Management Summary – E2E KI-Prüfung
GEALAN Fenster-Systeme GmbH
Stand: 15.02.2026
Version: 3.1
Status: Freigegeben
Zweck des Dokuments
Dieses Dokument beschreibt den End-to-End-Prüf- und Entscheidungsprozess für den Einsatz von KI-Anwendungen im Unternehmen.
Ziel ist es, KI-Vorhaben einheitlich, nachvollziehbar und revisionsfest von der ersten Idee bis zur Entscheidung oder formellen Ablehnung zu steuern. Der Prozess stellt sicher, dass rechtliche, datenschutzrechtliche, mitbestimmungsrelevante und IT-sicherheitsbezogene Anforderungen frühzeitig erkannt, geprüft, dokumentiert und in eine verantwortete Management-Entscheidung überführt werden.
Der Prüfprozess operationalisiert die Vorgaben der SOP „Einsatz von KI-Anwendungen" sowie der geltenden KI-Rahmenbetriebsvereinbarung. Er unterscheidet bewusst zwischen prüfbaren Standardfällen und nicht zulässigen Hochrisiko-Kontexten (gem. RBV Abschnitt 3).
Prozessübersicht (8 Schritte)
Der E2E KI-Check besteht aus 8 aufeinander aufbauenden Schritten:
Die 8 Schritte im Überblick
Schritt 1 – Formalisierung & Risk-Scoring
Ziel: Use-Case strukturiert dokumentieren, automatischer Risk-Score (6-18 Punkte) für Routing-Entscheidung.
SLA: 3 Arbeitstage
Verantwortlich: Use-Case-Owner, KI-Manager
Output: KI Check - Use-case-Steckbrief, Risk-Score, Routing-Pfad
Schritt 2 – Risk Assessment & Gate
Ziel: Rechtliche Zulässigkeitsprüfung (AI-Act-Verbote, Hochrisiko gem. RBV), Gate-Funktion.
SLA: 2-7 Arbeitstage (je nach Routing)
Verantwortlich: KI-Manager, DSB, Rechtsabteilung
Output: Gate-Entscheidung (STOP / Fast-Track / Standard / Vollprüfung)
Drei Varianten:
- Fast-Track (6-9 Punkte): Quick-Check → bei OK direkt zu Schritt 7
- Standard (10-14 Punkte): Vollständige rechtliche Prüfung → bei OK zu Schritten 3-6
- High-Risk (15-18 Punkte): Vertiefte Analyse, erweiterte Auflagen
Schritt 3 – Datenschutzprüfung
Ziel: DSGVO-Konformität, ggf. DSFA (Datenschutz-Folgenabschätzung).
SLA: 5 Arbeitstage (7-10 Tage bei DSFA)
Verantwortlich: DSB, KI-Manager, Rechtsabteilung
Prüfung: Rechtsgrundlage, DSGVO-Grundsätze, DSFA-Notwendigkeit, Betroffenenrechte, AVV
Schritt 4 – IT-Security-Prüfung
Ziel: Technische Sicherheit, IT-Risiken beherrschbar.
SLA: 5 Arbeitstage
Verantwortlich: IT-Security-Team, IT-Abteilung, KI-Manager
Prüfung: Zugriffskontrolle, Integration & Datenfluss, Human-in-the-Loop, DLP, Incident-Management
Schritt 5 – Betriebsrat / Mitbestimmung
Ziel: Prüfung Mitbestimmungsrechte (BetrVG), ggf. Einzelanlage zur KI-RBV.
SLA: 7-10 Arbeitstage
Verantwortlich: HR, Betriebsrat, KI-Manager
Output: KI Check - Einzelanlage zur KI-RBV (falls BR-Trigger = Ja)
Trigger: Beschäftigungskontext, Profiling, Leistungs-/Verhaltenskontrolle, automatisierte Personalauswahl
Schritt 6 – Anbieter- & Vertragsprüfung
Ziel: Valide vertragliche Grundlage, Anbieter freigegeben.
