What AI tools need to go through a formal approval process?

Any AI tool that will be used for work purposes should go through some level of approval. At a minimum, any tool that will process company data, even non-sensitive internal data, should be approved by IT Security. Tools that will process personal data, customer data, financial data, or regulated information require full committee-level review. Tools used only with publicly available, non-company data (e.g. a public AI search tool used for general research) may be handled via a lighter-touch delegated approval process.

What is a data processing agreement (DPA) and why is it required for AI tools?

A data processing agreement (DPA) is a contractual arrangement between your organisation (as data controller) and an AI vendor (as data processor) that governs how the vendor processes personal data on your behalf. Under GDPR Article 28, a DPA is legally required whenever a third party processes personal data for you. For AI tools, the DPA should specifically address: whether the vendor uses your input data to train their models; how long they retain your data; what happens to your data if you terminate the contract; and whether your data is used for purposes other than providing the contracted service.

How long should the AI tool approval process take?

Standard AI tool approval requests should be processed within 10 business days of a complete submission. Requests requiring CISO approval (for restricted or personal data) typically take 15 business days. Complex requests requiring full vendor due diligence, legal review, or a data processing agreement negotiation may take 30 business days or more. Communicating clear timelines to requestors and providing a request tracking mechanism reduces shadow AI adoption, employees adopt unapproved tools when they don't know when or if their request will be processed.

What happens if an employee uses an AI tool that hasn't been approved?

Using unapproved AI tools for work purposes (shadow AI) is a policy violation that should be addressed through your disciplinary process. The severity depends on what data was entered into the unapproved tool: if only non-sensitive internal data was involved, a formal warning and re-training is typically appropriate; if personal, confidential, or restricted data was entered, the incident should be treated as a potential data breach and investigated under your data breach response procedure, which may require regulatory notification under GDPR Article 33.

Sichern Sie sich Ihre kostenlose 30-Tage-Testversion zur Risikoerkennung für generative KI:30 Tage Risikoerkennung für generative KI:Jetzt starten

Demo buchen

Kostenlose Vorlage

Antragsformular zur Freigabe
von KI-Tools

Ein strukturiertes Formular, mit dem Mitarbeitende neue KI-Tools beantragen. Deckt geschäftliche Begründung, Datenklassifizierung, Sicherheitsbewertung und einen mehrstufigen Freigabeprozess ab.

Vorlage herunterladen Demo buchen

0 Abschnitte

vollständige Antragsabdeckung

0 Stufen

risikobasierter Freigabeprozess

0 Tage

angestrebte Freigabe-SLA

Kostenlos

nutzbar und anpassbar

Warum ein formaler Freigabeprozess für KI-Tools unverzichtbar ist

Shadow AI ist die am schnellsten wachsende Quelle für Datenrisiken in Unternehmen. Mitarbeitende führen KI-Tools ohne IT-Prüfung ein, geben vertrauliche und personenbezogene Daten in nicht freigegebene Dienste ein und schaffen eine unsichtbare regulatorische Exposition. Ein strukturierter Freigabeprozess ist die erste Kontrolle in einem ernstzunehmenden KI-Governance-Programm.

65 %

der KI-Tools im Unternehmen sind nicht freigegeben

Der Großteil der KI-Tool-Einführung geschieht außerhalb der Sichtbarkeit der IT und setzt Organisationen Datenverlust, IP-Diebstahl und regulatorischer Haftung aus.

DSGVO

Verlangt einen DPA vor der Verarbeitung personenbezogener Daten

Mitarbeitende, die Kunden- oder Mitarbeiterdaten ohne einen DPA nach DSGVO Artikel 28 an KI-Tools senden, begehen einen regulatorischen Verstoß, unabhängig davon, ob es zu einer Datenpanne kommt.

ISO 27001

A.5.8 verlangt Lieferanten-Risikomanagement

KI-Tools sind Software-Lieferanten. ISO 27001 Anhang A.5.8 verlangt von Organisationen, das Informationssicherheitsrisiko in Lieferantenbeziehungen zu steuern.

→ Modell

Mit Ihren proprietären Daten trainiert

Ohne eine No-Training-Klausel im Anbietervertrag können KI-Modelle mit Ihren vertraulichen Daten trainiert werden, sodass diese faktisch nicht mehr zurückzuholen sind.

Das Antragsformular

Klicken Sie auf jeden Abschnitt, um ihn aufzuklappen. Passen Sie die Schwellenwerte und Freigabestufen an Ihre Organisation an.

