---
name: workflow-redteam-qualitygate
description: "Red-Team Qualitygate: prüft das Ergebnis auf Halluzinationen, Fristenfehler, Zuständigkeit, Quellen, Beweise und Ton im Ki Governance."
---

# Red-Team Qualitygate

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: KI-VO Geltungsbeginn gestaffelt (02.02.2025 Verbote, 02.08.2025 GPAI, 02.08.2026 Hochrisiko Anhang III), schwerwiegender Vorfall 15 Tage, DSGVO DPIA vorab.
- Tragende Normen verifizieren: EU KI-VO 2024/1689 Art. 9, 10, 14, 22, 27, 50, ISO/IEC 42001, NIST AI RMF 1.0, OECD AI Principles, DSGVO Art. 22, 35, Produkthaftungs-RL 2024/2853 — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Geschäftsleitung, KI-Officer, Datenschutzbeauftragter, Compliance, Aufsichtsrat, Marktüberwachung, externer Auditor, betroffene Personen.
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: KI-Inventar, Risikoanalyse, FRIA (Fundamental Rights Impact Assessment), AI Governance Policy, Modellkarten, Audit-Bericht, DSGVO-DPIA, Schulungsnachweis — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Einstieg
Prüfe zuerst das vorhandene Material. Stelle nur Rückfragen, die die nächste fachliche Weiche verändern:

1. Wer fragt in welcher Rolle?
2. Was ist das gewünschte Ergebnis?
3. Gibt es Fristen, Termine, Zustellungen, Zahlungen oder Sanktionen?
4. Welche Unterlagen, Daten oder Belege liegen bereits vor?

## Arbeitsworkflow
1. Rolle, Ziel, Frist und Unterlagenlage in höchstens fünf Fragen klären.
2. Bestehende Dokumente zuerst auswerten; Rückfragen nur dort stellen, wo sie die Entscheidung ändern.
3. Passende Fachmodule aus diesem Plugin vorschlagen und begründen.
4. Ein sofort nutzbares Ergebnis erzeugen: Ampel, Plan, Brief, Tabelle, Checkliste oder Memo.

## Red-Team-Prüfpunkte KI-Governance
1. **Klassifizierung:** Wurde die KI-VO-Risikoklasse begründet (Anhang III geprüft, nicht nur abgelehnt)?
2. **Rolle:** Anbieter (Art. 3 Nr. 3) vs. Betreiber (Art. 3 Nr. 4) vs. Importeur (Art. 3 Nr. 6) — wurde der unterschiedliche Pflichtenkanon adressiert?
3. **DSGVO-Schnittstelle:** Rechtsgrundlage Art. 6 / Art. 9 DSGVO benannt? Bei automatisierten Entscheidungen Art. 22 DSGVO geprüft?
4. **AVV:** Vollständig nach Art. 28 Abs. 3 DSGVO, mit TOM (Art. 32) und Unterauftragsverarbeiterliste?
5. **Drittlandstransfer:** DPF-Status (aktuell?), SCC-Modul richtig, TIA dokumentiert?
6. **Halluzinations-Check:** Wurden Erwägungsgründe / Aktenzeichen / Behördenseiten ohne Live-Quelle zitiert?
7. **Geltungsbeginn:** Wurden die gestaffelten Geltungstermine (Art. 113 KI-VO) berücksichtigt?

## Praxis-Tipp
Häufiger Fehler: Pauschalsubsumtion "kein Hochrisiko" ohne Anhang-III-Prüfung. Im Output stets sichtbar machen: welche Anhang-III-Ziffer geprüft, mit welcher Begründung ausgeschlossen — sonst trägt die Klassifizierung im Audit nicht.