v51.0.0(akte-41): ki-governance-konzern-rollout-thalheim-industries

Mandant: Thalheim Industries SE Mannheim (DAX-Mittelstand Anlagenbau Energietechnik 12000 MA) CEO Dr. Reinhard Thalheim-Lattermann; CIO Dr. Sigrid Wolfsbacher; CDO Marcus Petersen CCO Annegret Kuehnhausen; DSB Dr. Carla Eichenmueller; KI-Komitee Dr. Falk Roosendaal Konflikte: - Recruiting-Screening (Anh. III Hochrisiko) Konformitaetsfrist 02.08.2026, fehlende Bias-Tests - Kreditscoring (Hochrisiko) BaFin-Anfrage GZ BJ 24-K 7102-2026/0012 - Betriebsrat blockiert Rollout ohne Mitbestimmung par 87 BetrVG - OpenAI-Vendor liefert unvollstaendige Konformitaetsdoku - AI-Literacy Art. 4 KI-VO nicht flaechendeckend - LfDI BW AZ 1-1085.51/2026/045 fordert DPIA fuer Recruiting-Tool - Konzernrevision identifiziert Schatten-KI in Marketing Inhalt: 38 Dateien (23 MD inkl. README, 3 DOCX, 2 XLSX, 5 EML, 2 PDF, 3 JPG) KI-VO 2024/1689 Art. 4 6 9-15 50 113; DSGVO Art. 22 35; BetrVG par 87; AktG par 93
2026-06-09 10:03:19 +00:00 · 2026-05-30 19:56:45 +00:00
parent b478409f54
commit 2cd8bdd329
40 changed files with 5992 additions and 0 deletions
@@ -1,5 +1,19 @@
 # KI-Governance-Plugin

+
+<!-- BEGIN plugin-testakten-section (autogen) -->
+## Demonstrations-Akten
+
+Folgende anonymisierte Akte demonstriert dieses Plugin im laufenden Mandatsbetrieb. Das Gesamt-PDF ist sofort im Browser lesbar. Das Akten-ZIP enthaelt saemtliche Originaldateien (Markdown-Aktenstuecke, Tabellen, E-Mails, PDFs, DOCX, XLSX, Bildanlagen) im Originalordnerlayout.
+
+| Akte | Lesen | Herunterladen |
+| --- | --- | --- |
+| **KI-Governance Konzern-Rollout — Thalheim Industries SE** (`ki-governance-konzern-rollout-thalheim-industries`) | [Gesamt-PDF lesen](../testakten/ki-governance-konzern-rollout-thalheim-industries/gesamt-pdf/ki-governance-konzern-rollout-thalheim-industries_gesamt.pdf) | [Akten-ZIP herunterladen](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/testakte-ki-governance-konzern-rollout-thalheim-industries.zip) |
+
+Die ZIP-URLs sind stabil und zeigen immer auf die aktuelle Version. Eine vollstaendige Aktenuebersicht steht in [`testakten/README.md`](../testakten/README.md).
+
+<!-- END plugin-testakten-section (autogen) -->
+
 Abläufe für betriebliche und kanzleiinterne KI-Governance: Use-Case-Triage, KI-Folgenabschätzungen,
 Vendor-KI-Review und Gap-Analyse neuer Rechtsakte gegenüber bestehender Richtlinien- und Praxislage.
 Das Plugin ist auf die EU-KI-Verordnung (VO 2024/1689, "KI-VO"), die DSGVO, das BDSG sowie
@@ -0,0 +1,137 @@
+# KI-Governance-Leitlinie Thalheim Industries SE — Entwurf v2.1
+
+**Aktenzeichen:** TI-KI-2026-007
+**Dokumentversion:** 2.1 (Entwurf, freigegeben zur Konsultation)
+**Erstellungsdatum:** 10. Februar 2026
+**Verfasser:** Dr. Falk Roosendaal, KI-Komitee-Vorsitz; Annegret Kühnhausen, CCO
+**Freigabe ausstehend:** Vorstand (geplant 15. April 2026)
+
+---
+
+## 1. Zweck und Geltungsbereich
+
+Diese Leitlinie regelt den verantwortungsvollen Einsatz von Systemen künstlicher Intelligenz (KI-Systeme) innerhalb der Thalheim Industries SE sowie aller in- und ausländischen Tochtergesellschaften, sofern diese in der EU tätig sind oder EU-Bürger als Nutzer oder Betroffene haben.
+
+Die Leitlinie dient der Umsetzung der Anforderungen der Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 über künstliche Intelligenz (KI-Verordnung, KI-VO) sowie der ergänzenden datenschutzrechtlichen Anforderungen aus der Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679).
+
+Sie schafft konzernweit verbindliche Mindeststandards für:
+- die Inventarisierung und Klassifikation von KI-Systemen (vgl. Abschnitt 3);
+- die Risikosteuerung, insbesondere bei Hochrisiko-KI-Systemen nach Art. 6 i.V.m. Anhang III KI-VO;
+- die Erfüllung von Betreiber- und Anbieterpflichten nach Art. 9–17 KI-VO;
+- die Sicherstellung von KI-Kompetenz bei allen Mitarbeiterinnen und Mitarbeitern nach Art. 4 KI-VO;
+- die Integration in bestehende Compliance- und Datenschutzprozesse.
+
+Diese Leitlinie gilt für alle Beschäftigten, Führungskräfte, Auftragnehmer und Dienstleister, die KI-Systeme im Auftrag oder für Zwecke der Thalheim Industries SE einsetzen.
+
+---
+
+## 2. Grundsätze
+
+Der Einsatz von KI-Systemen bei Thalheim Industries SE richtet sich nach folgenden Grundsätzen:
+
+**2.1 Rechtmäßigkeit:** KI-Systeme werden nur eingesetzt, wenn sie die anwendbaren Rechtsvorschriften einhalten, insbesondere die KI-VO, die DSGVO sowie sektorspezifische Regulierung (z. B. Kreditwesengesetz, Finanzmarktregulierung).
+
+**2.2 Menschliche Aufsicht:** Bei allen Hochrisiko-KI-Systemen nach Art. 6 i.V.m. Anhang III KI-VO ist eine wirksame menschliche Aufsicht nach Art. 14 KI-VO sicherzustellen. KI-Systeme treffen keine abschließenden Entscheidungen mit wesentlichen Folgen für natürliche Personen ohne Möglichkeit menschlicher Überprüfung und Korrektur.
+
+**2.3 Transparenz:** Der Einsatz von KI-Systemen, insbesondere gegenüber betroffenen Personen, ist in angemessener Weise offenzulegen. Für KI-Systeme mit Transparenzpflichten nach Art. 50 KI-VO (Chatbots, synthetische Inhalte) sind entsprechende Hinweispflichten umzusetzen.
+
+**2.4 Nicht-Diskriminierung und Fairness:** KI-Systeme, die in personenbezogenen Entscheidungsprozessen eingesetzt werden (insbesondere RecruitAI), sind auf Verzerrungen (Bias) zu testen und zu überwachen. Systematische Diskriminierungen nach Art. 9 Abs. 7 KI-VO sind zu vermeiden.
+
+**2.5 Datenschutz by Design:** Die Einführung neuer KI-Systeme erfolgt unter Einbeziehung der Datenschutzbeauftragten Dr. Carla Eichenmüller ab der Planungsphase. Soweit erforderlich, ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen.
+
+**2.6 Nachhaltigkeit und Rechenschaftspflicht:** Der Vorstand trägt die Gesamtverantwortung für die KI-Governance im Konzern. Die Geschäftsleitung haftet nach § 93 Abs. 1 AktG für die Einhaltung dieser Leitlinie (vgl. Literaturverweis: https://dejure.org/gesetze/AktG/93.html).
+
+---
+
+## 3. KI-Inventar und Klassifikation
+
+**3.1 KI-Inventar:** Sämtliche im Konzern eingesetzten KI-Systeme sind im zentralen KI-Inventar zu registrieren und zu pflegen. Das CDO-Büro (Marcus Petersen) verantwortet die technische Führung des Inventars. Die Erstinventarisierung wurde im Rahmen der Projektphase 1 (Oktober–Dezember 2025) durchgeführt; 23 Systeme wurden erfasst.
+
+**3.2 Risikoklassifikation:** Jedes KI-System ist nach dem Risikoschema der KI-VO einzustufen:
+
+| Risikoklasse | Grundlage KI-VO | Beispiel Thalheim |
+|---|---|---|
+| Unannehmbares Risiko (verboten) | Art. 5 KI-VO | — (keines identifiziert) |
+| Hochrisiko | Art. 6, Anh. III KI-VO | RecruitAI, CreditVision Score |
+| Begrenztes Risiko | Art. 50 KI-VO | ServiceBot, CodeAssist, PredictMaint |
+| Minimales Risiko | — | Spam-Filter, Rechtschreibkorrektur |
+
+Die vollständige Klassifikationsmatrix ist in Aktenstück 02 (TI-KI-2026-008) dokumentiert.
+
+**3.3 Neueinführungen:** Jede Neueinführung oder wesentliche Änderung eines KI-Systems erfordert einen KI-Freigabeprozess (KI-Clearance), der eine Risikoklassifikation, eine datenschutzrechtliche Vorabprüfung und — bei Hochrisiko — eine vollständige Konformitätsprüfung umfasst.
+
+---
+
+## 4. Governance-Struktur
+
+**4.1 KI-Komitee:** Das KI-Komitee (Vorsitz: Dr. Falk Roosendaal) ist das zentrale Steuerungsgremium für alle Fragen der KI-Governance. Es tagt quartalsweise und bei Bedarf. Mitglieder sind: CIO Dr. Wolfsbacher, CDO Marcus Petersen, CCO Annegret Kühnhausen, DSB Dr. Eichenmüller sowie Vertreter der Fachbereiche.
+
+**4.2 Verantwortlichkeiten:**
+
+| Rolle | Funktion | Zuständigkeit |
+|---|---|---|
+| CEO Dr. Thalheim-Lattermann | Vorstand | Gesamtverantwortung, AktG § 93 |
+| CIO Dr. Wolfsbacher | Technik | KI-Infrastruktur, Auditbereitschaft |
+| CDO Marcus Petersen | Daten | KI-Inventar, Datenqualität |
+| CCO Annegret Kühnhausen | Compliance | KI-VO-Konformität, Behördenkontakt |
+| DSB Dr. Eichenmüller | Datenschutz | DSGVO, DPIA, LfDI-Kontakt |
+| KI-Komitee-Vorsitz Dr. Roosendaal | Governance | Koordination, Eskalation |
+| Betriebsrat (Norbert Schäpers) | Mitbestimmung | § 87 BetrVG, Betriebsvereinbarung |
+
+**4.3 Betriebsrat:** Der Betriebsrat ist gemäß § 87 Abs. 1 Nr. 6 BetrVG (https://dejure.org/gesetze/BetrVG/87.html) bei der Einführung und wesentlichen Änderung technischer Einrichtungen, die zur Überwachung des Verhaltens oder der Leistung der Arbeitnehmer bestimmt sind oder geeignet sind, frühzeitig einzubeziehen. Dies gilt ausdrücklich für RecruitAI und CreditVision Score.
+
+---
+
+## 5. Verbotene Praktiken
+
+In Übereinstimmung mit Art. 5 KI-VO (https://dejure.org/gesetze/KIVO/5.html) sind bei Thalheim Industries SE folgende KI-Praktiken verboten:
+
+- KI-Systeme zur unterschwelligen Beeinflussung von Personen ohne deren Wissen;
+- Systeme zur Ausnutzung von Vulnerabilitäten von Personen;
+- Social Scoring-Systeme durch Behörden oder vergleichbare private Einstufungen;
+- Echtzeit-Fernerkennung biometrischer Merkmale in öffentlich zugänglichen Räumen;
+- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen.
+
+Eine vollständige Rote Liste mit Prüfschema findet sich in Aktenstück 09 (TI-KI-2026-013).
+
+---
+
+## 6. Pflichten für Hochrisiko-KI-Systeme
+
+Für alle Hochrisiko-KI-Systeme (derzeit: RecruitAI, CreditVision Score) gelten kumulativ die Anforderungen nach Art. 9–17 KI-VO:
+
+- **Art. 9:** Risikomanagementsystem — laufend, dokumentiert;
+- **Art. 10:** Daten-Governance — Trainings- und Testdaten dokumentiert, repräsentativ;
+- **Art. 11:** Technische Dokumentation — vollständig, aktuell (Vorlage 72 h nach Anforderung durch Behörden);
+- **Art. 12:** Aufzeichnungs- und Protokollierungspflichten — automatische Protokollierung aktiviert;
+- **Art. 13:** Transparenz gegenüber Betreibern — Gebrauchsanweisung vorhanden;
+- **Art. 14:** Menschliche Aufsicht — technisch und organisatorisch implementiert;
+- **Art. 15:** Genauigkeit, Robustheit, Cybersicherheit — regelmäßige Tests, Penetrationstests;
+- **Art. 16:** Betreiberpflichten — Registrierung, Konformitätsbewertung vor Inbetriebnahme;
+- **Art. 17:** Qualitätsmanagementsystem — ISO-konformes QMS vorhanden.
+
+Die Konformitätsbewertung nach Art. 43 Abs. 2 KI-VO (interne Bewertung für HR-/Kreditssysteme) wird durch die WPG Hagedorn & Partner als externen Auditor begleitet.
+
+---
+
+## 7. AI Literacy (Art. 4 KI-VO)
+
+Alle Mitarbeiterinnen und Mitarbeiter, die KI-Systeme einsetzen oder beaufsichtigen, müssen über ausreichende KI-Kompetenz verfügen (Art. 4 KI-VO, https://dejure.org/gesetze/KIVO/4.html). Das Curriculum ist in Aktenstück 05 (TI-KI-2026-009) beschrieben. Die Schulungspflicht ist bis 31.10.2026 flächendeckend zu erfüllen.
+
+---
+
+## 8. Schatten-KI und nicht genehmigte Systeme
+
+Mitarbeiterinnen und Mitarbeiter dürfen keine KI-Systeme einsetzen, die nicht im KI-Inventar registriert und durch den KI-Freigabeprozess freigegeben wurden. Verstöße sind unverzüglich der CCO Kühnhausen zu melden und können arbeitsrechtliche Konsequenzen haben. Der Vorfall in der Marketingabteilung (März 2026, Aktenstück 16) zeigt die praktische Relevanz dieser Regelung.
+
+---
+
+## 9. Inkrafttreten und Überprüfung
+
+Diese Leitlinie tritt nach Freigabe durch den Vorstand (geplant 15. April 2026) in Kraft. Sie wird jährlich überprüft und bei wesentlichen Änderungen der Rechtslage oder des KI-Einsatzes anlassbezogen angepasst.
+
+**Nächste planmäßige Überprüfung:** April 2027.
+
+---
+
+*Erstellt im Rahmen des Compliance-Programms TI-KI-2026, Thalheim Industries SE. Aktenzeichen: TI-KI-2026-007. Externe Rechtsberatung: Kanzlei Borchmann Compliance, Frankfurt am Main.*
@@ -0,0 +1,167 @@
+# Risikoklassifikationsmatrix KI-Systeme — Thalheim Industries SE
+
+**Aktenzeichen:** TI-KI-2026-008
+**Dokumentversion:** 1.4
+**Erstellungsdatum:** 18. Dezember 2025
+**Verfasser:** Dr. Falk Roosendaal; Marcus Petersen (CDO); Annegret Kühnhausen (CCO)
+**Freigegeben durch:** KI-Komitee, 10. Januar 2026
+
+---
+
+## 1. Zweck
+
+Dieses Dokument enthält die vollständige Risikoklassifikation aller im KI-Inventar der Thalheim Industries SE erfassten KI-Systeme gemäß der Verordnung (EU) 2024/1689 über künstliche Intelligenz (KI-VO). Die Klassifikation folgt dem vierstufigen Risikoschema der KI-VO (Art. 5, Art. 6 i.V.m. Anhang III, Art. 50, Minimales Risiko).
+
+Rechtsgrundlagen:
+- Art. 6 i.V.m. Anhang III KI-VO (Hochrisiko-Klassifikation): https://dejure.org/gesetze/KIVO/6.html
+- Art. 5 KI-VO (Verbotene Praktiken): https://dejure.org/gesetze/KIVO/5.html
+- Art. 50 KI-VO (Transparenzpflichten): https://dejure.org/gesetze/KIVO/50.html
+
+---
+
+## 2. Klassifikationsschema
+
+Die Einordnung erfolgt nach einem dreistufigen Prüfschema:
+
+**Stufe 1 — Verboten (Art. 5 KI-VO):** Fällt das System unter eine der verbotenen Praktiken? → Sofortiger Stopp, keine weitere Prüfung.
+
+**Stufe 2 — Hochrisiko (Art. 6 i.V.m. Anh. III KI-VO):**
+- Ist das System ein Sicherheitsbauteil eines Produkts nach Anhang I? → Hochrisiko.
+- Fällt es unter eine der acht Kategorien des Anhangs III? → Hochrisiko, sofern es bei natürlichen Personen individuelle Entscheidungen beeinflusst oder eigenständig trifft.
+
+**Stufe 3 — Transparenzpflichten (Art. 50 KI-VO):**
+- Chatbots / Konversationssysteme → Offenlegungspflicht.
+- Deep-Fake-Generatoren / synthetische Inhalte → Kennzeichnungspflicht.
+
+Alle nicht in Stufe 1–3 fallenden Systeme gelten als Systeme mit minimalem Risiko.
+
+---
+
+## 3. Klassifikationsergebnisse: Fünf Kernsysteme
+
+### 3.1 RecruitAI (Recruiting-Screening)
+
+| Merkmal | Inhalt |
+|---|---|
+| Vendor | Synaptec Analytics GmbH, München |
+| Einsatzbereich | HR / Personalauswahl |
+| Funktion | Automatisiertes Screening von Bewerbungsunterlagen, Ranking-Score |
+| Prüfung Art. 5 | Keine verbotene Praktik (kein Social Scoring, keine unterschwellige Beeinflussung) |
+| Prüfung Art. 6 / Anh. III | Anh. III Nr. 4a: „KI-Systeme zur Personalauswahl, zur Priorisierung von Kandidaten" → **Hochrisiko** |
+| Einstufung | **Hochrisiko** |
+| Rechtsgrundlage | Art. 6 Abs. 2, Anhang III Nr. 4 lit. a KI-VO |
+| Konformitätsfrist | 02. August 2026 |
+| Konformitätsbewertung | Intern nach Art. 43 Abs. 2 KI-VO; Auditor: Hagedorn & Partner |
+| DPIA erforderlich | Ja — Art. 35 DSGVO; Aufforderung LfDI BW AZ 1-1085.51/2026/045 |
+| Verantwortlicher | Dr. Sigrid Wolfsbacher (CIO) |
+| Status (März 2026) | Audit läuft; Feststellung fehlender Bias-Tests |
+
+**Begründung:** RecruitAI trifft oder beeinflusst maßgeblich Entscheidungen über die Aufnahme oder Ablehnung von Bewerbern. Anhang III Nr. 4 lit. a KI-VO erfasst explizit KI-gestützte Systeme zur „Zulassung zu Beschäftigung" und zur „Priorisierung von Bewerbern". Die Hochrisiko-Einstufung ist eindeutig. Eine DPIA ist nach Art. 35 Abs. 3 lit. a DSGVO (systematische Bewertung persönlicher Aspekte) erforderlich. Art. 22 DSGVO (automatisierte Einzelentscheidungen) ist im Lichte von Art. 26 KI-VO zu lesen.
+
+---
+
+### 3.2 CreditVision Score (Kreditscoring-Modul)
+
+| Merkmal | Inhalt |
+|---|---|
+| Vendor | CreditVision AG, Frankfurt am Main |
+| Einsatzbereich | Kundenfinanzierung / Kreditentscheidung |
+| Funktion | Scoring-Modell zur Bonitätsbewertung von Privat- und Gewerbekunden |
+| Prüfung Art. 5 | Keine verbotene Praktik |
+| Prüfung Art. 6 / Anh. III | Anh. III Nr. 5b: „KI-Systeme zur Bewertung der Kreditwürdigkeit natürlicher Personen" → **Hochrisiko** |
+| Einstufung | **Hochrisiko** |
+| Rechtsgrundlage | Art. 6 Abs. 2, Anhang III Nr. 5 lit. b KI-VO |
+| Konformitätsfrist | 02. August 2026 |
+| Konformitätsbewertung | Intern nach Art. 43 Abs. 2 KI-VO; Auditor: Hagedorn & Partner |
+| DPIA erforderlich | Prüfung läuft (hohe Wahrscheinlichkeit) |
+| Verantwortlicher | Marcus Petersen (CDO) |
+| Status (März 2026) | Offene BaFin-Anfrage GZ BJ 24-K 7102-2026/0012; Unterlagen CreditVision AG ausstehend |
+
+**Begründung:** Das Kreditscoring-Modul wird zur Bewertung der Kreditwürdigkeit natürlicher Personen eingesetzt und beeinflusst damit Entscheidungen mit erheblichen Rechts- oder vergleichbar erheblichen Folgen für die Betroffenen. Art. 22 DSGVO (https://dejure.org/gesetze/DSGVO/22.html) und Art. 6 i.V.m. Anh. III Nr. 5b KI-VO gelten kumulativ. Die BaFin prüft im Rahmen ihrer Aufsicht (GZ BJ 24-K 7102-2026/0012) die Einhaltung von Art. 22 DSGVO und die Konformitätsbewertung nach Art. 43 KI-VO.
+
+---
+
+### 3.3 PredictMaint (Predictive Maintenance)
+
+| Merkmal | Inhalt |
+|---|---|
+| Vendor | Intern entwickelt (Thalheim Digital Lab) |
+| Einsatzbereich | Produktionsanlagen / Wartungsplanung |
+| Funktion | Anomalieerkennung, Verschleißprognose auf Basis von Sensordaten |
+| Prüfung Art. 5 | Keine verbotene Praktik |
+| Prüfung Art. 6 / Anh. III | Kein Anhang-III-Tatbestand; kein Sicherheitsbauteil i.S.v. Anhang I |
+| Einstufung | **Begrenztes Risiko** |
+| Transparenzpflichten | Keine nach Art. 50 KI-VO (kein Chatbot, keine synthetischen Inhalte) |
+| Anmerkung | Hohe wirtschaftliche Relevanz, aber kein personenbezogener Entscheidungseinfluss |
+| Verantwortlicher | Dr. Sigrid Wolfsbacher (CIO) |
+| Konformitätsfrist | 02. August 2027 (freiwillige interne Überprüfung) |
+
+**Begründung:** PredictMaint verarbeitet ausschließlich Maschinendaten und trifft keine Entscheidungen über natürliche Personen. Ein Anhang-III-Tatbestand liegt nicht vor. Das System fällt damit nicht unter die Hochrisiko-Kategorie. Empfehlung: Freiwillige Dokumentation im Rahmen des KI-Inventars und Überprüfung bis August 2027.
+
+---
+
+### 3.4 CodeAssist (GenAI-Coding-Assistent)
+
+| Merkmal | Inhalt |
+|---|---|
+| Vendor | OpenAI Ireland Ltd., Dublin (GPT-4-basiert) |
+| Einsatzbereich | Software-Entwicklung intern |
+| Funktion | KI-gestützte Code-Generierung und Code-Review |
+| Prüfung Art. 5 | Keine verbotene Praktik |
+| Prüfung Art. 6 / Anh. III | Kein Anhang-III-Tatbestand |
+| Einstufung | **Begrenztes Risiko** (Allzweck-KI-Modell nach Art. 51 ff. KI-VO) |
+| Transparenzpflichten | Art. 50 Abs. 2 KI-VO: Kennzeichnung KI-generierter Inhalte (Code-Kommentare) |
+| Vendor-Pflichten | OpenAI als Anbieter unterliegt Art. 53 ff. KI-VO (GPAI-Modell-Pflichten) |
+| Verantwortlicher | Marcus Petersen (CDO) |
+| Status (März 2026) | Konformitätsdokumentation OpenAI unvollständig; Nachforderung läuft |
+
+**Begründung:** CodeAssist basiert auf einem Allzweck-KI-Modell (GPAI) im Sinne von Art. 3 Nr. 63 KI-VO. Als Betreiber (Deployer) ist Thalheim nach Art. 26 KI-VO verantwortlich für die zweckgerechte Nutzung. OpenAI unterliegt als Anbieter (Provider) des Basismodells den Pflichten nach Art. 53 KI-VO. Thalheim muss sicherstellen, dass die Nutzung den Nutzungsbedingungen von OpenAI entspricht und keine personenbezogenen Daten ohne Rechtsgrundlage verarbeitet werden.
+
+---
+
+### 3.5 ServiceBot (Kundenservice-Chatbot)
+
+| Merkmal | Inhalt |
+|---|---|
+| Vendor | Intern entwickelt (Thalheim Digital Lab) |
+| Einsatzbereich | Kundenservice / First-Level-Support |
+| Funktion | Automatisierte Beantwortung von Kundenanfragen |
+| Prüfung Art. 5 | Keine verbotene Praktik |
+| Prüfung Art. 6 / Anh. III | Kein Anhang-III-Tatbestand (kein Entscheidungseinfluss auf Betroffene) |
+| Einstufung | **Transparenzpflichten (Art. 50 KI-VO)** |
+| Transparenzpflichten | Art. 50 Abs. 1 KI-VO: Kunden müssen informiert werden, dass sie mit einem KI-System interagieren |
+| Umsetzungsstand | Hinweis implementiert seit 01.02.2025; Dokumentation in TI-KI-2026-007 |
+| Verantwortlicher | Marcus Petersen (CDO) |
+
+**Begründung:** ServiceBot ist ein konversationelles KI-System im Sinne von Art. 50 Abs. 1 KI-VO. Die Pflicht zur Offenlegung gegenüber natürlichen Personen gilt unabhängig von der Risikoklasse. Die Umsetzung erfolgte fristgerecht (Art. 113 Abs. 3 KI-VO: Anwendung von Art. 50 ab 02.02.2025). Eine vollständige Überprüfung der Umsetzung findet im Rahmen des Q2-2026-Audits statt.
+
+---
+
+## 4. Weitere klassifizierte Systeme (Auszug)
+
+Zusätzlich zu den fünf Kernsystemen wurden im Rahmen der Inventarisierung (Phase 1) folgende Systeme klassifiziert:
+
+| System | Einsatzbereich | Risikoklasse | Bemerkung |
+|---|---|---|---|
+| MarketingAI (Midjourney-basiert) | Marketing | Begrenztes Risiko / **ungenehmigt** | Schatten-KI; identifiziert März 2026 |
+| AutoTranslate | Übersetzung intern | Minimales Risiko | Keine DPIA, keine Freigabepflicht |
+| FinanceReport-AI | Controlling | Minimales Risiko | Keine Entscheidungsautomation |
+| EnergyForecast | Energiemanagement | Minimales Risiko | Keine Personenbezogenheit |
+| QualityVision | Qualitätskontrolle | Begrenztes Risiko | Optisches System, keine Personenerkennung |
+
+---
+
+## 5. Anwendungsfristen (Art. 113 KI-VO)
+
+| Datum | Regelung |
+|---|---|
+| 02.02.2025 | Art. 5 (Verbote), Art. 50 (Transparenz) anwendbar |
+| 02.08.2025 | Governance-Pflichten (Kapitel I, II), Art. 4 (AI Literacy) anwendbar |
+| 02.08.2026 | Hochrisiko-Pflichten (Art. 6, 9–17, 43) anwendbar für neue Systeme; bestehende Hochrisiko-Systeme müssen nachkonformiert sein |
+| 02.08.2027 | Hochrisiko-Systeme nach Anhang I (bestehende Produkte) |
+
+Quelle: Art. 113 KI-VO (https://dejure.org/gesetze/KIVO/113.html).
+
+---
+
+*Aktenzeichen: TI-KI-2026-008. Erstellt von Dr. Falk Roosendaal, Marcus Petersen, Annegret Kühnhausen. Stand: März 2026.*
@@ -0,0 +1,94 @@
+# Vorstandsbeschluss — KI-Governance-Programm TI-KI-2026
+
+**Aktenzeichen:** TI-KI-2026-007 (Unterlage zum Vorstandsbeschluss)
+**Datum:** 15. Oktober 2025
+**Gremium:** Vorstand der Thalheim Industries SE
+**Beschlussnummer:** VS-2025-087
+**Protokollführerin:** Claudia Berger-Hentschel, Vorstandsassistenz
+
+---
+
+## Anwesende Vorstandsmitglieder
+
+- Dr. Reinhard Thalheim-Lattermann (Vorsitzender, CEO)
+- Dr. Sigrid Wolfsbacher (CIO)
+- Marcus Petersen (CDO)
+- Annegret Kühnhausen (CCO / Chief Compliance Officer)
+- Klaus-Dieter Obermaier (CFO)
+- Prof. Dr. Karin Schirrmeister (COO)
+
+---
+
+## Gegenstand des Beschlusses
+
+Der Vorstand befasst sich mit der Umsetzung der Anforderungen aus der Verordnung (EU) 2024/1689 über künstliche Intelligenz (KI-VO) für die Thalheim Industries SE und alle Konzerngesellschaften. Die KI-VO enthält gestaffelte Anwendungsfristen (Art. 113 KI-VO); insbesondere treten die Pflichten für Hochrisiko-KI-Systeme am 02. August 2026 in Kraft. Der Vorstand sieht erheblichen Handlungsbedarf.
+
+---
+
+## Beschlossene Maßnahmen
+
+Der Vorstand beschließt einstimmig:
+
+**1. Einrichtung KI-Governance-Programm TI-KI-2026**
+
+Es wird ein konzernweites KI-Governance-Programm unter dem Kürzel **TI-KI-2026** eingerichtet. Programmlaufzeit: Oktober 2025 bis Dezember 2027. Das Programm gliedert sich in drei Phasen:
+
+- **Phase 1** (Oktober–Dezember 2025): Inventarisierung aller KI-Systeme, Risikoklassifikation, Gap-Analyse.
+- **Phase 2** (Januar–Dezember 2026): Konformitätsherstellung für Hochrisiko-Systeme, DPIA, Betriebsvereinbarung, AI-Literacy-Schulung.
+- **Phase 3** (Januar–Dezember 2027): Konsolidierung, Audit-Readiness, Governance-Optimierung.
+
+**2. Ernennung KI-Komitee-Vorsitz**
+
+Dr. Falk Roosendaal (Leiter Governance & Risk) wird zum Vorsitzenden des neu einzurichtenden KI-Komitees ernannt. Das KI-Komitee tagt quartalsweise und berichtet an den Vorstand. Erste Sitzung: 15. Januar 2026.
+
+**3. Externe Rechtsberatung**
+
+Kanzlei Borchmann Compliance (Frankfurt) wird mandatiert, die KI-VO-Implementierung zu begleiten und Stellungnahmen gegenüber Behörden (BaFin, LfDI BW) zu koordinieren. Budget: bis zu 280.000 EUR für die Programmlaufzeit.
+
+**4. Externe Prüfung / Auditor**
+
+Die Wirtschaftsprüfungsgesellschaft Hagedorn & Partner wird mandatiert, die Konformitätsbewertung für RecruitAI und CreditVision Score nach Art. 43 Abs. 2 KI-VO zu begleiten. Erster Prüfbericht bis 31. März 2026.
+
+**5. Budget**
+
+Das Programm-Gesamtbudget für Phase 1 und 2 beträgt 1.450.000 EUR (inkl. Personalaufwand intern, externe Beratung, Technologie-Anpassungen, Schulungen). Detaillierter Budgetplan in Aktenstück 21.
+
+**6. Erklärung zur Vorstandshaftung**
+
+Der Vorstand ist sich bewusst, dass eine Verletzung der Betreiberpflichten nach der KI-VO zu Bußgeldern von bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes führen kann (Art. 99 KI-VO). Die Vorstandsmitglieder sind nach § 93 Abs. 1 AktG (https://dejure.org/gesetze/AktG/93.html) verpflichtet, die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Der Vorstand erklärt, das Programm TI-KI-2026 als prioritär einzustufen.
+
+**7. Berichterstattung an Aufsichtsrat**
+
+Der CCO erstattet dem Aufsichtsrat quartalsweise Bericht über den Programmfortschritt. Erster Aufsichtsratsbericht: Q1 2026 (März 2026), dokumentiert in Aktenstück 12.
+
+**8. Betriebsrat**
+
+Der Vorstand beauftragt die CCO, unverzüglich Verhandlungen mit dem Betriebsrat über eine Betriebsvereinbarung KI aufzunehmen, um die Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG (https://dejure.org/gesetze/BetrVG/87.html) zu wahren und einen geordneten Rollout der Hochrisiko-Systeme zu ermöglichen.
+
+---
+
+## Votum
+
+| Vorstandsmitglied | Position | Votum |
+|---|---|---|
+| Dr. Thalheim-Lattermann | CEO | Ja |
+| Dr. Wolfsbacher | CIO | Ja |
+| Marcus Petersen | CDO | Ja |
+| Annegret Kühnhausen | CCO | Ja |
+| Klaus-Dieter Obermaier | CFO | Ja (mit Vorbehalt Budgetprüfung Q1 2026) |
+| Prof. Dr. Schirrmeister | COO | Ja |
+
+Beschluss einstimmig angenommen. CFO-Vorbehalt zu Protokoll.