SLA: 5 Arbeitstage (7-10 Tage bei neuen Anbietern)
Verantwortlich: Einkauf/Legal, DSB, IT-Security
Prüfung: Anbieter-Onboarding, Rahmenvertrag, AVV, Sub-Processor, Drittlandtransfers
Schritt 7 – Management-Entscheidung
Ziel: Konsolidierung aller Prüfergebnisse, finale Freigabe-Entscheidung.
SLA: 3 Arbeitstage
Verantwortlich: KI-Manager (Vorlage), Management (Entscheidung)
Output: KI Check - Management-Entscheidung (signiert)
Mögliche Entscheidungen:
- 🟢 Approved → Schritt 8 (Go-Live)
- 🟡 Approved with Conditions → Schritt 8 mit Auflagen
- 🔴 Rejected → Prozess endet
Schritt 8 – Betrieb & Review
Ziel: Laufende Compliance, Auflagen-Umsetzung, Re-Check-Trigger.
SLA: Go-Live-Prep 5-10 Tage, Review-Zyklus 6-12 Monate
Verantwortlich: Use-Case-Owner, KI-Manager, DSB, IT-Security, HR
Outputs: Go-Live-Checkliste, Review-Protokoll, Re-Check bei wesentlichen Änderungen
SLA-Zielwerte (Gesamtdurchlaufzeit)
| Routing-Pfad | Durchlaufzeit (Arbeitstage) | Typische Use Cases |
|---|---|---|
| Fast-Track (Low-Risk) | ~10-15 Arbeitstage | Meeting-Notizen, interne Dokumentenerstellung, Read-only-Tools |
| Standard (Medium-Risk) | ~4-6 Wochen | Datenanalyse mit Personenbezug, Vertragsprüfung, Kundenservice-Bots |
| Vollprüfung (High-Risk) | ~6-8 Wochen | Multi-System-Integration, HR-nahes Profiling, sensible Datenverarbeitung |
Zeitersparnis durch V3.1-Optimierung: 40-70 % gegenüber V1.0 (10 Schritte)
Erforderliche Dokumente (3 statt 4)
| Dokument | Schritt | Pflicht? | Zweck |
|---|---|---|---|
| KI Check - Use-case-Steckbrief | Schritt 1 | ✅ Ja (immer) | Formalisierung, Risk-Scoring |
| KI Check - Einzelanlage zur KI-RBV | Schritt 5 | ⚠️ Nur bei BR-Trigger | Betriebsrat-Freigabe, rechtliche Wirksamkeit |
| KI Check - Management-Entscheidung | Schritt 7 | ✅ Ja (immer) | Executive Summary, Freigabe-Dokumentation |
Hinweis: Dokument 02 (Pre-Assessment) wurde in V3.1 eliminiert – Gate-Entscheidung wird direkt im Prozessmanagementsystem dokumentiert.
Änderungshistorie
| Version | Datum | Änderung |
|---|---|---|
| 1.0 | 09.02.2026 | Erstversion (10 Schritte) |
| 2.0 | 15.02.2026 | • 8 Schritte (Schritt 2+3 merged, Schritt 8 entfernt) • Fast-Track für Low-Risk Cases • Automatisiertes Risk-Scoring • Anbieterprüfung nach Fachprüfungen verschoben |
| 3.0 | 15.02.2026 | • Fokus auf Prozessdokumentation • Neutralere Formulierungen (tool-agnostisch) • Verbesserte Übergänge zwischen Schritten • Klarere Struktur pro Schritt |
| 3.1 | 15.02.2026 | • Dokumenten-Numerierung entfernt • Dokument 02 eliminiert • Finale Namen: Use-case-Steckbrief, Einzelanlage zur KI-RBV, Management-Entscheidung |
Nächste Schritte
- Für Prozessverantwortliche: Detailprozess-Dokumentation lesen (E2E_KI_Pruefung_V3.1)
- Für Use-Case-Owner: Steckbrief-Vorlage nutzen, Risk-Scoring-Matrix verstehen
- Für Management: Management-Entscheidung-Vorlage kennenlernen
- Für alle: Rechtlicher Rahmen & Risk-Scoring-Seiten studieren