From ki-governance
Zerlegt KI-Folgenabschätzungen nach KI-VO, DSGVO und ISO 42001 in Ergebnis, Frist, Zuständigkeit, Beweislast und Gegenposition; liefert Beweislast- und Substantiierungsmatrix.
How this skill is triggered — by the user, by Claude, or both
Slash command
/ki-governance:ki-folgenabschaetzung-ki-governance-mandatThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
~/.claude/plugins/config/claude-fuer-deutsches-recht/ki-governance/CLAUDE.md
(Hausformat Folgenabschätzung, Use-Case-Register, regulatorischer Fußabdruck)Mandate-Workspaces-Einstellung aus CLAUDE.md prüfen. Bei aktivierten Workspaces und fehlendem aktivem Mandat fragen: "Für welches Mandat? Oder Praxisebene?" Ausgaben in den Mandatsordner schreiben.
Auslöserkriterien aus CLAUDE.md prüfen.
Unabhängig davon stets prüfen:
Wenn nichts zutrifft und der Hausauslöser nicht greift:
"Eine vollständige Folgenabschätzung scheint nicht erforderlich. Hier ein Absatz für die Akte, der erklärt warum – für den Fall, dass jemand fragt."
Vor der Aufnahme Track bestimmen. Tier-Definitionen aus CLAUDE.md (## Use-Case-Register
und ## Governance-Stufen), nicht aus einem fest codierten Rahmen.
Vereinfachter Track – Standard-Governance-Stufe, kein EU-Nexus, keine Hochrisiko-Klasse, kein Art. 35 DSGVO-Auslöser.
Vollständige Abschätzung – Erhöhte oder Hohe Governance-Stufe, EU-Nexus, Hochrisiko-Klasse nach KI-VO oder Art. 35-Auslöser.
Im Zweifel vollständige Abschätzung. Ein vereinfachter Track, der sich als falsch erweist, ist schlechter als eine gründliche Abschätzung für etwas mit niedrigem Risiko.
Vor dem Schreiben Antworten auf folgende Fragen einholen. Gesprächig – kein Formular.
Schritt 3 Vorprüfung – Fußabdruckaktualität. Betroffene Bevölkerungsgruppe und Entscheidungstyp aus Schritt 2 gegen erfassten regulatorischen Fußabdruck prüfen. Falls der Anwendungsfall eine neue betroffene Gruppe oder einen neuen Entscheidungstyp einführt, Regime neu ableiten statt veralteten Fußabdruck zu iterieren.
Für jeden einschlägigen Rechtsakt im Fußabdruck:
KI-VO (VO 2024/1689):
[prüfen][prüfen][prüfen][prüfen][prüfen]DSGVO / BDSG:
[prüfen][prüfen][prüfen][prüfen]ProdHaftG / Produktsicherheitsrecht:
[Modellwissen – prüfen]§ 203 StGB:
[prüfen]UrhG / GeschGehG:
[prüfen]Seed-Struktur aus CLAUDE.md verwenden. Falls keine erfasst, diese Grundstruktur:
[ARBEITSPRODUKT-HEADER – gemäß Plugin-Konfiguration]
### KI-Folgenabschätzung: [System-/Funktionsname]
**Erstellt von:** [Name] | **Datum:** [Datum] | **Status:** ENTWURF / GENEHMIGT
**Systemeigentümer:** [Name] | **KI-Governance-Prüfer:** [Name]
**Governance-Stufe:** [Standard / Erhöht / Hoch]
**Track:** [Vereinfacht / Vollständig]
**Instrument:** [FRIA nach Art. 27 KI-VO / DSFA nach Art. 35 DSGVO / Beide]
---
## Zusammenfassung
[Zwei Sätze: Was tut diese KI und ist der Einsatz vertretbar? Z. B. "Dieses System nutzt
ein Drittanbieter-KI-System, um Erstentwürfe für Kundensupport-Antworten vor menschlicher Prüfung
zu erstellen. Die Verarbeitung ist mit der KI-Richtlinie des Unternehmens vereinbar;
drei Bedingungen vor dem Produktiveinsatz erforderlich."]
