KI-GOVERNANCE & ETHIK

KI-Governance & Ethik – Leitplanken, Nachweise, Kontrolle

Dieses Querschnittsmodul sorgt dafür, dass KI **beherrschbar, erklärbar und auditierbar** bleibt. Es verbindet Ethikleitlinien, Rechtsrahmen (DSGVO, EU-AI-Act) und Technik (Observability, Evaluierung) zu einem **operativen System** – mit klaren Rollen, Logs, Nachweisen und Eskalationswegen.

DSGVO EU-AI-Act ISO/IEC 42001 ISO/IEC 23894 Model Governance Risk & Compliance

1) Prompt-Audit & Policy Guardrails

Erfasst **Eingaben/Ausgaben** (Opt-in), erkennt sensible Inhalte (PII, IP, Gesundheits-/Finanzdaten), setzt **Richtlinien** (Brand Voice, Safe Modes) durch und bietet **Diff-Ansichten** für Änderungen an System-/Benutzerprompts.

Nutzenversprechen

  • Nachvollziehbarkeit jeder Entscheidung; reproduzierbare Ergebnisse.
  • Reduziertes Risiko durch automatisierte Prüfregeln & Whitelists/Blacklists.

KPIs & Messung (90 Tage)

  • −Policy-Verstöße • +Audit-Deckung (geloggte Sessions) • −Halluzinations-Rate

Risiken & Guardrails

  • Datensparsamkeit (Masking/Hashing), **No-Training-Flags**, Rollenzugriffe.
  • Transparenzbanner: KI-Unterstützung & Aufzeichnung klar kenntlich.

Integrationen

  • API-Gateway, Vector-DB, DLP/PII-Scanner, Secrets-Manager, SIEM/Logs.
↑ nach oben

2) Ethik-Check-Engine (Werte, Bias, Fairness)

Prüft Antworten/Modelle gegen **Ethikprofile** (z. B. Fairness, Würde, Nichtdiskriminierung, Inklusion). Führt **Bias-Tests** (synthetische/realistische Datensätze) durch und generiert **Begründungen/Alternativen** bei Regelverstößen.

Nutzenversprechen

  • Konsistente ethische Linie; dokumentierte Entscheidungen statt Bauchgefühl.
  • Früherkennung problematischer Inhalte; klare „Why/How-to-fix“-Hinweise.

KPIs & Messung (laufend)

  • −Bias-Fundrate • +Mitigation-Quote • +Review-Akzeptanz

Risiken & Guardrails

  • Kein „One-Size-Fits-All“: Werteprofile pro Domäne/Region pflegen.
  • Human-in-the-Loop Pflicht bei strittigen Fällen; Diversity im Reviewboard.

Integrationen

  • Eval-Frameworks, Testdatensätze/Golden Sets, Policy-Repo, Annotation-Tools.
↑ nach oben

3) Zertifizierungs-KI & Nachweise (EU-AI-Act/ISO)

Erzeugt **Konformitätsdossiers**: Risiko-Klassifizierung, Zweckbindung, Datenherkunft, Evaluierung, Monitoring, Human Oversight. Mapped Nachweise auf **EU-AI-Act** und **ISO/IEC 42001/23894** – mit Reifegrad-Score.

Nutzenversprechen

  • Schnellere Audits/Prüfungen, geringere Beratungskosten, klare Roadmaps.
  • „Single Source of Truth“ zu Modellen, Daten, Tests, Verantwortlichkeiten.

KPIs & Messung (Quartal)

  • −Audit-Findings • +Dossier-Vollständigkeit • −Zeit bis Zertifizierungsreife

Risiken & Guardrails

  • Versionen einfrieren; Sign-offs digital; Zugriffe revisionssicher protokollieren.
  • Aufbewahrungsfristen/Depublikationen automatisieren, Rollen- und Mandantenkonzepte.

Integrationen

  • GRC/ISMS, DMS/Archiv, MRM (Model Risk Management), Ticketing, eSign, Identity/SSO.
↑ nach oben

4) Policy-Copilot & Schulungs-Suite

Macht **interne Leitlinien** (Daten, Prompting, Barrierefreiheit, Sicherheit) **dialogisch** zugänglich, generiert **Checklisten** und **Mikro-Schulungen** (Quiz, Szenarien, Rollenspiele) je Rolle/Team – mit Lernstands-Nachweis.

Nutzenversprechen

  • Höhere Policy-Compliance im Alltag; weniger Rückfragen; schnelleres Onboarding.
  • Messbare Kompetenzaufbau-Pfade über Teams/Standorte hinweg.

KPIs & Messung (90 Tage)

  • +Schulungsquote • +Quiz-Score • −Policy-Verstöße • +„First-Contact-Answer“ im Copilot

Risiken & Guardrails

  • NUR freigegebene Policy-Stände; Depublikation/Archiv klar sichtbar.
  • Rollenspezifische Sichtbarkeit, Nachweisexporte (PDF/JSON) für Audits.

Integrationen

  • LMS, Intranet/CMS, DMS/Policy-Repo, HRIS, ID/SSO, A/B-Framework für Lernpfade.
↑ nach oben

5) Model Registry, Evaluation & Drift-Monitoring

Zentrale **Model Registry** (LLMs, Embeddings, CV/ASR/TTS), **Eval-Pipelines** (Faktentreue, Stil, Sicherheit) und **Drift-Monitoring** (Daten, Kosten, Latenz, Qualität) – mit **Champion/Challenger**-Wechsel auf Knopfdruck.

Nutzenversprechen

  • Planbare Qualität, kalkulierbare Kosten, schnelle Reaktion auf Änderungen.
  • Vergleichbarkeit über Modelle/Versionen hinweg; saubere Rollbacks.

KPIs & Messung (laufend)

  • +Eval-Abdeckung • −Qualitätsdrift • SLA-Einhaltung (Kosten/Latenz/Fehler)

Risiken & Guardrails

  • Golden Sets aktuell halten; Test-Leaks vermeiden; realistische Benchmarks.
  • Feature-/Prompt-Flags versionieren; Change-Log & Rollback-Plan pflegen.

Integrationen

  • MRM/MLflow, Vector-DB, Observability/Logs, Cost Metering, A/B-Framework, CI/CD.
↑ nach oben

6) Incident Response & Risk Register

Definiert **Vorfallklassen** (z. B. falsche Auskunft, Datenschutzproblem, Bias-Verdacht), **Meldewege**, **Sofortmaßnahmen** und **Kommunikation**. Pflegt ein **Risk Register** mit Bewertung, Maßnahmen, Owner und Fristen.

Nutzenversprechen

  • Schnelle, koordinierte Reaktion; geringere Folgeschäden; vertrauensvolle Kommunikation.
  • Transparente Risikolage und Fortschritt bei Gegenmaßnahmen.

KPIs & Messung (laufend)

  • −Time-to-Contain • −Wiederholungsrate • +Abschlussquote Maßnahmen • +Stakeholder-Trust

Risiken & Guardrails

  • Verbindliche Verantwortlichkeiten (RACI), regelmäßige Übungen/Retros.
  • Dokumentationspflicht, Lessons Learned in Policies/Evals rückführen.

Integrationen

  • SIEM/SOAR, Ticketing/On-Call, Comms/PR, Legal, DPO/ISB, Dashboarding/BI.
↑ nach oben
Demo: Bauantrag (Interner KI-Workflow am Mitarbeiter Arbeitsplatz