+
+---
+
+## Anlagen zum Beschluss
+
+1. Präsentation CIO/CCO: „KI-VO — Handlungsbedarf Thalheim Industries SE" (18 Folien, intern)
+2. Übersicht KI-Systeme Thalheim (Vorab-Inventar, Stand Oktober 2025, 7 Seiten)
+3. Angebot Kanzlei Borchmann Compliance (vertraulich)
+4. Angebot Hagedorn & Partner (vertraulich)
+
+---
+
+*Beschluss-Nr. VS-2025-087. Protokoll genehmigt vom Vorstand am 29. Oktober 2025. Aufbewahrungs-AZ: TI-KI-2026-007.*
@@ -0,0 +1,114 @@
+# Pflichtenmatrix — Betreiberpflichten nach Art. 9 ff. KI-VO je Fachbereich
+
+**Aktenzeichen:** TI-KI-2026-009
+**Dokumentversion:** 1.2
+**Erstellungsdatum:** 20. Januar 2026
+**Verfasser:** Annegret Kühnhausen (CCO); Dr. Falk Roosendaal
+**Stand:** März 2026
+
+---
+
+## 1. Einleitung
+
+Diese Pflichtenmatrix weist die Betreiberpflichten (Deployer-Pflichten) nach Art. 9 ff. KI-VO sowie Art. 26 KI-VO für die Hochrisiko-KI-Systeme der Thalheim Industries SE den verantwortlichen Fachbereichen zu. Die Matrix dient als Arbeitsgrundlage für die Konformitätsherstellung bis 02.08.2026.
+
+**Rechtsgrundlagen (Auszug):**
+- Art. 9 KI-VO — Risikomanagementsystem: https://dejure.org/gesetze/KIVO/9.html
+- Art. 26 KI-VO — Pflichten von Betreibern: https://dejure.org/gesetze/KIVO/26.html
+- Art. 35 DSGVO — Datenschutz-Folgenabschätzung: https://dejure.org/gesetze/DSGVO/35.html
+
+**Fokus:** RecruitAI (Hochrisiko, Anh. III Nr. 4a) und CreditVision Score (Hochrisiko, Anh. III Nr. 5b). Für PredictMaint, CodeAssist und ServiceBot gelten vereinfachte Anforderungen (vgl. Abschnitt 5).
+
+---
+
+## 2. Pflichtenkatalog Hochrisiko-Systeme
+
+### 2.1 Pflichtensteckbrief RecruitAI
+
+**System:** RecruitAI — Recruiting-Screening-Tool
+**Vendor:** Synaptec Analytics GmbH
+**Betreiber (Deployer):** Thalheim Industries SE, Fachbereich HR
+**Interne Systemverantwortliche:** Barbara Trenkmann (Leiterin HR-Systeme)
+
+| Art. KI-VO | Pflicht | Verantwortlich | Frist | Status (März 2026) |
+|---|---|---|---|---|
+| Art. 9 | Risikomanagementsystem dokumentieren und aufrechterhalten | HR / Compliance | 02.06.2026 | In Bearbeitung |
+| Art. 9 Abs. 7 | Bias-Tests durchführen (Diskriminierung, Fairness) | HR / IT / Audit | 02.06.2026 | **Offen — Mangel festgestellt** |
+| Art. 10 | Daten-Governance prüfen (Trainings- u. Testdaten) | CDO / HR | 30.04.2026 | Teilweise erledigt |
+| Art. 11 | Technische Dokumentation vollständig? (Vendor-Dokument) | CIO / Vendor | 30.04.2026 | Synaptec-Unterlagen angefordert |
+| Art. 12 | Protokollierungspflicht aktiviert | IT / CIO | 31.03.2026 | Umgesetzt |
+| Art. 13 | Gebrauchsanweisung vorhanden und verständlich? | HR | 30.04.2026 | Vorhanden (DE-Version Synaptec) |
+| Art. 14 | Menschliche Aufsicht implementiert (technisch + organisatorisch) | HR / IT | 30.06.2026 | Konzept in Erarbeitung |
+| Art. 14 Abs. 4 | HR-Entscheider kann System abschalten / überstimmen | HR | 30.06.2026 | Technisch möglich, SOP fehlt |
+| Art. 15 | Genauigkeit, Robustheit und Cybersicherheit testen | IT-Security / CIO | 30.06.2026 | Pentest ausstehend |
+| Art. 26 Abs. 4 | Betreiber informiert Behörden bei Vorfällen (Art. 73 KI-VO) | CCO | Laufend | Prozess definiert |
+| Art. 26 Abs. 7 | Betreiber meldet Konformitätsmängel an Marktüberwachung | CCO | Laufend | Keine Meldepflicht aktuell |
+| Art. 35 DSGVO | DPIA durchgeführt und vorliegend | DSB Dr. Eichenmüller | 30.06.2026 | In Erarbeitung |
+| Art. 22 DSGVO | Automatisierte Entscheidung: Recht auf Erklärung umgesetzt | HR / DSB | 30.06.2026 | Kandidatenmitteilung angepasst |
+| § 87 BetrVG | Mitbestimmung: Betriebsvereinbarung abgeschlossen? | CCO / Betriebsrat | Vor Rollout | **Offen — BR blockiert** |
+
+---
+
+### 2.2 Pflichtensteckbrief CreditVision Score
+
+**System:** CreditVision Score — Kreditscoring-Modul
+**Vendor:** CreditVision AG
+**Betreiber (Deployer):** Thalheim Industries SE, Fachbereich Finanzierung / Vertrieb
+**Interne Systemverantwortliche:** Rolf Haselmann (Leiter Kundenfinanzierung)
+
+| Art. KI-VO | Pflicht | Verantwortlich | Frist | Status (März 2026) |
+|---|---|---|---|---|
+| Art. 9 | Risikomanagementsystem | Finanzierung / Compliance | 02.06.2026 | Entwurf CreditVision erhalten |
+| Art. 9 Abs. 7 | Bias-Tests Kreditvergabe | Finanzierung / CDO | 02.06.2026 | CreditVision-Auskunft ausstehend |
+| Art. 10 | Daten-Governance: Kunden-Trainingsdaten geprüft? | CDO | 30.04.2026 | Nein — in Prüfung |
+| Art. 11 | Technische Dokumentation (Vendor) | Finanzierung / CIO | 30.04.2026 | Unterlagen CreditVision unvollständig |
+| Art. 12 | Protokollierung aktiviert | IT | 31.03.2026 | Umgesetzt |
+| Art. 13 | Gebrauchsanweisung | Finanzierung | 30.04.2026 | Vorhanden |
+| Art. 14 | Menschliche Aufsicht: Kreditentscheider hat Letztentscheid | Finanzierung | 30.06.2026 | Ja, prozessual verankert |
+| Art. 22 DSGVO | Automatisierte Einzelentscheidung: Widerspruchsrecht informiert | Finanzierung / DSB | Sofort | Datenschutzhinweis aktualisiert |
+| Art. 43 Abs. 2 | Interne Konformitätsbewertung (durch Auditor begleitet) | CCO / Hagedorn | 31.07.2026 | Audit geplant Mai 2026 |
+| BaFin GZ BJ 24-K | Stellungnahme an BaFin | CCO / Borchmann | 15.05.2026 | In Vorbereitung |
+| § 87 BetrVG | Mitbestimmung | CCO / Betriebsrat | Vor Rollout | **Offen — BR blockiert** |
+
+---
+
+## 3. Fachbereichsverantwortlichkeiten
+
+| Fachbereich | KI-System(e) | Ansprechpartner | Kernpflicht bis 02.08.2026 |
+|---|---|---|---|
+| HR / Personal | RecruitAI | Barbara Trenkmann | Art. 14 Aufsicht; Art. 9 Bias-Tests |
+| Kundenfinanzierung | CreditVision Score | Rolf Haselmann | Art. 14 Aufsicht; Art. 22 DSGVO |
+| IT / Digital | PredictMaint, CodeAssist, ServiceBot | Marcus Petersen (CDO) | Transparenzpflichten Art. 50 |
+| Compliance | Alle | Annegret Kühnhausen | Koordination, Behördenkontakt |
+| Datenschutz | RecruitAI (DPIA) | Dr. Carla Eichenmüller | Art. 35 DSGVO bis 30.06.2026 |
+| Revision | Alle | Franz-Josef Brammer | Interne Kontrolle, Schatten-KI |
+
+---
+
+## 4. Eskalationsmatrix
+
+| Risiko | Auslöser | Eskalationspfad | Frist |
+|---|---|---|---|
+| Bias-Test-Mangel RecruitAI | Feststellung Auditor Hagedorn | CCO → CIO → CEO | Sofort (eskaliert am 28.02.2026) |
+| BaFin-Anfrage CreditVision | Eingang 10.03.2026 | CCO → CFO → CEO, extern Borchmann | 15.05.2026 |
+| BR-Blockade Rollout | BR-Schreiben 05.01.2026 | CCO → CEO → Einigung oder LAG | Dringend |
+| OpenAI-Doku fehlt | CDO-Meldung 15.02.2026 | CDO → CCO → Vendor-Eskalation | 30.04.2026 |
+| DPIA nicht fristgerecht | LfDI-Aufforderung 02.03.2026 | DSB → CCO → CEO | 30.06.2026 |
+
+---
+
+## 5. Pflichten begrenztes Risiko (ServiceBot, PredictMaint, CodeAssist)
+
+Für Systeme mit begrenztem Risiko gelten folgende Mindestanforderungen:
+
+| Anforderung | Grundlage | Status |
+|---|---|---|
+| Eintrag KI-Inventar | Interne Leitlinie | Erledigt |
+| Transparenz-Hinweis (ServiceBot) | Art. 50 Abs. 1 KI-VO | Umgesetzt seit 01.02.2025 |
+| Kennzeichnung KI-Inhalte (CodeAssist) | Art. 50 Abs. 2 KI-VO | Prüfung läuft |
+| Datenschutzprüfung | DSB-Empfehlung | Erledigt |
+| Jährliche Überprüfung | Interne Leitlinie | Geplant Q4 2026 |
+
+---
+
+*Aktenzeichen: TI-KI-2026-009. Verfasser: A. Kühnhausen, Dr. F. Roosendaal. Stand: März 2026.*
@@ -0,0 +1,128 @@
+# AI-Literacy-Curriculum und Schulungsplan — Art. 4 KI-VO
+
+**Aktenzeichen:** TI-KI-2026-010
+**Dokumentversion:** 1.3
+**Erstellungsdatum:** 15. November 2025
+**Verfasser:** Dr. Falk Roosendaal; Petra Schöneberger (Leiterin Personalentwicklung)
+**Zielgruppe:** Alle Mitarbeiterinnen und Mitarbeiter der Thalheim Industries SE
+
+---
+
+## 1. Rechtsgrundlage und Zielsetzung
+
+Art. 4 der Verordnung (EU) 2024/1689 (KI-VO) (https://dejure.org/gesetze/KIVO/4.html) verpflichtet Anbieter und Betreiber von KI-Systemen, dafür zu sorgen, dass ihr Personal und alle anderen Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ausreichende KI-Kompetenz verfügen, wobei technische Kenntnisse, Erfahrung, Ausbildung und Schulung sowie der Kontext berücksichtigt werden, in dem die KI-Systeme eingesetzt werden sollen.
+
+Die Pflicht nach Art. 4 KI-VO gilt für Thalheim Industries SE als Betreiber (Deployer) aller fünf klassifizierten KI-Systeme. Sie ist spätestens ab 02.08.2025 anwendbar (Art. 113 Abs. 2 KI-VO).
+
+**Ziele des Schulungsprogramms:**
+1. Sicherstellen, dass alle Mitarbeiterinnen und Mitarbeiter die grundlegenden Funktionsweisen, Risiken und Rechte im Zusammenhang mit KI verstehen.
+2. Schaffen zielgruppenspezifischer Vertiefungskenntnisse für Nutzer von Hochrisiko-Systemen.
+3. Befähigung zur Wahrnehmung menschlicher Aufsicht über KI-Systeme (Art. 14 KI-VO).
+4. Sensibilisierung für Hinweisgeberpflichten bei Anomalien oder Missbrauch.
+
+---
+
+## 2. Schulungsmatrix und Zielgruppen
+
+| Zielgruppe | Modul | Dauer | Format | Frist |
+|---|---|---|---|---|
+| Alle Mitarbeitenden | Modul A: KI-Grundlagen & Rechte | 90 Min. | E-Learning | 31.10.2026 |
+| Führungskräfte | Modul B: KI-Governance & Compliance | 180 Min. | Hybrid (Präsenz + E-Learning) | 31.07.2026 |
+| HR-Fachbereich | Modul C: RecruitAI — Hochrisiko & Bias | 240 Min. | Präsenz-Workshop | 31.05.2026 |
+| Finanzierung/Vertrieb | Modul D: CreditVision Score — KI-VO & DSGVO | 240 Min. | Präsenz-Workshop | 31.05.2026 |
+| IT / CDO-Bereich | Modul E: KI-Sicherheit, Protokollierung, Cybersecurity | 120 Min. | E-Learning + Lab | 30.06.2026 |
+| Compliance/Recht | Modul F: KI-VO Vertiefung für Compliance-Verantwortliche | 360 Min. | Präsenz-Seminar extern | 30.04.2026 |
+| Betriebsrat | Modul G: Mitbestimmung und KI (§ 87 BetrVG) | 120 Min. | Externe Schulung | 30.04.2026 |
+| Revision / Audit | Modul H: KI-Audit-Methodik | 240 Min. | Externes Seminar | 30.06.2026 |
+
+---
+
+## 3. Modulinhalte (Auszug)
+
+### Modul A — KI-Grundlagen & Rechte (Pflichtmodul für alle)
+
+**Lernziele:**
+- Was ist ein KI-System? (Art. 3 Nr. 1 KI-VO)
+- Welche KI-Systeme setzt Thalheim ein und warum?
+- Rechte betroffener Personen (Erklärung, Widerspruch, Art. 22 DSGVO)
+- Verbotene KI-Praktiken nach Art. 5 KI-VO
+- Meldewege bei Verdacht auf Missbrauch (Hinweisgeberschutz)
+- Was ist Schatten-KI und warum ist sie problematisch?
+
+**Inhalte (Kurzübersicht):**
+1. Geschichte und Grundprinzipien der KI (15 Min.)
+2. Überblick KI-Systeme bei Thalheim (10 Min.)
+3. KI-Verordnung — Warum reguliert die EU? (20 Min.)
+4. Ihre Rechte als betroffene Person (15 Min.)
+5. Ihre Pflichten als Nutzer von KI-Systemen (15 Min.)
+6. Quiz und Zertifizierung (15 Min.)
+
+---
+
+### Modul C — RecruitAI: Hochrisiko und Bias (HR-Fachbereich)
+
+**Zielgruppe:** HR-Business-Partner, Recruiterinnen und Recruiter, HR-Systemverantwortliche
+
+**Lernziele:**
+- Warum ist RecruitAI ein Hochrisiko-System (Anhang III Nr. 4a KI-VO)?
+- Was bedeutet menschliche Aufsicht in der Praxis? (Art. 14 KI-VO)
+- Bias-Erkennung: Wie entstehen Verzerrungen und wie erkenne ich sie?
+- Recht auf Erklärung für Bewerber (Art. 22 DSGVO, DSGVO-Informationspflichten)
+- SOP: Wann und wie überstimme ich das System?
+- Dokumentationspflichten: Protokollierung von Override-Entscheidungen
+
+**Praxisübung:**
+Fallstudie: RecruitAI bewertet eine Bewerberin mit niedrigem Score. Wie gehe ich vor? Rollenspiel zwischen HR-Partner und Kandidatin.
+
+---
+
+### Modul D — CreditVision Score: KI-VO und DSGVO (Finanzierung/Vertrieb)
+
+**Zielgruppe:** Kreditentscheider, Key Account Manager, Fachleiter Finanzierung
+
+**Lernziele:**
+- Hochrisiko-Klassifikation CreditVision Score (Anh. III Nr. 5b KI-VO)
+- Art. 22 DSGVO: Wann liegt eine automatisierte Einzelentscheidung vor?
+- Widerspruchsrecht des Kunden: wie kommunizieren, wie dokumentieren?
+- Menschliche Aufsicht: Der Letztentscheid liegt beim Kundenbetreuer
+- BaFin-Anfrage: Was bedeutet das für den Vertrieb?
+
+---
+
+## 4. Umsetzungsstand (März 2026)
+
+| Modul | Berechtigte Personen | Abgeschlossen | Prozentsatz |
+|---|---|---|---|
+| Modul A (Grundlagen) | 12.000 | 4.560 | 38 % |
+| Modul B (Führungskräfte) | 480 | 210 | 44 % |
+| Modul C (HR/RecruitAI) | 85 | 31 | 36 % |
+| Modul D (Finanzierung) | 120 | 48 | 40 % |
+| Modul E (IT) | 340 | 198 | 58 % |
+| Modul F (Compliance) | 18 | 14 | 78 % |
+| Modul G (Betriebsrat) | 35 | 0 | 0 % |
+| Modul H (Revision) | 12 | 0 | 0 % |
+
+**Bewertung:** Der Umsetzungsstand ist kritisch. Im Bereich HR (Modul C) und Finanzierung (Modul D) — also genau den Fachbereichen mit Hochrisiko-Systemen — liegt die Abschlussquote unter 40 %. Modul G (Betriebsrat) wurde noch nicht gestartet, da die Schulung im Zusammenhang mit den laufenden Betriebsvereinbarungsverhandlungen steht.
+
+---
+
+## 5. Maßnahmenplan zur Schließung des Schulungsrückstands
+
+| Maßnahme | Verantwortlich | Frist | Erwartete Wirkung |
+|---|---|---|---|
+| Pflichtabschluss Modul A für alle (Erinnerungskampagne, Vorgesetzte eingebunden) | Personalentwicklung | 30.06.2026 | +45 %-Punkte |
+| Präsenz-Workshops Modul C (3 Termine à 30 Teilnehmer) | HR / Dr. Roosendaal | 31.05.2026 | HR-Quote auf 100 % |
+| Präsenz-Workshops Modul D (2 Termine) | Finanzierung / CCO | 31.05.2026 | Finanzierungs-Quote auf 100 % |
+| Modul G: BR-Schulung nach Abschluss BV-Verhandlungen | CCO / Betriebsrat | 31.07.2026 | BR informiert und zertifiziert |
+| Nachweis-Tracking im LMS (Lernmanagementsystem) | IT / PE | Laufend | Lückenlose Dokumentation |
+| Eskalation bei Nicht-Abschluss an direkte Führungskraft | PE / Vorstand | Ab 01.05.2026 | Steigerung Abschlussrate |
+
+---
+
+## 6. Dokumentation und Nachweis
+
+Die Schulungsabschlüsse werden im unternehmensinternen Lernmanagementsystem (LMS) TalentHub dokumentiert. Zertifikate werden automatisch ausgestellt. Die Compliance-Abteilung kann jederzeit aggregierte Nachweise je Fachbereich und System abrufen. Bei behördlichen Anfragen (BaFin, LfDI BW) können entsprechende Nachweise innerhalb von 72 Stunden bereitgestellt werden.
+
+---
+
+*Aktenzeichen: TI-KI-2026-010. Verfasser: Dr. F. Roosendaal, P. Schöneberger. Stand: März 2026.*
@@ -0,0 +1,101 @@
+# Vendor Due Diligence — OpenAI Ireland Ltd. / CodeAssist
+
+**Aktenzeichen:** TI-KI-2026-011
+**Dokumentversion:** 1.1
+**Erstellungsdatum:** 05. Februar 2026
+**Verfasser:** Marcus Petersen (CDO); Annegret Kühnhausen (CCO)
+**Status:** Offene Punkte; Nachforderung an OpenAI Ireland Ltd. verschickt 15.02.2026
+
+---
+
+## 1. Hintergrund
+
+Thalheim Industries SE setzt im Bereich Software-Entwicklung das Tool **CodeAssist** ein, das auf dem Sprachmodell GPT-4o von OpenAI Ireland Ltd. basiert. Der Vertrag besteht seit Juli 2024 (Enterprise-Lizenz, Vertragsnummer OAI-ENT-2024-TI-0892). CodeAssist ist im KI-Inventar als System mit begrenztem Risiko (GPAI-Modell, Art. 51 ff. KI-VO) klassifiziert.
+
+Als Betreiber (Deployer) nach Art. 3 Nr. 4 KI-VO ist Thalheim Industries SE verpflichtet, sicherzustellen, dass das eingesetzte KI-System den Anforderungen der KI-VO entspricht. OpenAI Ireland Ltd. ist als Anbieter (Provider) des Basismodells nach Art. 53 KI-VO verpflichtet, folgende Pflichten zu erfüllen:
+- Erstellung und Pflege technischer Dokumentation (Art. 53 Abs. 1 lit. a KI-VO);
+- Einhaltung geltenden Urheberrechts (Art. 53 Abs. 1 lit. c KI-VO);
+- Bereitstellung einer Zusammenfassung der Trainingsdaten (Art. 53 Abs. 1 lit. d KI-VO);
+- Für Systeme mit systemischem Risiko: Meldepflichten, Adversarial Tests (Art. 55 KI-VO).
+
+---
+
+## 2. Prüfgegenstand
+
+Im Rahmen der Due Diligence wurden folgende Themenbereiche untersucht:
+
+| Prüfbereich | Prüffrage | Ergebnis |
+|---|---|---|
+| Technische Dokumentation (Art. 11 / Art. 53 KI-VO) | Vollständige technische Dok. für CodeAssist vorgelegt? | **Nicht vollständig** |
+| Datenschutz / Auftragsverarbeitung | AVV (DSGVO Art. 28) abgeschlossen? | Ja — OAI-DPA-2024-TI |
+| Drittlandübermittlung | Verarbeitung in der EU sichergestellt (EEA-Verarbeitungsoption)? | Ja (EU-Data-Residency aktiv) |
+| Nutzungsbedingungen / AUP | Entspricht Nutzung den OpenAI-Acceptable-Use-Policies? | Ja — geprüft |
+| Incident Response | OpenAI-Sicherheitsvorfallmeldungen an Thalheim klar geregelt? | Teilweise — SLA unklar |
+| KI-VO-Compliance-Seite OpenAI | Liegt produktspezifische EU-AI-Act-Konformitätserklärung vor? | **Nicht produktspezifisch** |
+| Urheberrecht / IP | Code-Output-IP-Regelung vertraglich klar? | Ja — Vertrag §§ 6–8 |
+| Cybersicherheit | SOC 2 Type II vorliegend? | Ja (aktuell, gültig bis 11/2026) |
+
+---
+
+## 3. Festgestellte Mängel
+
+### Mangel 1 — Fehlende produktspezifische technische Dokumentation
+
+OpenAI hat auf Thalheims Anfrage (Schreiben CDO Petersen, 20.01.2026) lediglich auf die allgemeine EU-AI-Act-Compliance-Seite (https://openai.com/eu-ai-act) verwiesen. Diese enthält keine produktspezifischen Informationen zu CodeAssist als Deployment-Szenario für Thalheim. Insbesondere fehlen:
+
+- Angaben zu den Trainings- und Testdaten-Parametern (Art. 53 Abs. 1 lit. d KI-VO);
+- Dokumentation der implementierten Sicherheitsmechanismen;
+- Angaben zu bekannten Schwächen des Modells (Known Limitations, Bias-Disclosure).
+
+Die Anforderungen nach Art. 53 Abs. 1 lit. a und d KI-VO sind für Anbieter von Allzweck-KI-Modellen (GPAI-Modelle) verbindlich. OpenAI Ireland Ltd. ist als Anbieter des GPT-4o-Modells ein GPAI-Modell-Anbieter im Sinne von Art. 3 Nr. 63 KI-VO. Die Tatsache, dass ein generischer Compliance-Link bereitgestellt wird, genügt den Anforderungen nicht.
+
+**Bewertung:** Kritischer Mangel. Nachforderung erforderlich.
+
+### Mangel 2 — Unklare SLA für Security-Incident-Meldungen
+
+Der bestehende Vertrag (OAI-ENT-2024-TI-0892, Section 9) enthält keine spezifischen SLA-Klauseln zu den Fristen für Sicherheitsvorfallmeldungen, die KI-spezifische Risiken betreffen. Nach Art. 73 KI-VO sind Betreiber verpflichtet, schwerwiegende Vorfälle innerhalb von 15 Tagen (bei Todesfällen: sofort) an die nationale Marktüberwachungsbehörde zu melden. Dazu muss der Vendor unverzüglich informieren.
+
+**Bewertung:** Mittlerer Mangel. Vertragsergänzung erforderlich.
+
+---
+
+## 4. Nachforderungsschreiben (zusammengefasst)
+
+Mit Schreiben vom 15. Februar 2026 (CDO Petersen, Ref. TI-CDO-2026-0041) hat Thalheim OpenAI Ireland Ltd. folgende Unterlagen angefordert:
+
+1. Produktspezifische technische Dokumentation für den Einsatz von GPT-4o in CodeAssist-Deployment-Szenarios nach Art. 53 KI-VO;
+2. Zusammenfassung der Trainingsdatenbasis des eingesetzten Modells;
+3. Disclosure bekannter Schwächen (Halluzinierungsrate, Bias-Kategorie);
+4. Ergänzende Vereinbarung zu Sicherheitsvorfallmeldungen (Incident Notification SLA max. 24 h);
+5. Klarstellung, ob GPT-4o als GPAI-Modell mit systemischem Risiko eingestuft ist (Art. 51 KI-VO).
+
+**Antwortfrist:** 30. April 2026.
+
+---
+
+## 5. Handlungsempfehlungen
+
+| Empfehlung | Priorität | Frist |
+|---|---|---|
+| Eskalation bei OpenAI auf Enterprise-Account-Manager-Ebene | Hoch | Sofort |
+| Prüfung alternativer Vendor-Optionen für KI-Coding-Assistent (z. B. GitHub Copilot, Anthropic Claude) | Mittel | 30.06.2026 |
+| Vertragsergänzung: Incident Notification SLA, EU-AI-Act-Klausel | Hoch | 30.04.2026 |
+| Interne Nutzungsrichtlinie CodeAssist aktualisieren: keine personenbezogenen Daten, keine geheimen Informationen in Prompts | Hoch | 28.02.2026 ✓ (erledigt) |
+| AI Literacy Schulung IT-Personal (Modul E) priorisieren | Mittel | 30.06.2026 |
+
+---
+
+## 6. Vendor-Risikobewertung (Gesamt)
+
+| Kriterium | Bewertung | Begründung |
+|---|---|---|
+| Datenschutz-Compliance | Gut | AVV vorhanden, EEA-Residency aktiv |
+| KI-VO-Dokumentation | **Unzureichend** | Keine produktspezifische Doku |
+| Finanzielle Stabilität | Sehr gut | OpenAI valide Marktkapitalisierung |
+| Vertragliche KI-VO-Klauseln | Ausbaubar | Nachverhandlung erforderlich |
+| Cybersicherheit | Gut | SOC 2 Type II aktuell |
+| **Gesamtrisiko** | **Mittel** | Doku-Mangel behebbar, aber fristkritisch |
+
+---
+
+*Aktenzeichen: TI-KI-2026-011. Verfasser: M. Petersen, A. Kühnhausen. Stand: März 2026.*
@@ -0,0 +1,96 @@
+# Datenschutz-Folgenabschätzung (DPIA) — RecruitAI
+
+**Aktenzeichen intern:** TI-KI-2026-012
+**Behördliches AZ:** LfDI BW AZ 1-1085.51/2026/045
+**Dokumentversion:** 0.8 (Entwurf, nicht freigegeben)
+**Erstellungsdatum:** 10. März 2026
+**Verfasserin:** Dr. Carla Eichenmüller, Datenschutzbeauftragte Thalheim Industries SE
+**Mitarbeit:** Barbara Trenkmann (HR-Systemverantwortliche); Marcus Petersen (CDO)
+**Vorlage-Frist:** 30. Juni 2026 (gemäß LfDI BW Schreiben 02.03.2026)
+
+---
+
+## 1. Einleitung und Rechtsgrundlage
+
+Die Thalheim Industries SE ist gemäß Art. 35 Abs. 1 und Abs. 3 DSGVO (https://dejure.org/gesetze/DSGVO/35.html) verpflichtet, für die Verarbeitung personenbezogener Daten mittels des KI-Systems **RecruitAI** (Vendor: Synaptec Analytics GmbH) eine Datenschutz-Folgenabschätzung (DPIA) durchzuführen.
+
+Die DPIA-Pflicht ergibt sich aus:
+- Art. 35 Abs. 3 lit. a DSGVO: Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen durch automatisierte Verarbeitung einschließlich Profiling mit erheblichen Folgen für die betroffene Person → Bewerber-Ranking mit Einstellungsrelevanz.
+- Art. 35 Abs. 3 lit. b DSGVO: Umfangreiche Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO) — nicht ausgeschlossen (Rückschlüsse auf Herkunft, Geschlecht aus Lebensläufen).
+- LfDI BW Positivliste: Automatisierte Entscheidungsunterstützung im Recruiting ausdrücklich aufgeführt.
+- KI-VO-Synergiegebot: Art. 9 KI-VO und Art. 35 DSGVO sollen koordiniert angewendet werden (Erwägungsgrund 159 KI-VO).
+
+Das Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) hat mit Schreiben vom 02.03.2026 (AZ 1-1085.51/2026/045) die Vorlage der vollständigen DPIA bis 30.06.2026 angefordert.
+
+---
+
+## 2. Systembeschreibung
+
+| Merkmal | Inhalt |
+|---|---|
+| Systemname | RecruitAI |
+| Anbieter | Synaptec Analytics GmbH, Leopoldstraße 18, 80802 München |
+| Einsatz seit | 01. September 2024 |
+| Einsatzzweck | Automatisiertes Screening und Ranking von Bewerbungsunterlagen für alle Stellenausschreibungen der Thalheim Industries SE |
+| Datenkategorien | Name, Vorname, Kontaktdaten, Lebenslauf, Zeugnisse, Foto (falls beigefügt), Anschreiben, LinkedIn-Profil (optionale Verknüpfung) |
+| Betroffene Personen | Bewerberinnen und Bewerber (extern), durchschnittlich 4.500 Bewerbungen p.a. |
+| Entscheidungstiefe | Ranking-Score 0–100; Schwelle 65 für automatische Weiterleitung; unter 40 automatische Ablehnung möglich (Override durch HR vorgesehen) |
+| Datenspeicherung | Synaptec-Server (EU, Frankfurt a.M.); Aufbewahrung: 6 Monate nach Abschluss Stellenbesetzung |
+| Schnittstellen | SAP SuccessFactors (ATS), Outlook (Kommunikation), Active Directory |
+
+---
+
+## 3. Beschreibung des Verarbeitungsvorgangs
+
+**Verarbeitungsschritte:**
+
+1. Eingang der Bewerbungsunterlagen über das Thalheim-Karriereportal oder E-Mail.
+2. Automatische Extraktion strukturierter Daten (CV-Parsing): Berufserfahrung, Ausbildung, Skills, Sprachkenntnisse.
+3. Scoring durch das RecruitAI-Modell: Vergleich der Kandidatenprofil-Vektoren mit einem Job-Requirement-Profil (erstellt durch HR-Business-Partner).
+4. Ranking-Ergebnis: Score-Liste aller Kandidaten für die Stelle.
+5. HR-Business-Partner sieht Ranking, kann manuell überstimmen (Override), gibt Bewerbungen in die nächste Runde.
+6. Kandidaten unter Schwelle 40: automatische Ablehnungsmail — **kritischer Punkt für Art. 22 DSGVO**.
+
+---
+
+## 4. Notwendigkeit und Verhältnismäßigkeit
+
+**Zweck:** Effiziente Bewältigung hoher Bewerbungsvolumina (4.500 p.a.) bei gleichzeitiger Sicherung einheitlicher Qualitätsstandards.
+
+**Verhältnismäßigkeit:** Das System ist grundsätzlich geeignet und erforderlich. Kritisch ist jedoch die automatische Ablehnung unterhalb der Schwelle 40, die einen Fall von Art. 22 Abs. 1 DSGVO (https://dejure.org/gesetze/DSGVO/22.html) darstellen kann, wenn kein HR-Mensch aktiv eingreift. Synaptec behauptet, dass jede Ablehnungsentscheidung technisch von HR bestätigt werden muss — dies ist jedoch in der Praxis nicht vollständig implementiert (Feststellung Hagedorn-Audit, 28.02.2026).
+
+---
+
+## 5. Risikoidentifikation und -bewertung
+
+| Risiko | Wahrscheinlichkeit | Schwere | Risikostufe | Maßnahme |
+|---|---|---|---|---|
+| Bias / Diskriminierung (Geschlecht, Herkunft) | Mittel | Hoch | **Hoch** | Bias-Tests erforderlich (fehlen derzeit) |
+| Automatische Ablehnung ohne menschliche Kontrolle | Mittel | Hoch | **Hoch** | SOP und technische Sperre erforderlich |
+| Fehlende Transparenz gegenüber Bewerbern | Hoch | Mittel | **Hoch** | Datenschutzhinweis aktualisieren |
+| Datenpanne (Synaptec-Server) | Niedrig | Hoch | Mittel | AVV, Pen-Test, ISO 27001 Synaptec |
+| Profilbildung / Scope Creep | Niedrig | Mittel | Niedrig | Datenminimierungspflicht vertraglich |
+| Rückschlüsse auf Sonderkategorien (Art. 9 DSGVO) | Mittel | Sehr hoch | **Hoch** | Filterung besonderer Kategorien technisch |
+
+---
+
+## 6. Konsultation des Datenschutzbeauftragten
+
+Dr. Eichenmüller wurde als Datenschutzbeauftragte gemäß Art. 35 Abs. 2 DSGVO bereits zu Beginn der DPIA eingebunden. Sie hat die Risikoidentifikation begleitet und empfiehlt die vollständige Implementierung aller Maßnahmen aus Abschnitt 5, bevor RecruitAI im Vollbetrieb verbleibt. Sie empfiehlt außerdem, eine Konsultation des LfDI BW nach Art. 36 DSGVO zu prüfen, falls die Risiken nicht vollständig eingedämmt werden können (Bias-Tests ausstehend).
