturn · DSGVO-Löschkonzept
Regulatorik
DSGVO · EU AI Act · DSA · PSD2 · NIS2
Druck
HochProjektreferenzen
MediaMarkt – DSGVO-Löschkonzept & Datenschutz
Online-Marktplatz – DSA & NIS2 Compliance
D2C-IoT-Händler – EU AI Act & EU Data Act
Primäre Handlungsfelder
DSGVO-Löschkonzepte & Consent-Management
KI in Personalisierung & Pricing nach EU AI Act
DSA-Transparenzpflichten für Marktplätze
IoT-Produktdatenpflichten nach EU Data Act
PSD2/PSD3 für Online-Zahlungsabwicklung
Kernfrage Verteidigbarkeit
Hält das Löschkonzept Datenschutzbehörden-Prüfungen stand?
Sind Empfehlungs-KI und Pricing transparent?
Erfüllt die Plattform alle DSA-Transparenzpflichten?
DSGVOEU AI ActDSA / DMAEU Data ActPSD2/3NIS2
Zur eCommerce-Seite →Branche 07 · Handel & Retail · Referenz TEDI
Handel – Governance Architect
Stationärer und digitaler Handel benötigt Data Governance als strategische Grundlage. Patrick Upmann hat bei TEDI ein Data-Governance-Framework aufgebaut – mit Dateneigentümerschaft, DSGVO-Löschkonzept und SAP-Datenaufbewahrung für 2.800+ Filialen.
Projektreferenz
TEDI GmbH & Co. KG · Data Governance
Regulatorik
Data Governance · DSGVO · EU AI Act · LkSG · SAP
Druck
HochProjektreferenzen
TEDI – Data-Governance-Framework & DSGVO
Fachhandelskonzern – EU AI Act Dispositions-KI
Großhandel – LkSG & Lieferketten-IT in SAP
Primäre Handlungsfelder
Data-Governance-Framework strukturiert aufbauen
Kundendaten & Loyalty DSGVO-konform managen
KI in Disposition & Pricing nach EU AI Act
LkSG-Sorgfaltspflichten IT-seitig in SAP verankern
SAP-Archivierung & Löschkonzepte GoBD-konform
Kernfrage Verteidigbarkeit
Ist das Data-Governance-Framework prüfungssicher dokumentiert?
Können LkSG-Nachweise für alle Lieferanten erbracht werden?
Hält die SAP-Archivierung Wirtschaftsprüfer-Anfragen stand?
Data GovernanceDSGVOEU AI ActLkSG / CSDDDSAP GRCGoBD
Zur Handelsseite →Branche 08 · Abfallwirtschaft · Referenz BSR
Abfallwirtschaft – Governance Architect
Abfallwirtschaft ist öffentliche Daseinsvorsorge und kritische Infrastruktur. Patrick Upmann hat bei der Berliner Stadtreinigung (BSR) ein GoBD-konformes SAP-Archivierungskonzept mit revisionssicherer Datenaufbewahrung und automatisierten Löschlogiken aufgebaut.
Projektreferenz
Berliner Stadtreinigung (BSR) · SAP ILM
Regulatorik
SAP ILM · NIS2 · KRITIS · EU AI Act · DSGVO
Druck
HochProjektreferenzen
BSR – SAP-Archivierung & ILM (GoBD)
Entsorgungsverband – NIS2 & KRITIS SzA
Entsorger – EU AI Act Sortier-KI & Smart Waste
Primäre Handlungsfelder
SAP ArchiveLink & ILM GoBD-konform konfigurieren
NIS2/KRITIS ICT/OT-Framework für Anlagen aufbauen
KI-Sortieranlagen nach EU AI Act absichern
Smart-Waste-IoT-Datenpflichten nach EU Data Act
Bürgerdaten & Videoüberwachung DSGVO-konform
Kernfrage Verteidigbarkeit
Hält das SAP-Konzept Rechnungshof- & WP-Prüfungen stand?
Kann das KRITIS-Framework BSI-Nachweispflichten erfüllen?
Ist Sortier-KI nach EU AI Act korrekt klassifiziert?
SAP ILMGoBDNIS2 / KRITISEU AI ActEU Data ActDSGVO
Zur Abfallwirtschaftsseite →Branche 09 · Banking & Finanzdienstleistungen · Referenz MEAG
Banking – Governance Architect
Banken operieren unter höchster Regulierungsdichte – DORA, NIS2, EU AI Act für Kredit- und AML-Systeme. Patrick Upmann hat bei MEAG Munich Re ein ISO-27001-ISMS mit DORA-Ausrichtung aufgebaut und BaFin-Prüfungsreadiness hergestellt.
