KI-Anwendungsfall-Triage

KI-Anwendungsfall-Triage

Zweck

Das Gespräch stoppen, das als "Können wir nicht einfach KI dafür einsetzen?" beginnt. Schnelle, kalibrierte Antwort aus dem Register geben — und bei bedingter Freigabe die Auflagen konkret und den nächsten Schritt klar machen.

Die Triage-Skill ist ein Eingangstor: klassifizieren, Erforderliches kennzeichnen, weiterleiten. Die Folgenabschätzungs-Skill erledigt die Tiefenarbeit. Pflichtprüfung vor allem anderen: Art. 5 KI-VO (verbotene Praktiken, ab 02.02.2025) und DSGVO Art. 22 (automatisierte Einzelentscheidung).

Eingaben

• Beschreibung des KI-Anwendungsfalls: was tut die KI, wer ist betroffen, gibt es menschliche Überprüfung, welcher Anbieter?
• Praxisprofil aus CLAUDE.md (Anwendungsfall-Register, Rote Linien, Governance-Stufen, regulatorischer Fußabdruck)

Rechtlicher Rahmen

Kernvorschriften

• AI Act Art. 5 KI-VO (verbotene Praktiken): Social Scoring durch öffentliche oder private Stellen (Art. 5 Abs. 1 lit. c); subliminale Manipulation (Art. 5 Abs. 1 lit. a/b); Ausnutzung von Vulnerabilität (Art. 5 Abs. 1 lit. b); biometrische Kategorisierung nach geschützten Merkmalen (Art. 5 Abs. 1 lit. g); Echtzeitfernidentifizierung in öffentlichen Räumen (Art. 5 Abs. 1 lit. h); Emotionserkennung am Arbeitsplatz/Bildung (Art. 5 Abs. 1 lit. f). Ab 02.02.2025 anwendbar.
• AI Act Art. 6 i.V.m. Anhang III KI-VO: Hochrisiko-Kategorien — Nr. 1 Biometrie; Nr. 2 Beschäftigung (Bewerbungs-Screening, Leistungs- bewertung); Nr. 3 Wesentliche Dienstleistungen (Kredit, Versicherung); Nr. 4 Bildung; Nr. 5 Kritische Infrastruktur; Nr. 6 Strafverfolgung; Nr. 7 Migration; Nr. 8 Rechtspflege. Hochrisiko: Art. 9–15 (Anbieter), Art. 26/29 (Betreiber).
• DSGVO Art. 22: Vollautomatisierte Einzelentscheidungen mit Rechtswirkung oder erheblicher Beeinträchtigung nur nach Art. 22 Abs. 2 lit. a–c (Vertrag, gesetzliche Pflicht, ausdrückliche Einwilligung). Widerspruchs- und Transparenzpflichten.
• § 87 Abs. 1 Nr. 6 BetrVG: Mitbestimmungsrecht des Betriebsrats bei KI-Tools zur Mitarbeiterüberwachung/-bewertung.

Leitentscheidungen

• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Kommentare

• Wendehorst/Grinzinger, in: Wendehorst/Grinzinger, AI Act, 1. Aufl. 2024, Art. 5 Rn. 8 (verbotene Praktiken) und Art. 6 i.V.m. Anhang III Rn. 15 (Hochrisiko-Klassifikation).
• Ehmann/Selmayr, in: Ehmann/Selmayr, DS-GVO, 3. Aufl. 2024, Art. 22 Rn. 10.
• Müller-Glöge, in: Erfurter Kommentar, 25. Aufl. 2025, § 87 BetrVG Rn. 32.
• Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2024, Teil IV Rn. 88.

Hinweis: Dieser Skill ersetzt keine anwaltliche Beratung im Einzelfall.

Ablauf

Schritt 1 — Anwendungsfall verstehen

Bei vager Beschreibung fragen: Was tut die KI genau? Auf wen/was wirkt sie? Prüft ein Mensch vor Wirkung? Welcher Anbieter? Nur intern oder Kunden/Dritte?

