KI-Check Handbuch – Grundlagen
GEALAN Fenster-Systeme GmbH
Stand: 17.02.2026 | Version: 3.3 | Status: Freigegeben
Mission & Vision
Unsere Mission: KI als Werkzeug, nicht als Ersatz
Künstliche Intelligenz verändert die Arbeitswelt grundlegend. Bei GEALAN verstehen wir KI als Werkzeug zur Unterstützung, nicht als Ersatz für menschliche Kompetenz, Kreativität und Entscheidungskraft. Unsere Mission ist klar:
KI soll uns bei GEALAN helfen, besser, schneller und innovativer zu arbeiten – mit dem Menschen im Mittelpunkt.
Was bedeutet das konkret? KI kann Routineaufgaben beschleunigen, Daten analysieren, Texte entwerfen, Muster erkennen und Vorschläge machen. Sie kann uns Zeit verschaffen für die Aufgaben, die wirklich Mehrwert schaffen: strategisches Denken, persönliche Beratung, kreative Problemlösung, zwischenmenschliche Kommunikation. Aber die Entscheidungshoheit bleibt immer beim Menschen. KI liefert Input – wir treffen die Entscheidung. KI schlägt vor – wir verantworten das Ergebnis.
Diese Haltung prägt unseren Umgang mit KI auf allen Ebenen: von der strategischen Planung bis zur täglichen Nutzung einzelner Tools. Wir wollen KI gezielt dort einsetzen, wo sie echten Nutzen stiftet – und dort verzichten, wo Risiken überwiegen oder menschliche Urteilskraft unersetzlich ist.
Unsere Vision: Verantwortungsvolle KI-Kultur
Wir wollen bei GEALAN eine Arbeitskultur schaffen, in der KI selbstverständlich und gleichzeitig verantwortungsvoll genutzt wird. Vier Prinzipien leiten uns dabei:
Mensch im Mittelpunkt:
KI unterstützt Entscheidungen, trifft sie aber nicht. Die Verantwortung für das Ergebnis liegt immer bei der Person, die die KI nutzt. Niemand kann sich hinter „Das hat die KI gesagt" verstecken. Wir fördern kritisches Denken im Umgang mit KI-Ergebnissen: Sind die Fakten korrekt? Ist die Logik nachvollziehbar? Passt das Ergebnis zum Kontext? Wenn Zweifel bestehen, prüfen wir nach – oder entscheiden anders.
Transparenz:
Jeder bei GEALAN weiß, wo KI eingesetzt wird, wie sie funktioniert und wer verantwortlich ist. Wir dokumentieren Use Cases zentral, machen Entscheidungskriterien transparent und kommunizieren offen über Grenzen und Risiken. Wenn ein Kunde oder Geschäftspartner ein KI-generiertes Dokument erhält, kennzeichnen wir das. Transparenz schafft Vertrauen – intern wie extern.
Vertrauen & Sicherheit:
Daten sind geschützt, Risiken sind beherrscht, Rechte sind gewahrt. Wir setzen KI nur ein, wenn wir sicherstellen können, dass Datenschutz (DSGVO), IT-Sicherheit und Mitbestimmungsrechte eingehalten werden. Wir nutzen keine verbotenen KI-Anwendungen (EU AI Act Art. 5, RBV §3) und schützen unsere Mitarbeitenden und Bewerber vor automatisierter Diskriminierung.
Innovation möglich machen:
Wir sagen „Ja" zu KI, wo es vertretbar ist – und „Nein" nur, wo es sein muss. Unser Ansatz ist Enable by Default, nicht „Verbot by Default". Wir prüfen Risiken objektiv, definieren Schutzmaßnahmen (Auflagen) und geben frei, wo es verantwortbar ist. Wir wollen, dass Mitarbeitende neue KI-Tools ausprobieren können, ohne rechtliche Fallstricke zu fürchten – aber in einem sicheren, geprüften Rahmen.
Warum brauchen wir den KI-Check?
KI ist kein normales Software-Feature. Sie unterscheidet sich fundamental von klassischer Software, weil sie lernt, sich anpasst, unvorhersehbare Ergebnisse liefert und oft auf sensiblen Daten basiert. Diese Besonderheiten bringen neue Herausforderungen mit sich – rechtlich, technisch und ethisch.
Rechtliche Komplexität
KI unterliegt einem mehrschichtigen Regelwerk, das sich über verschiedene Rechtsgebiete erstreckt:
EU AI Act (Verordnung (EU) 2024/1689):
Die weltweit erste umfassende KI-Regulierung ist seit 1. August 2024 in Kraft. Sie verbietet bestimmte KI-Praktiken vollständig (z.B. Social Scoring, Emotion Recognition am Arbeitsplatz) und stellt hohe Anforderungen an Hochrisiko-KI (z.B. Recruiting-Systeme, Leistungsbewertung). Verstöße können mit Bußgeldern bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes geahndet werden.
DSGVO (Datenschutz-Grundverordnung):
Sobald KI personenbezogene Daten verarbeitet, greifen die strengen Regeln der DSGVO: Rechtsgrundlage erforderlich, Zweckbindung, Datenminimierung, Transparenzpflichten, Betroffenenrechte, gegebenenfalls Datenschutz-Folgenabschätzung (DSFA). Bei besonders sensiblen Daten (Art. 9 DSGVO – Gesundheit, Biometrie, Religion) gelten Sonderregeln. Verstöße können mit bis zu 20 Millionen Euro oder 4% des Jahresumsatzes geahndet werden.
Betriebsverfassungsgesetz (BetrVG):
Viele KI-Anwendungen berühren Mitbestimmungsrechte des Betriebsrats – insbesondere bei technischer Überwachung (§87 Abs. 1 Nr. 6 BetrVG), Leistungsüberwachung oder Personalauswahl (§94 BetrVG). Ohne Zustimmung des Betriebsrats ist der Einsatz rechtswidrig.