Angaben zum Antragsteller

Vollständiger Name

________________________________

Position

________________________________

Abteilung / Team

________________________________

E-Mail-Adresse

________________________________

Direkte Führungskraft

________________________________

Datum des Antrags

________________________________

Informationen zum Tool

Name des Tools / Produkts

________________________________

Anbieter / Hersteller

________________________________

Website / URL des Tools

________________________________

Preismodell und geschätzte Jahreskosten

________________________________

Gewünschte Bereitstellungsart

Cloud SaaS / On-Premises / API / Browser-Erweiterung

Anzahl der Nutzenden, die Zugriff beantragen

________________________________

Geschäftliche Begründung

Beschreiben Sie den konkreten geschäftlichen Anwendungsfall für dieses KI-Tool

Für welche Aufgabe oder welchen Arbeitsablauf wird dieses Tool genutzt? Welches Problem löst es?

Welchen messbaren geschäftlichen Nutzen erwarten Sie?

Zeitersparnis, Kostensenkung, Qualitätsverbesserung, Risikominderung; geben Sie nach Möglichkeit Schätzungen an.

Gibt es bereits eine freigegebene Alternative im KI-Tool-Register der Organisation?

Falls ja, erläutern Sie, warum das vorhandene freigegebene Tool Ihren Anforderungen nicht genügt.

Vollständiges Formular herunterladen

So funktioniert der Freigabeprozess für KI-Tools

Befolgen Sie diese fünf Schritte, um Anträge zur Freigabe von KI-Tools konsistent zu bearbeiten und einen prüfbaren Nachweis jeder Freigabeentscheidung zu führen.

Mitarbeitende füllen das Antragsformular aus und reichen es ein

Der Antragsteller füllt alle vier inhaltlichen Abschnitte aus: geschäftliche Begründung, Datenklassifizierung, Sicherheitsfragen und Integrationsanforderungen. Unvollständige Formulare werden zurückgesendet. Die IT-Sicherheit legt ab Eingang eines vollständigen Antrags eine angestrebte SLA von 10 Arbeitstagen fest.

Die Führungskraft prüft und genehmigt den geschäftlichen Bedarf

Die Führungskraft bestätigt, dass das Tool für einen legitimen Geschäftszweck benötigt wird, dass keine freigegebene Alternative existiert und dass die Angaben des Mitarbeitenden zur Datenklassifizierung zutreffend erscheinen. Die Freigabe der Führungskraft ist Voraussetzung für den Eintritt in die Warteschlange der IT-Sicherheit.

Die IT-Sicherheit bewertet das Datenrisiko und die Sicherheit des Anbieters

Die IT-Sicherheit prüft die Datenklassifizierung, kontrolliert die Sicherheitszertifizierungen des Anbieters, bewertet die Audit-Protokollierungsfunktionen und entscheidet, ob das Tool einen DPA erfordert. Für neue Anbieter kann sie einen ergänzenden Sicherheitsfragebogen versenden.

CISO und/oder DPO prüfen Anträge mit hohem Risiko

Anträge, die personenbezogene Daten, beschränkte Informationen oder kundenorientierte KI-Bereitstellungen betreffen, werden an den CISO und den DPO eskaliert. Der DPO entscheidet, ob eine DPIA erforderlich ist. Der CISO kann vor der Genehmigung Bedingungen festlegen (z. B. verpflichtender DPA, RBAC-Konfiguration).

Zugriff bereitstellen und das Register freigegebener Tools aktualisieren

Sobald alle erforderlichen Freigaben vorliegen, stellt die IT den Zugriff gemäß der freigegebenen Nutzerliste bereit, konfiguriert SSO und Audit-Protokollierung, nimmt das Tool in das KI-Tool-Register auf und informiert den Antragsteller. Der Freigabenachweis wird zu Prüfzwecken aufbewahrt.

FAQ

Häufig gestellte Fragen

Jedes KI-Tool, das zu Arbeitszwecken genutzt werden soll, sollte ein gewisses Maß an Freigabe durchlaufen. Mindestens jedes Tool, das Unternehmensdaten verarbeitet, auch nicht sensible interne Daten, sollte von der IT-Sicherheit freigegeben werden. Tools, die personenbezogene Daten, Kundendaten, Finanzdaten oder regulierte Informationen verarbeiten, erfordern eine vollständige Prüfung auf Ausschussebene. Tools, die ausschließlich mit öffentlich verfügbaren, nicht unternehmensbezogenen Daten genutzt werden, können über einen leichteren delegierten Freigabeprozess gehandhabt werden.

Erste Schritte

Optimieren Sie die KI-Tool-Governance mit Aona

Aona ersetzt papierbasierte Freigabeformulare für KI-Tools durch automatisierte Workflows. Verfolgen Sie jeden Antrag, setzen Sie das Freigabe-Routing durch, erkennen Sie Shadow AI in Echtzeit und führen Sie einen vollständigen Audit-Trail über jedes freigegebene oder abgelehnte Tool, alles auf einer Plattform.

Demo buchen

Verwandte Ressourcen

Aona-AI-Plattform KI-Governance-Rahmenwerk Alle Vorlagen

Antragsformular zur Freigabevon KI-Tools

Optimieren Sie die KI-Tool-Governance mit Aona

Antragsformular zur Freigabe
von KI-Tools