Datenklassifizierung & Regeln

Gesamtfortschritt25%

Datenarten

Welche Arten von Informationen werden in KI-Tools eingegeben?

Datenarten

Welche Daten landen in KI-Tools?

Wähle konservativ: Wenn es möglich ist, zählt es. Das steuert Vertraulichkeit, Datenminimierung und Eskalation.

Nur öffentlich

Nur Inhalte, die ohnehin öffentlich sind.

Vertrauliche Unternehmensinfos

Angebote, Roadmaps, Preislisten.

Kundendaten

Support-Tickets, CRM-Felder, E-Mails.

Mitarbeiterdaten

Bewerbungen, HR-Dokumente.

Finanzdaten

Abrechnung, Zahlungen, Kontodaten.

Gesundheitsdaten

Besonders sensibel.

Daten von Kindern

Besonders sensibel.

IP / Geschäftsgeheimnisse

Quellcode, Designs, Patente, Know-how.

Sensibles vermeiden

Konservativ: sensitive Inhalte grundsätzlich vermeiden.

Tipp: Wähle konservativ. Wenn Kundendaten theoretisch vorkommen können, markiere “Kundendaten”.

Vertraulich: Datenminimierung/Abstraktion

Verwendung von Personendaten

Wie geht ihr mit Namen, E-Mails oder anderen persönlichen Infos um?

Personendaten erlaubt?

Dürfen Personendaten verarbeitet werden?

Hier geht es um eure Policy-Entscheidung und Tool-Freigabe (nicht um Rechtsberatung). Wenn unsicher: “unsure”.

Aktuell sind keine Personendaten im Scope.
Diese Auswahl wird aktiv, sobald du oben z.B. Kundendaten oder Mitarbeiterdaten auswählst.

Keine expliziten PD-Regeln nötig

Wohin gehen die Outputs?

Wer bekommt die KI-generierten Inhalte zu sehen?

Output-Kanäle

Wo wird der KI-Output verwendet?

Je öffentlicher/entscheidungsrelevanter, desto strenger die Review- und Guardrail-Regeln.

Nur intern

Notizen, interne Entwürfe, interne Dokumente.

Extern (mit Review)

E-Mail/Support/Angebote – nur nach Review.

Öffentlich publiziert

Website, Blog, Social Media.

Entscheidungen über Menschen

HR/Eligibility/Scoring.

Output intern: Baseline-Regeln

Aufbewahrung / Retention

Wie lange sollen Verläufe und Daten in den Tools gespeichert bleiben?

Retention (Logs/History)

Wie lange Logs aufbewahren?

Operativ hilfreich, aber datenschutz-/security-relevant. Empfehlung: so kurz wie möglich.

Minimal

History off wo möglich; Logs redigiert/minimiert.

Standard (30 Tage)

Typisch für Betrieb/Support.

Extended (180 Tage)

Regulated / eDiscovery / längere Nachvollziehbarkeit.

Custom

Eigene Frist definieren (Tage).

Retention: minimal (History off/Redaction)