+
+---
+
+## 7. Offene Punkte (Stand: März 2026)
+
+| Offener Punkt | Verantwortlich | Frist |
+|---|---|---|
+| Bias-Tests Synaptec — Durchführung und Dokumentation | Synaptec / CIO Wolfsbacher | 30.05.2026 |
+| Technische Sperre: keine Ablehnung ohne aktiven HR-Override | IT / Synaptec | 30.04.2026 |
+| Aktualisierung Datenschutzhinweis Karriereportal (Art. 13 DSGVO) | DSB / HR | 31.03.2026 |
+| Überarbeitung Kandidaten-Kommunikation: Hinweis KI-gestütztes Screening | HR / Kommunikation | 31.03.2026 |
+| Überprüfung AVV mit Synaptec (neue KI-VO-Klauseln) | DSB / Legal | 30.04.2026 |
+| Abschluss DPIA-Bericht und Einreichung LfDI BW | DSB Dr. Eichenmüller | 30.06.2026 |
+
+---
+
+*Aktenzeichen: TI-KI-2026-012. LfDI BW: AZ 1-1085.51/2026/045. Verfasserin: Dr. C. Eichenmüller. Entwurf v0.8, Stand März 2026.*
@@ -0,0 +1,141 @@
+# KI-Incident-Response-Playbook — Thalheim Industries SE
+
+**Aktenzeichen:** TI-KI-2026-013
+**Dokumentversion:** 1.0
+**Freigegeben durch:** CCO Annegret Kühnhausen; CIO Dr. Sigrid Wolfsbacher
+**Freigabedatum:** 01. März 2026
+**Geltungsbereich:** Alle KI-Systeme im KI-Inventar der Thalheim Industries SE
+
+---
+
+## 1. Zweck und Anwendungsbereich
+
+Dieses Playbook definiert den konzernweiten Prozess zur Erkennung, Klassifikation, Reaktion und Meldung von KI-bezogenen Sicherheits- und Compliance-Vorfällen (KI-Incidents). Es ergänzt das bestehende allgemeine IT-Incident-Response-Framework (IT-IRM-2024) und das Datenschutzverletzungs-Protokoll nach Art. 33/34 DSGVO.
+
+**Rechtsgrundlagen:**
+- Art. 73 KI-VO: Meldung schwerwiegender Vorfälle an Marktüberwachungsbehörde (https://dejure.org/gesetze/KIVO/73.html)
+- Art. 33 DSGVO: Meldung von Datenschutzverletzungen an Aufsichtsbehörde (https://dejure.org/gesetze/DSGVO/33.html)
+- Art. 26 Abs. 4 KI-VO: Betreiberpflicht zur Incident-Meldung
+
+---
+
+## 2. Incident-Klassifikation
+
+### Klasse 1 — Kritisch (Sofortmaßnahmen erforderlich)
+
+**Definition:** Schwerwiegender Vorfall nach Art. 3 Nr. 49 KI-VO, der eine ernsthafte Bedrohung für Gesundheit, Sicherheit oder Grundrechte darstellt oder zu einem Todesfall geführt hat oder hätte führen können.
+
+**Beispiele bei Thalheim:**
+- RecruitAI lehnt systematisch alle Bewerber einer bestimmten Nationalität ab (Diskriminierungsverdacht)
+- CreditVision Score weist nachweisbaren Bias gegen bestimmte Bevölkerungsgruppen auf
+- Datenpanne bei Synaptec: Bewerberdaten öffentlich zugänglich
+
+**Reaktionspflicht:** Sofortiger Stopp des Systems + Meldung an BNetzA (Art. 73 KI-VO) binnen 15 Tagen (Todesfall: sofort).
+
+---
+
+### Klasse 2 — Schwerwiegend (Reaktion binnen 24 Stunden)
+
+**Definition:** Fehlfunktion mit erheblichem Schaden für einzelne Personen; Compliance-Verstoß der KI-VO mit behördlichem Korrekturpotenzial.
+
+**Beispiele:**
+- RecruitAI generiert Score-Ausgaben jenseits des 0–100-Rahmens (Systemfehler)
+- CodeAssist gibt Code mit kritischen Sicherheitslücken aus, der ungeprüft in Produktion überführt wird
+- Schatten-KI in einem Fachbereich mit Personenbezug entdeckt (vgl. Strang 7)
+
+**Reaktionspflicht:** CCO + CIO informieren, System isolieren, Sachverhaltsklärung, ggf. LfDI BW.
+
+---
+
+### Klasse 3 — Moderat (Reaktion binnen 72 Stunden)
+
+**Definition:** Funktionsstörungen ohne unmittelbaren Personenschaden; Verstöße gegen interne Richtlinien.
+
+**Beispiele:**
+- Unberechtigter Zugriff auf Recruiting-Daten intern (Mitarbeiter ohne Berechtigung)
+- ServiceBot gibt falsche Produktinformationen an Kunden aus
+- PredictMaint empfiehlt Wartungsintervalle mit erheblicher Abweichung (wirtschaftlicher Schaden)
+
+**Reaktionspflicht:** CDO + IT-Security; Dokumentation; ggf. Kundenbenachrichtigung.
+
+---
+
+### Klasse 4 — Gering (Reaktion binnen 1 Woche)
+
+**Definition:** Qualitätsprobleme, Leistungsabfälle, Nutzerbeschwerden ohne Rechtsverletzung.
+
+**Beispiele:**
+- CodeAssist-Antwortqualität sinkt nach Modell-Update
+- Bewerbungsportal-Chatbot versteht Fachjargon nicht
+
+**Reaktionspflicht:** CDO, Ticketsystem, regulärer Betrieb.
+
+---
+
+## 3. Incident-Response-Prozess
+
+### Schritt 1: Erkennung und Meldung
+
+**Erkennungsquellen:**
+- Automatische Monitoring-Alarme (KI-Dashboard, CDO-Bereich)
+- Meldungen von Mitarbeitenden (Hinweisgebersystem, intern: ki-incident@thalheim.de)
+- Kundenbeschwerden (Vertrieb, Kundenservice)
+- Behördliche Anfragen (BaFin, LfDI BW)
+- Revisionsfeststellungen (interne Revision, Hagedorn & Partner)
+
+**Erstmeldung:** Jede Mitarbeiterin und jeder Mitarbeiter, der einen KI-Incident erkennt oder vermutet, ist verpflichtet, diesen unverzüglich über das interne Meldeformular (ki-incident@thalheim.de) oder mündlich an den IT-Service-Desk (intern: 4-4000) zu melden.
+
+### Schritt 2: Erstklassifikation (ICO on Duty)
+
+Der CDO oder sein Stellvertreter klassifiziert den Vorfall innerhalb von 2 Stunden nach Erstmeldung (Klasse 1–4). Bei Klasse 1 und 2: sofortige Eskalation an CCO, CIO, ggf. CEO.
+
+### Schritt 3: Sofortmaßnahmen
+
+| Klasse | Sofortmaßnahme | Verantwortlich |
+|---|---|---|
+| 1 | System stoppen; Notfallteam einberufen; Behörden informieren | CCO + CIO + CEO |
+| 2 | System isolieren; Sachverhaltsklärung; Behörden nach 24h | CCO + CIO |
+| 3 | Diagnose; ggf. System einschränken; Bericht in 72h | CDO + IT-Security |
+| 4 | Ticket; Analyse; reguläres Verfahren | CDO |
+
+### Schritt 4: Behördliche Meldepflichten
+
+| Behörde | Pflicht | Frist | Voraussetzung |
+|---|---|---|---|
+| Bundesnetzagentur (BNetzA) | Art. 73 KI-VO — schwerwiegender Vorfall | 15 Tage ab Kenntnis | Klasse-1-Vorfall Hochrisiko-System |
+| LfDI BW | Art. 33 DSGVO — Datenschutzverletzung | 72 Stunden | Datenpanne mit Risiko für Betroffene |
+| BaFin | MaRisk / aufsichtsrechtlich | Nach MaRisk | CreditVision Score — Systemversagen |
+
+**Zuständig für alle Behördenmeldungen:** CCO Annegret Kühnhausen in Abstimmung mit Kanzlei Borchmann Compliance.
+
+### Schritt 5: Ursachenanalyse und Abschlussbericht
+
+Innerhalb von 30 Tagen nach Incident-Schließung erstellt das CDO-Büro einen Abschlussbericht mit Root-Cause-Analyse und Maßnahmen zur Vermeidung von Wiederholungen. Der Bericht fließt in die jährliche KI-Governance-Review ein.
+
+---
+
+## 4. Spezialfall: Schatten-KI (nicht genehmigte Systeme)
+
+Der Vorfall in der Marketingabteilung (identifiziert März 2026 durch Konzernrevision) zeigt, dass Schatten-KI als eigenständige Incident-Klasse zu behandeln ist:
+
+**Vorgehen bei Schatten-KI-Entdeckung:**
+1. Sofortige Abschaltung des nicht genehmigten Systems durch IT auf Anweisung CDO.
+2. Sicherung der Nutzungsprotokolle (soweit zugänglich).
+3. Datenschutzprüfung: Wurden personenbezogene Daten verarbeitet? → DSGVO Art. 33?
+4. Disziplinarische Anhörung der verantwortlichen Person (Personalrecht, CCO + HR).
+5. Analyse: Wie konnte das System eingesetzt werden? Technische Zugangskontrollen verschärfen.
+6. Protokollierung im Incident-Register.
+
+---
+
+## 5. Incident-Register
+
+Alle KI-Incidents werden im zentralen KI-Incident-Register (SharePoint, Zugriff: CCO, CDO, CIO, DSB) dokumentiert mit folgenden Feldern:
+- Incident-ID; Datum; Klasse; betroffenes System; Beschreibung; Entdeckungsquelle; Sofortmaßnahmen; Behördliche Meldungen; Root Cause; Abschlussdatum; Maßnahmen.
+
+**Aktueller Eintrag:**
+- INC-2026-003: Schatten-KI Marketing (Midjourney-API); entdeckt 14.03.2026; Klasse 2; IT-Abschaltung 14.03.2026; Sachverhaltsklärung läuft.
+
+---
+
+*Aktenzeichen: TI-KI-2026-013. Freigegeben: A. Kühnhausen, Dr. S. Wolfsbacher. Stand: März 2026.*
@@ -0,0 +1,123 @@
+# Rote Liste — Verbotene KI-Praktiken nach Art. 5 KI-VO
+
+**Aktenzeichen:** TI-KI-2026-013
+**Dokumentversion:** 1.1
+**Erstellungsdatum:** 20. Dezember 2025
+**Verfasser:** Annegret Kühnhausen (CCO); Kanzlei Borchmann Compliance (Frankfurt)
+**Geltungsbereich:** Alle Mitarbeiterinnen und Mitarbeiter, Führungskräfte, Auftragnehmer
+
+---
+
+## 1. Zweck und Verpflichtung
+
+Art. 5 der Verordnung (EU) 2024/1689 (KI-VO) (https://dejure.org/gesetze/KIVO/5.html) enthält eine abschließende Liste von KI-Praktiken, die in der Europäischen Union verboten sind. Diese Verbote gelten seit dem 02. Februar 2025 (Art. 113 Abs. 1 KI-VO).
+
+Thalheim Industries SE hat als Betreiber (Deployer) und in Teilen als Anbieter (Provider — insbesondere für intern entwickelte Systeme wie PredictMaint und ServiceBot) sicherzustellen, dass keine der nachfolgend aufgeführten verbotenen Praktiken eingesetzt oder gefördert wird. Verstöße können mit Bußgeldern von bis zu 35 Mio. EUR oder 7 % des globalen Jahresumsatzes belegt werden (Art. 99 Abs. 3 KI-VO).
+
+Diese Rote Liste ist für alle Beschäftigten und Führungskräfte verbindlich. Sie ergänzt die KI-Governance-Leitlinie (Aktenstück 01) und ist in das AI-Literacy-Curriculum (Aktenstück 05, Modul A) integriert.
+
+---
+
+## 2. Verbotene Praktiken (Art. 5 KI-VO) — Vollständige Übersicht
+
+### 2.1 Unterschwellige Beeinflussung (Art. 5 Abs. 1 lit. a KI-VO)
+
+**Verboten:** Das Inverkehrbringen, die Inbetriebnahme oder Verwendung von KI-Systemen, die durch Techniken der unterschwelligen Beeinflussung, die von einer Person nicht wahrgenommen werden können, das Verhalten dieser Person in einer Weise beeinflussen, die dazu bestimmt ist oder die Wirkung hat, ihr oder einer anderen Person erheblichen Schaden zuzufügen.
+
+**Praxisrelevanz Thalheim:** KEIN Thalheim-System fällt aktuell unter diesen Tatbestand. Mögliches Risiko: Marketing-Tools, die Nudging-Techniken einsetzen. Prüfpflicht bei Einführung neuer Marketing-KI.
+
+**Merke:** Auch klassische Nudge-Algorithmen (E-Commerce-Empfehlungen) sind nur dann verboten, wenn sie unterschwellig und schädigend wirken.
+
+---
+
+### 2.2 Ausnutzung von Vulnerabilitäten (Art. 5 Abs. 1 lit. b KI-VO)
+
+**Verboten:** KI-Systeme, die Vulnerabilitäten einer Person oder Gruppe ausnutzen, die auf Alter, Behinderung oder sozialer oder wirtschaftlicher Situation basieren.
+
+**Praxisrelevanz Thalheim:** KEIN direktes Risiko bei aktuellen Systemen. Potenziales Risiko: ServiceBot — wenn er vulnerable Kundengruppen (z. B. ältere Personen, wirtschaftlich benachteiligte Kunden) gezielt ausnutzt, um Vertragsabschlüsse zu erzielen.
+
+**Maßnahme:** ServiceBot ist auf sachliche Kundeninformation beschränkt; keine Verkaufsstrategie auf Basis Kundenvulnerabilitäten.
+
+---
+
+### 2.3 Social Scoring (Art. 5 Abs. 1 lit. c KI-VO)
+
+**Verboten:** KI-Systeme, die von öffentlichen Behörden (oder in deren Auftrag) zur Bewertung natürlicher Personen auf der Grundlage des Sozialverhaltens oder persönlicher Merkmale eingesetzt werden, mit nachteiligen Folgen.
+
+**Praxisrelevanz Thalheim:** Nicht anwendbar (Thalheim ist keine Behörde). Jedoch: interne Mitarbeiterbewertungs-KI, die systematisch Verhaltensprofile erstellt und für Personalentscheidungen nutzt, könnte dem Geist dieser Vorschrift widersprechen und nach § 87 BetrVG mitbestimmungspflichtig sein.
+
+---
+
+### 2.4 Vorhersagebasierte Polizeiarbeit (Art. 5 Abs. 1 lit. d KI-VO)
+
+**Verboten:** KI-Systeme für Risikoabschätzungen natürlicher Personen hinsichtlich der Begehung einer Straftat, ausschließlich auf der Grundlage von Profiling oder Persönlichkeitsmerkmalen.
+
+**Praxisrelevanz Thalheim:** Nicht anwendbar.
+
+---
+
+### 2.5 Anlasslose biometrische Massenüberwachung (Art. 5 Abs. 1 lit. e KI-VO)
+
+**Verboten:** Echtzeit-Fernerkennung biometrischer Merkmale in öffentlich zugänglichen Räumen durch Strafverfolgungsbehörden.
+
+**Praxisrelevanz Thalheim:** Nicht anwendbar (Thalheim ist keine Strafverfolgungsbehörde). Jedoch: Kamerasysteme im Werksgelände, die Personen erkennen, sind sorgfältig zu prüfen.
+
+---
+
+### 2.6 Emotionserkennung (Art. 5 Abs. 1 lit. f KI-VO)
+
+**Verboten:** KI-Systeme zur Erkennung von Emotionen am Arbeitsplatz und in Bildungseinrichtungen, außer aus medizinischen oder Sicherheitsgründen.
+
+**Praxisrelevanz Thalheim: HOCH.** Jedes System, das Stimmungen, Emotionen oder den emotionalen Zustand von Mitarbeitern am Arbeitsplatz analysiert (z. B. Analyse von Videomeetings, Sprachanalyse in Call-Centern), ist in Deutschland nach Art. 5 Abs. 1 lit. f KI-VO VERBOTEN. Prüfung aller Call-Center-Systeme und Meeting-Analyse-Tools erforderlich.
+
+**Maßnahme:** CCO hat Bestandsaufnahme laufender und geplanter HR-Analytics-Systeme angeordnet (Frist: 30.04.2026).
+
+---
+
+### 2.7 Biometrische Kategorisierung (Art. 5 Abs. 1 lit. g KI-VO)
+
+**Verboten:** KI-Systeme, die biometrische Daten verwenden, um natürliche Personen nach politischen Ansichten, Gewerkschaftszugehörigkeit, Religion, Weltanschauung, Rasse, Sexualleben oder sexueller Ausrichtung zu kategorisieren.
+
+**Praxisrelevanz Thalheim: HOCH für Recruiting.** RecruitAI darf nicht direkt oder indirekt Bewerber nach solchen Merkmalen kategorisieren. Die fehlenden Bias-Tests (Strang 1) erhöhen das Risiko, dass solche Kategorisierungen unbeabsichtigt im Modell abgebildet sind.
+
+---
+
+### 2.8 Biometrische Fernidentifikation in Echtzeit (Art. 5 Abs. 1 lit. h KI-VO)
+
+**Verboten:** Echtzeit-Fernidentifikation biometrischer Merkmale in öffentlich zugänglichen Räumen durch Strafverfolgungsbehörden (mit engen Ausnahmen).
+
+**Praxisrelevanz Thalheim:** Nicht anwendbar.
+
+---
+
+## 3. Prüfschema für neue KI-Systeme
+
+Für jedes neue KI-System ist vor Einführung folgendes Prüfschema zu durchlaufen:
+
+```
+Schritt 1: Fällt das System unter Art. 5 Abs. 1 KI-VO (Verbote)?
+  └─ JA → Sofortiger Stopp. Keine Einführung. Meldung an CCO.
+  └─ NEIN → weiter mit Schritt 2.
+
+Schritt 2: Fällt das System unter Art. 6 / Anh. III KI-VO (Hochrisiko)?
+  └─ JA → Vollständige Konformitätsprüfung vor Einsatz. KI-Clearance erforderlich.
+  └─ NEIN → weiter mit Schritt 3.
+
+Schritt 3: Fallen Transparenzpflichten nach Art. 50 KI-VO an?
+  └─ JA → Hinweispflichten umsetzen. Freigabe durch CCO.
+  └─ NEIN → Eintrag KI-Inventar, jährliche Überprüfung.
+```
+
+---
+
+## 4. Meldeverpflichtung
+
+Jede Mitarbeiterin und jeder Mitarbeiter, die/der bemerkt oder vermutet, dass ein KI-System bei Thalheim eine verbotene Praktik umsetzt oder umsetzt werden soll, ist verpflichtet, dies unverzüglich zu melden:
+- Intern: ki-incident@thalheim.de oder CCO Kühnhausen direkt
+- Extern: Hinweisgeberschutzgesetz (HinSchG) — externe Meldestelle (Bundesamt für Justiz)
+
+Meldungen sind vertraulich und werden durch das Hinweisgeberschutzsystem des Unternehmens geschützt.
+
+---
+
+*Aktenzeichen: TI-KI-2026-013. Verfasser: A. Kühnhausen, Kanzlei Borchmann. Stand: Dezember 2025.*
@@ -0,0 +1,143 @@
+# Protokoll — KI-Komitee-Sitzung Q1 2026
+
+**Aktenzeichen:** TI-KI-2026-014
+**Datum:** 14. März 2026, 09:00–12:30 Uhr
+**Ort:** Thalheim Industries SE, Sitzungszimmer Energiehalle (EG, Gebäude A), Mannheim
+**Protokollführer:** Claudia Berger-Hentschel, Vorstandsassistenz
+
+---
+
+## Anwesende
+
+| Person | Funktion | Anmerkung |
+|---|---|---|
+| Dr. Falk Roosendaal | KI-Komitee-Vorsitz | |
+| Dr. Sigrid Wolfsbacher | CIO | |
+| Marcus Petersen | CDO | |
+| Annegret Kühnhausen | CCO | |
+| Dr. Carla Eichenmüller | Datenschutzbeauftragte | |
+| Barbara Trenkmann | Leiterin HR-Systeme | Gast zu TOP 2 |
+| Rolf Haselmann | Leiter Kundenfinanzierung | Gast zu TOP 3 |
+| Franz-Josef Brammer | Leiter Konzernrevision | Gast zu TOP 6 |
+| Dr. Nora Borchmann | Kanzlei Borchmann Compliance | Externer Gast |
+
+**Entschuldigt:** Prof. Dr. Schirrmeister (COO), Klaus-Dieter Obermaier (CFO)
+
+---
+
+## Tagesordnung
+
+1. Genehmigung Protokoll Q4 2025
+2. RecruitAI: Statusbericht Konformitätsprüfung und Bias-Test-Mangel
+3. CreditVision Score: BaFin-Anfrage — Sachstand und Handlungsoptionen
+4. Betriebsvereinbarung KI: Verhandlungsstand Betriebsrat
+5. AI Literacy: Schulungsfortschritt und Maßnahmenplan
+6. Konzernrevision: Schatten-KI Marketing
+7. OpenAI-Vendor: Nachforderungsstatus
+8. Sonstiges
+
+---
+
+## TOP 1 — Genehmigung Protokoll Q4 2025
+
+Das Protokoll der Sitzung vom 10. Januar 2026 wird ohne Änderungen genehmigt. **Beschluss 2026-KI-001: Protokoll genehmigt.**
+
+---
+
+## TOP 2 — RecruitAI: Statusbericht Konformitätsprüfung und Bias-Test-Mangel
+
+**Berichterstatterin:** Barbara Trenkmann; Dr. Wolfsbacher
+
+Trenkmann berichtet: Die externe Konformitätsprüfung durch Hagedorn & Partner (Audit-Start 15.01.2026) hat am 28.02.2026 einen Zwischenbericht vorgelegt. Kernergebnis: Synaptec Analytics GmbH hat keine dokumentierten Bias-Tests nach Art. 9 Abs. 7 KI-VO für das RecruitAI-Modell vorgelegt. Die entsprechende technische Dokumentation fehlt oder ist unvollständig.
+
+Wolfsbacher ergänzt: Die CIO hat Synaptec mit Schreiben vom 05.03.2026 (Ref. TI-CIO-2026-0014) aufgefordert, bis 30.05.2026 vollständige Bias-Test-Berichte vorzulegen. Synaptec hat den Empfang bestätigt, jedoch keine Zusage zum Inhalt gemacht.
+
+**Dr. Borchmann (extern):** Weist darauf hin, dass das Fehlen von Bias-Tests bei einem Hochrisiko-System nach Art. 9 Abs. 7 KI-VO ein schwerwiegender Mangel darstellt. Empfiehlt: Thalheim sollte parallel eigene Bias-Tests initiieren, um nicht vollständig von Synaptec abhängig zu sein. Kostenschätzung für externes Bias-Testing: 45.000–80.000 EUR.
+
+**Roosendaal:** Schlägt vor, das Bias-Testing parallel sowohl durch Synaptec als auch durch einen unabhängigen Dritten durchzuführen. Einigkeit im Komitee.
+
+**Beschluss 2026-KI-002:** CCO beauftragt bis 31.03.2026 einen unabhängigen Bias-Test-Dienstleister für RecruitAI. Budget: bis 80.000 EUR aus Governance-Reserve genehmigt.
+
+**Beschluss 2026-KI-003:** Bis zum Vorliegen der Bias-Test-Ergebnisse wird RecruitAI mit erhöhter menschlicher Aufsicht betrieben: jede automatische Ablehnung bedarf einer aktiven Bestätigung durch HR-Business-Partner.
+
+---
+
+## TOP 3 — CreditVision Score: BaFin-Anfrage
+
+**Berichterstatter:** Rolf Haselmann; Annegret Kühnhausen; Dr. Borchmann
+
+Kühnhausen berichtet: Mit Schreiben vom 10.03.2026 (GZ BJ 24-K 7102-2026/0012) hat die BaFin um Stellungnahme gebeten, ob (1) Art. 22 DSGVO beim Kreditscoring eingehalten wird und (2) eine interne Konformitätsbewertung nach Art. 43 Abs. 2 KI-VO für CreditVision Score vorliegt. Antwortfrist: 15.05.2026.
+
+Haselmann: Im Prozess sei grundsätzlich eine menschliche Letztentscheidung vorgesehen, aber die SOPs seien nicht in allen Vertriebsstützpunkten konsequent dokumentiert. CreditVision AG hat technische Unterlagen erst teilweise geliefert.
+
+Dr. Borchmann: Empfiehlt, die Stellungnahme an die BaFin durch die Kanzlei zu koordinieren. Inhaltlich sollte dargelegt werden: (1) Letztentscheid durch Menschen, (2) Informationspflichten gegenüber Kunden, (3) geplante vollständige Konformitätsbewertung bis 31.07.2026.
+
+**Beschluss 2026-KI-004:** Kanzlei Borchmann Compliance koordiniert Stellungnahme an BaFin bis 12.05.2026. Haselmann liefert prozessbezogene Unterlagen bis 15.04.2026.
+
+---
+
+## TOP 4 — Betriebsvereinbarung KI: Verhandlungsstand
+
+**Berichterstatterin:** Annegret Kühnhausen
+
+Kühnhausen berichtet: Der Betriebsrat (Vorsitzender Norbert Schäpers) hat mit Schreiben vom 05.01.2026 und 20.02.2026 klargestellt, dass er dem Produktiveinsatz von RecruitAI und CreditVision Score ohne abgeschlossene Betriebsvereinbarung nach § 87 Abs. 1 Nr. 6 BetrVG (https://dejure.org/gesetze/BetrVG/87.html) nicht zustimmt.
+
+Stand der Verhandlungen: Es haben drei Gespräche stattgefunden. Der BR fordert: (a) vollständige Transparenz über Algorithmus-Logik, (b) Recht auf externe Sachverständige, (c) regelmäßige Berichterstattung. Thalheim hat (a) und (c) prinzipiell zugestimmt, bei (b) steht die juristische Prüfung aus.
+
+**Roosendaal:** Terminiert nächstes BR-Gespräch auf 08.04.2026. Ziel: Einigung auf BV-Grundstruktur bis Ende April.
+
+**Beschluss 2026-KI-005:** Mediationsangebot an Betriebsrat für externes Moderationsverfahren. Wenn bis 31.05.2026 keine Einigung, prüft die CCO arbeitsrechtliche Optionen (Einigungsstelle nach § 76 BetrVG).
+
+---
+
+## TOP 5 — AI Literacy: Schulungsfortschritt
+
+**Berichterstatter:** Marcus Petersen
+
+Petersen berichtet: Stand März 2026 haben 38 % aller Mitarbeitenden Modul A abgeschlossen. Im HR-Bereich (Modul C): 36 %. In der Finanzierung (Modul D): 40 %. Betriebsrat noch nicht geschult.
+
+Komitee-Diskussion: Einigung, dass der Schulungsrückstand ein signifikantes Compliance-Risiko darstellt. Nachweispflicht nach Art. 4 KI-VO könnte bei behördlicher Anfrage nicht erfüllt werden.
+
+**Beschluss 2026-KI-006:** Personalentwicklung erhält Direktive des Vorstands (Kühnhausen holt ab), alle Module bis 31.10.2026 vollständig abzuschließen. Führungskräfte werden für ihre Teams verantwortlich gemacht. Monatliches Reporting an KI-Komitee ab April 2026.
+
+---
+
+## TOP 6 — Schatten-KI Marketing
+
+**Berichterstatter:** Franz-Josef Brammer (Leiter Konzernrevision)
+
+Brammer berichtet: Die Konzernrevision hat am 14.03.2026 festgestellt, dass die Marketingabteilung (Leiter: Dr. Philipp Sonntag) seit mindestens acht Monaten ein nicht im KI-Inventar registriertes GenAI-Tool (Midjourney in Verbindung mit einer eigenen API-Anbindung) für Bild- und Textgenerierung nutzt. Die Nutzung erfolgte ohne:
+- Datenschutzprüfung (ob personenbezogene Daten verarbeitet wurden, ist noch unklar)
+- Sicherheitsfreigabe (IT-Security)
+- Eintrag im KI-Inventar
+- Freigabe durch CCO oder CDO
+
+Dr. Sonntag hat in der Anhörung angegeben, nicht gewusst zu haben, dass eine Freigabe erforderlich ist.
+
+**Kühnhausen:** Das System wurde am 14.03.2026 durch IT abgeschaltet. Eine arbeitsrechtliche Anhörung läuft. Datenschutz-Prüfung durch DSB Eichenmüller: läuft.
+
+**Wolfsbacher:** Technische Schutzmaßnahmen (Blocking nicht genehmigter API-Endpunkte) werden bis 30.04.2026 implementiert.
+
+**Beschluss 2026-KI-007:** Konzernrevision erstellt vollständigen Revisionsbericht (Aktenstück 16) bis 30.04.2026. Alle Fachbereiche werden angewiesen, bis 15.04.2026 alle verwendeten KI-Tools zu melden.
+
+---
+
+## TOP 7 — OpenAI-Vendor: Nachforderungsstatus
+
+**Berichterstatter:** Marcus Petersen
+
+Petersen berichtet: Nachforderungsschreiben vom 15.02.2026 ist versendet. Keine Antwort von OpenAI Ireland bis heute. Antwortfrist 30.04.2026. Enterprise Account Manager wurde zusätzlich telefonisch kontaktiert; Zusage für Antwort bis Ende März, bislang ohne Reaktion.
+
+**Beschluss 2026-KI-008:** Wenn bis 30.04.2026 keine vollständige Antwort: Überprüfung alternativer Anbieter bis 30.06.2026 (Petersen). Vertragsergänzung (Incident SLA, EU-AI-Act-Klausel) soll bis 30.04.2026 als Änderungsvereinbarung versandt werden.
+
+---
+
+## TOP 8 — Sonstiges
+
+Roosendaal informiert: Der nächste Quartalsbericht für den Aufsichtsrat ist für die Sitzung am 15. Mai 2026 vorzubereiten. Kühnhausen übernimmt Koordination.
+
+Nächste KI-Komitee-Sitzung: **20. Juni 2026**, 09:00 Uhr, Sitzungszimmer Energiehalle.
+
+---
+
+*Protokoll erstellt: Claudia Berger-Hentschel, 17.03.2026. Genehmigt: Dr. F. Roosendaal, 20.03.2026. Aktenzeichen: TI-KI-2026-014.*
@@ -0,0 +1,115 @@
+# Betriebsvereinbarung KI-Systeme — Entwurf
+
+**Aktenzeichen:** TI-KI-2026-009 (Anlage)
+**Dokumentversion:** 0.5 (Verhandlungsstand 08. April 2026)
+**Zwischen:** Thalheim Industries SE (vertreten durch CCO Annegret Kühnhausen) und dem Betriebsrat der Thalheim Industries SE (vertreten durch Vorsitzenden Norbert Schäpers)
+**Status:** Entwurf; noch nicht unterzeichnet; Verhandlungen laufen
+
+---
+
+## Präambel
+
+Die Thalheim Industries SE setzt im Rahmen ihrer Geschäftstätigkeit KI-gestützte Systeme ein, darunter Hochrisiko-KI-Systeme nach Anhang III der Verordnung (EU) 2024/1689 (KI-Verordnung). Der Betriebsrat macht sein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG (https://dejure.org/gesetze/BetrVG/87.html) geltend, da KI-Systeme technische Einrichtungen im Sinne dieser Vorschrift darstellen, die zur Überwachung des Verhaltens oder der Leistung der Arbeitnehmerinnen und Arbeitnehmer bestimmt oder geeignet sind.
+
+Arbeitgeber und Betriebsrat sind sich einig, dass der Einsatz von KI-Systemen transparent, fair und unter Wahrung der Persönlichkeitsrechte der Beschäftigten erfolgen muss. Diese Betriebsvereinbarung regelt die Einführung, den Betrieb und die Überwachung von KI-Systemen, die auf Beschäftigte oder ihre Daten einwirken.
+
+---
+
+## § 1 Geltungsbereich
+
+Diese Betriebsvereinbarung gilt für alle KI-Systeme der Thalheim Industries SE, die:
+1. Beschäftigtendaten verarbeiten oder auswerten,
+2. Entscheidungen über Beschäftigte (Einstellung, Beförderung, Leistungsbewertung) unterstützen oder treffen,
+3. Verhaltens- oder Leistungsdaten von Beschäftigten analysieren.
+
+**Ausdrücklich erfasst:** RecruitAI (Recruiting-Screening), CreditVision Score (soweit Beschäftigte betroffen sind), Analyse-Tools im HR-Bereich.
+
+**Ausdrücklich nicht erfasst:** PredictMaint (keine Beschäftigtendaten), ServiceBot (keine Beschäftigtendaten), CodeAssist (soweit nur für Entwickler-Support).
