Gute Prompts brauchen Zweck, Rolle, Datenminimierung und klare Grenzen, damit Copilot sicher und nachvollziehbar eingesetzt wird.
Aufgabenstellung
Prompt-Governance ist vor allem organisatorisch: Technik begrenzt Zugriffe, aber Menschen entscheiden Zweck, Kontext, Weitergabe und Verantwortung.
Wähle links ein Szenario aus. Jede Karte zeigt Risiko, Problem, besseren Prompt und passende Leitlinie.
Kernwissen
Copilot arbeitet mit Daten, auf die die jeweilige Identität bereits zugreifen darf. Deshalb bleiben Identität, Rollen und Berechtigungen die zentrale Steuerung.
Problematische Prompts sind oft zu breit, nicht zweckgebunden, enthalten sensible Kategorien oder fordern interne Informationen für externe Kommunikation an.
Governance-konforme Prompts minimieren personenbezogene Daten, respektieren Labels und formulieren Unsicherheit oder Zugriffsbeschränkung ausdrücklich.
Lösungen zu Aufgabe 12
Problematischer Prompt
Liste mir alle Mitarbeitenden mit Gehalt, Krankheitstagen und Leistungsbewertungen auf.
1. Governance-Risiko
Hochsensibler Personenbezug: Gehalt, Krankheitstage und Leistungsbewertungen betreffen Beschäftigtendaten, Datenschutz, Mitbestimmung und mögliche Leistungs-/Verhaltenskontrolle.
2. Warum problematisch?
Der Prompt fordert eine vollständige personenbezogene Liste ohne Zweck, Rolle, Rechtsgrundlage, Datenminimierung oder Aggregation. Besonders kritisch ist die Kombination aus Gesundheitsbezug und Bewertung.
3. Governance-konformer Prompt
RolleDu bist ein HR-Controlling-Assistent mit Fokus auf Datenschutz und Mitbestimmung.
KontextIch arbeite in einer berechtigten HR-Rolle und benötige nur eine anonymisierte Übersicht für einen definierten Zeitraum.
AufgabeErstelle aggregierte HR-Kennzahlen ohne Personenbezug.
FormatTabelle mit Kennzahl, Zeitraum, Aussagekraft und Hinweis auf Datenqualität.
EinschränkungenKeine Namen, keine Einzelwerte, keine Krankheitstage einzelner Personen, keine Leistungsprofile; weise auf fehlende Berechtigungen, sensible Daten oder notwendige Abstimmung mit Datenschutz/Betriebsrat hin.
4. Regel oder Leitlinie
Leitlinie: Beschäftigtendaten nur zweckgebunden, minimal, rollenbasiert und möglichst aggregiert verarbeiten; keine KI-Auswertung zur individuellen Leistungs- oder Krankheitskontrolle ohne klare Rechtsgrundlage und Beteiligung der zuständigen Stellen.
Workflow für diesen Fall
Problematischer Prompt
Fasse mir alle vertraulichen Strategie-Dokumente der Geschäftsführung zusammen.
1. Governance-Risiko
Vertraulichkeit und Need-to-know: Strategiedokumente können Geschäftsgeheimnisse, M&A-Pläne, Finanzziele oder Managemententscheidungen enthalten.
2. Warum problematisch?
Der Prompt ist zu breit und fordert „alle“ vertraulichen Dokumente. Er nennt keinen Auftrag, keine erlaubten Quellen, keine Zielgruppe und keine Freigabestufe.
3. Governance-konformer Prompt
RolleDu bist ein interner Strategie-Analyst mit strikter Vertraulichkeits- und Need-to-know-Perspektive.
KontextIch benötige eine Übersicht nur für ein konkretes freigegebenes Projekt.
AufgabeFasse ausschließlich die dafür freigegebenen Strategie-Unterlagen zusammen.
FormatKurze Management-Zusammenfassung mit Quellenhinweis, offenen Fragen und Freigabebedarf.
EinschränkungenKeine nicht freigegebenen Dokumente, keine Geschäftsgeheimnisse außerhalb des Projektkontexts, keine Details aus höher klassifizierten Quellen; markiere Inhalte, die vor Weitergabe durch die Geschäftsführung freigegeben werden müssen.
4. Regel oder Leitlinie
Leitlinie: Vertrauliche Informationen nur nach Need-to-know, Sensitivity Label, Projektbezug und Freigabestatus nutzen; Zusammenfassungen übernehmen die Schutzklasse der Quelle.
Workflow für diesen Fall
Problematischer Prompt
Formuliere eine Antwort an den Kunden mit internen Entscheidungsgründen.