Schritt 2 — Art. 5-Prüfung (ERSTE PRIORITÄT)

Vor dem Register prüfen: Liegt ein absolutes Verbot vor?

• Social Scoring, subliminale Manipulation, Vulnerabilitäts-Ausnutzung
• Biometrische Kategorisierung nach geschützten Merkmalen
• Echtzeitbiometrie in öffentlichen Räumen
• Emotionserkennung am Arbeitsplatz/Bildung

Bei Treffer: sofort melden, ohne Abmilderung:

"Dieser Anwendungsfall berührt [Art. 5 KI-VO]. Verbotene Praktiken sind absolute Verbote. Wenn etwas anders ist: anwaltliche Entscheidung nötig, keine Triage-Freigabe."

Schritt 3 — Register-Abgleich

Direkttreffer → anwenden. Nahes Match → kennzeichnen. Kein Treffer → BEDINGT (Folgenabschätzung ausstehend); vorläufige Risikoeinschätzung einschließlich Anhang-III-Prüfung ausgeben.

Schritt 4 — Jurisdiktionaler Anwendungsbereich und Anhang-III-Prüfung

Alle Regime aus ## Regulatorischer Fußabdruck prüfen. Striktest anwendbare Behandlung bei Mehrfach-Jurisdiktion. Anhang-III-Kategorien (Nr. 1–8) explizit gegen den Anwendungsfall prüfen; bei Hochrisiko: Betreiberpflichten Art. 26/29 KI-VO vermerken.

Schritt 5 — DSGVO Art. 22-Prüfung

Vollautomatisiert + Rechtswirkung/erhebliche Beeinträchtigung? → Art. 22 Abs. 1 greift; Rechtsgrundlage nach Abs. 2 dokumentieren und Human-in-the- Loop oder Einwilligung sicherstellen.

Schritt 6 — Klassifikation und Ausgabe

Bei Nicht-Jurist-Rolle: vor FREIGEGEBEN-Klassifikation anwaltliche Prüfung abfragen; 1-seitigen Kurzüberblick für das Anwaltsgespräch generieren.

---

ANWENDUNGSFALL: [Anwendungsfall wie verstanden] KLASSIFIKATION: [FREIGEGEBEN / BEDINGT / NICHT FREIGEGEBEN] Art. 5 KI-VO: [Kein Verbot / [Verbotene Praxis] — ABSOLUTES VERBOT] Anhang III KI-VO: [Nicht einschlägig / Hochrisiko Kategorie [Nr.]] DSGVO Art. 22: [Nicht einschlägig / Einschlägig — Rechtsgrundlage: [Abs. 2]] Begründung: [1–3 Sätze] Ausgelöste Rote Linien: [Keine / Liste]

Bei BEDINGT:

Anforderung	Verantwortlich	Erledigt?
KI-Folgenabschätzung (ggf. DSFA Art. 35 DSGVO)	[KI-Beauftragter]	☐
DSGVO Art. 22 Rechtsgrundlage dokumentieren	[DSB]	☐
Human-in-the-Loop — keine vollautomatisierten Entscheidungen	[Produkt]	☐
Offenlegung ggü. Betroffenen (Art. 13/14 DSGVO)	[Produkt/Recht]	☐
Betriebsrats-Beteiligung (§ 87 Abs. 1 Nr. 6 BetrVG)	[HR/Recht]	☐

Governance-Stufe: [Standard / Erhöht / Hoch]

Ausgabeformat

Bei Einzel-Anwendungsfall: wie oben. Bei mehreren Anwendungsfällen: zuerst Übersichtstabelle (✅ Freigegeben / ⚠️ Bedingt / ❌ Nicht freigegeben

• Schlüssel-Blocker), dann Detailausführung für bedingte und abgelehnte.