KI-Rahmenbetriebsvereinbarung (RBV) bei GEALAN:
Zusätzlich zu den gesetzlichen Vorgaben haben wir bei GEALAN intern weitere Verbote definiert (RBV §3): Keine Hochrisiko-KI im HR-Bereich (Recruiting, Leistungsbewertung), keine Emotion-/Stimmungs-Erkennung, keine automatisierten Entscheidungen über Personen ohne Human-in-the-Loop.
Verstöße gegen verbotene KI-Praktiken (EU AI Act Art. 5) können mit bis zu 35 Mio. € oder 7% des weltweiten Jahresumsatzes geahndet werden. DSGVO-Verstöße mit bis zu 20 Mio. € oder 4%. Der rechtliche Rahmen ist komplex – und die Folgen bei Fehlern sind gravierend.
Technische Herausforderungen
KI ist nicht deterministisch. Anders als klassische Software, die bei gleicher Eingabe immer die gleiche Ausgabe liefert, kann KI unterschiedliche Ergebnisse produzieren – manchmal überraschend, manchmal falsch. Das bringt spezifische Risiken:
Halluzinationen:
KI-Modelle können plausibel klingende, aber faktisch falsche Informationen generieren. Ein Chatbot erfindet Quellen, ein Textgenerator zitiert nicht existierende Studien, ein Übersetzungstool interpretiert Fachbegriffe falsch. Diese „Halluzinationen" sind schwer zu erkennen, weil sie oft in korrekten Kontext eingebettet sind. Deshalb gilt: Alle KI-Ergebnisse müssen von Menschen geprüft werden, bevor sie weitergegeben oder zur Entscheidungsgrundlage werden.
Bias & Diskriminierung:
KI lernt aus Daten – und wenn diese Daten Vorurteile enthalten, übernimmt die KI sie. Ein Recruiting-System, das auf historischen Einstellungsdaten trainiert wurde, kann Frauen oder bestimmte Altersgruppen benachteiligen. Ein Textgenerator kann stereotype Formulierungen verwenden. Ein Bilderkennungssystem kann Menschen mit dunkler Hautfarbe schlechter erkennen. Diese Bias-Probleme sind oft nicht offensichtlich, aber rechtlich und ethisch hochproblematisch.
Datenlecks & Sicherheitsrisiken:
KI-Systeme verarbeiten oft große Mengen sensibler Daten. Fehlkonfigurationen, unzureichende Zugriffskontrolle oder Schwachstellen in Schnittstellen können zu Datenlecks führen. Ein Beispiel: Ein Chatbot, der auf interne Dokumente zugreift, könnte versehentlich vertrauliche Informationen an unbefugte Nutzer weitergeben, wenn die Berechtigungen falsch gesetzt sind.
Integrationsrisiken:
Je stärker eine KI in Unternehmenssysteme integriert ist (ERP, CRM, HR-System), desto größer die Risiken. Ein Fehler in einem System kann sich auf andere ausbreiten, Dateninkonsistenzen können entstehen, und die Komplexität der Schnittstellen macht es schwer, Fehlerquellen zu identifizieren.
Mitbestimmung & Vertrauen
Der Einsatz von KI am Arbeitsplatz betrifft nicht nur rechtliche und technische Fragen, sondern auch das Vertrauen der Mitarbeitenden. Viele befürchten, dass KI zur Überwachung, Kontrolle oder Bewertung genutzt wird – oder dass ihre Arbeit langfristig überflüssig wird.
Der Betriebsrat hat bei vielen KI-Anwendungen Mitbestimmungsrechte (§87, §94 BetrVG), um genau diese Risiken zu adressieren. Bei technischer Überwachung, Leistungsmessung oder Personalauswahl muss der Betriebsrat zustimmen. Ohne seine Zustimmung ist der Einsatz rechtswidrig – und das zu Recht, denn Mitbestimmung schützt vor einseitiger Machtausübung und sorgt für faire, transparente Prozesse.
Der KI-Check berücksichtigt Mitbestimmung von Anfang an. Wir prüfen in jedem Use Case, ob Betriebsrat-Trigger vorliegen, erstellen bei Bedarf eine Einzelanlage zur KI-RBV und holen die Zustimmung ein, bevor der Use Case live geht. So schaffen wir Vertrauen – bei Mitarbeitenden, Betriebsrat und Management.
Fazit: Warum der KI-Check unverzichtbar ist
Ohne einen strukturierten Prüfprozess riskieren wir:
- ❌ Rechtsverstöße mit hohen Bußgeldern
- ❌ Verletzung von Mitarbeiter- und Bewerberrechten
- ❌ IT-Sicherheitsvorfälle und Datenlecks
- ❌ Reputationsschäden bei Kunden, Partnern und Mitarbeitenden
- ❌ Vertrauensverlust im Unternehmen
Der KI-Check ist unsere zentrale Governance-Instanz. Er stellt sicher, dass jede KI-Anwendung geprüft, dokumentiert und verantwortungsvoll eingesetzt wird – schnell wo möglich, gründlich wo nötig.
Leitprinzipien des KI-Checks
Der KI-Check folgt fünf zentralen Prinzipien, die ihn von klassischen Freigabeprozessen unterscheiden und unsere Haltung zu KI widerspiegeln.
1. Enable by Default – Innovation ermöglichen
Grundhaltung:
KI ist erlaubt, wenn Risiken beherrschbar sind. Wir gehen nicht davon aus, dass KI grundsätzlich gefährlich ist. Stattdessen prüfen wir konkrete Risiken, definieren Schutzmaßnahmen (Auflagen) und geben frei, wo es verantwortbar ist.