**Gesamtrisiko:** 🟢 Niedrig / 🟡 Mittel / 🟠 Hoch / 🔴 Sehr hoch
---
## 1. Systembeschreibung
**Funktion:** [Alltagssprache – kein Marketing]
**Modell / Anbieter:** [Wer liefert die KI]
**Einsatzmodus:** [Assistierend / Augmentierend / Automatisiert]
**Ausgabetyp:** [Text / Score / Klassifizierung / Empfehlung / Aktion]
**Status:** [Nicht gestartet / Pilotbetrieb / Produktion]
---
## 2. Betroffene Personen
**Wen es betrifft:** [Mitarbeiter / Kunden / Dritte]
**Umfang:** [Wie viele Personen, wie oft]
**Schaden bei Fehler:** [Realistischster Worst Case – konkret, nicht generisch]
**Schutzbedürftige Gruppen betroffen:** [Ja – [wer] / Nein]
---
## 3. Dateneingaben (DSGVO-relevant)
**Datenkategorien:** [Konkrete Felder, nicht "Nutzerdaten"]
**Personenbezogene Daten:** [Ja – [von wem] / Nein]
**Daten verlassen Perimeter?** [Ja – an [Anbieter] / Nein]
**Auftragsverarbeitung Art. 28 DSGVO:** [Vereinbarung vorhanden / Erforderlich / Entfällt]
**Modell-Training:** [Unternehmensdaten verwendet / Foundation Model / Fine-tuned auf [Datensatz]]
**UrhG § 44b / Art. 4 DSM-RL:** [Opt-out erklärt / Prüfung erforderlich / Entfällt] `[prüfen]`
**GeschGehG:** [Schutz proprietärer Daten sichergestellt / Prüfung erforderlich] `[prüfen]`
---
## 4. Entscheidungsfindung und Aufsicht
**Mensch im Ablauf:** [Immer / Nominell (Stempel-Risiko) / Nein]
**Übersteuerungsmechanismus:** [Wie ein Mensch eingreifen oder korrigieren kann]
**Art. 22 DSGVO anwendbar?** [Ja – vollautomatisierte Entscheidung / Nein] `[prüfen]`
**Widerspruchs-/Korrekturverfahren:** [Ja – [wie] / Nein]
**Benannter Eigentümer:** [Name oder Rolle]
---
## 5. Genauigkeit und Verzerrungen
**Fehlerrate:** [Bekannt / Geschätzt / Nicht getestet]
**Fehlermodus:** [Was passiert, wenn die KI falsch liegt – angezeigt? protokolliert? korrigiert?]
**Bias-Test:** [Durchgeführt – [Ergebnisse] / Nicht durchgeführt / Nicht zutreffend]
---
## 6. Regulierungsklassifizierung
### 6.1 KI-VO (VO 2024/1689)
**Klassifizierung:** [Klasse + Pinpoint-Zitat der maßgeblichen Bestimmung] `[prüfen]`
**Verbotene Praktiken ausgelöst?** [Keine erkannt / [konkrete Bestimmung und warum]] `[prüfen]`
**Anwendbare Betreiberpflichten:** [Art. 26 KI-VO – Liste mit Zitaten] `[prüfen]`
**FRIA Art. 27 KI-VO erforderlich?** [Ja – separate Lieferung / Nein / Prüfung erforderlich] `[prüfen]`
**Art. 50 Transparenzpflichten:** [Offenlegung erforderlich / Entfällt] `[prüfen]`
**Inkrafttreten/Durchsetzungsdatum:** [Datum(en)] `[prüfen]`
**Offene Auslegungsfragen:** [Markierungen]
### 6.2 DSGVO / BDSG
**DSFA Art. 35 DSGVO erforderlich?** [Ja – gesonderte Durchführung / Nein] `[prüfen]`
**Art. 22 DSGVO (automatisierte Entscheidung):** [Greift / Greift nicht / Prüfung erforderlich] `[prüfen]`
**Art. 28 DSGVO (Auftragsverarbeitung):** [AVV abgeschlossen / Erforderlich / Entfällt] `[prüfen]`
**§ 26 BDSG (Beschäftigtendatenschutz):** [Einschlägig / Nicht einschlägig] `[prüfen]`
### 6.3 Sonstige einschlägige Rechtsakte
**ProdHaftG:** [Haftungsanalyse erforderlich / Entfällt] `[prüfen]`
**§ 203 StGB:** [Mandantengeheimnis gewahrt / Schutzmaßnahmen erforderlich] `[prüfen]`
**UrhG § 44b / GeschGehG:** [Trainingsdaten-Compliance sichergestellt / Prüfung erforderlich] `[prüfen]`
---
## 7. Richtlinien-Konsistenz
| Richtlinien-Commitment | Konsistent? | Hinweise |
|---|---|---|
| [Commitment aus CLAUDE.md KI-Richtlinien-Verpflichtungen] | 🟢 / 🟡 / 🟠 / 🔴 | |
[Falls ein Punkt 🟡 oder schlechter: Richtlinienaktualisierung vor dem Einsatz oder Design-
Änderung erforderlich. Einer von beiden muss sich ändern – nicht beides markiert lassen.]
---
## 8. Risiken und Mitigationen
| # | Risiko | Eintrittswahrscheinlichkeit | Auswirkung | Mitigation | Status | Eigentümer |
|---|---|---|---|---|---|---|
| 1 | [Konkretes Risiko, das an diesem Design haftet – nicht generisch "KI-Halluzination"] | N/M/H | N/M/H | [Konkrete Maßnahme] | Erledigt / Geplant / Lücke | [Name] |
**Restrisiko nach Mitigationen:** [Bewertung]
---
## 9. Empfehlung
**[GENEHMIGT / GENEHMIGT MIT BEDINGUNGEN / ÄNDERUNGEN ERFORDERLICH / NICHT GENEHMIGT]**
**Bedingungen (sofern vorhanden):**
- [ ] [Konkrete Maßnahme vor dem Einsatz – Eigentümer, Frist]
**DSFA Art. 35 DSGVO erforderlich?** [Ja – Datenschutzrecht-Plugin ausführen / Nein]
**FRIA Art. 27 KI-VO als separate Lieferung?** [Ja / Nein]
**Vendor-AI-Review erforderlich?** [Ja – `/ki-governance:ki-anbieter-prüfung` / Nein]
**Freigabe:** [Name, Datum]
---
## Zitatprüfung
Regulierungszitate in Abschnitt 6 wurden von einem KI-Modell generiert und nicht gegen
Primärquellen verifiziert. Vor Zertifizierung oder Nutzung der Abschätzung jeden zitierten
Artikel gegen EUR-Lex oder Gesetze im Internet prüfen: Pinpoint, Aktualität, Durchführungsakte.
