{ "schema": "https://saferpage.de/schemas/ai-lifecycle-governance.v1", "generated_at": "2026-06-08T20:41:12+00:00", "domain": "brreisen.de", "available": true, "scan": { "id": "32e97031-ecd2-4f14-b1ce-87f2681ca418", "checked_at": "2026-06-08 16:01:31.43748+02" }, "summary": "AI-Lifecycle-Governance fuer brreisen.de: 3 AI-Assets/Use-Cases, 6 Freigabe-Gates, 4 Monitoring-Trigger.", "metrics": { "asset_count": 3, "gate_count": 6, "blocking_gate_count": 5, "monitoring_trigger_count": 4, "audit_artifact_count": 4, "detected_signal_count": 3, "high_risk_signal_count": 1 }, "ai_assets": [ { "id": "support_chat_or_assistant", "name": "Support-Chat, Chatbot oder Website-Assistent", "status": "nicht eindeutig erkannt", "ai_act_risk_class": "limited-risk-transparency", "model_or_tool": "Betreiber-Nachweis erforderlich", "data_inputs": "Chat-/Kontaktinhalte, IP-/Geräteinformationen, Nutzungsdaten", "data_subject_impact": "mittel, wenn Antworten oder Weiterleitungen Nutzerverhalten beeinflussen", "owner": "Support/Product", "human_review": "Fallback zu menschlichem Support und Eskalationskriterien dokumentieren", "transparency_requirement": "Bot-/AI-Einsatz, Anbieter, Zwecke, Speicherfristen und Rechte erklären", "vendor_due_diligence_required": true, "dpia_screening_required": true }, { "id": "marketing_personalization_scoring", "name": "Personalisierung, Segmentierung oder Lead Scoring", "status": "nicht eindeutig erkannt", "ai_act_risk_class": "high-risk-screening", "model_or_tool": "Betreiber-Nachweis erforderlich", "data_inputs": "Tracking-, Kampagnen-, Formular- und CRM-Signale", "data_subject_impact": "mittel bis hoch bei Segmentierung, Ausschluss oder Preis-/Angebotslogik", "owner": "Marketing/Datenschutz", "human_review": "Manuelle Kontrolle bei relevanten Entscheidungen festlegen", "transparency_requirement": "Profiling/Scoring verständlich mit Zwecken, Logik und Folgen beschreiben", "vendor_due_diligence_required": true, "dpia_screening_required": true }, { "id": "internal_ai_review", "name": "Interne AI-Auswertung von Website-Anfragen", "status": "prüfen", "ai_act_risk_class": "limited-risk-transparency", "model_or_tool": "Betreiber-Nachweis erforderlich", "data_inputs": "Kontakt-, Bewerbungs-, Newsletter- oder Supportdaten", "data_subject_impact": "abhängig von Weiterverarbeitung; intern nicht öffentlich vollständig erkennbar", "owner": "Fachbereich/Datenschutz", "human_review": "Keine alleinige Entscheidung ohne dokumentierte Prüfung zulassen", "transparency_requirement": "Interne AI-Nutzung im Datenschutzhinweis aufnehmen, wenn personenbezogene Daten betroffen sind", "vendor_due_diligence_required": true, "dpia_screening_required": true } ], "approval_gates": [ { "id": "intake_gate", "label": "AI Use-Case Intake", "owner": "Product/Fachbereich", "blocks_release": true, "evidence_required": "Use-Case-Steckbrief, Zweck, Datenarten, Nutzerwirkung, Owner." }, { "id": "data_gate", "label": "Data Minimization und Datenherkunft", "owner": "Datenschutz/IT", "blocks_release": true, "evidence_required": "Datenquellen, PII/SPI, Trainings-/Inference-Nutzung, Loeschfrist, DSAR-Auswirkung." }, { "id": "risk_gate", "label": "EU-AI-Act-/DSFA-/Privacy-Risiko", "owner": "Legal/Datenschutz", "blocks_release": true, "evidence_required": "AI-Act-Risikoklasse, DSFA-Screening, Art.