Was heißt das praktisch?
Wenn ein Mitarbeiter einen neuen KI-Use-Case vorschlägt, lautet die erste Frage nicht „Warum sollten wir das erlauben?", sondern „Welche Risiken müssen wir beherrschen, um das zu ermöglichen?". Wir suchen nach Lösungen, nicht nach Ausschluss gründen. Wir sagen „Nein" nur dort, wo Gesetze es verlangen (EU AI Act Art. 5, RBV §3) oder wo Risiken unbeherrschbar sind.
Beispiel:
Ein Marketing-Team möchte ChatGPT für Textenentwürfe nutzen. Statt pauschal zu verbieten („ChatGPT ist nicht sicher"), prüfen wir: Welche Daten werden eingegeben? Gibt es eine Enterprise-Lizenz mit AVV? Ist SSO/MFA aktiviert? Sind DLP-Regeln konfiguriert? Wenn ja, geben wir frei – mit Auflagen. Wenn nein, helfen wir bei der Umsetzung.
Abgrenzung zu „Verbot by Default":
Manche Unternehmen sperren KI-Tools präventiv und erlauben sie nur nach langwieriger Prüfung. Das führt zu Frustration, Schatten-IT (Mitarbeitende nutzen Tools heimlich) und verpassten Chancen. Unser Ansatz ist anders: Wir ermöglichen schnell, wo es geht – und prüfen gründlich nur dort, wo echte Risiken bestehen.
Low-Risk-Anwendungen (Score 6-9) durchlaufen einen Fast-Track mit ~10-15 Tagen SLA. Statt wochenlang auf eine Genehmigung zu warten, können Teams schnell loslegen – unter klar definierten Rahmenbedingungen.
2. Risikobasierung – Prüftiefe folgt dem Risiko
Grundhaltung:
Nicht jede KI ist gleich riskant. Ein Chatbot für Brainstorming ist etwas völlig anderes als ein System, das Bewerbungen auswertet. Deshalb passen wir die Prüftiefe an das Risiko an.
Wie funktioniert das?
Jeder Use Case wird anhand von sechs Kriterien bewertet (Datenart, Autonomie, Integration, Reichweite, HR-Kontext, externe Weitergabe). Die Summe ergibt einen Risk-Score zwischen 6 und 18 Punkten. Dieser Score bestimmt automatisch den Prüfpfad:
- Score 6-9 (Low-Risk): Fast-Track – schneller Quick-Check, SLA ~10-15 Tage
- Score 10-14 (Medium-Risk): Standard – vollständige Prüfung, SLA ~4-6 Wochen
- Score 15-18 (High-Risk): Full Review – intensive Prüfung mit STOP-Gate, SLA ~6-8 Wochen (meist endet es bei STOP)
Warum ist das besser als „One-Size-Fits-All"?
Ohne Risikobasierung müssten alle Use Cases den gleichen aufwendigen Prozess durchlaufen – unabhängig davon, ob sie gefährlich oder harmlos sind. Das würde Low-Risk-Anwendungen unnötig verzögern und Ressourcen von High-Risk-Anwendungen abziehen. Risikobasierung macht den Prozess effizient und verhältnismäßig.
Beispiel:
Ein Team nutzt ChatGPT für Brainstorming, ohne Unternehmensdaten einzugeben (Score 6). Eine intensive Prüfung durch DSB, IT-Security, BR und Legal wäre unverhältnismäßig. Der Fast-Track reicht. Ein anderes Team plant, Copilot für E-Mails mit Kundendaten zu nutzen (Score 12). Hier ist eine vollständige Prüfung sinnvoll – AVV, SSO/MFA, DLP-Regeln, BR-Trigger. Die Prüftiefe passt zum Risiko.
Von 100 Use Cases landen ca. 40-50 im Fast-Track (6-9 Punkte), 40-45 im Standard (10-14) und nur 5-10 im Full Review (15-18). Dadurch konzentrieren wir uns auf die wirklich kritischen Fälle.
3. Trennung Tool ≠ Use Case – Jeder Zweck wird separat geprüft
Grundhaltung:
Wir prüfen nicht „ChatGPT" oder „Microsoft Copilot", sondern konkrete Einsatzzwecke: „ChatGPT für Marketing-Textentwürfe" oder „Copilot für E-Mails mit Kundendaten". Ein Tool kann viele Use Cases haben – mit unterschiedlichen Risiken.
Warum ist diese Trennung wichtig?
Ein und dasselbe Tool kann harmlos oder hochriskant sein – je nachdem, wofür es genutzt wird:
- ChatGPT für Brainstorming (keine GEALAN-Daten): Score 6 → Fast-Track, freigegeben nach ~10 Tagen
- ChatGPT für Übersetzung von Kundendokumenten: Score 11 → Standard-Prüfung, freigegeben mit Auflagen nach ~4 Wochen
- ChatGPT für automatische Bewerberbewertung: Score 16 → STOP-Gate, verboten per RBV §3
Praktische Konsequenz:
Selbst wenn „Microsoft Copilot" bereits für E-Mails freigegeben ist, bedeutet das nicht, dass Sie ihn automatisch für andere Zwecke nutzen dürfen. Wenn Sie Copilot plötzlich auf HR-Daten zugreifen lassen wollen, ist ein neuer KI-Check erforderlich – denn das Risiko hat sich fundamental geändert (HR-Kontext steigt von 1 auf 3 Punkte, Datenschutz-Anforderungen werden strenger, BR-Trigger entsteht).
