30 Tage Risikoerkennung für generative KI:Jetzt starten
Demo buchen
Kostenlose Vorlage

Antragsformular zur Freigabevon KI-Tools

Ein strukturiertes Formular, mit dem Mitarbeitende neue KI-Tools beantragen. Deckt geschäftliche Begründung, Datenklassifizierung, Sicherheitsbewertung und einen mehrstufigen Freigabeprozess ab.

0 Abschnitte
vollständige Antragsabdeckung
0 Stufen
risikobasierter Freigabeprozess
0 Tage
angestrebte Freigabe-SLA
Kostenlos
nutzbar und anpassbar

Warum ein formaler Freigabeprozess für KI-Tools unverzichtbar ist

Shadow AI ist die am schnellsten wachsende Quelle für Datenrisiken in Unternehmen. Mitarbeitende führen KI-Tools ohne IT-Prüfung ein, geben vertrauliche und personenbezogene Daten in nicht freigegebene Dienste ein und schaffen eine unsichtbare regulatorische Exposition. Ein strukturierter Freigabeprozess ist die erste Kontrolle in einem ernstzunehmenden KI-Governance-Programm.

65 %
der KI-Tools im Unternehmen sind nicht freigegeben
Der Großteil der KI-Tool-Einführung geschieht außerhalb der Sichtbarkeit der IT und setzt Organisationen Datenverlust, IP-Diebstahl und regulatorischer Haftung aus.
DSGVO
Verlangt einen DPA vor der Verarbeitung personenbezogener Daten
Mitarbeitende, die Kunden- oder Mitarbeiterdaten ohne einen DPA nach DSGVO Artikel 28 an KI-Tools senden, begehen einen regulatorischen Verstoß, unabhängig davon, ob es zu einer Datenpanne kommt.
ISO 27001
A.5.8 verlangt Lieferanten-Risikomanagement
KI-Tools sind Software-Lieferanten. ISO 27001 Anhang A.5.8 verlangt von Organisationen, das Informationssicherheitsrisiko in Lieferantenbeziehungen zu steuern.
→ Modell
Mit Ihren proprietären Daten trainiert
Ohne eine No-Training-Klausel im Anbietervertrag können KI-Modelle mit Ihren vertraulichen Daten trainiert werden, sodass diese faktisch nicht mehr zurückzuholen sind.

Das Antragsformular

Klicken Sie auf jeden Abschnitt, um ihn aufzuklappen. Passen Sie die Schwellenwerte und Freigabestufen an Ihre Organisation an.

Angaben zum Antragsteller

Vollständiger Name
________________________________
Position
________________________________
Abteilung / Team
________________________________
E-Mail-Adresse
________________________________
Direkte Führungskraft
________________________________
Datum des Antrags
________________________________

Informationen zum Tool

Name des Tools / Produkts
________________________________
Anbieter / Hersteller
________________________________
Website / URL des Tools
________________________________
Preismodell und geschätzte Jahreskosten
________________________________
Gewünschte Bereitstellungsart
Cloud SaaS / On-Premises / API / Browser-Erweiterung
Anzahl der Nutzenden, die Zugriff beantragen
________________________________

Geschäftliche Begründung

Beschreiben Sie den konkreten geschäftlichen Anwendungsfall für dieses KI-Tool
Für welche Aufgabe oder welchen Arbeitsablauf wird dieses Tool genutzt? Welches Problem löst es?
Welchen messbaren geschäftlichen Nutzen erwarten Sie?
Zeitersparnis, Kostensenkung, Qualitätsverbesserung, Risikominderung; geben Sie nach Möglichkeit Schätzungen an.
Gibt es bereits eine freigegebene Alternative im KI-Tool-Register der Organisation?
Falls ja, erläutern Sie, warum das vorhandene freigegebene Tool Ihren Anforderungen nicht genügt.

So funktioniert der Freigabeprozess für KI-Tools

Befolgen Sie diese fünf Schritte, um Anträge zur Freigabe von KI-Tools konsistent zu bearbeiten und einen prüfbaren Nachweis jeder Freigabeentscheidung zu führen.

1
Mitarbeitende füllen das Antragsformular aus und reichen es ein
Der Antragsteller füllt alle vier inhaltlichen Abschnitte aus: geschäftliche Begründung, Datenklassifizierung, Sicherheitsfragen und Integrationsanforderungen. Unvollständige Formulare werden zurückgesendet. Die IT-Sicherheit legt ab Eingang eines vollständigen Antrags eine angestrebte SLA von 10 Arbeitstagen fest.
2
Die Führungskraft prüft und genehmigt den geschäftlichen Bedarf
Die Führungskraft bestätigt, dass das Tool für einen legitimen Geschäftszweck benötigt wird, dass keine freigegebene Alternative existiert und dass die Angaben des Mitarbeitenden zur Datenklassifizierung zutreffend erscheinen. Die Freigabe der Führungskraft ist Voraussetzung für den Eintritt in die Warteschlange der IT-Sicherheit.
3
Die IT-Sicherheit bewertet das Datenrisiko und die Sicherheit des Anbieters
Die IT-Sicherheit prüft die Datenklassifizierung, kontrolliert die Sicherheitszertifizierungen des Anbieters, bewertet die Audit-Protokollierungsfunktionen und entscheidet, ob das Tool einen DPA erfordert. Für neue Anbieter kann sie einen ergänzenden Sicherheitsfragebogen versenden.
4
CISO und/oder DPO prüfen Anträge mit hohem Risiko
Anträge, die personenbezogene Daten, beschränkte Informationen oder kundenorientierte KI-Bereitstellungen betreffen, werden an den CISO und den DPO eskaliert. Der DPO entscheidet, ob eine DPIA erforderlich ist. Der CISO kann vor der Genehmigung Bedingungen festlegen (z. B. verpflichtender DPA, RBAC-Konfiguration).
5
Zugriff bereitstellen und das Register freigegebener Tools aktualisieren
Sobald alle erforderlichen Freigaben vorliegen, stellt die IT den Zugriff gemäß der freigegebenen Nutzerliste bereit, konfiguriert SSO und Audit-Protokollierung, nimmt das Tool in das KI-Tool-Register auf und informiert den Antragsteller. Der Freigabenachweis wird zu Prüfzwecken aufbewahrt.
FAQ

Häufig gestellte Fragen

Jedes KI-Tool, das zu Arbeitszwecken genutzt werden soll, sollte ein gewisses Maß an Freigabe durchlaufen. Mindestens jedes Tool, das Unternehmensdaten verarbeitet, auch nicht sensible interne Daten, sollte von der IT-Sicherheit freigegeben werden. Tools, die personenbezogene Daten, Kundendaten, Finanzdaten oder regulierte Informationen verarbeiten, erfordern eine vollständige Prüfung auf Ausschussebene. Tools, die ausschließlich mit öffentlich verfügbaren, nicht unternehmensbezogenen Daten genutzt werden, können über einen leichteren delegierten Freigabeprozess gehandhabt werden.
Erste Schritte

Optimieren Sie die KI-Tool-Governance mit Aona

Aona ersetzt papierbasierte Freigabeformulare für KI-Tools durch automatisierte Workflows. Verfolgen Sie jeden Antrag, setzen Sie das Freigabe-Routing durch, erkennen Sie Shadow AI in Echtzeit und führen Sie einen vollständigen Audit-Trail über jedes freigegebene oder abgelehnte Tool, alles auf einer Plattform.