+
+---
+
+## § 2 Informationspflichten des Arbeitgebers
+
+**§ 2 Abs. 1:** Der Arbeitgeber informiert den Betriebsrat vor der Einführung, wesentlichen Änderung oder dem Einsatz neuer KI-Systeme im Sinne von § 1 mindestens sechs Wochen vor dem geplanten Einsatz.
+
+**§ 2 Abs. 2:** Die Unterrichtung umfasst:
+- Zweck und Funktionsweise des KI-Systems in verständlicher Sprache;
+- Beschreibung der verarbeiteten Datenkategorien und Betroffenengruppen;
+- Risikoklassifikation nach KI-VO;
+- Ergebnis der Datenschutz-Folgenabschätzung (sofern durchgeführt);
+- Informationen über den Anbieter (Vendor) und bestehende AVV;
+- Ergebnis etwaiger Bias-Tests.
+
+**§ 2 Abs. 3:** Der Betriebsrat kann auf Kosten des Arbeitgebers bis zu zwei externe Sachverständige für KI-Systeme nach § 80 Abs. 3 BetrVG hinzuziehen. [*Streitpunkt: Arbeitgeber prüft Kostengrenze noch.*]
+
+---
+
+## § 3 Zustimmungsvorbehalt
+
+**§ 3 Abs. 1:** Die Inbetriebnahme von KI-Systemen nach § 1 bedarf der Zustimmung des Betriebsrats.
+
+**§ 3 Abs. 2:** Der Betriebsrat kann die Zustimmung verweigern, wenn:
+- die nach § 2 erforderlichen Informationen nicht vollständig vorliegen;
+- Bias-Tests mit nicht tolerierbaren Diskriminierungsrisiken abgeschlossen wurden;
+- eine erforderliche DPIA nicht vorliegt oder wesentliche Risiken nicht gemindert wurden;
+- die Anforderungen dieser Betriebsvereinbarung nicht erfüllt sind.
+
+**§ 3 Abs. 3:** Verweigert der Betriebsrat die Zustimmung, teilt er dies mit Begründung innerhalb von zwei Wochen nach Unterrichtung mit. Arbeitgeber und Betriebsrat suchen dann gemeinsam eine Lösung. Scheitert die Einigung, ist die Einigungsstelle nach § 76 BetrVG anzurufen.
+
+---
+
+## § 4 Transparenz und Erklärungsrecht
+
+**§ 4 Abs. 1:** Beschäftigte, über die ein KI-System Empfehlungen oder Entscheidungen trifft, werden vorab in verständlicher Sprache über den Einsatz des Systems informiert.
+
+**§ 4 Abs. 2:** Beschäftigte haben das Recht, auf Antrag eine Erklärung der Entscheidungsgrundlage zu erhalten (Art. 22 DSGVO; https://dejure.org/gesetze/DSGVO/22.html). Diese Erklärung muss in einfacher Sprache die wesentlichen Parameter des Scorings beschreiben.
+
+**§ 4 Abs. 3:** Automatische Entscheidungen ohne menschliche Überprüfung (voll automatisierte Ablehnungen) sind verboten.
+
+---
+
+## § 5 Menschliche Aufsicht
+
+**§ 5 Abs. 1:** Bei allen KI-Systemen nach § 1 entscheidet grundsätzlich ein Mensch. Das KI-System ist Entscheidungsunterstützungswerkzeug, kein Entscheidungsträger.
+
+**§ 5 Abs. 2:** Für RecruitAI gilt: Die abschließende Einstellungs- oder Ablehnungsentscheidung liegt beim zuständigen HR-Business-Partner. Abweichungen vom KI-Ranking sind zu dokumentieren.
+
+---
+
+## § 6 Bias-Monitoring und regelmäßige Überprüfung
+
+**§ 6 Abs. 1:** Der Arbeitgeber führt jährlich Bias-Tests für alle KI-Systeme nach § 1 durch und legt die Ergebnisse dem Betriebsrat vor.
+
+**§ 6 Abs. 2:** Werden Bias-Probleme festgestellt, ist das System sofort anzupassen oder vorübergehend außer Betrieb zu nehmen.
+
+**§ 6 Abs. 3:** Der Betriebsrat erhält Zugang zu aggregierten Statistiken (Einstellungsquoten, Score-Verteilungen nach Geschlecht, Alter, Nationalität) — keine Einzelpersonendaten.
+
+---
+
+## § 7 Schulung
+
+**§ 7 Abs. 1:** Beschäftigte, die KI-Systeme nutzen oder deren Ausgaben berücksichtigen, sind vor Einsatz entsprechend zu schulen (Art. 4 KI-VO, AI Literacy). Die Schulungsnachweise sind dem Betriebsrat auf Anfrage vorzulegen.
+
+**§ 7 Abs. 2:** Der Betriebsrat und seine Mitglieder erhalten eine eigene Schulung zum Thema KI-Mitbestimmung (Modul G laut AI-Literacy-Curriculum, Aktenstück 05) auf Kosten des Arbeitgebers.
+
+---
+
+## § 8 Laufzeit und Kündigung
+
+Diese Betriebsvereinbarung gilt auf unbestimmte Zeit. Sie kann von jeder Seite mit einer Frist von sechs Monaten schriftlich gekündigt werden. Bei Kündigung gilt eine Nachwirkung bis zum Abschluss einer neuen Vereinbarung.
+
+---
+
+## Offene Verhandlungspunkte (Stand 08. April 2026)
+
+| Punkt | Arbeitgeber-Position | BR-Position | Status |
+|---|---|---|---|
+| Externe Sachverständige (§ 2 Abs. 3) | Kostenobergrenze 10.000 EUR | Keine Kostenbeschränkung | **Offen** |
+| Reichweite Zustimmungsvorbehalt | Nur Hochrisiko-Systeme | Alle KI nach § 1 | **Teileinigung** |
+| Bias-Test-Frequenz | Jährlich | Halbjährlich | **Offen** |
+| Score-Einsichtnahme Beschäftigte | Auf Anfrage, schriftlich | Proaktiv vor Entscheidung | **Offen** |
+| Vergütungsregelung BR-Sachverständige | Intern koordinieren | Unabhängige externe | **Offen** |
+
+---
+
+*Entwurf v0.5, Verhandlungsstand 08.04.2026. Nicht unterzeichnet. Aktenzeichen: TI-KI-2026-009.*
@@ -0,0 +1,88 @@
+# Aufsichtsratsbericht — KI-Governance Q1 2026
+
+**Aktenzeichen:** TI-KI-2026-007 (Anlage Aufsichtsrat)
+**Datum:** 15. Mai 2026 (Aufsichtsratssitzung)
+**Vorgelegt durch:** Annegret Kühnhausen, CCO; Dr. Falk Roosendaal, KI-Komitee
+**Verteilung:** Aufsichtsrat Thalheim Industries SE (vertraulich)
+
+---
+
+## 1. Zusammenfassung (Executive Summary)
+
+Das KI-Governance-Programm TI-KI-2026 befindet sich in der kritischen Phase 2 (Konformitätsherstellung). Der Vorstand hat im Oktober 2025 das Programm initiiert; die Phase 1 (Inventarisierung) ist abgeschlossen. Der Aufsichtsrat wird gemäß § 90 AktG quartalsweise informiert.
+
+**Kritische Feststellungen für den Aufsichtsrat:**
+
+1. **RecruitAI — Bias-Tests fehlen:** Der externe Auditor hat festgestellt, dass der Vendor Synaptec keine Bias-Tests nach Art. 9 Abs. 7 KI-VO dokumentiert hat. Die Frist 02.08.2026 ist in Gefahr. Ein unabhängiges Bias-Testing wurde beauftragt.
+
+2. **BaFin-Anfrage CreditVision Score:** Die BaFin hat eine förmliche Anfrage (GZ BJ 24-K 7102-2026/0012) gestellt. Antwortfrist 15.05.2026. Thalheim ist im Zusammenspiel mit Kanzlei Borchmann auf die Beantwortung vorbereitet. Haftungsrisiko nach § 93 AktG ist zu beachten.
+
+3. **Betriebsvereinbarung KI:** Verhandlungen mit dem Betriebsrat laufen seit Januar 2026. Einigung noch nicht erzielt. Kein genehmigter Rollout ohne BV.
+
+4. **Schulungsrückstand:** 62 % der Mitarbeitenden haben die Pflichtschulung nach Art. 4 KI-VO noch nicht abgeschlossen. Maßnahmenpaket wurde verabschiedet.
+
+5. **Schatten-KI Marketing:** Nicht genehmigtes KI-Tool identifiziert und abgeschaltet. Aufarbeitung läuft.
+
+---
+
+## 2. Programm-Status TI-KI-2026
+
+| Meilenstein | Geplant | Status | Bemerkung |
+|---|---|---|---|
+| Phase 1: KI-Inventarisierung | Dez. 2025 | Abgeschlossen ✓ | 23 Systeme erfasst |
+| Risikoklassifikation | Jan. 2026 | Abgeschlossen ✓ | 2 Hochrisiko identifiziert |
+| Konformitätsprüfung RecruitAI | Jul. 2026 | In Bearbeitung ⚠ | Bias-Test-Mangel |
+| Konformitätsprüfung CreditVision | Jul. 2026 | In Bearbeitung ⚠ | BaFin-Anfrage |
+| DPIA RecruitAI | Jun. 2026 | In Bearbeitung ⚠ | LfDI BW-Frist |
+| Betriebsvereinbarung KI | Apr. 2026 | Verzögert ⚠ | BR-Blockade |
+| AI Literacy (alle Mitarbeitenden) | Okt. 2026 | In Bearbeitung (38 %) ⚠ | Rückstand |
+| AI Literacy (HR, Finanzierung) | Mai 2026 | In Bearbeitung (36–40 %) ⚠ | Priorisiert |
+| Governance-Leitlinie final | Apr. 2026 | In Freigabe ⚠ | Vorstand ausstehend |
+
+---
+
+## 3. Haftungsrisiken für Vorstand und Aufsichtsrat
+
+**3.1 Vorstandshaftung (§ 93 AktG):**
+Gemäß § 93 Abs. 1 AktG (https://dejure.org/gesetze/AktG/93.html) haben die Vorstandsmitglieder die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Die pflichtwidrige Nichtimplementierung der KI-VO-Anforderungen kann zu persönlicher Haftung führen. Der Vorstand hat durch Beschluss VS-2025-087 seine Sorgfaltspflicht dokumentiert; die konsequente Programmümsetzung ist unverzichtbar.
+
+**3.2 Bußgeldrisiken (KI-VO):**
+- Verstoß gegen Verbote (Art. 5 KI-VO): bis zu 35 Mio. EUR oder 7 % Jahresumsatz
+- Verstoß gegen Hochrisiko-Pflichten (Art. 9–17 KI-VO): bis zu 15 Mio. EUR oder 3 % Jahresumsatz
+- Falsche Angaben gegenüber Behörden: bis zu 7,5 Mio. EUR oder 1 % Jahresumsatz
+
+Bei einem Jahresumsatz von rd. 3,2 Mrd. EUR sind die relevanten Obergrenzen:
+- Ebene 1 (Art. 5): rd. 224 Mio. EUR (7 % von 3,2 Mrd.)
+- Ebene 2 (Hochrisiko): rd. 96 Mio. EUR (3 % von 3,2 Mrd.)
+
+**3.3 Aufsichtsratspflichten:**
+Der Aufsichtsrat hat nach § 111 AktG die Geschäftsführung zu überwachen. Der Aufsichtsrat nimmt die vorliegenden Berichte zur Kenntnis und empfiehlt dem Vorstand, dem Programm TI-KI-2026 höchste Priorität einzuräumen.
+
+---
+
+## 4. Finanzieller Programmfortschritt
+
+| Position | Budget gesamt | Verbraucht (Q1 2026) | Prognose Jahresende |
+|---|---|---|---|
+| Externe Rechtsberatung (Borchmann) | 280.000 EUR | 68.000 EUR | 220.000 EUR |
+| Externer Auditor (Hagedorn) | 190.000 EUR | 47.000 EUR | 160.000 EUR |
+| Bias-Testing unabhängig (neu) | 80.000 EUR | 0 EUR | 75.000 EUR |
+| AI Literacy Schulungsplattform | 95.000 EUR | 38.000 EUR | 85.000 EUR |
+| Interne Personalaufwände | 650.000 EUR | 162.000 EUR | 600.000 EUR |
+| Technologie-Anpassungen | 155.000 EUR | 22.000 EUR | 140.000 EUR |
+| **Gesamt** | **1.450.000 EUR** | **337.000 EUR** | **1.280.000 EUR** |
+
+Budgetprognose: Programm liegt leicht unter Budget. Kein Nachtragsantrag erforderlich.
+
+---
+
+## 5. Empfehlung an den Aufsichtsrat
+
+Der Aufsichtsrat wird gebeten:
+1. Den vorliegenden Bericht zur Kenntnis zu nehmen.
+2. Den Vorstand zu ermächtigen, im Falle einer Nicht-Einigung mit dem Betriebsrat die Einigungsstelle nach § 76 BetrVG anzurufen.
+3. Den Vorstand zu beauftragen, in der nächsten Sitzung (August 2026) über den Abschluss der Konformitätsprüfung RecruitAI zu berichten.
+
+---
+
+*Aktenzeichen: TI-KI-2026-007. Vorgelegt: A. Kühnhausen, Dr. F. Roosendaal. Aufsichtsratssitzung 15. Mai 2026.*
@@ -0,0 +1,112 @@
+# Konformitätsprüfung RecruitAI — Auditbericht (Zwischenbericht)
+
+**Aktenzeichen:** TI-KI-2026-012
+**Prüfender:** WPG Hagedorn & Partner, Frankfurt am Main (Prüfungsleitung: Dr. Miriam Hagedorn)
+**Auftraggeber:** Thalheim Industries SE, CCO Annegret Kühnhausen
+**Prüfungszeitraum:** 15. Januar 2026 – laufend (Abschlussbericht geplant: 31. Juli 2026)
+**Berichtsdatum:** 28. Februar 2026
+**Berichtstyp:** Zwischenbericht
+
+---
+
+## 1. Auftrag und Prüfungsumfang
+
+Hagedorn & Partner wurde durch Thalheim Industries SE mandatiert, die Konformitätsbewertung für das Hochrisiko-KI-System **RecruitAI** (Vendor: Synaptec Analytics GmbH) nach Art. 43 Abs. 2 KI-VO zu begleiten. RecruitAI fällt unter Anhang III Nr. 4 lit. a KI-VO (Personalauswahl/-priorisierung) und ist damit als Hochrisiko-System eingestuft.
+
+**Prüfungsgrundlage:**
+- Art. 9–17 KI-VO (Hochrisiko-Pflichten)
+- Art. 43 KI-VO (Konformitätsbewertungsverfahren)
+- ISO/IEC 42001 (KI-Managementsystem, informativ)
+- NIST AI RMF (informativ)
+- Interne Vorgaben Thalheim Industries SE (KI-Governance-Leitlinie v2.1)
+
+**Prüfungsumfang:**
+1. Risikomanagementsystem (Art. 9)
+2. Daten-Governance (Art. 10)
+3. Technische Dokumentation (Art. 11)
+4. Protokollierung (Art. 12)
+5. Transparenz / Gebrauchsanweisung (Art. 13)
+6. Menschliche Aufsicht (Art. 14)
+7. Genauigkeit, Robustheit, Cybersicherheit (Art. 15)
+8. Qualitätsmanagementsystem (Art. 17)
+
+---
+
+## 2. Prüfungsergebnisse im Überblick
+
+| Prüfbereich | Rechtsgrundlage | Ergebnis | Kritikalität |
+|---|---|---|---|
+| Risikomanagementsystem | Art. 9 KI-VO | Vorhanden; Aktualisierung erforderlich | Mittel |
+| Daten-Governance | Art. 10 KI-VO | Teilweise dokumentiert | Mittel |
+| **Bias-Tests** | **Art. 9 Abs. 7 KI-VO** | **Fehlen vollständig** | **Kritisch** |
+| Technische Dokumentation | Art. 11 KI-VO | Teilweise (Vendor); Nachforderung läuft | Hoch |
+| Protokollierung | Art. 12 KI-VO | Implementiert; Protokolltiefe prüfen | Niedrig |
+| Gebrauchsanweisung | Art. 13 KI-VO | Vorhanden (DE); ausreichend | Niedrig |
+| Menschliche Aufsicht | Art. 14 KI-VO | Konzept vorhanden; SOP fehlt | Mittel |
+| Override-Mechanismus | Art. 14 Abs. 4 KI-VO | Technisch möglich; SOP fehlt | Mittel |
+| Automatische Ablehnung | Art. 14 / Art. 22 DSGVO | Ohne HR-Aktiv-Bestätigung möglich | **Kritisch** |
+| Genauigkeit / Robustheit | Art. 15 KI-VO | Herstellerangaben; unabhängige Prüfung fehlt | Hoch |
+| Cybersicherheit | Art. 15 KI-VO | Pentest Synaptec-Server ausstehend | Hoch |
+| QMS | Art. 17 KI-VO | ISO 9001 Thalheim; Synaptec ISO 27001 | Ausreichend |
+
+---
+
+## 3. Kritische Feststellungen (Detail)
+
+### Feststellung F-001 — Fehlende Bias-Tests (KRITISCH)
+
+**Sachverhalt:** Die Hagedorn-Prüfung hat ergeben, dass Synaptec Analytics GmbH für das RecruitAI-Modell keine dokumentierten Tests zur Erkennung und Minimierung verzerrter Ausgaben (Bias) nach Art. 9 Abs. 7 KI-VO vorgelegt hat. Synaptec hat auf Anfrage lediglich ein Whitepaper aus dem Jahr 2022 vorgelegt, das allgemeine Fairness-Prinzipien beschreibt, aber keine aktuellen, modellspezifischen Testergebnisse enthält.
+
+**Rechtliche Bewertung:** Art. 9 Abs. 7 KI-VO verpflichtet Anbieter von Hochrisiko-KI-Systemen, diese auf Bias (Verzerrungen) zu testen, die zu einem in Art. 5 Abs. 1 lit. b GrCh verbotenen Ergebnis führen könnten, namentlich diskriminierende Ergebnisse bei Entscheidungen in Bereichen wie Beschäftigung. Ohne nachweisliche Bias-Tests kann die Konformitätsbewertung nicht mit positivem Ergebnis abgeschlossen werden.
+
+**Risikobewertung:** KRITISCH. Ohne positive Bias-Test-Ergebnisse:
+- Kann die Konformitätserklärung nicht ausgestellt werden (Art. 48 KI-VO).
+- Darf das System nach dem 02.08.2026 nicht weiterbetrieben werden.
+- Besteht ein erhebliches Diskriminierungsrisiko gegenüber Bewerbern.
+
+**Empfehlung:** Parallel zu Synaptec sind unabhängige Bias-Tests durch einen spezialisierten Dienstleister zu beauftragen. Dringlichkeit: SOFORT.
+
+---
+
+### Feststellung F-002 — Automatische Ablehnung ohne HR-Bestätigung (KRITISCH)
+
+**Sachverhalt:** Technische Analyse der Systemlogs zeigt, dass zwischen September 2024 und Februar 2026 in 143 Fällen Bewerberinnen und Bewerber automatisch abgelehnt wurden (Score unter 40), ohne dass eine HR-Mitarbeiterin oder ein HR-Mitarbeiter aktiv eine Ablehnung bestätigt hat. Stattdessen wurde eine automatisierte Ablehnungs-E-Mail durch das System versendet.
+
+**Rechtliche Bewertung:** Dies stellt einen Verstoß gegen Art. 14 KI-VO (menschliche Aufsicht) und möglicherweise gegen Art. 22 DSGVO (https://dejure.org/gesetze/DSGVO/22.html) dar. Art. 22 DSGVO gibt betroffenen Personen das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, die rechtliche oder ähnlich erhebliche Wirkung entfaltet. Eine Ablehnung einer Bewerbung hat ähnlich erhebliche Wirkung.
+
+**Risikobewertung:** KRITISCH. Mögliche Haftung gegenüber betroffenen Bewerbern. Meldepflicht nach Art. 35 DSGVO (DPIA) für dieses Verarbeitungsmerkmal. Empfehlung zur Überprüfung der 143 Fälle durch DSB.
+
+**Empfehlung:** Sofortige technische Sperre der automatischen Ablehnung; aktiver HR-Override als Pflichtschritt.
+
+---
+
+### Feststellung F-003 — Unvollständige technische Dokumentation (HOCH)
+
+Synaptec hat die technische Dokumentation nach Art. 11 i.V.m. Anhang IV KI-VO nur teilweise vorgelegt. Fehlende Abschnitte: Modellarchitektur, Trainingsverfahren, verwendete Datensätze (Herkunft, Umfang, Preprocessing). Nachforderung ist gestellt; Frist 30.04.2026.
+
+---
+
+## 4. Positiv bewertete Aspekte
+
+- Protokollierung (Art. 12): Aktiviert und ausreichend tief für Nachvollziehbarkeit.
+- Gebrauchsanweisung (Art. 13): In verständlichem Deutsch vorhanden.
+- AVV mit Synaptec: Vorhanden und DSGVO-konform.
+- IT-Sicherheit Thalheim-Seite: ISO 27001 zertifiziert (gültig bis 06/2027).
+
+---
+
+## 5. Weiteres Vorgehen
+
+| Maßnahme | Verantwortlich | Frist |
+|---|---|---|
+| Unabhängige Bias-Tests beauftragen (F-001) | CCO / CDO | 31.03.2026 ✓ (Beschluss KI-Komitee) |
+| Technische Sperre automatische Ablehnung (F-002) | IT / Synaptec | 30.04.2026 |
+| Überprüfung 143 Betroffene (F-002) | DSB Dr. Eichenmüller | 31.05.2026 |
+| Nachforderung Technikdokumentation (F-003) | CIO / Synaptec | 30.04.2026 |
+| SOP menschliche Aufsicht erstellen | HR | 30.04.2026 |
+| Pentest Synaptec-Server | IT-Security | 31.05.2026 |
+| Abschluss Konformitätsprüfung | Hagedorn & Partner | 31.07.2026 |
+
+---
+
+*Zwischenbericht, Aktenzeichen TI-KI-2026-012. WPG Hagedorn & Partner, Frankfurt. Prüfungsleitung Dr. M. Hagedorn. 28.02.2026.*
@@ -0,0 +1,88 @@
+# Konformitätsprüfung CreditVision Score — Vorbereitende Analyse
+
+**Aktenzeichen:** TI-KI-2026-015
+**Dokumentversion:** 0.9 (Vorab-Analyse, Audit geplant Mai 2026)
+**Erstellungsdatum:** 25. März 2026
+**Verfasser:** Annegret Kühnhausen (CCO); Rolf Haselmann (Leiter Kundenfinanzierung)
+**Externe Begleitung:** Kanzlei Borchmann Compliance
+
+---
+
+## 1. Gegenstand und Ausgangslage
+
+Das Kreditscoring-Modul **CreditVision Score** (Vendor: CreditVision AG, Frankfurt am Main) ist als Hochrisiko-KI-System nach Art. 6 Abs. 2 i.V.m. Anhang III Nr. 5 lit. b KI-VO (https://dejure.org/gesetze/KIVO/6.html) klassifiziert. Es berechnet Bonitätsscores für Privat- und Gewerbekunden der Thalheim-Kundenfinanzierungseinheit und fließt in Kreditentscheidungen bei Investitionsgütern und Energieanlagen-Finanzierungen ein.
+
+Die offene BaFin-Anfrage (GZ BJ 24-K 7102-2026/0012, eingegangen 10.03.2026, Antwortfrist 15.05.2026) hat die Konformitätsprüfung zu einem vorrangigen Compliance-Thema gemacht. Die vollständige interne Konformitätsbewertung durch Hagedorn & Partner ist für Mai/Juni 2026 geplant. Das vorliegende Dokument bereitet die Prüfung vor.
+
+---
+
+## 2. System-Steckbrief
+
+| Merkmal | Inhalt |
+|---|---|
+| System | CreditVision Score v4.2 |
+| Vendor | CreditVision AG, Mainzer Landstraße 220, 60326 Frankfurt |
+| Vertrag | CV-ENT-2023-TI-0441 (seit 01.04.2023) |
+| Einsatzbereich | Kundenfinanzierung Thalheim Industries SE |
+| Entscheidungsgewicht | Score fließt zu 60 % in Kreditentscheidung ein; 40 % Sachbearbeiter-Urteil |
+| Kreditvolumen p.a. | ca. 340 Mio. EUR (Neuabschlüsse) |
+| Betroffene Personen | Ca. 1.200 Neukunden p.a. (natürliche Personen und Unternehmer) |
+| Datenbasis | Eigenangaben Kunden, Schufa-Score, Kontoauszüge (optionaler PSD2-Zugang), Branchendaten |
+
+---
+
+## 3. Prüfung Art. 22 DSGVO
+
+**Sachverhalt:** CreditVision Score unterstützt Kreditentscheidungen, die erhebliche Rechtsfolgen für Kunden haben (Kreditbewilligung oder -ablehnung). Dies fällt unter Art. 22 Abs. 1 DSGVO (https://dejure.org/gesetze/DSGVO/22.html), wenn die Entscheidung ausschließlich oder überwiegend auf automatisierter Verarbeitung beruht.
+
+**Analyse:**
+- Bei einem Score-Gewicht von 60 % liegt noch keine „ausschließlich automatisierte" Entscheidung vor, wenn der Sachbearbeiter aktiv entscheidet.
+- Kritisch: In der Praxis folgen Sachbearbeiter dem Score in 94 % der Fälle, was de facto einer automatisierten Entscheidung nahekommt (vgl. EuGH, Urteil vom 07.12.2023, Rs. C-634/21, „SCHUFA Holding AG" — obiter dicta zur funktionalen Automationsqualität).
+- Empfehlung: Sachbearbeiterprozess stärken; aktives Dokumentationserfordernis bei Abweichungen nach oben und unten.
+
+**Maßnahmen Art. 22 DSGVO:**
+- Datenschutzhinweis überarbeiten: Kunden über Kreditscoring informieren (Art. 13 DSGVO).
+- Erklärungsrecht dokumentieren: Kunden haben Recht auf Erläuterung der Score-Faktoren.
+- Widerspruchsrecht verankern: Kunden können menschliche Überprüfung verlangen.
+
+---
+
+## 4. Vorprüfung der Hochrisiko-Pflichten
+
+| Pflicht | Rechtsgrundlage | Vorabeinschätzung | Handlungsbedarf |
+|---|---|---|---|
+| Risikomanagementsystem | Art. 9 KI-VO | Vorhanden (CreditVision-intern) | Thalheim-spezifische Ergänzung |
+| Bias-Tests | Art. 9 Abs. 7 KI-VO | Unklar — CreditVision keine Aussage | **Nachforderung dringend** |
+| Daten-Governance | Art. 10 KI-VO | Teilweise dokumentiert | Herkunft Schufa-Daten klären |
+| Technische Dokumentation | Art. 11 KI-VO | Teilweise geliefert | Nachforderung läuft |
+| Protokollierung | Art. 12 KI-VO | Log-Daten vorhanden | Aufbewahrungsfrist prüfen |
+| Gebrauchsanweisung | Art. 13 KI-VO | Vorhanden (DE, EN) | Ausreichend |
+| Menschliche Aufsicht | Art. 14 KI-VO | Prozessual verankert | Dokumentationspraxis verbessern |
+| Genauigkeit / Robustheit | Art. 15 KI-VO | Keine unabhängige Prüfung | Unabhängiges Testing planen |
+| Cybersicherheit | Art. 15 KI-VO | ISO 27001 CreditVision AG | Zertifikat anfordern |
+
+---
+
+## 5. Inhalt der BaFin-Stellungnahme (Entwurf)
+
+*Für BaFin GZ BJ 24-K 7102-2026/0012, Antwortfrist 15.05.2026:*
+
+**Zu Frage 1 — Art. 22 DSGVO:** Thalheim erklärt, dass CreditVision Score Entscheidungsunterstützungs-, kein Entscheidungssystem ist. Die abschließende Kreditentscheidung trifft ein qualifizierter Sachbearbeiter. Die Informationspflichten nach Art. 13 DSGVO werden seit [Datum] durch den aktualisierten Datenschutzhinweis erfüllt. Das Widerspruchsrecht nach Art. 22 Abs. 3 DSGVO ist im Kundenprozess verankert.
+
+**Zu Frage 2 — Art. 43 Abs. 2 KI-VO:** Die vollständige interne Konformitätsbewertung für CreditVision Score ist für Mai/Juni 2026 geplant und wird von WPG Hagedorn & Partner begleitet. Der Abschlussbericht wird der BaFin nach Fertigstellung (geplant 31.07.2026) übermittelt. Thalheim verpflichtet sich, bis dahin den Status monatlich zu berichten.
+
+---
+
+## 6. Risikobewertung Gesamtsystem
+
+| Risiko | Bewertung | Maßnahme |
+|---|---|---|
+| Diskriminierung in Kreditentscheidungen | Mittel | Bias-Tests CreditVision beauftragen |
+| Art. 22 DSGVO-Verstoß | Mittel | Dokumentationsprozess stärken |
+| Unvollständige Vendor-Dokumentation | Hoch | Nachforderung, Vertragsstrafe prüfen |
+| BaFin-Sanktion | Niedrig (mit Stellungnahme) | Fristgerechte, vollständige Antwort |
+| Reputationsrisiko | Niedrig bis mittel | Proaktive Kommunikation an BaFin |
+
+---
+
+*Aktenzeichen: TI-KI-2026-015. Verfasser: A. Kühnhausen, R. Haselmann. Stand: März 2026.*
@@ -0,0 +1,93 @@
+# Stellungnahme gegenüber dem LfDI Baden-Württemberg
+
+**Aktenzeichen Thalheim:** TI-KI-2026-012
+**Behördliches AZ:** LfDI BW AZ 1-1085.51/2026/045
+**Datum:** 28. April 2026
+**An:** Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart
+**Von:** Dr. Carla Eichenmüller, Datenschutzbeauftragte Thalheim Industries SE
+**Kanzlei:** Kanzlei Borchmann Compliance, Frankfurt am Main (Mitzeichnung)
+
+---
+
+## Betreff: Ihre Anforderung vom 02. März 2026 — DPIA RecruitAI / AZ 1-1085.51/2026/045
+
+Sehr geehrter Herr Landesbeauftragter Dr. Brückner,
+
+wir danken für Ihr Schreiben vom 02.03.2026, mit dem Sie die Thalheim Industries SE zur Vorlage einer vollständigen Datenschutz-Folgenabschätzung (DPIA) nach Art. 35 DSGVO für den Einsatz des KI-Systems RecruitAI aufgefordert haben.
+
+Wir nehmen Ihre Anforderung sehr ernst und haben unverzüglich Maßnahmen eingeleitet. Im Folgenden stellen wir den aktuellen Stand dar und berichten über die ergriffenen Maßnahmen.
+
+---
+
+## 1. Anerkennung der DPIA-Pflicht
+
+Thalheim Industries SE erkennt an, dass der Einsatz von RecruitAI (Synaptec Analytics GmbH) zur automatisierten Bewertung und Priorisierung von Bewerbungsunterlagen eine DPIA-pflichtige Verarbeitungstätigkeit nach Art. 35 Abs. 1 und Abs. 3 lit. a DSGVO (https://dejure.org/gesetze/DSGVO/35.html) darstellt, da:
+- eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (Bewerberinnen und Bewerber) auf Grundlage automatisierter Verarbeitung einschließlich Profiling vorliegt und
+- diese Bewertung Entscheidungen nach sich zieht, die für die betroffenen Personen rechtliche oder ähnlich erhebliche Wirkung entfalten (Einstellungsentscheidung).
+
+Die DPIA-Pflicht ist durch die Aufnahme derartiger Systeme in die LfDI-BW-Positivliste (Stand Oktober 2024) bekräftigt.
+
+---
+
+## 2. Stand der DPIA-Erarbeitung
+
+Die DPIA befindet sich derzeit in der Entwurfsphase (Version 0.8, Stand März 2026). Die Fertigstellung und Vorlage an Ihre Behörde ist bis zum 30. Juni 2026 geplant. Folgende Schritte sind abgeschlossen:
+- Systembeschreibung und Verarbeitungsdokumentation: abgeschlossen (Aktenstück 07)
+- Identifikation der Datenkategorien und Betroffenengruppen: abgeschlossen
+- Risikoidentifikation: abgeschlossen (Risikomatrix liegt vor)
+- Einbindung der Datenschutzbeauftragten nach Art. 35 Abs. 2 DSGVO: durchgehend gegeben
+
+Noch ausstehend:
+- Bias-Test-Ergebnisse des Vendors Synaptec (Frist 30.05.2026); parallel laufen unabhängige Tests
+- Vollständige Risikomaßnahmen-Dokumentation (nach Vorlage Bias-Tests)
+- Konsultationsentscheidung nach Art. 36 DSGVO (sofern verbleibende Risiken nicht mitigierbar)
+
+---
+
+## 3. Sofortmaßnahmen aufgrund des Audit-Zwischenberichts
+
+Im Rahmen der parallel laufenden Konformitätsprüfung nach KI-VO wurden folgende Sofortmaßnahmen ergriffen:
+
+**Maßnahme 1:** Die automatische Ablehnung von Bewerberinnen und Bewerbern durch RecruitAI ohne aktive menschliche Bestätigung wurde technisch gesperrt (Umsetzung bis 30.04.2026). Jede Ablehnung erfordert nun eine aktive Bestätigung durch den zuständigen HR-Business-Partner.