Beispiel aus der Praxis:
Ein Team nutzt Copilot seit Monaten für Meeting-Zusammenfassungen (genehmigt, Score 10). Jetzt möchten sie, dass Copilot auch auf SharePoint zugreift, um Dokumente zu durchsuchen und zusammenzufassen. Das ist ein neuer Use Case – die Integration steigt von 1 auf 2 Punkte, möglicherweise werden neue Datenquellen verarbeitet. Ergebnis: Re-Check erforderlich (ab Schritt 3 Datenschutz).
„Microsoft Copilot ist freigegeben" bedeutet nicht, dass Sie ihn für jeden Zweck nutzen dürfen. Jeder neue Einsatzzweck braucht einen eigenen Check. Diese Regel schützt vor schleichender Ausweitung von Risiken.
4. Single Source of Truth – Alle Informationen an einem Ort
Grundhaltung:
Alle Informationen zu einem Use Case werden zentral im SharePoint-Cockpit erfasst und dokumentiert. Keine verstreuten Excel-Listen, kein E-Mail-Ping-Pong, keine parallelen Dokumente.
Was steht im Cockpit?
- Use-Case-Beschreibung (Steckbrief mit 13 Pflichtfeldern)
- Risk-Score & Routing-Entscheidung
- Prüfungsergebnisse aus allen Schritten (DSB, IT-Security, BR, Legal, Anbieter)
- Management-Entscheidung mit Auflagen
- Review-Zyklen & Re-Check-Historie
Warum ist das wichtig?
Ohne Single Source of Truth entstehen Informationssilos. Der DSB hat eine Version des Use-Case-Steckbriefs, IT-Security eine andere, der Betriebsrat eine dritte. Änderungen werden nicht synchronisiert, Entscheidungen basieren auf veralteten Informationen, Nachvollziehbarkeit geht verloren.
Mit Single Source of Truth arbeiten alle Beteiligten am gleichen Dokument. Änderungen sind sofort für alle sichtbar, Versionskonflikte gibt es nicht, Audits können lückenlos dokumentiert werden.
Praktischer Nutzen:
- ✅ Effizienz: Keine doppelte Datenhaltung, kein manuelles Synchronisieren
- ✅ Transparenz: Jeder sieht den aktuellen Stand, keine „versteckten" Änderungen
- ✅ Nachvollziehbarkeit: Audit-Trails, Änderungshistorie, wer hat wann was entschieden
- ✅ Rechtssicherheit: Alle Dokumente (AVV, Einzelanlage, Management-Entscheidung) an einem Ort
Das SharePoint-Cockpit überwacht automatisch SLAs und sendet Erinnerungen, wenn Fristen ablaufen. So gerät kein Use Case in Vergessenheit.
5. Re-Check bei wesentlichen Änderungen – Einmal geprüft ≠ für immer freigegeben
Grundhaltung:
Eine Freigabe gilt nur für den geprüften Rahmen (Zweck, Datenquellen, Nutzergruppe, Integration, Anbieter). Bei wesentlichen Änderungen ist ein Re-Check erforderlich.
Warum?
KI-Anwendungen entwickeln sich weiter. Anbieter fügen neue Features hinzu, Teams erweitern den Nutzerkreis, neue Datenquellen werden angebunden. Jede dieser Änderungen kann das Risiko erhöhen – und damit die ursprüngliche Freigabe ungültig machen.
Typische Re-Check-Trigger:
Neue Datenquellen / Integration:
Wenn die KI plötzlich auf neue Systeme zugreift (z.B. Copilot bekommt zusätzlich Zugriff auf SharePoint), steigt das Risiko (Datenschutz, IT-Security). Re-Check ab Schritt 3 (Datenschutz) erforderlich.
Neue Funktionen (z.B. Schreibrechte):
Wenn die KI bisher nur lesen durfte und jetzt schreiben kann, steigt das Risiko erheblich. Re-Check ab Schritt 4 (IT-Security) erforderlich.
Erweiterung auf HR-Kontext:
Wenn die KI plötzlich Mitarbeiter- oder Bewerberdaten verarbeitet (vorher nicht), entsteht ein BR-Trigger und möglicherweise ein Hochrisiko-Verdacht. Re-Check ab Schritt 2 (Gate) erforderlich.
Anbieterwechsel:
Wenn Sie den Anbieter wechseln (z.B. von OpenAI zu Anthropic), ändert sich die AVV, die Sub-Processor-Liste, die Zertifikate. Re-Check ab Schritt 6 (Anbieter) erforderlich.
Änderung des Zwecks:
Wenn Sie die KI plötzlich für etwas anderes nutzen (z.B. ChatGPT vorher für Texte, jetzt für Code), ist das ein neuer Use Case. Re-Check ab Schritt 1 erforderlich.
Skalierung (Pilot → unternehmensweit):
Wenn Sie von 5 auf 200 Nutzer hochskalieren, steigt die Reichweite von 1 auf 3 Punkte. Der Risk-Score ändert sich, das Routing möglicherweise auch. Re-Check ab Schritt 1 erforderlich.
Regelmäßige Reviews:
Selbst wenn keine Änderungen vorliegen, werden alle Use Cases alle 6-12 Monate (je nach Risk-Score) reviewed. Grund: Anbieter ändern ihre Produkte, rechtliche Anforderungen entwickeln sich weiter, Best Practices entstehen.
Jede wesentliche Änderung erfordert einen Re-Check. „Einmal freigegeben" heißt nicht „für immer freigegeben". Wer diese Regel ignoriert, riskiert rechtliche Konsequenzen und Datenschutzvorfälle.