Projektreferenz
MEAG Munich Re · ISMS & DORA
Regulatorik
DORA · NIS2 · EU AI Act · DSGVO · ISO 27001
Druck
KritischProjektreferenzen
MEAG Munich Re – DORA-Framework & ISO 27001
Finanzdienstleister – ISMS & NIS2 Integration
Vermögensverwaltung – ICT-Risikomanagement
Primäre Handlungsfelder
DORA ICT-RMF, Incident Response & TLPT
ISO 27001 ISMS mit NIS2-Ausrichtung aufbauen
Kredit- & AML-KI nach EU AI Act klassifizieren
IKT-Drittparteien-Register nach DORA Art. 28–30
BaFin-Prüfungsreadiness operativ herstellen
Kernfrage Verteidigbarkeit
Kann das DORA-ICT-Framework BaFin- und EBA-Prüfungen standhalten?
Ist Kredit-KI nach EU AI Act Annex III korrekt eingestuft?
Hält das ISMS ISO-27001-Zertifizierungsaudits stand?
DORANIS2EU AI ActDSGVOISO 27001BaFin MaRisk
Zur Banking-Seite →Governance-Matrix
Regulatorischer Druck
im Branchenvergleich.
| Branche | NIS2 / KRITIS | EU AI Act | DSGVO | EU Data Act | DORA | SAP / IT-Gov. |
|---|---|---|---|---|---|---|
| Energiewirtschaft | Kritisch | Hoch | Mittel | Hoch | Gering | Hoch |
| Versicherungen | Hoch | Kritisch | Hoch | Mittel | Kritisch | Hoch |
| Automobil | Hoch | Hoch | Hoch | Kritisch | Gering | Hoch |
| Tourismus | Mittel | Hoch | Kritisch | Mittel | Gering | Mittel |
| ÖPNV | Kritisch | Hoch | Hoch | Kritisch | Gering | Mittel |
| eCommerce | Mittel | Hoch | Kritisch | Hoch | Gering | Mittel |
| Handel | Gering | Hoch | Hoch | Mittel | Gering | Hoch |
| Abfallwirtschaft | Hoch | Mittel | Mittel | Mittel | Gering | Hoch |
| Banking | Hoch | Kritisch | Kritisch | Mittel | Kritisch | Hoch |
Mandat anfragen
Wenn Governance in Ihrer Branche
nicht mehr delegierbar ist,
bin ich der richtige Ansprechpartner.
nicht mehr delegierbar ist,
bin ich der richtige Ansprechpartner.
Die entscheidende Frage ist nicht ob Ihre Organisation reguliert ist – sondern ob Ihre Governance-Strukturen den spezifischen Prüfungsdruck Ihrer Branche tatsächlich standhalten.
Gespräch anfragen
Ein direktes Gespräch über Ihre Branche, Ihre regulatorischen Pflichten und wo Governance-Exposure aktuell konzentriert ist.
Diese Seite dient der allgemeinen Orientierung. Sie stellt keine Rechtsberatung dar.
Executive Governance Statement
Sie kaufen hier keine Beratung.
Wir übernehmen den Betrieb Ihrer Governance-Funktion.
Hinter diesem Ansatz steht keine abstrakte Methodik, sondern eine Kombination, die im Markt so nur selten zusammenkommt: Patrick Upmann als erfahrener Governance-Praktiker, AIGN OS als strukturelles Betriebssystem und wissenschaftlich abgesicherte Governance-Logik aus publizierten DOI-Arbeiten.
Patrick Upmann
25 Jahre Erfahrung in Governance, Risiko, Regulierung und Transformation –
davon mehr als 12 Jahre in operativer Verantwortung als Interim Manager in
komplexen Unternehmens- und Entscheidungssituationen.
AIGN OS
Ein vollständig entwickeltes Governance-Betriebssystem, das regulatorische Anforderungen,
Rollen, Steuerungslogik, Nachweise und operative Umsetzung in einer belastbaren Architektur verbindet.
DOI-Publikationen
Wissenschaftlich veröffentlichte Arbeiten schaffen Nachvollziehbarkeit,
methodische Tiefe und eine belastbare Grundlage für Governance unter
Audit, Aufsicht, Haftungsdruck und realer Unternehmenspraxis.
Was Sie dadurch bekommen: keine punktuelle Beratung, kein loses Framework
und kein reines Strategiepapier, sondern eine laufende, steuerbare und belastbare
Governance-Funktion im Betrieb – getragen durch Erfahrung, Systemarchitektur
und wissenschaftlich abgesicherte Governance-Substanz.