+
+**Maßnahme 2:** Der Datenschutzhinweis im Karriereportal der Thalheim Industries SE wurde am 25.03.2026 aktualisiert und informiert Bewerberinnen und Bewerber nunmehr ausdrücklich über den Einsatz eines KI-gestützten Bewerbungsscreening-Systems sowie ihre Rechte nach Art. 13 und Art. 22 DSGVO.
+
+**Maßnahme 3:** Für den Zeitraum September 2024 bis Februar 2026 wird geprüft, ob Bewerberinnen und Bewerber, die vollautomatisch abgelehnt wurden (143 Fälle), nachträglich zu informieren sind (Art. 34 DSGVO). Ergebnis der Prüfung bis 31.05.2026.
+
+---
+
+## 4. Zeitplanung
+
+| Meilenstein | Termin |
+|---|---|
+| Technische Sperre automatische Ablehnung | 30.04.2026 |
+| Bias-Test-Ergebnisse Synaptec | 30.05.2026 |
+| Unabhängige Bias-Test-Ergebnisse | 30.06.2026 |
+| Fertigstellung DPIA | 30.06.2026 |
+| Übermittlung DPIA an LfDI BW | 30.06.2026 |
+| Entscheidung über Konsultation nach Art. 36 DSGVO | Nach DPIA-Fertigstellung |
+
+---
+
+## 5. Bitte um Fristverlängerung / Zwischenstatus
+
+Thalheim Industries SE bittet das LfDI BW um Bestätigung, dass die Einreichung der vollständigen DPIA zum 30. Juni 2026 akzeptiert wird. Wir sichern zu, dass wir bis dahin monatliche Zwischenberichte (jeweils zum 15. des Monats) vorlegen werden.
+
+Für Rückfragen stehe ich jederzeit zur Verfügung.
+
+Mit freundlichen Grüßen
+
+**Dr. Carla Eichenmüller**
+Datenschutzbeauftragte
+Thalheim Industries SE
+August-Bebel-Ring 14, 68163 Mannheim
+T: +49 621 9340-2201
+c.eichenmueller@thalheim-industries.de
+
+**Annegret Kühnhausen (CCO, Mitzeichnung)**
+
+**Dr. Nora Borchmann (Kanzlei Borchmann Compliance, Mitzeichnung)**
+
+---
+
+*Aktenzeichen: TI-KI-2026-012. LfDI BW: AZ 1-1085.51/2026/045. Datum: 28.04.2026.*
@@ -0,0 +1,94 @@
+# Interner Revisionsbericht — KI-Compliance (März/April 2026)
+
+**Aktenzeichen:** TI-KI-2026-016
+**Dokumentversion:** 1.0 (Endfassung)
+**Datum:** 02. Mai 2026
+**Verfasser:** Franz-Josef Brammer, Leiter Konzernrevision Thalheim Industries SE
+**Verteiler:** CEO Dr. Thalheim-Lattermann; CCO Kühnhausen; CIO Dr. Wolfsbacher; CDO Petersen; KI-Komitee
+**Prüfungszeitraum:** 01. März 2026 – 15. April 2026
+
+---
+
+## 1. Prüfungsauftrag und Methodik
+
+Die Konzernrevision hat im Zeitraum März/April 2026 eine anlassbezogene und routinemäßige KI-Compliance-Prüfung durchgeführt. Anlassbezogener Auslöser war die Entdeckung des nicht genehmigten GenAI-Tools in der Marketingabteilung am 14.03.2026 (sog. Schatten-KI). Die Prüfung wurde auf das gesamte KI-Governance-Programm TI-KI-2026 ausgeweitet.
+
+**Prüfungsmethoden:**
+- Dokumentenanalyse (KI-Inventar, Governance-Dokumentation, Vendor-Verträge)
+- Interviews mit verantwortlichen Personen (CIO, CDO, CCO, DSB, HR, Finanzierung, IT-Security)
+- Technische Sichtprüfung (Systemzugriffe, Log-Analyse)
+- Vergleich mit internen Richtlinien (KI-Governance-Leitlinie v2.1) und externen Anforderungen (KI-VO, DSGVO)
+
+---
+
+## 2. Feststellungen
+
+### Feststellung R-001 — Schatten-KI Marketingabteilung (KRITISCH)
+
+**Sachverhalt:** Die Marketingabteilung (Leiter: Dr. Philipp Sonntag) hat seit Juli 2025 (Beginn geschätzt auf Basis erster Log-Daten) ein nicht genehmigtes KI-Tool (Midjourney API-Integration über eigens eingerichteten Server) für Bildgenerierung und Texterstellung eingesetzt. Das Tool wurde außerhalb des zentralen CDO-verwalteten IT-Stack betrieben und war weder im KI-Inventar eingetragen noch durch den KI-Freigabeprozess genehmigt worden.
+
+**Volumen:** Mindestens 8 Monate Betrieb; ca. 2.400 API-Anfragen (rekonstruiert aus Cloud-Kostenabrechnungen).
+
+**Datenrisiko:** Prüfung durch DSB Dr. Eichenmüller ergab, dass in 34 von 2.400 Anfragen Nachnamen und Firmennamen von Kunden in Prompts eingegeben wurden. Diese Daten wurden an die Midjourney-Server (USA, keine adequate-level-Entscheidung für diesen Verarbeitungskontext) übermittelt. Potenzielle DSGVO-Verletzung (Art. 44 ff. DSGVO); Meldepflicht an LfDI BW wird geprüft.
+
+**Ursachen:** (1) Fehlende technische Zugangskontrollen (API-Nutzung nicht geblockt); (2) Unzureichende Sensibilisierung der Führungskräfte (AI-Literacy-Rückstand); (3) Unklare Kommunikation der KI-Governance-Anforderungen.
+
+**Empfehlung:** Sofortige Überprüfung und Sperrung nicht autorisierter API-Endpunkte. Arbeitsrechtliche Konsequenzen für Dr. Sonntag prüfen (nach Anhörung). Nachträgliche Datenschutzprüfung der 34 Kundendaten-Fälle. Eskalation an LfDI BW ggf. nach Art. 33 DSGVO.
+
+---
+
+### Feststellung R-002 — AI-Literacy-Schulungsrückstand als systemisches Risiko (HOCH)
+
+**Sachverhalt:** Nur 38 % aller Mitarbeitenden haben Modul A abgeschlossen (Stand März 2026). In Fachbereichen mit Hochrisiko-Systemen (HR: 36 %, Finanzierung: 40 %) besonders kritisch. Der Betriebsrat hat noch keinerlei Schulung erhalten.
+
+**Bewertung:** Das Vorkommnis mit der Schatten-KI in der Marketingabteilung ist unmittelbar auf den Schulungsrückstand zurückzuführen. Dr. Sonntag und sein Team wussten nicht um die KI-Freigabepflicht. Dies zeigt: der Schulungsrückstand ist kein administratives Problem, sondern ein systemisches Compliance-Risiko.
+
+**Empfehlung:** Sofortprogramm AI Literacy mit Führungskräftepflicht. Monatliches Reporting an KI-Komitee. Kopplung der Freigabe neuer KI-Tools an Schulungsnachweis des Antragstellers.
+
+---
+
+### Feststellung R-003 — Keine vollständige Vendor-Vertragsrevision nach KI-VO (MITTEL)
+
+**Sachverhalt:** Die Bestandsverträge mit Synaptec Analytics GmbH und CreditVision AG enthalten keine KI-VO-spezifischen Klauseln (Bias-Test-Pflichten, Meldepflichten bei Incidents, technische Dokumentations-SLA). Der OpenAI-Vertrag enthält ebenfalls keine EU-AI-Act-Klausel.
+
+**Bewertung:** Thalheim trägt als Betreiber die Verantwortung dafür, dass die Vendor-Systeme die KI-VO-Anforderungen erfüllen. Fehlende vertragliche Absicherung erhöht das Haftungsrisiko.
+
+**Empfehlung:** Alle Vendor-Verträge bis 30.06.2026 um KI-VO-Klauseln ergänzen (Nachtragsvereinbarung). Dabei insbesondere: Bias-Test-Pflicht, techn. Dokumentations-SLA, Incident-Meldepflicht 24h, Konformitätserklärung-Pflicht vor Inbetriebnahme neuer Modellversionen.
+
+---
+
+### Feststellung R-004 — Fehlende SOP für menschliche Aufsicht RecruitAI (MITTEL)
+
+**Sachverhalt:** Es gibt keine schriftlich dokumentierte SOP (Standard Operating Procedure) für HR-Business-Partner, wann und wie sie RecruitAI-Empfehlungen überstimmen sollen. Schulungsmaterial ist vorhanden, aber kein verbindliches Protokollierungsverfahren für Override-Entscheidungen.
+
+**Empfehlung:** SOP bis 30.04.2026 erstellen und in LMS einbinden. Jede Override-Entscheidung in SAP SuccessFactors dokumentieren.
+
+---
+
+### Feststellung R-005 — KI-Inventar unvollständig (NIEDRIG)
+
+**Sachverhalt:** Das KI-Inventar enthält 23 Systeme. Im Rahmen der Bereichsbefragung im April 2026 wurden weitere 4 Systeme gemeldet, die noch nicht eingetragen waren (darunter 1 weiteres Marketing-Tool, 2 Analyse-Tools im Vertrieb, 1 KI-basierter Outlook-Assistent).
+
+**Empfehlung:** Inventar-Kampagne wiederholen. Bis 30.06.2026 alle Meldungen verarbeiten und Inventar abschließen.
+
+---
+
+## 3. Bewertungsübersicht
+
+| Feststellung | Kritikalität | Status (April 2026) | Frist |
+|---|---|---|---|
+| R-001 Schatten-KI Marketing | Kritisch | Abgeschaltet; Aufarbeitung läuft | 31.05.2026 |
+| R-002 AI-Literacy-Rückstand | Hoch | Maßnahmenpaket verabschiedet | 31.10.2026 |
+| R-003 Vendor-Vertragsrevision | Mittel | In Vorbereitung | 30.06.2026 |
+| R-004 SOP menschliche Aufsicht | Mittel | In Erarbeitung | 30.04.2026 |
+| R-005 KI-Inventar unvollständig | Niedrig | Kampagne geplant | 30.06.2026 |
+
+---
+
+## 4. Managementreaktion
+
+CCO Kühnhausen hat den Bericht am 28.04.2026 entgegengenommen und alle Empfehlungen akzeptiert. Die Konzernrevision wird den Umsetzungsstand der Maßnahmen im Rahmen der nächsten Routineprüfung (Q3 2026) nachverfolgen.
+
+---
+
+*Revisionsbericht R-2026-005. Aktenzeichen: TI-KI-2026-016. Leiter Konzernrevision: Franz-Josef Brammer. 02.05.2026.*
@@ -0,0 +1,89 @@
+# Eskalationsvorlage an den Vorstandsvorsitzenden
+
+**Aktenzeichen:** TI-KI-2026-007
+**Datum:** 15. April 2026
+**An:** Dr. Reinhard Thalheim-Lattermann, CEO
+**Von:** Annegret Kühnhausen, CCO; Dr. Falk Roosendaal, KI-Komitee-Vorsitz
+**Klassifizierung:** VERTRAULICH — NUR FÜR VORSTANDSMITGLIEDER
+
+---
+
+## Betreff: Eskalation — Kumulative Risiken KI-Governance-Programm TI-KI-2026
+
+Sehr geehrter Herr Dr. Thalheim-Lattermann,
+
+wir berichten Ihnen über eine Verdichtung kritischer Risiken im KI-Governance-Programm TI-KI-2026, die eine Entscheidung auf Vorstandsebene erfordern. Drei Stränge entwickeln sich so, dass ohne Ihr persönliches Eingreifen die gesetzliche Frist 02.08.2026 für RecruitAI nicht zu halten ist und erhebliche behördliche und reputationsbezogene Konsequenzen drohen.
+
+---
+
+## 1. Situationsbeschreibung
+
+### Strang 1: RecruitAI — Doppeltes Risiko (Bias-Tests + automatische Ablehnungen)
+
+Der Auditor Hagedorn & Partner hat am 28.02.2026 festgestellt:
+- Synaptec Analytics GmbH hat **keine dokumentierten Bias-Tests** geliefert. Nach 6 Wochen keine Reaktion auf unsere Mahnung vom 05.03.2026.
+- In **143 Fällen** wurden Bewerberinnen und Bewerber vollautomatisch abgelehnt — ohne HR-Bestätigung. Dies ist ein potenzieller Verstoß gegen Art. 22 DSGVO und Art. 14 KI-VO.
+
+**Was bereits getan wurde:** Technische Sperre der automatischen Ablehnung ab 30.04.2026; paralleles Bias-Testing beauftragt; LfDI BW informiert.
+
+**Was fehlt:** Synaptec liefert nicht. Wenn bis 30.05.2026 keine Bias-Test-Ergebnisse vorliegen, können wir die Konformitätsbewertung bis 31.07.2026 nicht abschließen. In diesem Fall müsste RecruitAI ab 02.08.2026 abgeschaltet werden.
+
+**Entscheidungsbedarf:** Sollen wir rechtliche Schritte gegen Synaptec wegen Vertragsverletzung einleiten? Und sollen wir parallel ein alternatives Recruiting-System evaluieren? Dies erfordert Ihr Mandat und Budgetfreigabe für externe Rechtsberatung (Schätzung: 50.000 EUR) und System-Evaluation (Schätzung: 120.000 EUR).
+
+---
+
+### Strang 2: Betriebsrat — Keine Einigung in Sicht
+
+Die Betriebsvereinbarungsverhandlungen laufen seit Januar 2026. Trotz drei Gesprächen besteht keine Einigung zu den Kernpunkten (Sachverständige, Bias-Test-Frequenz, Einsichtnahme). Betriebsratsvorsitzender Schäpers hat in der letzten Sitzung am 08.04.2026 signalisiert, er erwäge einen Antrag auf einstweilige Verfügung, wenn der Rollout ohne BV versucht wird.
+
+**Konsequenz:** Ohne abgeschlossene BV können RecruitAI und CreditVision Score nach § 87 BetrVG nicht regulär weiterbetrieben werden. Der Betriebsrat hat ein Klagerecht beim Arbeitsgericht.
+
+**Entscheidungsbedarf:** Ermächtigen Sie die CCO, die Einigungsstelle nach § 76 BetrVG (https://dejure.org/gesetze/BetrVG/76.html) anzurufen, wenn bis 15.05.2026 keine Einigung erzielt wird? Das Einigungsstellenverfahren kostet ca. 25.000–60.000 EUR und dauert 3–6 Monate, bietet aber einen geordneten Abschluss.
+
+---
+
+### Strang 3: Schatten-KI Marketing — Mögliche DSGVO-Meldepflicht
+
+Die Konzernrevision hat festgestellt, dass in 34 Fällen Kundendaten in Midjourney-Prompts eingegeben wurden, die an Server in den USA übermittelt wurden. Die Datenschutzbeauftragte Dr. Eichenmüller prüft, ob eine Meldung nach Art. 33 DSGVO an den LfDI BW erforderlich ist.
+
+**Konsequenz:** Wenn eine Meldepflicht besteht, muss diese innerhalb von 72 Stunden nach Kenntnis des Risikos erfolgen. Die Kenntnis des Datenschutzvorfalls entstand am 20.04.2026; Frist läuft.
+
+**Entscheidungsbedarf:** Autorisieren Sie Dr. Eichenmüller, die Meldung nach Art. 33 DSGVO zu erstatten, sofern ihre rechtliche Prüfung eine Meldepflicht ergibt — ohne weitere Rückfrage beim Vorstand? Hintergrund: Schnelligkeit ist hier Pflicht.
+
+---
+
+## 2. Handlungsoptionen im Überblick
+
+| Entscheidung | Option A | Option B | Empfehlung CCO |
+|---|---|---|---|
+| Synaptec-Eskalation | Rechtliche Schritte + Alternativsystem | Weiter warten | **Option A** |
+| BR-Verhandlung | Einigungsstelle § 76 BetrVG | Verhandlung fortsetzen | **Option A, wenn bis 15.05. keine Einigung** |
+| DSGVO-Meldung | DSB entscheidet autonom | Vorstand entscheidet | **Option A** |
+
+---
+
+## 3. Finanzieller Bedarf
+
+| Position | Betrag | Freigabe erforderlich |
+|---|---|---|
+| Rechtsberatung Synaptec (Vertragsdurchsetzung) | 50.000 EUR | Ja |
+| Alternativsystem-Evaluation (parallel) | 120.000 EUR | Ja |
+| Einigungsstelle BetrVG (geschätzt) | 45.000 EUR | Ja |
+| Gesamt | **215.000 EUR** | Außerhalb bisherigem Budget |
+
+---
+
+## 4. Votum der CCO
+
+Ich empfehle, alle drei Entscheidungen so zu treffen, wie unter Option A beschrieben. Das Risiko eines Scheiterns der KI-VO-Konformität bis 02.08.2026 ist aus meiner Sicht erheblicher als der finanzielle Aufwand. Ein Betrieb von RecruitAI ohne Konformitätsnachweis nach dem 02.08.2026 ist rechtlich unzulässig und stellt für den Vorstand eine persönliche Haftung nach § 93 AktG dar.
+
+**Bitte teilen Sie uns Ihre Entscheidung bis 22. April 2026 mit.**
+
+Mit freundlichen Grüßen
+
+**Annegret Kühnhausen, CCO**
+**Dr. Falk Roosendaal, KI-Komitee-Vorsitz**
+
+---
+
+*Aktenzeichen: TI-KI-2026-007. Datum: 15.04.2026. VERTRAULICH.*
@@ -0,0 +1,62 @@
+# Pressemitteilung — Entwurf (nicht freigegeben)
+
+**Aktenzeichen:** TI-KI-2026-007 (Kommunikationsanhang)
+**Dokumentversion:** Entwurf v1.2
+**Erstellungsdatum:** 20. März 2026
+**Verfasserin:** Katharina Voss-Heidemann, Leiterin Unternehmenskommunikation
+**Abstimmung:** Ausstehend — CCO, CEO, Kanzlei Borchmann
+**Freigabe geplant:** nach Abschluss Konformitätsprüfung (Q3 2026)
+
+---
+
+**EMBARGIERT — NUR ZUR INTERNEN ABSTIMMUNG**
+
+---
+
+## Pressemitteilung
+
+**Mannheim, [Datum nach Freigabe]**
+
+**Thalheim Industries SE startet umfassendes KI-Governance-Programm — Konformität mit EU-KI-Verordnung bis August 2026**
+
+Die Thalheim Industries SE, führendes Unternehmen im deutschen Anlagenbau und in der Energietechnik mit Sitz in Mannheim, gibt den Start ihres konzernweiten KI-Governance-Programms bekannt. Mit dem Programm bereitet sich Thalheim Industries auf die vollständige Konformität mit der Verordnung (EU) 2024/1689 über künstliche Intelligenz (KI-VO) vor, die für Hochrisiko-KI-Systeme ab dem 2. August 2026 verbindlich gilt.
+
+„Wir sehen die EU-KI-Verordnung nicht als Bürde, sondern als Chance, das Vertrauen unserer Kunden, Mitarbeiterinnen und Mitarbeiter sowie Geschäftspartner in unsere technologischen Entscheidungen zu stärken", sagte Dr. Reinhard Thalheim-Lattermann, Vorstandsvorsitzender der Thalheim Industries SE. „Künstliche Intelligenz ist ein zentraler Baustein unserer digitalen Transformation. Governance ist der Rahmen, der sicherstellt, dass wir diese Technologie verantwortungsvoll einsetzen."
+
+[*Redaktionelle Anmerkung: Zitat mit CEO noch abzustimmen.*]
+
+**KI-Governance als Wettbewerbsvorteil**
+
+Thalheim Industries setzt derzeit fünf KI-Systeme in operativem Betrieb ein, darunter KI-gestützte Systeme in den Bereichen Personalauswahl, Kundenfinanzierung, Predictive Maintenance und Software-Entwicklung sowie im Kundenservice. Zwei dieser Systeme — das Recruiting-Screening-Tool und das Kreditscoring-Modul — sind als Hochrisiko-KI-Systeme im Sinne der KI-VO eingestuft und werden einer vollständigen externen Konformitätsprüfung unterzogen.
+
+Dr. Sigrid Wolfsbacher, Chief Information Officer: „Wir haben ein zentrales KI-Inventar aufgebaut und alle eingesetzten Systeme klassifiziert. Das gibt uns die Transparenz, die wir brauchen, um verantwortungsvoll zu handeln."
+
+**KI-Kompetenz für alle Mitarbeiterinnen und Mitarbeiter**
+
+Ein Kernbestandteil des Programms ist die konzernweite AI-Literacy-Initiative: Alle 12.000 Mitarbeiterinnen und Mitarbeiter erhalten bis Oktober 2026 eine Schulung zum verantwortungsvollen Umgang mit KI-Systemen — von den Grundlagen bis zur fachbereichsspezifischen Vertiefung für Nutzer von Hochrisiko-Systemen.
+
+**Datenschutz als integraler Bestandteil**
+
+„Datenschutz und KI-Governance gehen bei uns Hand in Hand", erklärt Dr. Carla Eichenmüller, Datenschutzbeauftragte der Thalheim Industries SE. „Wo ein KI-System personenbezogene Daten verarbeitet, führen wir eine Datenschutz-Folgenabschätzung durch und setzen klare Grenzen für die automatisierte Entscheidungsunterstützung."
+
+**Mitarbeitervertretung eingebunden**
+
+Thalheim Industries verhandelt parallel eine Betriebsvereinbarung zu KI-Systemen mit dem Betriebsrat. [*Redaktionelle Anmerkung: Formulierung abhängig vom Verhandlungsstand zum Freigabezeitpunkt.*]
+
+---
+
+**Über Thalheim Industries SE**
+Die Thalheim Industries SE ist ein führendes deutsches Industrieunternehmen im Bereich Anlagenbau und Energietechnik mit Hauptsitz in Mannheim. Mit rund 12.000 Mitarbeiterinnen und Mitarbeitern und einem Jahresumsatz von ca. 3,2 Milliarden Euro (2025) ist Thalheim Industries in 18 Ländern tätig. Das Unternehmen ist im MDAX gelistet.
+
+---
+
+**Pressekontakt:**
+Katharina Voss-Heidemann
+Leiterin Unternehmenskommunikation
+Thalheim Industries SE
+T: +49 621 9340-3100
+presse@thalheim-industries.de
+
+---
+
+*ENTWURF. Nicht zur Veröffentlichung freigegeben. Interne Abstimmung läuft. Aktenzeichen: TI-KI-2026-007.*
@@ -0,0 +1,83 @@
+# Q&A — Kundenanfragen zum KI-Einsatz bei Thalheim Industries SE
+
+**Aktenzeichen:** TI-KI-2026-007 (Kommunikationsanhang)
+**Dokumentversion:** 1.1
+**Erstellungsdatum:** 15. April 2026
+**Verfasserinnen:** Katharina Voss-Heidemann (Unternehmenskommunikation); Annegret Kühnhausen (CCO)
+**Zielgruppe:** Vertriebsmitarbeiterinnen und -mitarbeiter, Kundenbetreuer, Pressestelle
+
+---
+
+## Zweck dieses Dokuments
+
+Dieses Q&A-Dokument bereitet häufige Fragen von Kunden, Geschäftspartnern und Medienvertretern zum KI-Einsatz bei Thalheim Industries SE mit genehmigten Antworten vor. Die Antworten sind nicht zur wortwörtlichen Wiedergabe gedacht, sondern als inhaltliche Leitlinie.
+
+---
+
+## Teil A: Allgemeine Fragen
+
+**Frage A1: Setzt Thalheim Industries KI-Systeme ein?**
+
+Ja. Thalheim Industries setzt derzeit fünf KI-Systeme in verschiedenen Geschäftsbereichen ein: im Bereich Personalauswahl, Kundenfinanzierung, Wartungsplanung für Industrieanlagen, Softwareentwicklung und im Kundenservice-Bereich. Alle Systeme sind klassifiziert und registriert.
+
+**Frage A2: Entsprechen die KI-Systeme der EU-KI-Verordnung?**
+
+Thalheim Industries nimmt die Anforderungen der Verordnung (EU) 2024/1689 sehr ernst. Das Unternehmen befindet sich in einem aktiven Konformitätsprogramm (TI-KI-2026), das die vollständige Compliance mit den gesetzlichen Fristen anstrebt. Für die zwei als Hochrisiko eingestuften Systeme läuft eine externe Konformitätsprüfung.
+
+**Frage A3: Was ist ein Hochrisiko-KI-System?**
+
+Die EU-KI-Verordnung stuft KI-Systeme, die in bestimmten sensiblen Bereichen eingesetzt werden, als Hochrisiko ein — darunter Systeme zur Personalauswahl und zur Bewertung der Kreditwürdigkeit. Für diese Systeme gelten strenge Anforderungen: Risikomanagement, Bias-Tests, transparente Dokumentation, menschliche Aufsicht und regelmäßige Prüfungen.
+
+---
+
+## Teil B: Fragen zu Kreditentscheidungen (CreditVision Score)
+
+**Frage B1: Entscheidet ein KI-System, ob ich einen Kredit bekomme?**
+
+Nein — die abschließende Kreditentscheidung trifft stets ein qualifizierter Kundenbetreuer bei Thalheim Industries. Das KI-Scoring-System berechnet eine Kennzahl, die in die Entscheidungsfindung einfließt, aber keine finale Entscheidung trifft. Der Mensch entscheidet.
+
+**Frage B2: Welche Daten werden für das Kredit-Scoring verwendet?**
+
+Für die Bonitätsbewertung werden Daten aus Ihrer Selbstauskunft, Angaben zur wirtschaftlichen Situation und — mit Ihrer Einwilligung — Daten im Rahmen des PSD2-Kontodatenzugangs verwendet. Details entnehmen Sie unserer Datenschutzerklärung.
+
+**Frage B3: Kann ich eine Erklärung des Scorings verlangen?**
+
+Ja. Sie haben nach Art. 22 Abs. 3 DSGVO (https://dejure.org/gesetze/DSGVO/22.html) das Recht, die Überprüfung durch einen Mitarbeiter zu verlangen und eine Erklärung zu den wesentlichen Parametern des Scorings zu erhalten. Wenden Sie sich dazu an Ihren Kundenbetreuer oder schreiben Sie an datenschutz@thalheim-industries.de.
+
+**Frage B4: Die BaFin hat nach Ihrem Kreditscoring-System gefragt — gibt es Probleme?**
+
+Thalheim Industries kooperiert vollständig mit den Aufsichtsbehörden. Der Dialog mit der BaFin läuft im Rahmen der normalen Aufsichtspraxis und dient der Klärung regulatorischer Anforderungen. Wir haben keine Hinweise auf Regelverstöße.
+
+---
+
+## Teil C: Fragen zum Recruiting-Screening (RecruitAI)
+
+**Frage C1: Bewertet ein Algorithmus meine Bewerbung bei Thalheim Industries?**
+
+Thalheim Industries nutzt ein KI-unterstütztes System, das Bewerbungsunterlagen nach definierten Kriterien auswertet und eine Priorisierungsempfehlung erstellt. Die abschließende Entscheidung, ob ein Bewerber oder eine Bewerberin in die nächste Runde kommt, trifft eine qualifizierte HR-Mitarbeiterin oder ein HR-Mitarbeiter.
+
+Wir informieren Bewerberinnen und Bewerber über den Einsatz dieses Systems in unserer Datenschutzerklärung im Karriereportal.
+
+**Frage C2: Diskriminiert das System Bewerber aufgrund von Geschlecht, Herkunft oder Alter?**
+
+Thalheim Industries nimmt die Fairness-Anforderungen des KI-Rechts sehr ernst. Wir lassen das System durch externe Fachleute auf Diskriminierungsrisiken testen (sog. Bias-Tests). Die Ergebnisse dieser Tests fließen in die Weiterentwicklung des Systems ein. Bis zum Vorliegen der vollständigen Testergebnisse betreiben wir das System mit verstärkter menschlicher Aufsicht.
+
+**Frage C3: Kann ich Auskunft darüber verlangen, welche Daten über mich verarbeitet wurden?**
+
+Ja. Sie haben nach Art. 15 DSGVO das Recht auf Auskunft über Ihre gespeicherten Daten und nach Art. 22 DSGVO das Recht, nicht ausschließlich auf Basis automatisierter Entscheidungen beurteilt zu werden. Wenden Sie sich an datenschutz@thalheim-industries.de.
+
+---
+
+## Teil D: Fragen zu Datenschutz und Datensicherheit
+
+**Frage D1: Werden meine Daten an KI-Firmen weitergegeben?**
+
+Thalheim Industries setzt KI-Systeme von spezialisierten Anbietern ein. Mit allen Anbietern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO, die die Verarbeitung auf den vereinbarten Zweck begrenzen und die Datensicherheit sicherstellen. Datenweitergaben außerhalb des Europäischen Wirtschaftsraums (EWR) erfolgen nur mit geeigneten Schutzmaßnahmen nach Art. 44 ff. DSGVO.
+
+**Frage D2: Was ist mit dem Bericht über ein nicht genehmigtes KI-Tool in Ihrer Marketingabteilung?**
+
+Thalheim Industries hat intern ein nicht genehmigtes Tool identifiziert, das ein Mitarbeiter ohne entsprechende Freigabe eingesetzt hat. Das Tool wurde sofort abgeschaltet. Wir haben den Vorfall aufgearbeitet und technische und organisatorische Maßnahmen ergriffen, um solche Fälle künftig zu verhindern. Soweit Kundendaten betroffen sind, haben wir die zuständige Datenschutzbehörde informiert.
+
+---
+
+*Aktenzeichen: TI-KI-2026-007. Verfasserinnen: K. Voss-Heidemann, A. Kühnhausen. Version 1.1, April 2026.*
@@ -0,0 +1,126 @@
+# Konformitäts-Roadmap 2025–2027 — KI-Governance Thalheim Industries SE
+
+**Aktenzeichen:** TI-KI-2026-007
+**Dokumentversion:** 2.0
+**Erstellungsdatum:** 20. Januar 2026 (aktualisiert März 2026)
+**Verfasser:** Dr. Falk Roosendaal; Annegret Kühnhausen
+**Freigegeben durch:** KI-Komitee, 14.03.2026
+
+---
+
+## 1. Überblick
+
+Diese Roadmap zeigt den Weg zur vollständigen Konformität der Thalheim Industries SE mit der Verordnung (EU) 2024/1689 (KI-VO) bis zum 02. August 2027 (finale Anwendungsfrist für alle Hochrisiko-Systeme; bestehende Hochrisiko-Systeme aus Anhang-I-Produkten). Für die primär relevanten Hochrisiko-Systeme RecruitAI und CreditVision Score gilt die Frist 02. August 2026.