Rechtlicher Rahmen
Der KI-Check stellt sicher, dass wir vier zentrale Regelwerke einhalten:
1. EU AI Act (Verordnung (EU) 2024/1689)
Die weltweit erste umfassende KI-Regulierung verbietet bestimmte KI-Praktiken vollständig (z.B. Social Scoring, Emotion Recognition am Arbeitsplatz) und stellt hohe Anforderungen an Hochrisiko-KI (z.B. Recruiting-Systeme, Leistungsbewertung). Verstöße können mit Bußgeldern bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes geahndet werden.
2. DSGVO (Datenschutz-Grundverordnung)
Sobald KI personenbezogene Daten verarbeitet, greifen strenge Regeln: Rechtsgrundlage erforderlich, Zweckbindung, Datenminimierung, Transparenzpflichten, Betroffenenrechte, gegebenenfalls Datenschutz-Folgenabschätzung (DSFA). Bei besonders sensiblen Daten (Art. 9 DSGVO – Gesundheit, Biometrie, Religion) gelten Sonderregeln. Verstöße können mit bis zu 20 Millionen Euro oder 4% des Jahresumsatzes geahndet werden.
3. Betriebsverfassungsgesetz (BetrVG)
Viele KI-Anwendungen berühren Mitbestimmungsrechte des Betriebsrats – insbesondere bei technischer Überwachung (§87 Abs. 1 Nr. 6 BetrVG), Leistungsüberwachung oder Personalauswahl (§94 BetrVG). Ohne Zustimmung des Betriebsrats ist der Einsatz rechtswidrig.
4. KI-Rahmenbetriebsvereinbarung (RBV) bei GEALAN
Zusätzlich zu den gesetzlichen Vorgaben haben wir bei GEALAN intern weitere Verbote definiert (RBV §3): Keine Hochrisiko-KI im HR-Bereich (Recruiting, Leistungsbewertung), keine Emotion-/Stimmungs-Erkennung, keine automatisierten Entscheidungen über Personen ohne Human-in-the-Loop.
Verstöße gegen verbotene KI-Praktiken (EU AI Act Art. 5) können mit bis zu 35 Mio. € oder 7% des weltweiten Jahresumsatzes geahndet werden. DSGVO-Verstöße mit bis zu 20 Mio. € oder 4%. Der rechtliche Rahmen ist komplex – und die Folgen bei Fehlern sind gravierend.
Detaillierte Informationen: → Rechtlicher Rahmen (vollständig)
Risk-Scoring & Routing
Jeder KI-Use-Case wird anhand von 6 Kriterien bewertet (jeweils 1-3 Punkte):
1. Datenart – Keine personenbezogenen Daten (1) / Personenbezogene Daten (2) / Besondere Kategorien Art. 9 DSGVO (3)
2. Autonomie – Rein unterstützend (1) / Teil-automatisiert mit Human-in-the-Loop (2) / Vollautomatisiert (3)
3. Integration – Stand-alone / Read-only (1) / Schreibzugriff in 1 System (2) / Multi-System-Integration (3)
4. Reichweite – Pilot 1-5 Personen (1) / Team/Bereich 6-100 Personen (2) / Unternehmensweit >100 Personen (3)
5. Externe Weitergabe – Nur intern, keine Weitergabe (1) / Manuelle Weitergabe möglich (2) / Automatische Weitergabe an Dritte (3)
6. HR-Kontext – Kein HR-Bezug (1) / Indirekt (z.B. Namen in Meeting-Notizen) (2) / Direkt (Bewertung, Profiling, Recruiting) (3)
Gesamt-Score: 6-18 Punkte
Routing-Logik
Der Gesamt-Score bestimmt den Prüfpfad:
| Risk-Score | Routing | Beschreibung | SLA (ca.) |
|---|---|---|---|
| 6-9 Punkte | Fast-Track | Risikoarmer Use Case, verkürzte Prüfung möglich | 10-15 Arbeitstage |
| 10-14 Punkte | Standard | Mittleres Risiko, vollständige Fachprüfungen erforderlich | 4-6 Wochen |
| 15-18 Punkte | Vollprüfung (High-Risk) | Hohes Risiko, vertiefte Analyse & erweiterte Auflagen | 6-8 Wochen |
Fast-Track-Voraussetzungen (zusätzlich zum Score 6-9):
- ✅ Keine besonderen Kategorien (Art. 9 DSGVO)
- ✅ Kein HR-Kontext (keine Mitarbeiter-/Bewerberdaten)
- ✅ Kein Profiling mit Rechtswirkung
- ✅ Kein Schreibzugriff auf Unternehmenssysteme
- ✅ Keine externe Weitergabe personenbezogener Daten
Wenn der Score 6-9 ist, aber eine dieser Voraussetzungen nicht erfüllt ist, erfolgt Routing zum Standard-Pfad.
Beginnen Sie neue Use Cases als Pilot mit 1-5 Nutzern (Reichweite = 1 Punkt). So senken Sie den Risk-Score und können schneller starten. Nach erfolgreicher Pilotphase skalieren Sie schrittweise – mit Re-Scoring vor jeder Erweiterung.
Ausführliche Informationen: → Risk-Scoring & Routing mit Beispielen und FAQ
Wenn Sie einen neuen Use Case planen, melden Sie ihn als Pilot an (Reichweite 1-5 Nutzer, Score niedriger). Nach erfolgreicher Testphase können Sie skalieren – aber dann ist ein Re-Check erforderlich. Dieser Ansatz ermöglicht schnellere Erstfreigaben und iteratives Lernen. :::
Rollen & Verantwortlichkeiten
Der KI-Check ist ein Multi-Stakeholder-Prozess. Keine einzelne Person oder Abteilung kann alle Aspekte allein beurteilen – Datenschutz, IT-Sicherheit, Mitbestimmung, Vertragsrecht und Business-Nutzen erfordern unterschiedliche Expertise. Deshalb arbeiten mehrere Rollen zusammen, koordiniert durch den KI-Manager.