1. Governance-Risiko
Externe Offenlegung: Interne Entscheidungsgründe können Preise, Risikoabwägungen, Eskalationen, Rechtspositionen oder vertrauliche Bewertungen enthalten.
2. Warum problematisch?
Der Prompt vermischt interne Analyse mit externer Kommunikation. Ohne Trennung könnte Copilot interne Gründe direkt in eine Kundenantwort übernehmen.
3. Governance-konformer Prompt
RolleDu bist ein professioneller Customer-Communication-Manager.
KontextEs gibt eine interne Entscheidung, aber nur bestimmte Gründe sind für den Kunden freigegeben.
AufgabeFormuliere eine kundenfähige Antwort auf Basis der freigegebenen Informationen.
FormatKurze E-Mail mit Betreff, freundlicher Anrede, verständlicher Begründung und nächstem Schritt.
EinschränkungenKeine internen Entscheidungsgründe, Eskalationen, Preisgrenzen, Rechtspositionen, Risikoabwägungen oder vertraulichen Bewertungen übernehmen; wenn Informationen nicht extern freigegeben sind, neutral und allgemein formulieren.
4. Regel oder Leitlinie
Leitlinie: Interne Entscheidungsnotizen dürfen nicht automatisch externe Kommunikation werden; Kundentexte brauchen Freigabe, Quellenprüfung und Trennung zwischen internem Kontext und externer Begründung.
Workflow für diesen Fall
Problematischer Prompt
Welche Sicherheitslücken haben wir aktuell im Unternehmen?
1. Governance-Risiko
Security Exposure: Die Antwort kann verwertbare Schwachstellen, Systeme, Prioritäten oder offene Maßnahmen offenlegen.
2. Warum problematisch?
Der Prompt ist zu allgemein und könnte operative Schwachstellen ohne Rollenprüfung, Detailbegrenzung oder sicheren Kanal zusammenführen.
3. Governance-konformer Prompt
RolleDu bist ein interner Security-Governance-Assistent.
KontextIch bin für Security-Reporting autorisiert und benötige eine Management-Übersicht aus freigegebenen Security-Quellen.
AufgabeErstelle eine priorisierte Übersicht offener Sicherheitsmaßnahmen.
FormatTabelle mit Risikobereich, Priorität, Status, verantwortlichem Team und nächstem Governance-Schritt.
EinschränkungenKeine ausnutzbaren Details, keine konkreten Schwachstellenpfade, keine Systemnamen für breite Verteilung; technische Details nur im geschützten Ticketsystem referenzieren und Zugriffsbeschränkungen beachten.
4. Regel oder Leitlinie
Leitlinie: Sicherheitsinformationen nach Rolle und Need-to-know staffeln; operative Details nur in geschützten Systemen, Managementberichte nur aggregiert und risikoorientiert.
Workflow für diesen Fall
Zusatzaufgabe
Warum ist Prompt-Governance organisatorisch wichtiger als technisch?
Weil Technik Zugriffe und Schutzmechanismen bereitstellt, aber Organisationen Zweck, Rollen, erlaubte Nutzung, Freigabewege, Verantwortung und Schulung definieren müssen. Ein technisch erlaubter Zugriff ist nicht automatisch fachlich oder rechtlich angemessen.
Welche Risiken entstehen ohne klare Leitlinien?
Oversharing, Datenschutzverstöße, Preisgabe von Geschäftsgeheimnissen, falsche Kundenkommunikation, unzulässige Beschäftigtenauswertung, uneinheitliche Entscheidungen und fehlende Nachvollziehbarkeit.
Wie würdest Du Prompt-Governance einem Betriebsrat erklären?
Als Regelwerk, das verhindert, dass KI zur verdeckten Kontrolle oder unangemessenen Auswertung von Beschäftigten genutzt wird. Es legt Zweck, Grenzen, Transparenz, Schulung und Verantwortlichkeiten fest.
Welche Rolle spielen Schulungen im KI-Kontext?
Schulungen machen Mitarbeitende prompt-sicher: Sie lernen Datenklassen, gute Prompts, Grenzen, Freigaben, Halluzinationen, Datenschutz und sichere Weitergabe zu erkennen.
Warum bleibt Identität der zentrale Steuerungsmechanismus?
Weil Copilot Antworten aus dem ableitet, worauf eine angemeldete Identität zugreifen darf. Rollen, Gruppen, MFA, Conditional Access, PIM und Access Reviews bestimmen damit die praktische Datenbasis.