KI-Policy

Version 1.0 · gültig ab 21.05.2026
Verantwortlich: Dominik Kaufmann · Nächste Überprüfung: 21.05.2027 (oder bei wesentlichen regulatorischen Änderungen)
Anwendbar ab sofort. Verbindlich für alle Mandate und interne Arbeit.

1. Zweck 2. Grundprinzipien 3. Provider 4. Datenklassifizierung 5. Audit-Trail 6. EU AI Act 7. Inzident-Verfahren 8. Mitarbeitende 9. Überprüfung 10. Verbindlichkeit Anhang: Checkliste

1. Zweck und Geltungsbereich

Diese Policy beschreibt, wie Kaufmann Sustainability GmbH Künstliche Intelligenz in Beratungsmandaten und interner Arbeit einsetzt. Sie dient als interne Selbstverpflichtung sowie als Dokumentationsgrundlage für Kunden, Auftragsverarbeitungsverträge und Audits.

Geltungsbereich:

Alle Kundenprojekte mit KI-gestützten Workflows
Interne Arbeit (z. B. Code-Generierung, Recherche, Textentwürfe)
Vertriebs- und Marketing-Material, falls KI-Anteil

2. Grundprinzipien

(1) KI beschleunigt, der Mensch entscheidet.

Wesentlichkeits-, Strategie- und Stakeholder-Entscheidungen bleiben in menschlicher Verantwortung. KI ist Werkzeug, nicht Entscheider.

(2) Daten bleiben beim Kunden.

KI läuft in der Cloud-Umgebung des Kunden (Azure OpenAI EU, Google Vertex EU, AWS Bedrock EU, On-Premise). Kundendaten verlassen den Tenant des Kunden nicht.

(3) Kein Training auf Kundendaten.

Es werden ausschließlich KI-Provider eingesetzt, die vertraglich garantieren, dass Eingabedaten nicht für Modelltraining verwendet werden. Provider-Status siehe Abschnitt 3.

(4) Nachvollziehbarkeit vor Geschwindigkeit.

Jeder produktiv eingesetzte KI-Workflow ist dokumentiert (Zweck, Input, Methode, Output, Quellen). Audit-Trails sind Pflicht, keine Option.

(5) Validierung durch Mensch.

KI-Output, der in Berichte, Entscheidungsvorlagen oder externe Kommunikation fließt, wird vor Verwendung durch eine qualifizierte Person geprüft. Aktuelle Branchen-Fehlerquoten (~23 %) machen Validierung unverzichtbar.

(6) Minimaler ökologischer Fußabdruck.

Wo möglich, werden kleinere spezialisierte Modelle anstelle großer Sprachmodelle eingesetzt. Cloud-Regionen mit hohem Anteil erneuerbarer Energien werden bevorzugt — in Abstimmung mit der IT-Abteilung des Kunden.

3. Provider-Auswahl

Whitelist (zur Verwendung freigegeben)

Provider	Dienst	Bedingungen
Azure OpenAI Service	GPT-4, GPT-4o, GPT-5-Modelle	Region: West Europe / Sweden Central / France Central. No-Training nach Service Terms.
Google Vertex AI	Gemini-Modelle	Region: europe-west4 (Niederlande) / europe-north1 (Finnland). Customer Data wird nicht für Training verwendet.
AWS Bedrock	Claude, Llama, Titan	Region: eu-central-1 (Frankfurt) / eu-west-1 (Irland). Bedrock Data Privacy garantiert No-Training.
Anthropic API	Claude (Sonnet, Opus)	Direkte Nutzung: US-Routing. Bei EU-Anforderung Routing über AWS Bedrock EU. Anthropic-API-Vertrag enthält No-Training-Garantie.
OpenAI API direkt	GPT-Modelle	Nur für interne Recherche / nicht-personenbezogene Daten. Für Kundenprojekte nicht zugelassen ohne explizite Kunden-Freigabe.

Blacklist / mit Vorsicht

Frei zugängliche Web-Chatbots (chatgpt.com Free, Claude.ai ohne Login etc.) — nicht für Kundendaten
Modelle ohne dokumentierte No-Training-Policy

Wechsel-Verfahren

Bei Hinzunahme eines neuen Providers:

Prüfung Datenschutz-Erklärung + AVV-Verfügbarkeit
Prüfung Trainings-Policy (vertragliche No-Training-Garantie)
Prüfung EU-Datenresidenz
Eintragung in Whitelist + Information aktiver Kunden (30 Tage Vorlauf)

4. Datenklassifizierung

Klasse A — Sensibel

Personenbezogene Daten, vertrauliche Geschäftsgeheimnisse, Lieferanteninformationen, Finanzdaten.