Antragsteller (Fachbereich / Use-Case-Owner):
Der Antragsteller ist die Person oder das Team, das den Use Case nutzen möchte. Sie kennen den Business-Nutzen, die Anforderungen und die praktischen Details am besten. Ihre Aufgaben: Use-Case-Steckbrief ausfüllen (13 Pflichtfelder, Schritt 1), Rückfragen beantworten, Auflagen umsetzen (Schritt 8), Use Case im laufenden Betrieb betreuen, an Reviews teilnehmen.
KI-Manager:
Der KI-Manager ist die zentrale Anlaufstelle und koordiniert den gesamten Prozess. Er berechnet den Risk-Score, legt das Routing fest, führt den Gate-Check durch (Schritt 2), überwacht SLAs, eskaliert bei Blockern, erstellt die Management-Entscheidung (Schritt 7) und organisiert Reviews (Schritt 8). Der KI-Manager ist keine Fachabteilung, sondern ein Prozess-Koordinator.
Datenschutzbeauftragte:r (DSB):
Der DSB bewertet alle datenschutzrechtlichen Aspekte: Liegt eine Rechtsgrundlage vor (Art. 6 DSGVO)? Werden besondere Kategorien verarbeitet (Art. 9 DSGVO)? Ist eine DSFA erforderlich (Art. 35 DSGVO)? Ist ein AVV vorhanden (Art. 28 DSGVO)? Der DSB prüft in Schritt 2 (Gate-Check – DSGVO-Verbote?), Schritt 3 (Datenschutzprüfung) und Schritt 6 (AVV-Prüfung).
IT-Security:
IT-Security bewertet technische Sicherheitsrisiken: Sind Zugriffskont rollen korrekt konfiguriert (SSO/MFA, Least-Privilege)? Welche Integrationen bestehen? Sind Audit-Logs aktiv? Sind DLP-Regeln konfiguriert? Ist Verschlüsselung aktiviert (TLS 1.3, AES-256)? IT-Security prüft in Schritt 2 (Gate-Check – technische Machbarkeit?), Schritt 4 (IT-Security-Prüfung) und Schritt 6 (Sub-Processor-Sicherheit).
Betriebsrat:
Der Betriebsrat vertritt die Interessen der Mitarbeitenden und prüft Mitbestimmungsrechte: Liegt ein BR-Trigger vor (§87, §94 BetrVG)? Werden Mitarbeitende überwacht? Werden Bewerber bewertet? Sind Transparenzpflichten erfüllt? Der Betriebsrat prüft in Schritt 2 (Gate-Check – RBV §3 eingehalten?) und Schritt 5 (Mitbestimmung, Einzelanlage zur KI-RBV).
Einkauf / Legal:
Einkauf und Legal prüfen vertragliche und rechtliche Aspekte: Ist der Anbieter geeignet (Zertifikate, Referenzen)? Ist ein Vertrag vorhanden? Sind Haftungsklauseln akzeptabel? Sind Sub-Processors geprüft? Ist bei Drittlandtransfer ein Angemessenheitsbeschluss oder SCC vorhanden? Einkauf/Legal prüfen in Schritt 2 (Gate-Check – rechtliche Machbarkeit?) und Schritt 6 (Anbieter- & Vertragsprüfung).
Management:
Das Management trifft die finale Freigabe-Entscheidung in Schritt 7. Basierend auf der Zusammenfassung des KI-Managers und den Prüfungsergebnissen aller Beteiligten entscheidet es: Freigegeben (Grün), Freigegeben mit Auflagen (Gelb) oder Abgelehnt (Rot).
Bei Unsicherheiten, Rückfragen oder neuen Use Cases: Kontaktieren Sie den KI-Manager ([ki-manager@gealan.de]). Er koordiniert alle Beteiligten und sorgt dafür, dass der Prozess effizient läuft.
Prozess-Überblick: Die 8 Schritte
Der KI-Check besteht aus acht Schritten, die nacheinander oder parallel durchlaufen werden – je nach Routing.
SLA-Übersicht
| Schritt | Bezeichnung | Fast-Track | Standard | Full Review |
|---|---|---|---|---|
| S1 | Formalisierung & Risk-Scoring | 3 Tage | 3 Tage | 3 Tage |
| S2 | Risk-Assessment & Gate | 2 Tage | 5 Tage | 7 Tage |
| S3 | Datenschutzprüfung | - | 5 Tage | 7 Tage |
| S4 | IT-Security-Prüfung | - | 5 Tage | 7 Tage |
| S5 | Betriebsrat | - | 7-10 Tage | 10-14 Tage |
| S6 | Anbieter & Vertrag | - | 5 Tage | 7 Tage |
| S7 | Management-Entscheidung | 3 Tage | 3 Tage | 5 Tage |
| S8 | Go-Live & Review | 5-10 Tage | 5-10 Tage | 10-15 Tage |
| Gesamt | End-to-End | ~10-15 Tage | ~4-6 Wochen | ~6-8 Wochen |
Die angegebenen SLAs sind Zielwerte. Bei komplexen Fällen (DSFA erforderlich, neue Anbieter, BR-Verhandlungen) kann die Bearbeitung länger dauern.
Wann muss ich den KI-Check anstoßen?
Nicht jede Nutzung von KI erfordert einen KI-Check. Aber sobald Sie KI strukturiert, wiederkehrend oder mit Unternehmensdaten einsetzen möchten, ist ein Check erforderlich.