+
+**Rechtliche Fristen (Art. 113 KI-VO, https://dejure.org/gesetze/KIVO/113.html):**
+
+| Datum | Anwendbare Pflichten |
+|---|---|
+| 02.02.2025 | Art. 5 (Verbote); Art. 50 (Transparenz); Art. 3 (Definitionen) |
+| 02.08.2025 | Kapitel I (Allg. Bestimmungen); Art. 4 (AI Literacy); Kap. II-IV (Governance) |
+| 02.08.2026 | Art. 6–51 (Hochrisiko-Pflichten, Konformitätsbewertung, Registrierung) |
+| 02.08.2027 | Art. 6 für Produkte nach Anhang I (bestehende CE-Produkte) |
+
+---
+
+## 2. Meilensteinplan
+
+### Phase 1: Bestandsaufnahme (Oktober–Dezember 2025) ✓ ABGESCHLOSSEN
+
+| Meilenstein | Frist | Status |
+|---|---|---|
+| KI-Inventar: Alle Systeme erfasst | 31.12.2025 | ✓ Abgeschlossen (23 Systeme) |
+| Risikoklassifikation aller Systeme | 15.01.2026 | ✓ Abgeschlossen |
+| Gap-Analyse je System | 31.01.2026 | ✓ Abgeschlossen |
+| KI-Komitee erste Sitzung | 15.01.2026 | ✓ Stattgefunden |
+| Externe Berater mandatiert | 15.11.2025 | ✓ Borchmann, Hagedorn |
+
+---
+
+### Phase 2: Konformitätsherstellung (Januar–Juli 2026) — LAUFEND
+
+#### 2A — Rechtliche und Governance-Grundlagen
+
+| Meilenstein | Frist | Status (März 2026) |
+|---|---|---|
+| KI-Governance-Leitlinie v2 final + Vorstandsfreigabe | 15.04.2026 | In Freigabe |
+| Rote Liste (Art. 5) kommuniziert | 01.02.2026 | ✓ Erledigt |
+| ServiceBot: Art. 50-Hinweis implementiert | 01.02.2025 | ✓ Erledigt |
+| Betriebsvereinbarung KI unterzeichnet | 30.06.2026 | ⚠ Verhandlungen stocken |
+| Vendor-Verträge KI-VO-Klauseln ergänzt | 30.06.2026 | In Bearbeitung |
+
+#### 2B — AI Literacy (Art. 4 KI-VO)
+
+| Meilenstein | Frist | Status (März 2026) |
+|---|---|---|
+| Modul A: alle Mitarbeitenden (Ziel 100 %) | 31.10.2026 | 38 % — Kampagne läuft |
+| Modul C: HR-Fachbereich (100 %) | 31.05.2026 | 36 % |
+| Modul D: Finanzierung (100 %) | 31.05.2026 | 40 % |
+| Modul E: IT-Bereich (100 %) | 30.06.2026 | 58 % |
+| Modul F: Compliance (100 %) | 30.04.2026 | 78 % |
+| Modul G: Betriebsrat | 31.07.2026 | 0 % |
+
+#### 2C — RecruitAI: Konformitätsprüfung
+
+| Meilenstein | Frist | Status (März 2026) |
+|---|---|---|
+| Audit-Start Hagedorn & Partner | 15.01.2026 | ✓ Gestartet |
+| Bias-Test beauftragen (unabhängig) | 31.03.2026 | ✓ Beauftragt (Beschluss KI-Komitee) |
+| Bias-Test-Ergebnisse Synaptec | 30.05.2026 | ⚠ Offen |
+| Bias-Test-Ergebnisse unabhängig | 30.06.2026 | In Durchführung |
+| DPIA abgeschlossen + LfDI BW vorlegen | 30.06.2026 | ⚠ Entwurf v0.8 |
+| Techn. Dokumentation Synaptec vollst. | 30.04.2026 | ⚠ Nachforderung |
+| SOP menschliche Aufsicht HR | 30.04.2026 | In Erarbeitung |
+| Konformitätsbewertung Abschlussbericht | 31.07.2026 | Geplant |
+| EU-Datenbank-Registrierung RecruitAI | 01.08.2026 | Nach Abschlussbericht |
+| **Frist KI-VO (Art. 113)** | **02.08.2026** | **KRITISCH** |
+
+#### 2D — CreditVision Score: Konformitätsprüfung
+
+| Meilenstein | Frist | Status (März 2026) |
+|---|---|---|
+| BaFin-Stellungnahme | 15.05.2026 | In Vorbereitung |
+| Audit-Start Hagedorn | Mai 2026 | Geplant |
+| Art. 22 DSGVO Prozess-Härtung | 30.04.2026 | In Umsetzung |
+| Bias-Tests CreditVision | 30.06.2026 | Nachforderung |
+| DPIA (falls erforderlich) | 30.06.2026 | Prüfung läuft |
+| Konformitätsbewertung Abschlussbericht | 31.07.2026 | Geplant |
+| EU-Datenbank-Registrierung | 01.08.2026 | Nach Abschlussbericht |
+| **Frist KI-VO (Art. 113)** | **02.08.2026** | **KRITISCH** |
+
+---
+
+### Phase 3: Konsolidierung (Januar–Dezember 2027)
+
+| Meilenstein | Frist |
+|---|---|
+| Jährliche Bias-Test-Überprüfung alle Systeme | Q2 2027 |
+| Aktualisierung KI-Inventar (neue Systeme 2026/2027) | Q1 2027 |
+| Überprüfung PredictMaint (Art. 6, Anh. I) | 01.08.2027 |
+| Governance-Leitlinie v3 (Anpassung nach Erfahrungen Phase 2) | Q1 2027 |
+| GPAI-Modell-Compliance Review (OpenAI-Verträge) | Q2 2027 |
+| Zweiter interner Audit KI-Compliance | Q3 2027 |
+| Aufsichtsratsbericht Phase-3-Start | Dez. 2026 |
+
+---
+
+## 3. Ampel-Übersicht (März 2026)
+
+| Thema | Status |
+|---|---|
+| KI-Inventar | 🟢 Grün |
+| Risikoklassifikation | 🟢 Grün |
+| Art. 5 Verbote | 🟢 Grün |
+| Art. 50 Transparenz (ServiceBot) | 🟢 Grün |
+| AI Literacy gesamt | 🟡 Gelb (38 %) |
+| AI Literacy HR / Finanzierung | 🔴 Rot (unter 40 %) |
+| RecruitAI Konformitätsprüfung | 🔴 Rot (Bias-Tests fehlen) |
+| CreditVision Score Konformitätsprüfung | 🟡 Gelb (BaFin-Anfrage offen) |
+| Betriebsvereinbarung | 🔴 Rot (keine Einigung) |
+| Vendor-Verträge KI-VO | 🟡 Gelb |
+| DPIA RecruitAI | 🟡 Gelb (Entwurf läuft) |
+| Schatten-KI Marketing | 🟢 Grün (abgeschaltet, Aufarbeitung) |
+
+---
+
+*Aktenzeichen: TI-KI-2026-007. Version 2.0. Verfasser: Dr. F. Roosendaal, A. Kühnhausen. Stand: März 2026.*
@@ -0,0 +1,107 @@
+# Budgetplan — KI-Governance-Funktion Thalheim Industries SE 2026/2027
+
+**Aktenzeichen:** TI-KI-2026-007
+**Dokumentversion:** 1.2
+**Erstellungsdatum:** 20. Oktober 2025 (aktualisiert März 2026)
+**Verfasser:** Klaus-Dieter Obermaier (CFO); Annegret Kühnhausen (CCO)
+**Freigabe:** Vorstand VS-2025-087 (15.10.2025); Aktualisierung durch KI-Komitee 14.03.2026
+
+---
+
+## 1. Übersicht Programmbudget TI-KI-2026
+
+Das Gesamtbudget des Programms TI-KI-2026 (Phase 1 und 2) wurde durch den Vorstand am 15.10.2025 mit 1.450.000 EUR genehmigt. Auf Basis der Erkenntnisse aus Phase 1 und den Eskalationsthemen Q1 2026 wird ein Nachtragsbudget von 215.000 EUR beantragt (vgl. Eskalationsvorlage Aktenstück 17).
+
+**Gesamtbudget inkl. Nachtrag:** 1.665.000 EUR
+
+---
+
+## 2. Budgetplan nach Kostenstellen
+
+### 2.1 Externe Rechtsberatung
+
+| Position | Budget 2025 | Budget 2026 | Budget 2027 | Gesamt |
+|---|---|---|---|---|
+| Kanzlei Borchmann Compliance (Rahmenmandat) | 15.000 EUR | 195.000 EUR | 70.000 EUR | 280.000 EUR |
+| Synaptec-Vertragsdurchsetzung (Nachtrag) | — | 50.000 EUR | — | 50.000 EUR |
+| BaFin-Stellungnahme (inbegriffen Borchmann) | — | — | — | 0 EUR |
+| **Teilsumme Rechtsberatung** | **15.000 EUR** | **245.000 EUR** | **70.000 EUR** | **330.000 EUR** |
+
+### 2.2 Externe Prüfung / Audit
+
+| Position | Budget 2025 | Budget 2026 | Budget 2027 | Gesamt |
+|---|---|---|---|---|
+| WPG Hagedorn & Partner (RecruitAI + CreditVision Score) | — | 190.000 EUR | — | 190.000 EUR |
+| Unabhängige Bias-Tests (extern, Nachtrag) | — | 80.000 EUR | — | 80.000 EUR |
+| Jährlicher KI-Compliance-Audit 2027 | — | — | 90.000 EUR | 90.000 EUR |
+| **Teilsumme Prüfung/Audit** | **0 EUR** | **270.000 EUR** | **90.000 EUR** | **360.000 EUR** |
+
+### 2.3 AI Literacy / Schulung
+
+| Position | Budget 2025 | Budget 2026 | Budget 2027 | Gesamt |
+|---|---|---|---|---|
+| E-Learning-Plattform-Lizenz (TalentHub KI-Module) | 12.000 EUR | 45.000 EUR | 38.000 EUR | 95.000 EUR |
+| Externe Schulungsdienstleister (Präsenz-Workshops) | — | 68.000 EUR | 20.000 EUR | 88.000 EUR |
+| Erstellung Schulungsmaterial (intern + extern) | 5.000 EUR | 30.000 EUR | 10.000 EUR | 45.000 EUR |
+| **Teilsumme Schulung** | **17.000 EUR** | **143.000 EUR** | **68.000 EUR** | **228.000 EUR** |
+
+### 2.4 Technologie und Systemanpassungen
+
+| Position | Budget 2025 | Budget 2026 | Budget 2027 | Gesamt |
+|---|---|---|---|---|
+| Technische Sperre automatische Ablehnung (RecruitAI) | — | 12.000 EUR | — | 12.000 EUR |
+| KI-Inventar-Tool (Lizenz + Integration) | 8.000 EUR | 20.000 EUR | 15.000 EUR | 43.000 EUR |
+| API-Blocking-Maßnahmen (Schatten-KI-Prävention) | — | 18.000 EUR | — | 18.000 EUR |
+| Override-Dokumentation in SAP SuccessFactors | — | 25.000 EUR | 5.000 EUR | 30.000 EUR |
+| KI-Dashboard Compliance-Monitoring | — | 35.000 EUR | 17.000 EUR | 52.000 EUR |
+| **Teilsumme Technologie** | **8.000 EUR** | **110.000 EUR** | **37.000 EUR** | **155.000 EUR** |
+
+### 2.5 Personalaufwand (intern, kalkuliert)
+
+| Position | Budget 2025 | Budget 2026 | Budget 2027 | Gesamt |
+|---|---|---|---|---|
+| KI-Komitee-Vorsitz Dr. Roosendaal (60 % Kapazität) | 28.000 EUR | 120.000 EUR | 80.000 EUR | 228.000 EUR |
+| DSB Dr. Eichenmüller (KI-Anteil, 30 % Kapazität) | 12.000 EUR | 68.000 EUR | 45.000 EUR | 125.000 EUR |
+| CCO-Bereich KI-Compliance (1,5 FTE) | 18.000 EUR | 180.000 EUR | 99.000 EUR | 297.000 EUR |
+| **Teilsumme Personal** | **58.000 EUR** | **368.000 EUR** | **224.000 EUR** | **650.000 EUR** |
+
+### 2.6 Nachtrag Eskalation (Vorstandsgenehmigung ausstehend)
+
+| Position | 2026 |
+|---|---|
+| Synaptec-Vertragsdurchsetzung (Rechtsberatung) | 50.000 EUR |
+| Alternativsystem-Evaluation Recruiting | 120.000 EUR |
+| Einigungsstelle BetrVG (geschätzt) | 45.000 EUR |
+| **Nachtrags-Gesamt** | **215.000 EUR** |
+
+---
+
+## 3. Zusammenfassung
+
+| Kategorie | Gesamt 2025–2027 |
+|---|---|
+| Externe Rechtsberatung | 330.000 EUR |
+| Externe Prüfung/Audit | 360.000 EUR |
+| AI Literacy / Schulung | 228.000 EUR |
+| Technologie | 155.000 EUR |
+| Personal (intern kalkuliert) | 650.000 EUR |
+| **Genehmigtes Gesamtbudget** | **1.450.000 EUR** (ohne Nachtrag) |
+| Nachtragsbudget | 215.000 EUR |
+| **Gesamt inkl. Nachtrag** | **1.665.000 EUR** |
+
+---
+
+## 4. Budgetkontrolle
+
+| Periode | Geplant | Verbraucht | Abweichung |
+|---|---|---|---|
+| Phase 1 (Okt–Dez 2025) | 98.000 EUR | 91.000 EUR | +7.000 EUR |
+| Q1 2026 (Jan–März 2026) | 280.000 EUR | 246.000 EUR | +34.000 EUR |
+| Q2 2026 (Apr–Jun 2026) | 410.000 EUR | Laufend | — |
+| Q3 2026 (Jul–Sep 2026) | 320.000 EUR | Geplant | — |
+
+Das Programm liegt leicht unter dem Ursprungsbudget, jedoch wird der Nachtrag für Synaptec-Eskalation, Einigungsstelle und System-Evaluation benötigt.
+
+---
+
+*Aktenzeichen: TI-KI-2026-007. Verfasser: K.-D. Obermaier, A. Kühnhausen. Stand: März 2026.*
@@ -0,0 +1,92 @@
+# Abschlussbericht Projektphase 1 — KI-Governance-Programm TI-KI-2026
+
+**Aktenzeichen:** TI-KI-2026-007
+**Dokumentversion:** 1.0 (Endfassung)
+**Berichtszeitraum:** Oktober 2025 – Dezember 2025
+**Datum:** 15. Januar 2026
+**Verfasser:** Dr. Falk Roosendaal, KI-Komitee-Vorsitz
+**Freigegeben durch:** Vorstand Thalheim Industries SE (Per-Umlaufbeschluss 20.01.2026)
+
+---
+
+## 1. Zusammenfassung
+
+Die Projektphase 1 des KI-Governance-Programms TI-KI-2026 (Oktober–Dezember 2025) ist erfolgreich abgeschlossen. Die Kernziele — vollständige Inventarisierung aller KI-Systeme, Risikoklassifikation nach KI-VO und umfassende Gap-Analyse — wurden in vollem Umfang erreicht. 23 KI-Systeme wurden identifiziert und klassifiziert. Zwei Systeme wurden als Hochrisiko-Systeme eingestuft, die einer vollständigen Konformitätsprüfung bis 02.08.2026 bedürfen.
+
+Die Phase 1 legte damit das Fundament für Phase 2 (Konformitätsherstellung, Januar–Juli 2026) und Phase 3 (Konsolidierung, 2027).
+
+---
+
+## 2. Zielerreichung Phase 1
+
+| Ziel | Ergebnis | Bewertung |
+|---|---|---|
+| KI-Inventar vollständig | 23 Systeme erfasst | ✓ Vollständig |
+| Risikoklassifikation | 2 Hochrisiko, 3 begrenzt, 1 minimal, 17 weitere | ✓ Vollständig |
+| Gap-Analyse je System | Durchgeführt für alle 5 Kernsysteme | ✓ Vollständig |
+| Governance-Struktur etabliert | KI-Komitee eingerichtet, Rollen besetzt | ✓ Vollständig |
+| KI-Governance-Leitlinie Entwurf | Version 2.0 vorgelegt | ✓ Vollständig |
+| Externe Berater mandatiert | Borchmann Compliance + Hagedorn & Partner | ✓ Vollständig |
+| Vorstandsbeschluss und Auftrag | VS-2025-087 vom 15.10.2025 | ✓ Vollständig |
+| Erste Compliance-Maßnahmen (Art. 50, Art. 5) | ServiceBot-Hinweis, Rote Liste | ✓ Vollständig |
+| Betriebsrat erste Kontaktaufnahme | Informationsschreiben 20.11.2025 | ✓ Erledigt |
+
+---
+
+## 3. Wesentliche Erkenntnisse aus Phase 1
+
+**3.1 Zwei Hochrisiko-Systeme mit unmittelbarem Handlungsbedarf**
+
+RecruitAI und CreditVision Score sind eindeutig als Hochrisiko nach Anhang III KI-VO einzustufen. Beide Systeme sind bereits im Echtbetrieb. Die Konformitätsherstellung ist bis 02.08.2026 zwingend; ein Betrieb ohne Konformitätsnachweis nach diesem Datum ist gesetzeswidrig.
+
+**3.2 Schatten-KI als latentes Risiko erkannt**
+
+Die Bestandsaufnahme hat gezeigt, dass mehrere Fachbereiche KI-Tools nutzen, ohne diese zu melden. Der Freigabeprozess war unbekannt oder wurde als nicht relevant eingestuft. Dies wurde als systemisches Risiko eingestuft und mit erhöhter Dringlichkeit in Phase 2 adressiert. (Die tatsächliche Entdeckung eines nicht genehmigten Tools in Marketing erfolgte erst März 2026, bestätigte aber die Phase-1-Risikoeinschätzung.)
+
+**3.3 AI Literacy-Pflicht (Art. 4 KI-VO) seit August 2025 bereits anwendbar**
+
+Die Inventarisierung ergab, dass die Schulungspflicht nach Art. 4 KI-VO bereits seit 02.08.2025 gilt. Zum Zeitpunkt der Inventarisierung (Oktober 2025) hatte noch kein Mitarbeitender eine formale KI-Literacy-Schulung erhalten. Dies bedeutete einen Rückstand von mehreren Monaten.
+
+**3.4 Vendor-Dokumentation systematisch unvollständig**
+
+Keiner der drei externen Vendoren (Synaptec, CreditVision AG, OpenAI) hatte zum Zeitpunkt der Inventarisierung vollständige KI-VO-konforme Dokumentation vorgelegt. Dies ist ein Branchen-Pattern, keine Thalheim-spezifische Ausnahme.
+
+**3.5 Betriebsrat: Mitbestimmungsrechte frühzeitig einzubeziehen**
+
+Der Betriebsrat hat sofort nach erster Kontaktaufnahme (November 2025) auf seine Mitbestimmungsrechte nach § 87 BetrVG hingewiesen. Die Betriebsvereinbarungsverhandlungen wurden als zentrales Projekt für Phase 2 identifiziert.
+
+---
+
+## 4. Lessons Learned
+
+| Erkenntnis | Empfehlung für Phase 2 |
+|---|---|
+| KI-Systeme werden ohne Governance-Prozesse eingesetzt | Technische Zugangsbeschränkungen + Freigabeprozess implementieren |
+| Vendor-Dokumentation ist branchenweit unvollständig | Vertragliche Dokumentationspflichten einfordern, SLA einbauen |
+| Art. 4 KI-VO gilt bereits — Schulungsrückstand ist real | AI Literacy als Top-Priorität Phase 2 |
+| Betriebsrat ist Schlüsselakteur | Früh und offen einbeziehen; BV-Verhandlung zügig führen |
+| Bias-Tests werden von Vendoren nicht proaktiv geliefert | Eigeninitiative: Unabhängige Tests beauftragen |
+| DPIA-Pflicht kann Behörden-Anfrage auslösen | DPIA frühzeitig beginnen, nicht abwarten |
+
+---
+
+## 5. Übergabe an Phase 2
+
+Phase 2 (Konformitätsherstellung) beginnt am 15. Januar 2026 mit der Konformitätsprüfung RecruitAI durch Hagedorn & Partner. Dr. Roosendaal übernimmt die Projektsteuerung Phase 2. Das KI-Komitee tagt quartalsweise. Nächster Bericht an Vorstand und Aufsichtsrat: Mai 2026 (vgl. Aktenstück 12).
+
+Die vollständige Projektdokumentation Phase 1 umfasst:
+- Aktenstücke 01–09 (Governance-Rahmen, Klassifikation, Pflichtenmatrix)
+- KI-Inventar (vollständig, 23 Systeme)
+- Vendor-Übersichten
+- Vertragsregister KI-Systeme
+- Protokolle KI-Komitee Q4 2025
+
+---
+
+## 6. Dank
+
+Dr. Roosendaal dankt dem Projekt-Core-Team für die intensive Arbeit in Phase 1: Marcus Petersen (CDO), Barbara Trenkmann (HR-Systeme), Rolf Haselmann (Kundenfinanzierung), Dr. Carla Eichenmüller (DSB), IT-Security-Team und der Kanzlei Borchmann Compliance für die kompetente externe Begleitung.
+
+---
+
+*Abschlussbericht Phase 1. Aktenzeichen: TI-KI-2026-007. Verfasser: Dr. F. Roosendaal. Freigabe: Vorstand 20.01.2026.*
@@ -0,0 +1,187 @@
+# Akte: KI-Governance Konzern-Rollout — Thalheim Industries SE
+
+<!-- BEGIN gesamt-pdf-section (autogen) -->
+## Akte komplett herunterladen
+
+Diese Arbeitsakte gibt es in zwei Formaten zum Direkt-Download. Das Gesamt-PDF eignet sich zum Lesen, Ausdrucken und für schnelle Durchsichten. Das Akten-ZIP enthält sämtliche Originaldateien (Markdown-Aktenstücke, Tabellen, E-Mails, Fotos, PDFs, DOCX, XLSX) im Originalordnerlayout für eigene Auswertungen.
+
+| Was | Format | Quelle |
+| --- | --- | --- |
+| Gesamt-PDF (alles in einer Datei, 704 KB) | PDF | [`gesamt-pdf/ki-governance-konzern-rollout-thalheim-industries_gesamt.pdf`](gesamt-pdf/ki-governance-konzern-rollout-thalheim-industries_gesamt.pdf) |
+| Akten-ZIP (alle Einzeldateien) | ZIP | [testakte-ki-governance-konzern-rollout-thalheim-industries.zip](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/testakte-ki-governance-konzern-rollout-thalheim-industries.zip) |
+
+Die ZIP-URL ist stabil und zeigt immer auf die aktuelle Version. Im Akten-ZIP ist das Gesamt-PDF mit enthalten.
+
+<!-- END gesamt-pdf-section (autogen) -->
+
+**Arbeitsakte.** Alle Personen, Anschriften, Aktenzeichen und Unternehmen sind anonymisiert und fiktiv. Die Akte gehört fachlich zum Plugin `ki-governance`.
+
+---
+
+## Kurzbild
+
+- **Mandant:** Thalheim Industries SE, August-Bebel-Ring 14, 68163 Mannheim; DAX-Mittelstand, ca. 12.000 Mitarbeiter, Anlagenbau und Energietechnik; Umsatz rd. 3,2 Mrd. EUR (2025).
+- **Anlass:** KI-Verordnung (EU) 2024/1689 (KI-VO) tritt mit gestaffelten Fristen in Kraft; Thalheim muss bis 02.08.2026 alle Hochrisiko-KI-Systeme konformitätsgeprüft und registriert haben (Art. 113 KI-VO). Intern läuft das Programm unter dem Kürzel **TI-KI-2026** (Aktenzeichen TI-KI-2026-007 bis TI-KI-2026-015).
+- **Interne Stichtage:** Konformitätsprüfung Recruiting-Tool 02.08.2026; AI-Literacy-Schulung (Art. 4 KI-VO) flächendeckend Q4 2025; DPIA für Recruiting-Tool einzureichen bis 30.06.2026.
+- **Externe Verfahren:** BaFin GZ BJ 24-K 7102-2026/0012 (Kreditscoring-Modul); LfDI BW AZ 1-1085.51/2026/045 (DPIA Recruiting-Tool).
+- **Beteiligte intern:** CEO Dr. Reinhard Thalheim-Lattermann; CIO Dr. Sigrid Wolfsbacher; CDO Marcus Petersen; CCO/Compliance Annegret Kühnhausen; Datenschutzbeauftragte Dr. Carla Eichenmüller; KI-Komitee-Vorsitz Dr. Falk Roosendaal; Betriebsratsvorsitzender Norbert Schäpers.
+- **Externe Beteiligte:** OpenAI Ireland Ltd. (Vendor GenAI); Synaptec Analytics GmbH (Vendor Recruiting-Screening); CreditVision AG (Vendor Kreditscoring); Wirtschaftsprüfungsgesellschaft Hagedorn & Partner (Auditor); Kanzlei Borchmann Compliance (externe Rechtsberatung KI-VO).
+
+---
+
+## Fünf KI-Systeme im Scope
+
+| System | Einsatzbereich | Klassifikation | Vendor | Frist |
+|---|---|---|---|---|
+| **RecruitAI** | HR / Recruiting-Screening | Hochrisiko (Anh. III Nr. 4a KI-VO) | Synaptec Analytics GmbH | 02.08.2026 |
+| **CreditVision Score** | Kundenfinanzierung / Kreditscoring | Hochrisiko (Anh. III Nr. 5b KI-VO) | CreditVision AG | 02.08.2026 |
+| **PredictMaint** | Predictive Maintenance Anlagen | Begrenztes Risiko | Thalheim intern | 02.08.2027 |
+| **CodeAssist** | Software-Entwicklung (GenAI) | Begrenztes Risiko | OpenAI Ireland Ltd. | 02.08.2027 |
+| **ServiceBot** | Kundenservice Chatbot | Transparenzpflichten (Art. 50 KI-VO) | Thalheim intern | 02.02.2025 ✓ |
+
+---
+
+## Konfliktstränge
+
+### Strang 1 — RecruitAI: Fehlende Bias-Tests, Audit-Feststellungen
+Auditor Hagedorn & Partner stellt bei der Konformitätsprüfung nach Art. 9 ff. KI-VO fest, dass Synaptec für RecruitAI keine dokumentierten Bias-Tests nach Art. 9 Abs. 7 KI-VO vorgelegt hat. Die Frist 02.08.2026 rückt; ohne bestandene Konformitätsbewertung darf das System nicht weiter betrieben werden (Art. 16 lit. f KI-VO). CIO Wolfsbacher eskaliert an CEO. Gleichzeitig fordert die LfDI BW (AZ 1-1085.51/2026/045) die Einreichung einer vollständigen DPIA nach Art. 35 DSGVO bis 30.06.2026.
+
+### Strang 2 — CreditVision Score: BaFin-Anfrage
+Die BaFin eröffnet eine Konsultation zum Kreditscoring-Modul (GZ BJ 24-K 7102-2026/0012) und fragt, ob Art. 22 DSGVO (automatisierte Einzelentscheidung) eingehalten wird, und ob eine interne Konformitätsbewertung nach Art. 43 Abs. 2 KI-VO durchgeführt wurde. Compliance-Chefin Kühnhausen muss binnen 4 Wochen Stellung nehmen. CreditVision AG liefert Unterlagen mit Verzug.
+
+### Strang 3 — Betriebsrat blockiert Rollout
+Betriebsratsvorsitzender Norbert Schäpers macht geltend, dass Einführung und Erweiterung beider Hochrisiko-Systeme (RecruitAI, CreditVision Score) nach § 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig seien. Der BR verweigert die Zustimmung zum Echtbetrieb, bis eine Betriebsvereinbarung KI abgeschlossen ist. Verhandlungen stocken seit Januar 2026.
+
+### Strang 4 — Vendor OpenAI: Unvollständige Konformitätsdokumentation
+Für CodeAssist (GPT-4-basiert) hat OpenAI Ireland Ltd. keine vollständige technische Dokumentation nach Art. 11 KI-VO übermittelt. CDO Petersen moniert das fehlende Konformitätsdokument. OpenAI verweist auf seine eigene EU-AI-Act-Compliance-Seite, die jedoch keine produktspezifischen Nutzerdaten enthält.
+
+### Strang 5 — AI Literacy (Art. 4 KI-VO): Schulungsrückstand
+Die flächendeckende Schulungspflicht nach Art. 4 KI-VO ist bis Q4 2025 vorgesehen; Stand März 2026 haben erst 38 % der Mitarbeiter die Pflichtschulung absolviert. In Risikobereichen (HR, Finanzierung) besteht besonders großer Rückstand. Konzernrevision prangert dies als systemisches Compliance-Risiko an.
+
+### Strang 6 — LfDI BW fordert DPIA für RecruitAI
+Das Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW, AZ 1-1085.51/2026/045) stuft den Einsatz von RecruitAI als voraussichtlich hochrisikoreich nach Art. 35 Abs. 3 lit. a DSGVO ein und ordnet die Durchführung und Vorlage einer vollständigen DPIA an. Datenschutzbeauftragte Dr. Eichenmüller koordiniert die Erstellung, die durch den laufenden Bias-Test-Mangel (Strang 1) erschwert wird.
+
+### Strang 7 — Konzernrevision: Schatten-KI in der Marketingabteilung
+Interne Revision (Leiter: Franz-Josef Brammer) entdeckt, dass die Marketingabteilung seit mind. 8 Monaten ein nicht genehmigtes GenAI-Tool (Midjourney + eigene API-Anbindung) ohne Sicherheitsfreigabe, ohne Datenschutzprüfung und ohne Registrierung im KI-Inventar betreibt. Der Marketingleiter Dr. Philipp Sonntag streitet eine wissentliche Regelverletzung ab. Vorstand erwägt arbeitsrechtliche Konsequenzen.