Beispiel

Anfrage: "HR will KI zur automatischen Bewerbungs-Vorselektion einsetzen." Triage: Art. 5: kein Verbot. Art. 6 Abs. 2 i. V. m. Anhang III Nr. 4 lit. a KI-VO: Hochrisiko, wenn das System zweckbestimmt für Auswahl, Filterung oder Bewertung von Bewerbungen eingesetzt wird. DSGVO Art. 22 Abs. 1 bei Vollautomatisierung. § 87 Abs. 1 Nr. 6 BetrVG: Betriebsrats-Beteiligung prüfen. Klassifikation: BEDINGT. Folgenabschätzung + DSFA; Human-in-the-Loop; Betriebsrat einbeziehen; Offenlegung ggü. Bewerber:innen (Art. 13 DSGVO).

Risiken und typische Fehler

• Art. 5 KI-VO ist Pflichtprüfung — immer zuerst, vor dem Register.
• "Nur intern" reduziert das Risiko nicht: Mitarbeiter-KI oft höheres Risiko als kundenseitige KI.
• "Wir testen nur" ist keine Ausnahme bei echten Personen-Daten.
• "Der Anbieter sagt, es ist sicher" ersetzt nicht die eigene Folgenabschätzung.

Quellenpflicht

• AI Act Art. 5 und Art. 6 i.V.m. Anhang III (mit konkreter Nr.) bei jeder Klassifikation.
• DSGVO Art. 22 bei automatisierten Entscheidungen.
• § 87 Abs. 1 Nr. 6 BetrVG bei Mitarbeiter-Überwachungs-/Bewertungstools.
• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
• Wendehorst/Grinzinger, in: Wendehorst/Grinzinger, AI Act, 1. Aufl. 2024, Art. 5 Rn. 8 und Anhang III Rn. 15.
• Ehmann/Selmayr, in: Ehmann/Selmayr, DS-GVO, 3. Aufl. 2024, Art. 22 Rn. 10.
• Müller-Glöge, in: Erfurter Kommentar, 25. Aufl. 2025, § 87 BetrVG Rn. 32.

Triage zu Beginn

1. Was tut die KI genau — assistierend, augmentierend oder vollautomatisiert?
2. Sind Betroffene schutzbeduertige Gruppen (Minderjaerige, Arbeitnehmer, Kreditnehmer)?
3. Liegt eine Hochrisiko-Kategorie nach Anhang III KI-VO vor (Nr. 1-8 pruefen)?
4. Ist eine vollautomatisierte Einzelentscheidung mit Rechtswirkung moeglich (Art. 22 DSGVO)?
5. Besteht ein § 87 Abs. 1 Nr. 6 BetrVG-Mitbestimmungsrecht (Mitarbeiterbewertung)?

Output-Template — Triage-Ergebnis KI-Anwendungsfall

Adressat: Governance-Team / Fachabteilung — Tonfall: klar, strukturiert

TRIAGE-ERGEBNIS KI-ANWENDUNGSFALL
[DATUM] — [ANWENDUNGSFALL-ID]

ANWENDUNGSFALL: [BESCHREIBUNG]
KLASSIFIKATION: [FREIGEGEBEN / BEDINGT / NICHT FREIGEGEBEN]

Art. 5 KI-VO (verbotene Praktiken): [Kein Verbot / VERBOTEN: BEGRUENDUNG]
Anhang III KI-VO (Hochrisiko): [Nicht einschlaegig / Hochrisiko Kat. Nr. X]
DSGVO Art. 22: [Nicht einschlaegig / Einschlaegig — Rechtsgrundlage: Art. 22 Abs. 2 lit. X]
§ 87 Abs. 1 Nr. 6 BetrVG: [Nicht einschlaegig / Mitbestimmung erforderlich]

Begruendung: [1-3 Saetze]

Bei BEDINGT — Auflagen:
1. [AUFLAGE + VERANTWORTLICHER + FRIST]
2. [AUFLAGE + VERANTWORTLICHER + FRIST]

Governance-Stufe: [Standard / Erhoeht / Hoch]
Naechste Pruefung: [DATUM]

Erstellt: [NAME], [DATUM]