Sie müssen einen KI-Check anstoßen, wenn mindestens eines zutrifft:
Neue KI-Anwendung:
Sie wollen ein neues KI-Tool einführen – ChatGPT, Copilot, Midjourney, Perplexity, Claude, Gemini oder ein anderes. Auch wenn das Tool „nur zum Ausprobieren" genutzt werden soll: Sobald Sie Unternehmensdaten eingeben oder das Tool im Arbeitskontext nutzen, ist ein Check erforderlich.
Neues KI-Feature in bestehender Software:
Ihre bisherige Software bekommt ein KI-Feature – z.B. „Copilot" in Microsoft 365, „Einstein" in Salesforce, „AI Assistant" in Ihrem CRM. Auch wenn die Basis-Software schon freigegeben ist: Das neue Feature ist ein neuer Use Case.
Neuer Agent/Assistent:
Sie erstellen einen Custom GPT, einen Copilot Studio Agent, einen Power Automate Flow mit KI-Komponenten oder einen anderen selbst gebauten Assistenten. Auch wenn die Plattform (z.B. Copilot Studio) schon freigegeben ist: Jeder neue Agent ist ein eigener Use Case.
Bestehender Use Case wird wesentlich geändert:
Ihr Use Case läuft bereits, aber Sie wollen neue Datenquellen anbinden, neue Funktionen aktivieren, die Nutzergruppe erweitern oder den Zweck ändern. Das sind Re-Check-Trigger (siehe unten).
Agent wird veröffentlicht (intern oder extern):
Sie haben einen Agenten privat getestet (nur Sie haben Zugriff), jetzt wollen Sie ihn im Team teilen oder unternehmensweit ausrollen. Der Wechsel von „privat" zu „Team" ist ein Re-Check-Trigger (Reichweite steigt).
Agent bekommt neue Integrationen:
Ihr Agent greift jetzt auf SharePoint, CRM oder HR-System zu (vorher nicht). Neue Integrationen sind Re-Check-Trigger (Integration steigt, Datenschutz-Anforderungen ändern sich).
Agent bekommt Schreibrechte:
Ihr Agent durfte bisher nur Daten lesen (z.B. für Reporting), jetzt soll er Daten ändern oder erstellen (z.B. CRM-Einträge aktualisieren). Schreibrechte sind Re-Check-Trigger (IT-Security-Anforderungen steigen).
Auch scheinbar kleine Änderungen (neue Datenquelle, neue Nutzergruppe, neue Funktion) können das Risiko erheblich erhöhen. Im Zweifel: KI-Manager kontaktieren ([ki-manager@gealan.de]).
Was kommt raus? Die Ampel-Logik
Am Ende des Prozesses (Schritt 7 – Management-Entscheidung) gibt es drei mögliche Ergebnisse:
🟢 Freigegeben:
Der Use Case ist genehmigt und kann ohne Auflagen genutzt werden. Alle Prüfungen (Datenschutz, IT-Security, Betriebsrat, Anbieter) sind positiv ausgefallen, keine Bedenken, keine offenen Punkte. Der Use Case kann sofort in Schritt 8 (Go-Live) übergehen.
Typisches Szenario: ChatGPT für Brainstorming (Score 6, Fast-Track). Keine personenbezogenen Daten, rein unterstützend, keine Integration, Pilot. Risiko minimal, Freigabe ohne Auflagen.
🟡 Freigegeben mit Auflagen:
Der Use Case ist genehmigt, aber nur unter bestimmten Bedingungen (Auflagen). Diese Auflagen müssen vor Go-Live umgesetzt werden. Typische Auflagen: AVV muss unterschrieben sein, SSO/MFA muss aktiviert sein, DLP-Regeln müssen konfiguriert sein, Schulung für alle Nutzer erforderlich, Human-in-the-Loop-Workflow muss eingerichtet sein, Review nach 6 Monaten.
Typisches Szenario: Copilot für E-Mails mit Kundendaten (Score 12, Standard). Personenbezogene Daten, Schreibzugriff, unternehmensweit. Risiko beherrschbar, aber Auflagen erforderlich (AVV, SSO/MFA, DLP).
🔴 Abgelehnt:
Der Use Case ist nicht genehmigt. Gründe können sein: Verbot nach EU AI Act Art. 5 (z.B. Emotion Recognition), Hochrisiko-KI per RBV §3 verboten (z.B. Recruiting, Leistungsbewertung), unbeherrschbare Risiken (z.B. keine Rechtsgrundlage DSGVO, kein geeigneter Anbieter), zu viele offene Punkte (z.B. BR lehnt ab, DSB sieht unbeherrschbare Datenschutz-Risiken).
Typisches Szenario: KI für automatisches CV-Screening (Score 16, Full Review mit STOP-Gate). Hochrisiko-KI nach EU AI Act Anhang III Nr. 4, per RBV §3 verboten. Ergebnis: Abgelehnt. Aber: Redesign-Beratung möglich (z.B. „KI schlägt vor, Mensch entscheidet").
„Freigegeben mit Auflagen" ist kein Misserfolg. Die meisten Use Cases (Score 10-14) werden mit Auflagen freigegeben. Die Auflagen sind meist schnell umsetzbar (AVV unterschreiben, SSO aktivieren, Schulung buchen) und schützen vor Risiken. Besser mit Auflagen freigegeben als abgelehnt!
Re-Prüfungspflicht
Eine Freigabe gilt nur für den geprüften Rahmen (Zweck, Datenquellen, Nutzergruppe, Integration, Anbieter). Bei wesentlichen Änderungen ist ein Re-Check erforderlich.