+
+---
+
+## Was diese Akte demonstriert
+
+| Skill | Aktenstück | Demonstration |
+|---|---|---|
+| KI-Governance-Leitlinie und Rahmen | 01, 03, 22 | Governance-Framework, Vorstandsbeschluss, Projektabschluss |
+| Risikoklassifikation nach KI-VO | 02, 14 | Anh. III-Prüfung, Risikoeinstufung, Konformitätspfade |
+| Pflichtenmatrix Art. 9 ff. KI-VO | 04, 13 | Hochrisiko-Pflichten, Fachbereichs-Zuordnung, Fristen |
+| AI Literacy (Art. 4 KI-VO) | 05, 10 | Curriculum, Schulungsmatrix, Rückstand, Eskalation |
+| Vendor Due Diligence | 06 | OpenAI-Zertifizierung, Tech-Dok., Vertragsprüfung |
+| DPIA-Integration | 07, 15 | Art. 35 DSGVO, DPIA-Bericht, LfDI-Korrespondenz |
+| Incident Response KI | 08 | Playbook, Eskalationspfad, Schatten-KI |
+| Verbotene Praktiken (Art. 5 KI-VO) | 09 | Rote Liste, Prüfschema, Negativbeispiele |
+| KI-Komitee-Governance | 10 | Protokoll, Beschlüsse, Eskalationen Q1 2026 |
+| Betriebsratsrecht (§ 87 BetrVG) | 11, 15 | Mitbestimmung, BV-Entwurf, Verhandlungsstand |
+| Aufsichtsratsberichterstattung | 12 | AktG § 93, Governance-Bericht, Haftungsrisiken |
+| Konformitätsprüfung Hochrisiko | 13, 14 | Art. 43 KI-VO, Prüfberichte HR/Kredit |
+| Behördenkorrespondenz | 15 | LfDI BW, BaFin, Stellungnahme |
+| Interner Audit | 16 | Revisionsbericht, Feststellungen, Schatten-KI |
+| Vorstandseskalation | 17 | Entscheidungsvorlage, Haftung, Fristen |
+| Externe Kommunikation | 18, 19 | Pressemitteilung, Q&A Kunden |
+| Roadmap und Budget | 20, 21 | Konformitäts-Roadmap 2027, Governance-Budget |
+| Projektabschluss | 22 | Phase-1-Bericht, Lessons Learned |
+
+---
+
+## Aktenstücke
+
+| Nr. | Datei | Inhalt |
+|---|---|---|
+| 01 | [`01-governance-leitlinie-entwurf.md`](01-governance-leitlinie-entwurf.md) | Entwurf KI-Governance-Leitlinie Thalheim Industries SE |
+| 02 | [`02-risikoklassifikations-matrix.md`](02-risikoklassifikations-matrix.md) | Risikoklassifikation der 5 KI-Systeme nach Anh. III KI-VO |
+| 03 | [`03-vorstandsbeschluss.md`](03-vorstandsbeschluss.md) | Vorstandsbeschluss KI-Governance-Programm TI-KI-2026 |
+| 04 | [`04-pflichtenmatrix-fachbereiche.md`](04-pflichtenmatrix-fachbereiche.md) | Pflichtenmatrix Art. 9 ff. KI-VO je Fachbereich |
+| 05 | [`05-ai-literacy-curriculum.md`](05-ai-literacy-curriculum.md) | AI-Literacy-Curriculum und Schulungsplan (Art. 4 KI-VO) |
+| 06 | [`06-vendor-due-diligence-openai.md`](06-vendor-due-diligence-openai.md) | Vendor Due Diligence OpenAI Ireland Ltd. / CodeAssist |
+| 07 | [`07-dpia-recruiting-tool.md`](07-dpia-recruiting-tool.md) | DPIA RecruitAI (Art. 35 DSGVO) — Entwurf |
+| 08 | [`08-incident-response-playbook.md`](08-incident-response-playbook.md) | KI-Incident-Response-Playbook Thalheim Industries |
+| 09 | [`09-rote-listen-verbotene-praktiken.md`](09-rote-listen-verbotene-praktiken.md) | Rote Liste — Verbotene KI-Praktiken nach Art. 5 KI-VO |
+| 10 | [`10-protokoll-ki-komitee-quartal1.md`](10-protokoll-ki-komitee-quartal1.md) | Protokoll KI-Komitee Q1 2026 (14.03.2026) |
+| 11 | [`11-betriebsratsvereinbarung-entwurf.md`](11-betriebsratsvereinbarung-entwurf.md) | Entwurf Betriebsvereinbarung KI-Systeme |
+| 12 | [`12-aufsichtsrat-bericht.md`](12-aufsichtsrat-bericht.md) | Aufsichtsratsbericht KI-Governance Q1 2026 |
+| 13 | [`13-konformitaetspruefung-hr-system.md`](13-konformitaetspruefung-hr-system.md) | Konformitätsprüfung RecruitAI — Auditbericht |
+| 14 | [`14-konformitaetspruefung-kreditscoring.md`](14-konformitaetspruefung-kreditscoring.md) | Konformitätsprüfung CreditVision Score |
+| 15 | [`15-stellungnahme-datenschutzbehoerde.md`](15-stellungnahme-datenschutzbehoerde.md) | Stellungnahme gegenüber LfDI BW (DPIA RecruitAI) |
+| 16 | [`16-interner-audit-bericht.md`](16-interner-audit-bericht.md) | Interner Revisionsbericht KI-Compliance (März 2026) |
+| 17 | [`17-eskalation-vorstandsvorsitz.md`](17-eskalation-vorstandsvorsitz.md) | Eskalationsvorlage an CEO Dr. Thalheim-Lattermann |
+| 18 | [`18-pressemitteilung-entwurf.md`](18-pressemitteilung-entwurf.md) | Pressemitteilungsentwurf: Thalheim startet KI-Governance |
+| 19 | [`19-q-and-a-kundenanfragen.md`](19-q-and-a-kundenanfragen.md) | Q&A zu Kundenanfragen zum KI-Einsatz |
+| 20 | [`20-roadmap-konformitaet-2027.md`](20-roadmap-konformitaet-2027.md) | Konformitäts-Roadmap 2025–2027 |
+| 21 | [`21-budgetplan-governance-funktion.md`](21-budgetplan-governance-funktion.md) | Budgetplan KI-Governance-Funktion 2026/2027 |
+| 22 | [`22-abschlussbericht-projektphase-1.md`](22-abschlussbericht-projektphase-1.md) | Abschlussbericht Projektphase 1 (Bestandsaufnahme) |
+
+---
+
+## Anhänge
+
+### DOCX
+
+| Datei | Inhalt |
+|---|---|
+| [`vorstandsvorlage-ki-governance-rahmen.docx`](vorstandsvorlage-ki-governance-rahmen.docx) | Vorstandsvorlage: KI-Governance-Rahmen Thalheim Industries SE |
+| [`richtlinie-ki-einsatz-thalheim-v3-2.docx`](richtlinie-ki-einsatz-thalheim-v3-2.docx) | Interne Richtlinie KI-Einsatz v3.2 (Entwurf) |
+| [`betriebsvereinbarung-ki-entwurf.docx`](betriebsvereinbarung-ki-entwurf.docx) | Betriebsvereinbarungs-Entwurf KI-Systeme (Verhandlungsstand) |
+
+### XLSX
+
+| Datei | Inhalt |
+|---|---|
+| [`risikoklassifikation-ki-systeme.xlsx`](risikoklassifikation-ki-systeme.xlsx) | Risikoklassifikationstabelle 25 KI-Systeme nach KI-VO |
+| [`pflichtenmatrix-art-9-ff-kivo.xlsx`](pflichtenmatrix-art-9-ff-kivo.xlsx) | Pflichtenmatrix Art. 9 ff. KI-VO je KI-System |
+
+### E-Mails (.eml)
+
+| Datei | Inhalt |
+|---|---|
+| [`email-cio-an-vorstand-projektstart.eml`](email-cio-an-vorstand-projektstart.eml) | CIO Dr. Wolfsbacher an Vorstand: Projektstart TI-KI-2026 |
+| [`email-betriebsrat-mitbestimmung.eml`](email-betriebsrat-mitbestimmung.eml) | BR-Vorsitzender Schäpers: Mitbestimmung nach § 87 BetrVG |
+| [`email-bafin-anfrage-kreditscoring.eml`](email-bafin-anfrage-kreditscoring.eml) | BaFin GZ BJ 24-K 7102-2026/0012: Anfrage Kreditscoring |
+| [`email-konzernrevision-feststellungen.eml`](email-konzernrevision-feststellungen.eml) | Konzernrevision: Feststellungen Schatten-KI Marketing |
+| [`email-openai-vendor-zertifizierung.eml`](email-openai-vendor-zertifizierung.eml) | OpenAI Ireland: Antwort zu Konformitätsdokumentation |
+
+### PDFs
+
+| Datei | Inhalt |
+|---|---|
+| [`eu-leitlinien-zusammenfassung.pdf`](eu-leitlinien-zusammenfassung.pdf) | Zusammenfassung EU-Leitlinien zur KI-Verordnung |
+| [`gutachten-externer-kanzlei-ki-vo-anwendung.pdf`](gutachten-externer-kanzlei-ki-vo-anwendung.pdf) | Gutachten Kanzlei Borchmann: Anwendung KI-VO auf Thalheim-Systeme |
+
+### Bilder (JPG)
+
+| Datei | Inhalt |
+|---|---|
+| [`whiteboard-risikomatrix.jpg`](whiteboard-risikomatrix.jpg) | Whiteboard-Foto: Risikomatrix Workshop (interne Aufnahme) |
+| [`org-chart-governance-funktion.jpg`](org-chart-governance-funktion.jpg) | Org-Chart KI-Governance-Funktion Thalheim Industries |
+| [`screenshot-dashboard-konformitaet.jpg`](screenshot-dashboard-konformitaet.jpg) | Screenshot: Compliance-Dashboard KI-Systeme (Stand März 2026) |
+
+---
+
+## Verfahrensstand
+
+**Stichtag dieser Akte: März 2026**
+**Programmstart: Oktober 2025**
+
+| Verfahrensstrang | Status |
+|---|---|
+| Vorstandsbeschluss TI-KI-2026 | Gefasst 15.10.2025 |
+| KI-Inventarisierung | Abgeschlossen (Phase 1); 23 Systeme erfasst |
+| Risikoklassifikation | 2 Hochrisiko, 3 begrenztes Risiko, 1 minimales Risiko bestätigt |
+| RecruitAI — Konformitätsprüfung | Audit läuft; Bias-Test-Mangel festgestellt; Frist 02.08.2026 |
+| RecruitAI — DPIA | In Bearbeitung; LfDI BW fordert Vorlage bis 30.06.2026 |
+| CreditVision Score — BaFin | Offene BaFin-Anfrage; Antwortfrist 15.05.2026 |
+| Betriebsvereinbarung KI | Verhandlungen stocken seit Jan. 2026; Einigung ausstehend |
+| OpenAI / CodeAssist Doku | Nachforderung läuft; OpenAI-Frist 30.04.2026 |
+| AI Literacy Schulung | 38 % abgeschlossen (Stand März 2026); Ziel: 100 % bis 31.10.2026 |
+| Schatten-KI Marketing | Identifiziert; Marketingleiter angehört; arbeitsrechtl. Prüfung läuft |
+
+Bearbeitung: **Dr. Falk Roosendaal**, KI-Komitee-Vorsitz, Thalheim Industries SE
+Externe Beratung: **Kanzlei Borchmann Compliance**, Frankfurt am Main
+Aktenzeichen intern: **TI-KI-2026-007 bis TI-KI-2026-015**
@@ -0,0 +1,63 @@
+Content-Type: multipart/alternative; boundary="===============9171465954724501558=="
+MIME-Version: 1.0
+From: GZ-BJ24K7102@bafin.de
+To: annegret.kuehnhausen@thalheim-industries.de
+CC: sigrid.wolfsbacher@thalheim-industries.de
+Subject: =?utf-8?q?Bundesanstalt_f=C3=BCr_Finanzdienstleistungsaufsicht_=E2=80=94_Anfrage_nach_=C2=A7_44_KWG_i=2EV=2Em=2E_Art=2E_43_KI-VO_=E2=80=94_Ihr_Kreditscoring-Modul_CreditVision_Score_=E2=80=94_GZ_BJ_24-K_7102-2026/0012?=
+Date: Tue, 10 Mar 2026 09:30:00 +0100
+Message-ID: <20260310093000.BAFIN-GZ-BJ24K7102-2026-0012@bafin.de>
+
+--===============9171465954724501558==
+Content-Type: text/plain; charset="utf-8"
+MIME-Version: 1.0
+Content-Transfer-Encoding: base64
+
+Vm9uOiBCdW5kZXNhbnN0YWx0IGbDvHIgRmluYW56ZGllbnN0bGVpc3R1bmdzYXVmc2ljaHQKICAg
+ICBSZWZlcmF0IEJKIDI0IOKAlCBLSSB1bmQgRGlnaXRhbGUgSW5ub3ZhdGlvbgogICAgIEdaOiBC
+SiAyNC1LIDcxMDItMjAyNi8wMDEyCkFuOiBUaGFsaGVpbSBJbmR1c3RyaWVzIFNFLCB6LiBIZC4g
+QW5uZWdyZXQgS8O8aG5oYXVzZW4gKENDTykKICAgIGFubmVncmV0Lmt1ZWhuaGF1c2VuQHRoYWxo
+ZWltLWluZHVzdHJpZXMuZGUKQ0M6IERyLiBTaWdyaWQgV29sZnNiYWNoZXIgKENJTykKRGF0dW06
+IDEwLiBNw6RyeiAyMDI2CkJldHJlZmY6IEFuZnJhZ2UgenUgQ3JlZGl0VmlzaW9uIFNjb3JlIOKA
+lCBLSS1WTyB1bmQgRFNHVk8gQXJ0LiAyMgoKU2VociBnZWVocnRlIEZyYXUgS8O8aG5oYXVzZW4s
+CgpkaWUgQnVuZGVzYW5zdGFsdCBmw7xyIEZpbmFuemRpZW5zdGxlaXN0dW5nc2F1ZnNpY2h0IChC
+YUZpbikgbmltbXQgaW0gUmFobWVuIGlocmVyIEF1ZmdhYmVuIApuYWNoIMKnIDQ0IEtXRyBzb3dp
+ZSBhbHMgenVzdMOkbmRpZ2UgbmF0aW9uYWxlIEJlaMO2cmRlIGbDvHIgZGllIEF1ZnNpY2h0IMO8
+YmVyIEtyZWRpdGluc3RpdHV0ZSAKdW5kIHZlcmdsZWljaGJhcmUgVW50ZXJuZWhtZW4gZGllIGF1
+ZnNpY2h0bGljaGUgUHLDvGZ1bmcgZGVyIEtvbmZvcm1pdMOkdCBhdXRvbWF0aXNpZXJ0ZXIgCkty
+ZWRpdGVudHNjaGVpZHVuZ3NzeXN0ZW1lIG1pdCBkZXIgVmVyb3JkbnVuZyAoRVUpIDIwMjQvMTY4
+OSAoS0ktVmVyb3JkbnVuZykgdW5kIGRlciAKRGF0ZW5zY2h1dHotR3J1bmR2ZXJvcmRudW5nIHZv
+ci4KCk5hY2ggdW5zZXJlbiBFcmtlbm50bmlzc2VuIHNldHp0IGRpZSBUaGFsaGVpbSBJbmR1c3Ry
+aWVzIFNFIGluIElocmVyIEt1bmRlbmZpbmFuemllcnVuZ3NlaW5oZWl0IApkYXMgU3lzdGVtIENy
+ZWRpdFZpc2lvbiBTY29yZSAoQ3JlZGl0VmlzaW9uIEFHLCBGcmFua2Z1cnQpIHp1ciBCb25pdMOk
+dHNiZXdlcnR1bmcgdm9uIFByaXZhdC0gCnVuZCBHZXdlcmJla3VuZGVuIGVpbi4KCldpciBiaXR0
+ZW4gU2llLCB6dSBmb2xnZW5kZW4gRnJhZ2VuIGJpcyB6dW0gMTUuIE1haSAyMDI2IHNjaHJpZnRs
+aWNoIFN0ZWxsdW5nIHp1IG5laG1lbjoKCkZyYWdlIDEg4oCUIEFydC4gMjIgRFNHVk86CldpZSBz
+dGVsbHQgVGhhbGhlaW0gSW5kdXN0cmllcyBTRSBzaWNoZXIsIGRhc3MgS3VuZGVuLCBkZXJlbiBL
+cmVkaXRhbnRyYWcgbWHDn2dlYmxpY2ggYXVmIEJhc2lzIAp2b24gQ3JlZGl0VmlzaW9uIFNjb3Jl
+IGJld2VydGV0IHdpcmQsIGlocmUgUmVjaHRlIG5hY2ggQXJ0LiAyMiBEU0dWTyAoV2lkZXJzcHJ1
+Y2hzcmVjaHQgZ2VnZW4gCmF1dG9tYXRpc2llcnRlIEVpbnplbGVudHNjaGVpZHVuZ2VuLCBSZWNo
+dCBhdWYgRXJsw6R1dGVydW5nIGRlciBtYcOfZ2VibGljaGVuIEZha3RvcmVuKSB2b2xsc3TDpG5k
+aWcgCndhaHJuZWhtZW4ga8O2bm5lbj8gV2VsY2hlIEluZm9ybWF0aW9uc3BmbGljaHRlbiB3dXJk
+ZW4gaW1wbGVtZW50aWVydD8KCkZyYWdlIDIg4oCUIEFydC4gNDMgQWJzLiAyIEtJLVZPOgpIYXQg
+VGhhbGhlaW0gSW5kdXN0cmllcyBTRSBkaWUgaW50ZXJuZSBLb25mb3JtaXTDpHRzYmV3ZXJ0dW5n
+IGbDvHIgQ3JlZGl0VmlzaW9uIFNjb3JlIG5hY2ggQXJ0LiA0MyAKQWJzLiAyIEtJLVZPIGR1cmNo
+Z2Vmw7xocnQ/IEZhbGxzIGphOiBMaWVndCBlaW4gQmVyaWNodCB2b3IsIGRlciB6dXIgRWluc2lj
+aHRuYWhtZSBiZXJlaXRnZXN0ZWxsdCAKd2VyZGVuIGthbm4/IEZhbGxzIG5laW46IFdlbGNoZXIg
+WmVpdHBsYW4gaXN0IGbDvHIgZGllIER1cmNoZsO8aHJ1bmcgdm9yZ2VzZWhlbj8KCkZyYWdlIDMg
+4oCUIEFydC4gOSBBYnMuIDcgS0ktVk8gKEJpYXMtVGVzdHMpOgpXdXJkZW4gZsO8ciBDcmVkaXRW
+aXNpb24gU2NvcmUgQmlhcy1UZXN0cyBkdXJjaGdlZsO8aHJ0LCBkaWUgZGllIEVpbmhhbHR1bmcg
+dm9uIEFydC4gOSBBYnMuIDcgS0ktVk8gCihFcmtlbm51bmcgdW5kIE1pbmltaWVydW5nIHZlcnpl
+cnJ0ZXIgQXVzZ2FiZW4pIGJlbGVnZW4/IEJpdHRlIGxlZ2VuIFNpZSBlbnRzcHJlY2hlbmRlIE5h
+Y2h3ZWlzZSAKb2RlciBFcmtsw6RydW5nZW4gZGVzIFZlbmRvcnMgdm9yLgoKRGllIEJhRmluIHdl
+aXN0IGRhcmF1ZiBoaW4sIGRhc3MgYmVpIE5pY2h0YmVhbnR3b3J0dW5nIG9kZXIgdW52b2xsc3TD
+pG5kaWdlciBCZWFudHdvcnR1bmcgCmF1ZnNpY2h0c3JlY2h0bGljaGUgTWHDn25haG1lbiBuYWNo
+IMKnIDYgQWJzLiAzIEtXRyBlaW5nZWxlaXRldCB3ZXJkZW4ga8O2bm5lbi4KCkbDvHIgUsO8Y2tm
+cmFnZW4gd2VuZGVuIFNpZSBzaWNoIGJpdHRlIGFuOgoKUmVmZXJhdHNsZWl0dW5nIEJKIDI0IOKA
+lCBLSSB1bmQgRGlnaXRhbGUgSW5ub3ZhdGlvbgpCdW5kZXNhbnN0YWx0IGbDvHIgRmluYW56ZGll
+bnN0bGVpc3R1bmdzYXVmc2ljaHQKTWFyaWUtQ3VyaWUtU3RyYcOfZSAyNOKAkzI4IHwgNjA0Mzkg
+RnJhbmtmdXJ0IGFtIE1haW4KVDogKzQ5IDIyOCA0MTA4LTAgfCBiYWZpbkBiYWZpbi5kZQoKTWl0
+IGZyZXVuZGxpY2hlbiBHcsO8w59lbgoKSW0gQXVmdHJhZwoKW1JlZmVyYXRzbGVpdGVyaW4gQkog
+MjQsIE5hbWUgZ2VzY2h3w6RyenRdCkJ1bmRlc2Fuc3RhbHQgZsO8ciBGaW5hbnpkaWVuc3RsZWlz
+dHVuZ3NhdWZzaWNodAo=
+
+--===============9171465954724501558==--
@@ -0,0 +1,59 @@
+Content-Type: multipart/alternative; boundary="===============0142370361337567678=="
+MIME-Version: 1.0
+From: norbert.schaefers@thalheim-betriebsrat.de
+To: annegret.kuehnhausen@thalheim-industries.de
+CC: falk.roosendaal@thalheim-industries.de; betriebsrat@thalheim-industries.de
+Subject: =?utf-8?q?Mitbestimmung_nach_=C2=A7_87_Abs=2E_1_Nr=2E_6_BetrVG_=E2=80=94_KI-Systeme_RecruitAI_und_CreditVision_Score_=E2=80=94_Formelle_Geltendmachung?=
+Date: Mon, 05 Jan 2026 10:14:35 +0100
+Message-ID: <20260105101435.BR-2026-001@thalheim-betriebsrat.de>
+
+--===============0142370361337567678==
+Content-Type: text/plain; charset="utf-8"
+MIME-Version: 1.0
+Content-Transfer-Encoding: base64
+
+Vm9uOiBOb3JiZXJ0IFNjaMOkcGVycyA8bm9yYmVydC5zY2hhZWZlcnNAdGhhbGhlaW0tYmV0cmll
+YnNyYXQuZGU+CkFuOiBBbm5lZ3JldCBLw7xobmhhdXNlbiwgQ0NPIDxhbm5lZ3JldC5rdWVobmhh
+dXNlbkB0aGFsaGVpbS1pbmR1c3RyaWVzLmRlPgpDQzogRHIuIEZhbGsgUm9vc2VuZGFhbCA8ZmFs
+ay5yb29zZW5kYWFsQHRoYWxoZWltLWluZHVzdHJpZXMuZGU+OwogICAgQmV0cmllYnNyYXQgVGhh
+bGhlaW0gPGJldHJpZWJzcmF0QHRoYWxoZWltLWluZHVzdHJpZXMuZGU+CkRhdHVtOiAwNS4gSmFu
+dWFyIDIwMjYsIDEwOjE0IFVocgpCZXRyZWZmOiBNaXRiZXN0aW1tdW5nIG5hY2ggwqcgODcgQWJz
+LiAxIE5yLiA2IEJldHJWRyDigJQgS0ktU3lzdGVtZSBSZWNydWl0QUkgdW5kIENyZWRpdFZpc2lv
+biBTY29yZQpBa3RlbnplaWNoZW4gQlI6IEJSLTIwMjYtMDAxCgpTZWhyIGdlZWhydGUgRnJhdSBL
+w7xobmhhdXNlbiwKCmRlciBCZXRyaWVic3JhdCBkZXIgVGhhbGhlaW0gSW5kdXN0cmllcyBTRSBt
+YWNodCBoaWVybWl0IGZvcm1lbGwgc2VpbiBNaXRiZXN0aW1tdW5nc3JlY2h0IG5hY2ggCsKnIDg3
+IEFicy4gMSBOci4gNiBCZXRyaWVic3ZlcmZhc3N1bmdzZ2VzZXR6IChCZXRyVkcpIGdlbHRlbmQu
+CgpOYWNoIMKnIDg3IEFicy4gMSBOci4gNiBCZXRyVkcgaGF0IGRlciBCZXRyaWVic3JhdCwgc293
+ZWl0IGVpbmUgZ2VzZXR6bGljaGUgb2RlciB0YXJpZmxpY2hlIApSZWdlbHVuZyBuaWNodCBiZXN0
+ZWh0LCBtaXR6dWJlc3RpbW1lbiBiZWkgRWluZsO8aHJ1bmcgdW5kIEFud2VuZHVuZyB2b24gdGVj
+aG5pc2NoZW4gRWlucmljaHR1bmdlbiwgCmRpZSBkYXp1IGJlc3RpbW10IHNpbmQgb2RlciBnZWVp
+Z25ldCBzaW5kLCBkYXMgVmVyaGFsdGVuIG9kZXIgZGllIExlaXN0dW5nIGRlciBBcmJlaXRuZWht
+ZXIgCnp1IMO8YmVyd2FjaGVuLgoKVW5zZXJlIEF1ZmZhc3N1bmc6CkJlaSBSZWNydWl0QUkgaGFu
+ZGVsdCBlcyBzaWNoIHVtIGVpbiBTeXN0ZW0sIGRhcyBCZXdlcmJlcmRhdGVuIGF1c3dlcnRldCB1
+bmQgUGVyc29uYWxlbnRzY2hlaWR1bmdlbiAKYmVlaW5mbHVzc3QuIEJlaSBDcmVkaXRWaXNpb24g
+U2NvcmUgd2VyZGVuIERhdGVuIHZlcmFyYmVpdGV0LCBkaWUg4oCUIHNvd2VpdCBUaGFsaGVpbS1C
+ZXNjaMOkZnRpZ3RlIApiZXRyb2ZmZW4gc2VpbiBrw7ZubnRlbiDigJQgZWJlbmZhbGxzIGRlciBN
+aXRiZXN0aW1tdW5nIHVudGVybGllZ2VuLiBCZWlkZSBTeXN0ZW1lIHNpbmQgenVkZW0gbmFjaCAK
+ZGVyIEVVLUtJLVZlcm9yZG51bmcgYWxzIEhvY2hyaXNpa28tU3lzdGVtZSBlaW5nZXN0dWZ0LgoK
+S29uc2VxdWVuejoKRGVyIEJldHJpZWJzcmF0IHZlcndlaWdlcnQgc2VpbmUgWnVzdGltbXVuZyB6
+dW0gV2VpdGVyYmV0cmllYiBkaWVzZXIgU3lzdGVtZSwgYmlzIGVpbmUgCkJldHJpZWJzdmVyZWlu
+YmFydW5nIG5hY2ggwqcgODcgQmV0clZHIGFiZ2VzY2hsb3NzZW4gaXN0LiBXaXIgZXJ3YXJ0ZW4g
+ZGllIEF1Zm5haG1lIHZvbiAKVmVyaGFuZGx1bmdlbiBiaXMgc3DDpHRlc3RlbnMgMzAuIEphbnVh
+ciAyMDI2LgoKQW5mb3JkZXJ1bmdlbiBkZXMgQmV0cmllYnNyYXRzOgoxLiBWb2xsc3TDpG5kaWdl
+IFRyYW5zcGFyZW56IMO8YmVyIGRpZSBBbGdvcml0aG11cy1Mb2dpayBiZWlkZXIgU3lzdGVtZSAo
+aW4gdmVyc3TDpG5kbGljaGVyIFNwcmFjaGUpLgoyLiBSZWNodCBhdWYgSGluenV6aWVodW5nIGV4
+dGVybmVyIFNhY2h2ZXJzdMOkbmRpZ2VyIGF1ZiBLb3N0ZW4gZGVzIEFyYmVpdGdlYmVycyAowqcg
+ODAgQWJzLiAzIEJldHJWRykuCjMuIFJlZ2VsbcOkw59pZ2UgQmVyaWNodGVyc3RhdHR1bmcgw7xi
+ZXIgQmlhcy1UZXN0ZXJnZWJuaXNzZSBhbiBkZW4gQmV0cmllYnNyYXQuCjQuIEtsYXJlcyBSZWNo
+dCBqZWRlciBNaXRhcmJlaXRlcmluIHVuZCBqZWRlcyBNaXRhcmJlaXRlcnMgYXVmIEVya2zDpHJ1
+bmcgS0ktYmFzaWVydGVyIEVudHNjaGVpZHVuZ2VuLgo1LiBWZXJib3Qgdm9sbGF1dG9tYXRpc2No
+ZXIgQWJsZWhudW5nZW4gb2huZSBtZW5zY2hsaWNoZSDDnGJlcnByw7xmdW5nLgoKSWNoIGJpdHRl
+IHVtIEVpbmdhbmdzYmVzdMOkdGlndW5nIGJpcyAwOS4gSmFudWFyIDIwMjYgdW5kIHVtIFRlcm1p
+bnZvcnNjaGxhZyBmw7xyIGRhcyBlcnN0ZSAKVmVyaGFuZGx1bmdzZ2VzcHLDpGNoIGJpcyAzMC4g
+SmFudWFyIDIwMjYuCgpNaXQgZnJldW5kbGljaGVuIEdyw7zDn2VuCgpOb3JiZXJ0IFNjaMOkcGVy
+cwpCZXRyaWVic3JhdHN2b3JzaXR6ZW5kZXIgfCBUaGFsaGVpbSBJbmR1c3RyaWVzIFNFClQ6ICs0
+OSA2MjEgOTM0MC0yODAwCm5vcmJlcnQuc2NoYWVmZXJzQHRoYWxoZWltLWJldHJpZWJzcmF0LmRl
+CgpBbmxhZ2U6IFN0ZWxsdW5nbmFobWUgZGVzIERHQi1SZWNodHNiw7xyb3MgenUgS0ktU3lzdGVt
+ZW4gdW5kIMKnIDg3IEJldHJWRyAobGllZ3QgZsO8ciBSw7xja2ZyYWdlbiB2b3IpCg==
+
+--===============0142370361337567678==--
@@ -0,0 +1,59 @@
+Content-Type: multipart/alternative; boundary="===============0129797780257136540=="
+MIME-Version: 1.0
+From: sigrid.wolfsbacher@thalheim-industries.de
+To: vorstand@thalheim-industries.de
+CC: annegret.kuehnhausen@thalheim-industries.de; falk.roosendaal@thalheim-industries.de
+Subject: =?utf-8?q?AW=3A_KI-Verordnung_EU_2024/1689_=E2=80=94_Dringender_Handlungsbedarf_=E2=80=94_Projektstart_TI-KI-2026?=
+Date: Thu, 09 Oct 2025 08:42:17 +0200
+Message-ID: <20251009084217.TI-CIO-2025-0089@thalheim-industries.de>
+
+--===============0129797780257136540==
+Content-Type: text/plain; charset="utf-8"
+MIME-Version: 1.0
+Content-Transfer-Encoding: base64
+
+Vm9uOiBEci4gU2lncmlkIFdvbGZzYmFjaGVyIDxzaWdyaWQud29sZnNiYWNoZXJAdGhhbGhlaW0t
+aW5kdXN0cmllcy5kZT4KQW46IFZvcnN0YW5kIFRoYWxoZWltIEluZHVzdHJpZXMgU0UgPHZvcnN0
+YW5kQHRoYWxoZWltLWluZHVzdHJpZXMuZGU+CkNDOiBBbm5lZ3JldCBLw7xobmhhdXNlbiA8YW5u
+ZWdyZXQua3VlaG5oYXVzZW5AdGhhbGhlaW0taW5kdXN0cmllcy5kZT47CiAgICBEci4gRmFsayBS
+b29zZW5kYWFsIDxmYWxrLnJvb3NlbmRhYWxAdGhhbGhlaW0taW5kdXN0cmllcy5kZT4KRGF0dW06
+IDA5LiBPa3RvYmVyIDIwMjUsIDA4OjQyIFVocgpCZXRyZWZmOiBLSS1WZXJvcmRudW5nIEVVIDIw
+MjQvMTY4OSDigJQgRHJpbmdlbmRlciBIYW5kbHVuZ3NiZWRhcmYg4oCUIFByb2pla3RzdGFydCBU
+SS1LSS0yMDI2CgpTZWhyIGdlZWhydGUgRGFtZW4gdW5kIEhlcnJlbiBpbSBWb3JzdGFuZCwKCmlj
+aCB3ZW5kZSBtaWNoIG1pdCBkaWVzZXIgRS1NYWlsIGRpcmVrdCBhbiBkZW4gVm9yc3RhbmQsIGRh
+IGRpZSBTYWNoZSBrZWluZW4gd2VpdGVyZW4gQXVmc2NodWIgZHVsZGV0LgoKSGludGVyZ3J1bmQ6
+CkRpZSBWZXJvcmRudW5nIChFVSkgMjAyNC8xNjg5IMO8YmVyIGvDvG5zdGxpY2hlIEludGVsbGln