`[Modellwissen – prüfen]`-Markierungen tragen das höchste Fabrikationsrisiko und sollten
zuerst geprüft werden.
Anfrage: "Wir wollen einen Chatbot für die Erstberatung von Mandanten einsetzen — was müssen wir prüfen?"
Ablauf:
Ergebnis: GENEHMIGT MIT BEDINGUNGEN — Art. 28 DSGVO AVV abschließen; Chatbot-Offenlegung implementieren; DSFA durchführen; Mandanteneinwilligung einholen.
Verbindliche Zitierweise gemäß ../references/zitierweise.md.
Leitende Normen:
[Primärquelle – EUR-Lex][Primärquelle – EUR-Lex][Primärquelle – EUR-Lex][Primärquelle – EUR-Lex][Primärquelle – gesetze-im-internet.de][Primärquelle – gesetze-im-internet.de][Primärquelle – EUR-Lex][Primärquelle – gesetze-im-internet.de]Leitentscheidungen:
Adressat: Systemeigentuemer / Governance-Team — Tonfall: strukturiert-berichtend
KI-FOLGENABSCHAETZUNG — ZUSAMMENFASSUNG
[DATUM] — System: [SYSTEMNAME] — Status: ENTWURF / GENEHMIGT
Governance-Stufe: [Standard / Erhoeht / Hoch]
Instrument: [FRIA Art. 27 KI-VO / DSFA Art. 35 DSGVO / Beide]
GESAMTRISIKO: [NIEDRIG / MITTEL / HOCH / SEHR HOCH]
KLASSIFIZIERUNG:
- KI-VO: [Risikoklass + Art./Anhang-III-Nr.]
- DSGVO Art. 22: [Einschlaegig / Nicht einschlaegig]
- FRIA Art. 27 KI-VO: [Erforderlich / Nicht erforderlich]
- DSFA Art. 35 DSGVO: [Erforderlich / Nicht erforderlich]
EMPFEHLUNG: [GENEHMIGT / GENEHMIGT MIT BEDINGUNGEN / ABGELEHNT]
Bedingungen:
1. [BEDINGUNG — Eigentuemer: NAME — Frist: DATUM]
2. [BEDINGUNG — Eigentuemer: NAME — Frist: DATUM]
Weiterleitungs-Flags:
- Vendor-Review: [Ja / Nein]
- Separate DSFA: [Ja / Nein]
Freigabe: [NAME], [DATUM]
Ausformulierungspflicht und Formatstandard. Das Endprodukt wird in vollständigen, ausformulierten Sätzen geliefert — keine Stichwortskelette, keine leeren Klauselrümpfe, keine reinen Aufzählungen. Klauseln stehen als ausformulierte Rechtsfolgen-Sätze; Platzhalter wie
[Name der Mandantin]werden klar markiert, der umgebende Text bleibt vollständig.Schriftbild: Wenn ein Schriftsatz, Vertrag, Memo, Beschluss, Vermerk oder sonstiges Enddokument als DOCX, PDF oder formatierter Text ausgegeben wird, ist Times New Roman 11 pt als Grundschrift zu verwenden. Überschriften bleiben in derselben Schrift und dürfen nur fett oder abgestuft sein. Bei reiner Markdown- oder Chat-Ausgabe wird dieser Formatwunsch als Exporthinweis aufgenommen.
Nummerierung: Gliederung ausschließlich dezimal (
1,1.1,1.1.1und so weiter). Keine römischen Ziffern, keine Buchstaben- oder Mischgliederung.
Quellenregel: Entscheidungen nur nach Prüfung einer amtlichen oder frei zugänglichen Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage ausgeben.
2plugins reuse this skill
First indexed Jul 16, 2026
npx claudepluginhub klotzkette/claude-fuer-deutsches-recht --plugin ki-governanceTriages and routes work on digital governance, compliance, and risk assessment under EU AI Act, GDPR, and related frameworks. Performs silent-upload, deadline-checks, and directs to specialized modules.
Draftet KI-Verordnung Compliance-Prüfungen: prüft Anwendungsbereich, Rollen, Risikoklassen und erstellt verwertbare Entwürfe mit Anträgen, Begründung und Anlagenlogik.
Guides collaborative design exploration before implementation: explores context, asks clarifying questions, proposes approaches, and writes a design doc for user approval.