Wann ist ein Re-Check erforderlich?
| Änderung | Re-Check ab Schritt | Begründung |
|---|---|---|
| Neue Datenquellen / Integration | ➡️ S3 (Datenschutz) | DSGVO-Prüfung nötig, möglicherweise neue Rechtsgrundlage, neue AVV-Klauseln |
| Neue Funktionen (Write-Access) | ➡️ S4 (IT-Security) | Sicherheitsrisiko steigt erheblich, neue Controls erforderlich |
| Erweiterung auf HR-Kontext | ➡️ S2 (Gate) | Hochrisiko-Verdacht, BR-Trigger, RBV §3 prüfen |
| Anbieterwechsel | ➡️ S6 (Anbieter) | Neue AVV, neue Sub-Processors, neue Zertifikate |
| Änderung des Zwecks | ➡️ S1 (neuer Use Case) | Neuer Risk-Score, neues Routing, komplett neue Prüfung |
| Skalierung (Pilot → unternehmensweit) | ➡️ S1 (neuer Risk-Score) | Reichweite steigt von 1 auf 3 Punkte, Risiko steigt |
| Neue Sub-Processors | ➡️ S6 (Anbieter) | DSGVO Art. 28 Abs. 4, Drittlandtransfer prüfen |
| Minor UI-Änderungen | ➡️ Kein Re-Check | Nur Darstellung ändert sich, keine neuen Features/Daten |
Regelmäßige Reviews:
Selbst wenn keine Änderungen vorliegen, werden alle Use Cases alle 6-12 Monate (je nach Risk-Score) reviewed. Grund: Anbieter ändern ihre Produkte (neue Features, neue Sub-Processors), rechtliche Anforderungen entwickeln sich weiter, Best Practices entstehen.
Häufige Fragen (FAQ)
„Ich bin mir nicht sicher, ob ich den KI-Check brauche. Was tun?"
Im Zweifel: KI-Manager kontaktieren ([ki-manager@gealan.de]). Die Klärung dauert ~5-10 Minuten (kurzes Telefonat oder E-Mail).
„ChatGPT ist doch öffentlich. Warum brauche ich einen Check?"
ChatGPT Free/Plus ohne GEALAN-Daten → meist Fast-Track (Score 6-9). ChatGPT mit GEALAN-Daten → STOP (kein AVV, keine Datenhoheit). Regel: Öffentliche KI nur für allgemeine Recherchen/Brainstorming (keine vertraulichen Daten).
„Mein Use Case wurde abgelehnt. Kann ich ihn umgestalten?"
Ja! „Abgelehnt" heißt nicht, dass die Idee tot ist. Häufigste Redesign-Optionen: Automatisiert → KI schlägt vor, Mensch entscheidet (Human-in-the-Loop). Bewerberdaten verarbeiten → KI erstellt Textvorlagen (keine Bewerberdaten). Emotionserkennung → Reine Meeting-Zusammenfassung (ohne Emotion). Kontaktieren Sie den KI-Manager für eine Redesign-Beratung.
„Wie lange dauert der KI-Check?"
Fast-Track (Score 6-9): ~10-15 Tage. Standard (Score 10-14): ~4-6 Wochen. Full Review (Score 15-18): ~6-8 Wochen (meist STOP-Gate). Tipp: Früh anmelden! Je früher Sie den Check anstoßen, desto schneller können Sie starten.
„Was passiert, wenn ich ohne KI-Check starte?"
Rechtliche Risiken (DSGVO-Verstoß, EU AI Act-Verstoß, BetrVG-Verletzung). Bußgelder bis zu 35 Mio. € (EU AI Act) oder 20 Mio. € (DSGVO). Betriebsrat-Konflikt (Nutzung kann untersagt werden). Reputationsschaden (Vertrauen von Kunden & Mitarbeitenden). Besser: KI-Check anstoßen, auch wenn's länger dauert!
Kontakte
| Rolle | Kontakt |
|---|---|
| KI-Manager | [ki-manager@gealan.de] |
| Datenschutzbeauftragte:r | [dsb@gealan.de] |
| IT-Security | [it-security@gealan.de] |
| Betriebsrat | [betriebsrat@gealan.de] |
| Legal / Einkauf | [legal@gealan.de] |
Weiterführende Dokumente
| Dokument | Link |
|---|---|
| 📗 KI-Check Prozess-Handbuch – Die 8 Schritte im Detail | Prozess-Handbuch |
| E2E KI-Prüfung V3.1 – Vollständige technische Prozessdokumentation | E2E V3.1 |
| SOP Einsatz von KI-Anwendungen – Verbindliche Verfahrensanweisung | SOP |
| Nutzungsrichtlinie KI – Was darf ich als Mitarbeiter:in? | Nutzungsrichtlinie |
| Codex – 10 Gebote für KI – Merkregeln | Codex |
| Merkblatt Hochrisiko-KI – Was ist verboten? Redesign-Beispiele | Merkblatt |
| Rechtlicher Rahmen – Detaillierte Erläuterung EU AI Act, DSGVO, BetrVG, RBV | Rechtlicher Rahmen |
| Risk-Scoring & Routing – Vollständige Scoring-Matrix | Risk-Scoring |
Nächster Schritt: Lesen Sie das 📗 Prozess-Handbuch, um die 8 Schritte im Detail zu verstehen.
Dokument-Status: ✅ Freigegeben
Erstellt von: KI-Manager
Geprüft durch: DSB, IT-Security, Betriebsrat, Legal, HR
Freigegeben durch: Geschäftsführung
Freigabe-Datum: 16.02.2026
| Version | Datum | Änderung |
|---|---|---|
| 3.2 | 16.02.2026 | Neue Handbuch-Version (Synthese aus V3.1, ausführliche Erklärungen, kompakte Matrix-Darstellung) |
| 3.1 | 15.02.2026 | Aktualisierung nach finalen Dokumentnamen |
| 3.0 | 01.02.2026 | Anpassung an EU AI Act (vollständige Geltung ab 02.08.2024) |