→ Verarbeitung ausschließlich in Kunden-Tenant oder lokal verschlüsselt. Niemals in öffentlichen LLM-Schnittstellen.

Klasse B — Intern

ESG-Daten, Methodendokumentation, Audit-Trail-Material, aggregierte Statistiken ohne Personenbezug.

→ Verarbeitung in EU-Regionen freigegebener Provider. AVV erforderlich.

Klasse C — Öffentlich

Veröffentlichte Berichte, Pressemitteilungen, regulatorische Texte, offene Datensätze.

→ Frei verarbeitbar. Auch interne Tools (z. B. Claude Code für eigene Recherche) zulässig.

5. Audit-Trail-Anforderungen

Pro produktivem Workflow wird mindestens dokumentiert:

Zweck: Was soll der Workflow leisten?
Input-Quellen: Welche Daten fließen rein? (Dateipfade, Datenbankquellen)
Modell + Provider: Welches Modell, welche API-Version, welcher Cloud-Provider
Prompt-Vorlage: Versionierte Prompts (in Git)
Output-Verarbeitung: Wer prüft den Output? Welche Validierungsschritte?
Logging: Token-Verbrauch, Antwortzeiten, Fehlerquoten pro Lauf

Logging-Tools (Stand 2026): LangSmith, Helicone, OpenLLMetry, Phoenix. Mindestens eines pro produktiver Pipeline.

6. EU AI Act — Risiko-Klassifizierung

Der EU AI Act ist vollständig anwendbar ab August 2026. Pro Workflow wird eine Risiko-Einstufung dokumentiert:

Risikoklasse	Beispiele	Vorgehen
Minimales Risiko	Datenextraktion, Textentwürfe, Recherche-Zusammenfassungen	Standard-Audit-Trail genügt
Begrenztes Risiko	KI-generierte Kundeninhalte (z. B. Berichts-Drafts)	Transparenz-Hinweis im Output, dass KI involviert war
Hohes Risiko	Entscheidungsunterstützung bei Personalbewertungen, Lieferanten-Bonität, Kreditwürdigkeit	Nicht im Standard-Mandat enthalten. Erfordert separate Risiko-Bewertung + dokumentierte menschliche Letztentscheidung
Unzulässig	Social Scoring, Massenüberwachung, manipulative Beeinflussung	Wird nicht angeboten

Sustainability-Reporting-Workflows fallen in der Regel in „minimales" oder „begrenztes Risiko".

7. Inzident-Verfahren

Bei festgestelltem Verstoß gegen diese Policy (z. B. versehentliche Verwendung sensibler Daten in nicht-freigegebenem Provider):

Sofortmaßnahme: Workflow stoppen. Daten-Exposition isolieren.
Innerhalb 24 h: Information an betroffene Kunden, schriftlich.
Innerhalb 72 h: Bei DSGVO-Relevanz Meldung an Aufsichtsbehörde gem. Art. 33 DSGVO.
Innerhalb 7 Tagen: Root-Cause-Analyse + Maßnahmen zur Vermeidung dokumentiert.

8. Mitarbeitende und Externe

Aktuell: Kaufmann Sustainability GmbH operiert als Einzelunternehmen mit Dominik Kaufmann als alleinigem Verantwortlichen.

Falls künftig Mitarbeitende oder externe Auftragnehmer hinzukommen:

Schriftliche Verpflichtung auf diese Policy + Datengeheimnis (§ 6 BDSG)
Onboarding-Schulung zu KI-Compliance
Kein Provider-Zugriff ohne dokumentierte Berechtigung

9. Überprüfung und Aktualisierung

Jährlich: Vollständige Überprüfung dieser Policy
Anlassbezogen: Bei wesentlichen Änderungen (EU AI Act-Updates, neue Provider, neue Mandatsfelder)
Versionierung: Diese Datei wird versioniert in Git geführt

Verantwortlich für Aktualisierung: Dominik Kaufmann

10. Verbindlichkeit

Diese Policy ist verbindlich für alle Tätigkeiten der Kaufmann Sustainability GmbH ab dem in der Version genannten Anwendungsdatum. Abweichungen sind nur mit dokumentierter Begründung und schriftlicher Freigabe durch den Geschäftsführer zulässig.

Anhang — Quick-Reference-Checkliste pro neuem Mandat

AVV mit Kunde unterzeichnet (vor Datenzugang)
Cloud-Region mit IT-Abteilung des Kunden festgelegt
Provider-Whitelist mit IT-Abteilung abgeglichen
Datenklassifizierung pro Workflow durchgeführt
Audit-Trail-Tool eingerichtet
EU AI Act-Risiko-Klassifizierung dokumentiert
Validierungs-Verantwortliche:r benannt (auf Kundenseite)
Kickoff-Protokoll mit allen oben genannten Punkten signiert