# KI-Governance-Policy

_Redaktionelle Arbeitsvorlage von KI-Radar.net. Keine Rechts-, Steuer-, Datenschutz-, Berufsrechts- oder IT-Sicherheitsberatung. Vor produktiver Nutzung prüfen, anpassen und freigeben lassen._

## Ziel

KI produktiv nutzen, ohne Daten, Rechte, Qualität und Verantwortung aus der Hand zu geben.

## Rollen

Management, Fachbereich, IT, Datenschutz, Informationssicherheit, Betriebsrat/HR und Tool-Owner erhalten klare Verantwortlichkeiten.

## Datenklassen

Öffentlich, intern, vertraulich, personenbezogen und besonders sensibel mit jeweils eigenen Kontrollen.

## Anbieterprüfung

AVV/DPA, Training-Opt-out, Subprozessoren, Datenresidenz, SSO, SCIM, Rollen, Logs, Löschung, Export und Incident-Prozess prüfen.

## Beschaffungsfragen

Vor Vertrag Datenverwendung, Training, Subprozessoren, Datenresidenz, Logs, Löschung, Incident, Preislogik und neue Funktionen abfragen.

## Freigabe-Gates

Idee, Anbieter, Pilot, Betrieb und Review jeweils mit klarer Stop-or-Go-Entscheidung dokumentieren.

## Stolperfallen

Schatten-KI, Berechtigungschaos, unterschätzte TCO, Scheinpräzision, Tool-Wildwuchs und fehlender Exit-Plan aktiv vermeiden.

## Review

Quartalsweise aktive Nutzer, Kosten, Nutzen, Risiken, Anbieteränderungen, Vorfälle und Schulungsstand prüfen.