-22-Pruefung, Schutzmassnahmen." }, { "id": "vendor_gate", "label": "Vendor, Modell und Vertrag", "owner": "Vendor Owner/Security", "blocks_release": true, "evidence_required": "AVV/DPA, TOMs, No-Training/Opt-out, Region, Subprozessoren, Modellwechsel." }, { "id": "transparency_gate", "label": "Notice, Consent und Nutzerkontrolle", "owner": "Datenschutz/Content", "blocks_release": true, "evidence_required": "Datenschutzhinweis, KI-Kennzeichnung, Human Review, Widerspruch/Beschwerdeweg." }, { "id": "monitoring_gate", "label": "Monitoring und Incident Response", "owner": "Compliance/Product", "blocks_release": false, "evidence_required": "Review-Kadenz, Drift/Complaint-Monitoring, Incident-Eskalation, Audit-Log." } ], "monitoring_triggers": [ { "id": "model_change", "trigger": "Modell, Anbieter, Promptkette oder Datenquelle aendert sich", "action": "Lifecycle-Gates erneut ausloesen und Assessment versionieren.", "owner": "Product/Datenschutz" }, { "id": "new_personal_data", "trigger": "Neue personenbezogene oder sensible Daten im KI-Use-Case", "action": "DSFA-Screening, Data Map, Notice und Loesch-/DSAR-Auswirkung aktualisieren.", "owner": "Datenschutz/IT" }, { "id": "complaint_or_error", "trigger": "Nutzerbeschwerde, falsche Entscheidung, Halluzination oder Diskriminierungshinweis", "action": "Human Review, Incident-Triage und Korrekturpfad starten.", "owner": "Support/Legal/Product" }, { "id": "vendor_terms_change", "trigger": "Vendor aendert Trainings-, Subprozessor-, Transfer- oder Retention-Bedingungen", "action": "Vendor Policy Watch, TIA/DPA und Freigabe erneuern.", "owner": "Vendor Owner/Legal" } ], "audit_artifacts": [ { "id": "ai_asset_register", "label": "AI Asset Register", "fields": [ "asset_id", "owner", "purpose", "model_or_tool", "data_inputs", "risk_class", "status" ] }, { "id": "approval_record", "label": "Approval Record", "fields": [ "gate_id", "approver", "decision", "reason", "decided_at", "evidence_hash" ] }, { "id": "monitoring_record", "label": "Monitoring Record", "fields": [ "asset_id", "trigger", "event_time", "severity", "action", "owner" ] }, { "id": "incident_record", "label": "AI Incident Record", "fields": [ "asset_id", "complaint_or_issue", "impact", "containment", "notification_decision", "closure" ] } ], "policy_controls": [ { "id": "no_training_default", "label": "No-Training Default", "rule": "Personenbezogene Eingaben duerfen nicht fuer Anbietertraining genutzt werden, sofern nicht explizit freigegeben." }, { "id": "prompt_data_minimization", "label": "Prompt-Datenminimierung", "rule": "Prompts und Attachments vor KI-Nutzung auf PII/SPI, Geheimnisse und Zweckbindung pruefen." }, { "id": "human_override", "label": "Human Override", "rule": "Relevante Entscheidungen brauchen menschliche Pruefung, Korrektur- und Beschwerdepfad." }, { "id": "model_change_control", "label": "Model Change Control", "rule": "Modell-, Vendor- oder Promptwechsel triggert erneute Datenschutz-/AI-Risk-Freigabe." } ], "links": { "ai_governance_center": "https://saferpage.de/ki/brreisen.de", "lifecycle_json": "https://saferpage.de/ki/brreisen.de/lifecycle-json", "lifecycle_csv": "https://saferpage.de/ki/brreisen.de/lifecycle-csv", "assessment_workflow": "https://saferpage.de/assessment/brreisen.de/workflow-json", "dpia": "https://saferpage.de/dsfa/brreisen.de", "vendor_due_diligence": "https://saferpage.de/anbieter/brreisen.de/due-diligence", "vendor_policy_watch": "https://saferpage.de/anbieter/brreisen.de/policy-watch-json", "data_systems": "https://saferpage.de/daten/brreisen.de/systems-json" }, "sources": [ { "title": "OneTrust AI Governance", "url": "https://www.onetrust.com/products/ai-governance/", "note": "Orientierung fuer Use-Case-Intake, Asset Inventory, Lifecycle-Checkpoints und Monitoring." }, { "title": "Securiti AI Security & Governance", "url": "https://securiti.ai/products/ai-security-governance", "note": "Orientierung fuer AI Risk Assessment, Data+AI Security und Governance-Kontrollen." }, { "title": "DataGrail AI Governance", "url": "https://www.datagrail.io/solutions/ai-governance/", "note": "Orientierung fuer AI Discovery, Risk Assessment und Datenschutzbezug." } ], "disclaimer": "Blueprint aus sichtbarer SaferPage-Evidenz. SaferPage betreibt keine echten KI-Modelle und bestaetigt keine interne KI-Nutzung des Betreibers." }