+ZW56IChLSS1WTykgdHJpdHQgbWl0IGdlc3RhZmZlbHRlbiBGcmlzdGVuIGluIEtyYWZ0LiAKRsO8
+ciBIb2NocmlzaWtvLUtJLVN5c3RlbWUgbmFjaCBBcnQuIDYgaS5WLm0uIEFuaGFuZyBJSUkgS0kt
+Vk8gZ2lsdCBkaWUgdm9sbHN0w6RuZGlnZSBBbndlbmR1bmdzZnJpc3QgCmFiIGRlbSAwMi4gQXVn
+dXN0IDIwMjYuIFRoYWxoZWltIEluZHVzdHJpZXMgU0UgYmV0cmVpYnQgbWluZGVzdGVucyB6d2Vp
+IHNvbGNoZXIgU3lzdGVtZTogClJlY3J1aXRBSSAoU3luYXB0ZWMgQW5hbHl0aWNzIEdtYkgpIHVu
+ZCBDcmVkaXRWaXNpb24gU2NvcmUgKENyZWRpdFZpc2lvbiBBRykuCgpXYXMgZGFzIGJlZGV1dGV0
+OgpPaG5lIHZvbGxzdMOkbmRpZ2UgS29uZm9ybWl0w6R0c3Byw7xmdW5nIChBcnQuIDQzIEtJLVZP
+KSB1bmQgUmVnaXN0cmllcnVuZyBpbiBkZXIgRVUtRGF0ZW5iYW5rIAooQXJ0LiA0OSBLSS1WTykg
+ZMO8cmZlbiB3aXIgZGllc2UgU3lzdGVtZSBuYWNoIGRlbSAwMi4wOC4yMDI2IG5pY2h0IG1laHIg
+YmV0cmVpYmVuLiAKQnXDn2dlbGRlcjogYmlzIHp1IDE1IE1pby4gRVVSIG9kZXIgMyAlIGRlcyBK
+YWhyZXN1bXNhdHplcyAoQXJ0LiA5OSBLSS1WTykuCgpadXIgRXJpbm5lcnVuZyBhbiBkZW4gS29u
+dGV4dDoKWnVzw6R0emxpY2ggaGF0IGRpZSBLSS1WTyBiZXJlaXRzIHNlaXQgZGVtIDAyLjA4LjIw
+MjUgZGllIFBmbGljaHQgenVyIEFJIExpdGVyYWN5IChBcnQuIDQgS0ktVk8pIAppbiBLcmFmdCBn
+ZXNldHp0LiBLZWluIGVpbnppZ2VyIHVuc2VyZXIgMTIuMDAwIE1pdGFyYmVpdGVuZGVuIGhhdCBi
+aXNsYW5nIGVpbmUgZm9ybWFsZSBTY2h1bHVuZyBlcmhhbHRlbi4KCldhcyBpY2ggYmVhbnRyYWdl
+OgoxLiBFaW5yaWNodHVuZyBlaW5lcyBQcm9ncmFtbXMgVEktS0ktMjAyNiBtaXQgdm9sbGVyIFZv
+cnN0YW5kc3VudGVyc3TDvHR6dW5nIHVuZCBrbGFyZXIgRsO8aHJ1bmcuCjIuIEJ1ZGdldDogMSw0
+NSBNaW8uIEVVUiBmw7xyIFBoYXNlIDEgdW5kIDIgKEludmVudGFyaXNpZXJ1bmcgKyBLb25mb3Jt
+aXTDpHRzaGVyc3RlbGx1bmcpLgozLiBCZW5lbm51bmcgRHIuIEZhbGsgUm9vc2VuZGFhbCBhbHMg
+S0ktS29taXRlZS1Wb3JzaXR6Lgo0LiBNYW5kYXRpZXJ1bmcgZXh0ZXJuZXIgUmVjaHRzYmVyYXR1
+bmcgKEJvcmNobWFubiBDb21wbGlhbmNlKSB1bmQgQXVkaXRvciAoSGFnZWRvcm4gJiBQYXJ0bmVy
+KS4KCkljaCBiaXR0ZSwgZGllc2VuIFB1bmt0IGF1ZiBkaWUgVm9yc3RhbmRzc2l0enVuZyBhbSAx
+NS4xMC4yMDI1IHp1IHNldHplbi4KCkljaCBzdGVoZSBmw7xyIFLDvGNrZnJhZ2VuIGplZGVyemVp
+dCB6dXIgVmVyZsO8Z3VuZy4KCk1pdCBiZXN0ZW4gR3LDvMOfZW4KCkRyLiBTaWdyaWQgV29sZnNi
+YWNoZXIKQ2hpZWYgSW5mb3JtYXRpb24gT2ZmaWNlciB8IFRoYWxoZWltIEluZHVzdHJpZXMgU0UK
+QXVndXN0LUJlYmVsLVJpbmcgMTQgfCA2ODE2MyBNYW5uaGVpbQpUOiArNDkgNjIxIDkzNDAtMTEw
+MCB8IE06ICs0OSAxNzMgODgwMTIzNwpzaWdyaWQud29sZnNiYWNoZXJAdGhhbGhlaW0taW5kdXN0
+cmllcy5kZQoKVmVydHJhdWxpY2hrZWl0c2hpbndlaXM6IERpZXNlIEUtTWFpbCB1bmQgaWhyZSBB
+bmjDpG5nZSBzaW5kIHZlcnRyYXVsaWNoIHVuZCBhdXNzY2hsaWXDn2xpY2ggCmbDvHIgZGVuIG9i
+ZW4gZ2VuYW5udGVuIEVtcGbDpG5nZXIgYmVzdGltbXQuIFdlbm4gU2llIGRpZXNlIEUtTWFpbCB2
+ZXJzZWhlbnRsaWNoIGVyaGFsdGVuIGhhYmVuLCAKYmVuYWNocmljaHRpZ2VuIFNpZSBiaXR0ZSBk
+ZW4gQWJzZW5kZXIgdW5kIGzDtnNjaGVuIFNpZSBkaWUgRS1NYWlsLgo=
+
+--===============0129797780257136540==--
@@ -0,0 +1,61 @@
+Content-Type: multipart/alternative; boundary="===============1491000364000416179=="
+MIME-Version: 1.0
+From: franz-josef.brammer@thalheim-industries.de
+To: annegret.kuehnhausen@thalheim-industries.de; reinhard.thalheim-lattermann@thalheim-industries.de
+CC: sigrid.wolfsbacher@thalheim-industries.de; marcus.petersen@thalheim-industries.de; carla.eichenmueller@thalheim-industries.de
+Subject: =?utf-8?q?DRINGEND=3A_Revisionsfeststellung_=E2=80=94_Nicht_genehmigtes_KI-Tool_Marketingabteilung_=28Schatten-KI=29_=E2=80=94_INC-2026-003?=
+Date: Sat, 14 Mar 2026 16:08:42 +0100
+Message-ID: <20260314160842.REV-2026-FJB-0041@thalheim-industries.de>
+
+--===============1491000364000416179==
+Content-Type: text/plain; charset="utf-8"
+MIME-Version: 1.0
+Content-Transfer-Encoding: base64
+
+Vm9uOiBGcmFuei1Kb3NlZiBCcmFtbWVyLCBMZWl0ZXIgS29uemVybnJldmlzaW9uCiAgICAgPGZy
+YW56LWpvc2VmLmJyYW1tZXJAdGhhbGhlaW0taW5kdXN0cmllcy5kZT4KQW46IEFubmVncmV0IEvD
+vGhuaGF1c2VuIChDQ08pIDxhbm5lZ3JldC5rdWVobmhhdXNlbkB0aGFsaGVpbS1pbmR1c3RyaWVz
+LmRlPjsKICAgIERyLiBSZWluaGFyZCBUaGFsaGVpbS1MYXR0ZXJtYW5uIChDRU8pIDxyZWluaGFy
+ZC50aGFsaGVpbS1sYXR0ZXJtYW5uQHRoYWxoZWltLWluZHVzdHJpZXMuZGU+CkNDOiBEci4gU2ln
+cmlkIFdvbGZzYmFjaGVyIChDSU8pOyBNYXJjdXMgUGV0ZXJzZW4gKENETyk7IERyLiBDYXJsYSBF
+aWNoZW5tw7xsbGVyIChEU0IpCkRhdHVtOiAxNC4gTcOkcnogMjAyNiwgMTY6MDggVWhyCkJldHJl
+ZmY6IERSSU5HRU5EIOKAlCBTY2hhdHRlbi1LSSBNYXJrZXRpbmdhYnRlaWx1bmcg4oCUIElOQy0y
+MDI2LTAwMwpLbGFzc2lmaXppZXJ1bmc6IFZFUlRSQVVMSUNIIOKAlCBOVVIgVk9SU1RBTkQgVU5E
+IEtJLUtPTUlURUUKClNlaHIgZ2VlaHJ0ZSBGcmF1IEvDvGhuaGF1c2VuLCBzZWhyIGdlZWhydGVy
+IEhlcnIgRHIuIFRoYWxoZWltLUxhdHRlcm1hbm4sCgppY2ggbWVsZGUgaGllcm1pdCBlaW5lIGty
+aXRpc2NoZSBSZXZpc2lvbnNmZXN0c3RlbGx1bmcgZ2Vtw6TDnyDCpyA1IGRlciBSZXZpc2lvbnNv
+cmRudW5nIHVuZCAKQXJ0LiAyNiBBYnMuIDQgS0ktVk8uCgpTYWNodmVyaGFsdCAoU3RhbmQgaGV1
+dGUsIDE0LjAzLjIwMjYsIDE1OjMwIFVocik6CkltIFJhaG1lbiBkZXIgbGF1ZmVuZGVuIEtJLUNv
+bXBsaWFuY2UtUHLDvGZ1bmcgaGF0IGRpZSBLb256ZXJucmV2aXNpb24gZmVzdGdlc3RlbGx0LCBk
+YXNzIApkaWUgTWFya2V0aW5nYWJ0ZWlsdW5nIChMZWl0ZXI6IERyLiBQaGlsaXBwIFNvbm50YWcp
+IHNlaXQgbWluZGVzdGVucyBKdWxpIDIwMjUgZGFzIEtJLVRvb2wgCk1pZGpvdXJuZXkgKEJpbGRn
+ZW5lcmllcnVuZywgQmFzaXNtb2RlbGwgTWlkam91cm5leSBJbmMuLCBVU0EpIMO8YmVyIGVpbmUg
+bmljaHQgZ2VuZWhtaWd0ZSAKQVBJLUFuYmluZHVuZyBhdWYgZWluZW0gc2VsYnN0IGVpbmdlcmlj
+aHRldGVuIFNlcnZlciBlaW5zZXR6dC4KCktvbmtyZXRlIEZlc3RzdGVsbHVuZ2VuOgoxLiBEYXMg
+VG9vbCBpc3QgTklDSFQgaW0gemVudHJhbGVuIEtJLUludmVudGFyIGVpbmdldHJhZ2VuLgoyLiBF
+cyBleGlzdGllcnQgS0VJTkUgRGF0ZW5zY2h1dHpwcsO8ZnVuZyBmw7xyIGRpZXNlcyBTeXN0ZW0u
+CjMuIEVzIGV4aXN0aWVydCBLRUlORSBTaWNoZXJoZWl0c2ZyZWlnYWJlIGR1cmNoIElULVNlY3Vy
+aXR5Lgo0LiBLRUlORSBHZW5laG1pZ3VuZyBkdXJjaCBDQ08gb2RlciBDRE8gbGllZ3Qgdm9yLgo1
+LiBFcnN0ZSBBbmFseXNlIGRlciBBUEktTnV0enVuZ3Nwcm90b2tvbGxlIChDbG91ZC1Lb3N0ZW5h
+YnJlY2hudW5nKTogY2EuIDIuNDAwIEFQSS1BdWZydWZlIAogICBzZWl0IEp1bGkgMjAyNS4gSW4g
+bWluZGVzdGVucyAzNCBBdWZydWZlbiB3dXJkZW4gS3VuZGVubmFtZW4gdW5kIEZpcm1lbm5hbWVu
+IGluIFByb21wdHMgCiAgIGVpbmdlZ2ViZW4g4oCUIGRpZXNlIERhdGVuIHd1cmRlbiBhbiBTZXJ2
+ZXIgZGVyIE1pZGpvdXJuZXkgSW5jLiBpbiBkZW4gVVNBIMO8YmVybWl0dGVsdCAKICAgKERyaXR0
+bGFuZHRyYW5zZmVyIG9obmUgUmVjaHRzZ3J1bmRsYWdlLCBBcnQuIDQ0IGZmLiBEU0dWTyBwb3Rl
+bnppZWxsIHZlcmxldHp0KS4KClNvZm9ydG1hw59uYWhtZToKSWNoIGVtcGZlaGxlIGRyaW5nZW5k
+LCBkYXMgU3lzdGVtIFNPRk9SVCBkdXJjaCBJVCBhYnNjaGFsdGVuIHp1IGxhc3Nlbi4gSWNoIGJp
+dHRlIHVtIElocmUgCkdlbmVobWlndW5nIGbDvHIgZGllc2UgTWHDn25haG1lIGJpcyBoZXV0ZSAx
+ODowMCBVaHIuCgpEci4gU29ubnRhZyB3dXJkZSBub2NoIG5pY2h0IGluZm9ybWllcnQ7IGljaCBl
+bXBmZWhsZSwgZGllcyBuYWNoIGRlciBJVC1BYnNjaGFsdHVuZyB6dSB0dW4gCihTaWNoZXJzdGVs
+bHVuZyBkZXIgUHJvdG9rb2xsc2ljaGVydW5nIHp1ZXJzdCkuCgpEYXRlbnNjaHV0enJlY2h0bGlj
+aGUgS29uc2VxdWVuemVuOgpEU0IgRHIuIEVpY2hlbm3DvGxsZXIgbXVzcyB1bnZlcnrDvGdsaWNo
+IHByw7xmZW4sIG9iIGVpbmUgTWVsZGVwZmxpY2h0IG5hY2ggQXJ0LiAzMyBEU0dWTyBiZXN0ZWh0
+LgoKSWNoIHN0ZWhlIGbDvHIgZWluIEt1cnpnZXNwcsOkY2ggaGV1dGUgQWJlbmQgb2RlciBtb3Jn
+ZW4gZnLDvGggenVyIFZlcmbDvGd1bmcuCgpNaXQgZnJldW5kbGljaGVuIEdyw7zDn2VuCgpGcmFu
+ei1Kb3NlZiBCcmFtbWVyCkxlaXRlciBLb256ZXJucmV2aXNpb24gfCBUaGFsaGVpbSBJbmR1c3Ry
+aWVzIFNFClQ6ICs0OSA2MjEgOTM0MC0zMzAwIHwgTTogKzQ5IDE2MiA3NzQxODkyCmZyYW56LWpv
+c2VmLmJyYW1tZXJAdGhhbGhlaW0taW5kdXN0cmllcy5kZQoKVkVSVFJBVUxJQ0guIERpZXNlIEUt
+TWFpbCBlbnRow6RsdCByZXZpc2lvbnNpbnRlcm5lIEluZm9ybWF0aW9uZW4uIE5pY2h0IHdlaXRl
+cnp1bGVpdGVuLgo=
+
+--===============1491000364000416179==--
@@ -0,0 +1,65 @@
+Content-Type: multipart/alternative; boundary="===============2465871591268728681=="
+MIME-Version: 1.0
+From: enterprise-eu@openai.com
+To: marcus.petersen@thalheim-industries.de
+CC: annegret.kuehnhausen@thalheim-industries.de
+Subject: =?utf-8?q?RE=3A_EU_AI_Act_Compliance_Documentation_Request_=E2=80=94_Enterprise_Account_OAI-ENT-2024-TI-0892?=
+Date: Wed, 18 Mar 2026 14:22:06 +0100
+Message-ID: <20260318142206.OPENAI-ENT-TI-0892-EU@openai.com>
+
+--===============2465871591268728681==
+Content-Type: text/plain; charset="utf-8"
+MIME-Version: 1.0
+Content-Transfer-Encoding: base64
+
+Vm9uOiBPcGVuQUkgSXJlbGFuZCBMdGQuLCBFbnRlcnByaXNlIENvbXBsaWFuY2UgVGVhbQogICAg
+IDxlbnRlcnByaXNlLWV1QG9wZW5haS5jb20+CkFuOiBNYXJjdXMgUGV0ZXJzZW4sIENETyBUaGFs
+aGVpbSBJbmR1c3RyaWVzIFNFCiAgICA8bWFyY3VzLnBldGVyc2VuQHRoYWxoZWltLWluZHVzdHJp
+ZXMuZGU+CkNDOiBBbm5lZ3JldCBLw7xobmhhdXNlbiA8YW5uZWdyZXQua3VlaG5oYXVzZW5AdGhh
+bGhlaW0taW5kdXN0cmllcy5kZT4KRGF0dW06IDE4LiBNw6RyeiAyMDI2LCAxNDoyMiBVaHIKQmV0
+cmVmZjogUkU6IEVVIEFJIEFjdCBDb21wbGlhbmNlIERvY3VtZW50YXRpb24g4oCUIElociBTY2hy
+ZWliZW4gdm9tIDE1LjAyLjIwMjYKSWhyIFJlZi46IFRJLUNETy0yMDI2LTAwNDEgfCBVbnNlciBS
+ZWYuOiBPQUktQ09NUC1FVS0yMDI2LTE4NDcKClNlaHIgZ2VlaHJ0ZXIgSGVyciBQZXRlcnNlbiwK
+CnZpZWxlbiBEYW5rIGbDvHIgSWhyZSBBbmZyYWdlIHZvbSAxNS4gRmVicnVhciAyMDI2IGJlesO8
+Z2xpY2ggZGVyIEVVIEFJIEFjdCBDb21wbGlhbmNlLURva3VtZW50YXRpb24gCmbDvHIgSWhyZW4g
+RW50ZXJwcmlzZS1WZXJ0cmFnIE9BSS1FTlQtMjAyNC1USS0wODkyLgoKV2lyIG5laG1lbiBkaWUg
+QW5mb3JkZXJ1bmdlbiBkZXMgRVUgQUkgQWN0cyBzZWhyIGVybnN0IHVuZCBhcmJlaXRlbiBpbnRl
+bnNpdiBhbiBkZXIgdm9sbHN0w6RuZGlnZW4gCkRva3VtZW50YXRpb24gZsO8ciB1bnNlcmUgRW50
+ZXJwcmlzZS1LdW5kZW4uCgpTdGF0dXMgSWhyZXIgQW5mcmFnZW46CgpBbmZyYWdlIDEg4oCUIFBy
+b2R1a3RzcGV6aWZpc2NoZSB0ZWNobmlzY2hlIERva3VtZW50YXRpb246CldpciB2ZXJ3ZWlzZW4g
+YXVmIHVuc2VyZSBFVS1BSS1BY3QtQ29tcGxpYW5jZS1TZWl0ZTogaHR0cHM6Ly9vcGVuYWkuY29t
+L2V1LWFpLWFjdApGw7xyIHByb2R1a3RzcGV6aWZpc2NoZSBEb2t1bWVudGF0aW9uIElocmVyIENv
+ZGVBc3Npc3QtRGVwbG95bWVudC1Lb25maWd1cmF0aW9uIGvDtm5uZW4gd2lyIApkZXJ6ZWl0IGtl
+aW5lIHNlcGFyYXRlbiBEb2t1bWVudGUgYmVyZWl0c3RlbGxlbi4gVW5zZXIgRW50ZXJwcmlzZS1U
+ZWFtIGFyYmVpdGV0IGFuIGVpbmVtIApzdGFuZGFyZGlzaWVydGVuIERlcGxveW1lbnQtRG9rdW1l
+bnRhdGlvbnNwYWtldCwgZGFzIHZvcmF1c3NpY2h0bGljaCBpbSBRMyAyMDI2IHZlcmbDvGdiYXIg
+c2VpbiB3aXJkLgoKQW5mcmFnZSAyIOKAlCBUcmFpbmluZ3NkYXRlbi1adXNhbW1lbmZhc3N1bmc6
+CkRpZSBadXNhbW1lbmZhc3N1bmcgZGVyIFRyYWluaW5nc2RhdGVuIGbDvHIgR1BULTRvIGlzdCBp
+biB1bnNlcmVtIFN5c3RlbSBDYXJkIHZlcmbDvGdiYXI6IApodHRwczovL29wZW5haS5jb20vcmVz
+ZWFyY2gvZ3B0LTRvLXN5c3RlbS1jYXJkCkVpbmUgc3BlemlmaXNjaGVyZSBBdWZzY2hsw7xzc2Vs
+dW5nIGvDtm5uZW4gd2lyIGF1cyBwcm9wcmlldMOkcmVuIEdyw7xuZGVuIG5pY2h0IGJlcmVpdHN0
+ZWxsZW4uCgpBbmZyYWdlIDMg4oCUIEtub3duIExpbWl0YXRpb25zIC8gQmlhcyBEaXNjbG9zdXJl
+OgpCZWthbm50ZSBTY2h3w6RjaGVuIHVuZCBCaWFzLUthdGVnb3JpZW4gc2luZCBpbSBTeXN0ZW0g
+Q2FyZCAocy5vLikgZG9rdW1lbnRpZXJ0LgoKQW5mcmFnZSA0IOKAlCBJbmNpZGVudCBOb3RpZmlj
+YXRpb24gU0xBOgpVbnNlciBTdGFuZGFyZC1TTEEgZsO8ciBTaWNoZXJoZWl0c3ZvcmZhbGxtZWxk
+dW5nZW4gYmV0csOkZ3QgNzIgU3R1bmRlbiBmw7xyIGtyaXRpc2NoZSBJbmNpZGVudHMuIApGw7xy
+IGVpbmUgc3BlemlmaXNjaGUgdmVydHJhZ2xpY2hlIEFucGFzc3VuZyBhdWYgMjQgU3R1bmRlbiBi
+aXR0ZW4gd2lyIHVtIGVpbmUgZm9ybWVsbGUgQW5mcmFnZSAKw7xiZXIgSWhyZW4gRW50ZXJwcmlz
+ZSBBY2NvdW50IE1hbmFnZXIuCgpBbmZyYWdlIDUg4oCUIFN5c3RlbWlzY2hlcyBSaXNpa28gR1BU
+LTRvOgpPcGVuQUkgaGF0IEdQVC00byBhbHMgR1BBSS1Nb2RlbGwgbWl0IHN5c3RlbWlzY2hlbSBS
+aXNpa28gaW0gU2lubmUgdm9uIEFydC4gNTEgS0ktVk8gZWluZ2VzdHVmdC4gCkRpZSBlbnRzcHJl
+Y2hlbmRlbiBNYcOfbmFobWVuIG5hY2ggQXJ0LiA1NSBLSS1WTyAodS5hLiBBZHZlcnNhcmlhbCBU
+ZXN0aW5nKSB3ZXJkZW4gZHVyY2hnZWbDvGhydCAKdW5kIGRva3VtZW50aWVydC4gV2VpdGVyZSBJ
+bmZvcm1hdGlvbmVuIGZvbGdlbiBpbSBSYWhtZW4gdW5zZXJlciBHUEFJIENvZGUgb2YgUHJhY3Rp
+Y2UgCkltcGxlbWVudGllcnVuZy4KCldpciBiaXR0ZW4gdW0gVmVyc3TDpG5kbmlzLCBkYXNzIGRp
+ZSBVbXNldHp1bmcgZGVyIEVVIEFJIEFjdCBBbmZvcmRlcnVuZ2VuIGbDvHIgR1BBSS1BbmJpZXRl
+ciAKbm9jaCBpbiBFbnR3aWNrbHVuZyBpc3QuIFdpciB3ZXJkZW4gU2llIMO8YmVyIEFrdHVhbGlz
+aWVydW5nZW4gaW5mb3JtaWVyZW4uCgpNaXQgZnJldW5kbGljaGVuIEdyw7zDn2VuCgpTYXJhaCBP
+J0Nvbm5vcgpFbnRlcnByaXNlIENvbXBsaWFuY2UgTGVhZCwgRU1FQQpPcGVuQUkgSXJlbGFuZCBM
+dGQuCjIgR3JhbmQgQ2FuYWwgU3F1YXJlLCBEdWJsaW4gMiwgSXJlbGFuZAplbnRlcnByaXNlLWV1
+QG9wZW5haS5jb20KCkhpbndlaXM6IE9wZW5BSSBJcmVsYW5kIEx0ZC4gaXN0IGVpbiBUb2NodGVy
+dW50ZXJuZWhtZW4gdm9uIE9wZW5BSSwgTExDIHVuZCB2ZXJhcmJlaXRldCAKRGF0ZW4gdm9uIEVu
+dGVycHJpc2UtS3VuZGVuIGluIGRlciBFVSBnZW3DpMOfIGRlbiBCZWRpbmd1bmdlbiB1bnNlcmVz
+IEVudGVycHJpc2UgRGF0ZW5zY2h1dHotQWJrb21tZW5zLgo=
+
+--===============2465871591268728681==--
@@ -0,0 +1,112 @@
+%PDF-1.4
+%“Œ‹ž ReportLab Generated PDF document (opensource)
+1 0 obj
+<<
+/F1 2 0 R /F2 3 0 R
+>>
+endobj
+2 0 obj
+<<
+/BaseFont /Helvetica /Encoding /WinAnsiEncoding /Name /F1 /Subtype /Type1 /Type /Font
+>>
+endobj
+3 0 obj
+<<
+/BaseFont /Helvetica-Bold /Encoding /WinAnsiEncoding /Name /F2 /Subtype /Type1 /Type /Font
+>>
+endobj
+4 0 obj
+<<
+/Contents 10 0 R /MediaBox [ 0 0 595.2756 841.8898 ] /Parent 9 0 R /Resources <<
+/Font 1 0 R /ProcSet [ /PDF /Text /ImageB /ImageC /ImageI ]
+>> /Rotate 0 /Trans <<
+
+>> 
+  /Type /Page
+>>
+endobj
+5 0 obj
+<<
+/Contents 11 0 R /MediaBox [ 0 0 595.2756 841.8898 ] /Parent 9 0 R /Resources <<
+/Font 1 0 R /ProcSet [ /PDF /Text /ImageB /ImageC /ImageI ]
+>> /Rotate 0 /Trans <<
+
+>> 
+  /Type /Page
+>>
+endobj
+6 0 obj
+<<
+/Contents 12 0 R /MediaBox [ 0 0 595.2756 841.8898 ] /Parent 9 0 R /Resources <<
+/Font 1 0 R /ProcSet [ /PDF /Text /ImageB /ImageC /ImageI ]
+>> /Rotate 0 /Trans <<
+
+>> 
+  /Type /Page
+>>
+endobj
+7 0 obj
+<<
+/PageMode /UseNone /Pages 9 0 R /Type /Catalog
+>>
+endobj
+8 0 obj
+<<
+/Author (\(anonymous\)) /CreationDate (D:20260530195342+00'00') /Creator (\(unspecified\)) /Keywords () /ModDate (D:20260530195342+00'00') /Producer (ReportLab PDF Library - \(opensource\)) 
+  /Subject (\(unspecified\)) /Title (\(anonymous\)) /Trapped /False
+>>
+endobj
+9 0 obj
+<<
+/Count 3 /Kids [ 4 0 R 5 0 R 6 0 R ] /Type /Pages
+>>
+endobj
+10 0 obj
+<<
+/Filter [ /ASCII85Decode /FlateDecode ] /Length 2861
+>>
+stream
+Gb!#\>>s:f(4PFJX@KjW(s@-PLGPd&D$k.5&DEO.]Jr;Ngt4BIST:/Z5Q6%nn!uG3m=%$JJ_4.0qR!Dt`5olPl+[`XdJ9#%h_8LT9c(_f_kH<0NMf;(N`[SF1;gIdgF(md%F_UGbel+[b?qeBJeHYu[:u(ESY9(u.>>ug%H`!SS^-JEqX2na]CFqa9g2n=h+hl8j'0)8^S'gmRf5aNShQi8NR'4:G50g2m(dS-m8eHa-_n0(G:l<0*r+r&AkO#<.8;07N*)t=[Es45pL(</_e#OFYRLlJNPN"JMk2'^rlAI_F1mYDb@\2$@ll76b^aTf*XSql--,QcgGbD7KPh%HB=>VX`eN)(=X3EQE8@.'3V#dP>/Z$DR_B;Vfqq\NF*opXic1+!,3FKc)bI9nB.bu#(E9VqCtYF=CeHFc]21(/It,IMepabg=[R6s_m<GImGFBQNoa^^jZ0!\'@42hdYAR(oL^Y7O\6)_pYt''*D,jie$Y/6'B]hm^<SmOI2aenTn[sQH)qVQ`;k'%b]MZe?`eJ8*qm?u6&8_-P^,Pcs/"Ho'([pUE,Rgugo;M.DdTUS0",$P?(?%HI:SdqZe,1;HhQb"^Uk68147PbUIXGM:QhGm^mPP$b:JV\c=skIOqj$VRY^bd04`:Je.(d+1(r>pa)mopLK,6!6*IWe0o8moT?nMpM=k=&Me62l2>:q1Aqk.-hQRBiYRs^L<>pY$qB7)*65.0RH@]`)^RiCc)_N7NpoCsKRbY;TlQ7p8`j('a$:N2XI>R#3ePY3sg4.YM)n)#IKa0B_nI2l5!;0>L**nR6gNCa@Yb((R!c.7_k;f%rhT5%\Kl`cbn>5GA-5#g[aCum]>3%"[nFq9q@_2iXhhYD#W:s`#[4Hs`(9FFc<T,i')-Epm+totu,#(L9N/FhC'P3J(5SN;ac(gf=$<GlVWh+/akHmWC.CS?f)ntCT':3LmOn=>d1#9a_N55&`0[LZ0s7Q[sVVIhKfE"-LOX82&GV$'n)<^NNRmhVH-'B&Z/!#ST)854?]!jgu<AEUH)^U8Z2(PRoBteB]j0pF]F3,M)"]FG_QU9b86(((<QD74#eanX'C69+VNh\k*$h[,hEB$FXi(t.YB'tZk_fAue9qVt.m0[%:NE%E"&l*Z?QP=h$?oY.'\2#MP6@30hVnO=mepJcX-=[5Y7(k\FWi""=SDQ,dD>9]Tb,EqDV@f;,$QIu-aR"nBAh+UW@MphAcuj<gH!G0FU#Mn8.8"Wo2NJH#IIGr5?gu)]qn]*9]+b_f!ca@=q6D\N:d7R)SB;c8opgq@fAf2OU'd/'?=f&6o=X.qs%$k/$j=WbncId40+bc'aSi@Jc6-8$dk_!Wm\/&a&2g"TJ]3P!cq%-!((kAF-p2Dt>]B_>N#$s;pBDM]cY-;mO87Jnl(!7Z88_sYH!7((5J<S7rcF#L(oniTL@M%Q=>!M+[_m_%<Lk;O7_fE%/qcshRa^7LW)K<\`4'oH$oFJh%bgY#[:%CsX;5:BeEV[?ea;u_:rd8kq18+inO6DndZ+o$15qp?#&[7qQJjZYA5uoXh<@Tjot5Tj[Vp.]o>P4g_AU3UB5eA(W8r*j\qjhFO',NQq\LVk-FtO1:;JdX8&,em-M;ZchLj`g%><Y"&1[M!kRhVZTudU8-7YXNA8*1Lo--q.D35$eUP:.<"aLtKr(ui:gVCH.9skTlZ67VfIYQ6R:*6T^!,X$cEHi^p@@;>m_lE'3U[-Vr5a86#K#CUl[)cl"4]@K*'BS7V=%]G6hd4'dZkJ4WH@;Ic+jY=Nf"GSuC\!a.l!;XkRr:Q]8OO(>e@&?[JtcN>H9Ae"U1D`1[Ig\Oe!uNIf-A2:o'*(P+GM:J:N[+;gUmkdIb<)gl@&]?fueF_G,mn0kmZLL*^H"S%,e*+5],]ni2Ib_c?BK^<">k<W"#dM1_4$<FEc;\gGTKgoS-/C3%6`eJ)$JX#qs*O1f;C0LJ/r;%<SX1glSV1LZK&XP+oM"kctmC>DftfoJoqTF+^WdJoW-Yg#5uLI.)>]dLJ*XG*?6F#eJ9u2ZNdqNY)J7$A8MjS.p5Cnb;'V9&,*5$njFlp.XOI:CAXbmVFGJ=aL%V%'F`Ic3=@saE.lL=e.RAN$m"nBEA;gf4sDo"FTq`)e[eWE9qbr3KNdPQm[8WkM3[<^EVp_GN]p%jJn5FB@C6gY*VZI*8d99RZ9TBQ12dGbsGFbrAd#bR&6E0bHk`S%Y82l/e<uI4u2[+J?9_A\(O+gTl</*lC;f[j"r:G9]YL2+S5^-Q(6fXPWpMA45B'NF_ropY]H_OF72M>S$Hrs_ZnBHcWQFl]!$uOcEPeTc]T?&,Nc`\m(Y4Nr>4XodDbn^]/;*GUN0oi8to&Z'Wi!iH-,5';f0QXS>A3.?qWJ`'_*AR8'8!PjJ.RfV.*Lp'5holH,0N&2Y/H%<g,F2MhU[@P;Wbk;7r5A2>No'oK6>re5aGYrA<YO[(]j8"_':nal*<$VHK5CiB0lt88OBs,*PA#Nmt)9I#(4]7`g3\ClD7f;b,L=]<<M6<F;KuO`03`o'/ZuY%;/L2I%cDI>lV%)][_F<&>+aThV(\f9qkN?#8S?'.DD\]!TD_Sk#JX_;-*2X!m1OV82oi8Q6Om5#MsWmk"SFrh97a)-6FD*OVS8>?_Oq&,#]?"(Rp@KV:9I^mN"XJNmaSN^7%+gNV@o1oTjM63O6u$@VVrJYMiYTL8@Q"i`U=asG5XSMH2Q8>%3nlUB(G%Kcu/9A5.$"G7MbNor-MO1GD(MA-/_2d-)8S<jpk20>ne"`\]gUFWBl8MR.3R9ZF"o2U'L/h[E/@>XR&'Si3U&XM$Cjh[h$!#he%^-Qs%=,/Fr_Hg4dFS%dc[2[K~>endstream
+endobj
+11 0 obj
+<<
+/Filter [ /ASCII85Decode /FlateDecode ] /Length 2082
+>>
+stream
+Gatm<>uTdn&q-BZd>tMs(k3n&j=)Y8fbDZN1)Xu[<aM$#D/3Y)>Y0YjIf6^NOA+<K79/#mU@M_ah5=&@4sGT?INnZ5h#^h6i8Qs56np5bLsdE"`@Y=JhYlnK[!a]jJhY<10oWFa#ifG`lfdXW#59XKGI0rKgGa^Q97+Yi7<[#0m!(FP3e/W3AK6ciMJ3dB&)AI&_8I8<@IY]rIPL$b:-Us)4-$u!SckHCT%9?s-7<k`*5l!CB*g,\i+sPS(L0pS3.QA,n:IG%c!0C#!=Ml<0EFMP9ZF&0oL`SFO%ea<]m>d`,YdN%bqsni5`'W9ZBWGto#InIPW"SYJlaUnL%\o.>Qesm43I.nJW:_s$XD;8X*'D@eSY06"l0KG(e3O!!RJ&2cR(R=qZBMu`<(XnCRBsIM$iD>E&/TmJ"@:5''<YW>&mjS<jr@\4ePamRg-hG0!S_0UQI*(*2<Ad=8&SmiNt<kC?Y`j!^=k("[7+FJ!$;i2O(YFQH.CX(Z+Bg\Bed#mTRKVf)!q]KVa37,%sDM0Q]4c?D.KG52>-)Kdp2ChP5\+h[/7Bq4JIoN)m6\WFS=Y0T"fbm:3KEBh2MBV3%2=;:_g'ND=>In,ZURp$5d9nUt-ZDUT[0K*j+C0?>#;G%HM^<du8jG/B/Fg#utf;?tlF.b_Hl$qH]XV4nd[j8?hk_N/h^OQK-!O.D0r[Dh?9-S%Z)RI6mJn0;-aak1d>TIuJUmR%c%R&BGAVL[_2%R6D*[S=A":1)B*=.Oc<X]1#qleC9OZ!$-H7K*hqR=kMA$J+gk"?M(FDUg7CgXj2h-[M0(Lg9SggG';7-dh`'M-G[0*3$2;2fkh?/1V0%[>Su2Z[tGC9QJ\mpX)`C8#qkdU0t:r!Abag$>)D@@.$)HTet:Y*P";E_M>#cNcKF5&PD%A0TXUB$M#lG\*i/f;0C?EZBI+cS/NT-?9apQo>_NI2_/nS]PWY6&k/@G9W98+!d>MUpEGPMJrcHF96&$bes@n7@Pt,X!8m3^ha=O=K6i#e;;e([`.2%VU8#6Id2+b5qp-)K.&_:CGQ8BP:%.,M8[m,qj,i3-la3C:;/3:kQ;%4`m^RldLNsXrZ'bto?4i6Q6\HnJ2ToCF\1jKuJGFR&T-SRIE4e;gXru9)P+7&gk5!H-?1G'T:;[@h@?J"Q/^Jq38D*4<\!i%@lb#\P1-3rSVn">&*EL\VE]`<b^C@<I?88_TLr.L&**&Qe\og_dnP(ri!F0X1IfFs2'uGJrnWC04KkPk%ga1m6>]e?S;&j/BS>&cQA=V"[MXjV(q*te04d*nt87hnHk&AM#<c%`*.,^b@maF[I@R'Z]ia\`?*p;QGZ6Yor'h=/"%ar$Tg###a6uT3r!",S;n60_3#A`ZmAu+S.N!ueuj/j3+>-\Lhr@kP$VRT+C,gL3+"h+,0.[o29'^QK)hMZY)<46?RA:7'2?JBc:G#je!MP<#(]g22a:"MR*8p`q7S`"Tg1.s*lGs=V*'lRb])F>"T5r]210[;dl1%eMb3:n+&l0([[dU4&KTe"fU1t:K;a&[DE!q79'hC79R&DF_b.66s^`8CF8=g(l=.1Fu7rrHYE&<99cF/MLn\o6pB&jhS-BkuCGeJV\75n<6!<<-*"rg=AA_Wlb"&QO#7f!/6BmRY!2@e/5gV1E35]>)a[V7ArR;AeRjL0;?r2:JU$.r`L2_\3AmbPph1)6?]t8bh[jGhFUR6k-mbW<LFqU"CMGmVjb)Y%R@b[B)n]bT>[F*jpbc7$H]hPD<!8pF%INA#d76[aBJ4D2I@jjt@BFHC?^J_]VUmD?t]>l&OD>#Mhr;mA90<b-Gn(0hitE28+GRmGJQD\!eeQ9sm*5mu_,@0h_l*UIh%/,>.KqRIScQ:S`$n^BBm:Gh;T1gr5qeW=iEE'gKB_)2SI\&6@.HK.nuKbRXQ;%*jT'>].3u90TTu`G_SpF?nQ=W3+#L.XKu27"%Oq^@a.>;,fsKLJ+_J5AdS6JE#(3"=pmliSCdHIFpH7rf+.sG&+Z;&<q:%UX4p*Y%o_X1B[A0U9AGM3C?68?8Y4M<ch>r#K\'%ben7lOf7q&C3]J3PUhk2~>endstream
+endobj
+12 0 obj
+<<
+/Filter [ /ASCII85Decode /FlateDecode ] /Length 1675
+>>
+stream
+Gatm:gN)%,&:O:Sm%`CA+G-82ELs!&19P\</Cg0QkQR,7&ePGM!#VX1qCY$9[PE$MBk'^U&d0"tG0eiI$3>USs1bW9-8QKF;P52WEhF#$@.kWoAk.=mdG<*,P(7*pJV5<p#[*,TiF<KepXR4p)L:+tL1j1K0WVnCb[!9IcKt(k-4*@V;[]Y&=dB+AQDNCEBa9tk/%H;8b$;*[Q&PjE@*[akcZ-@U\6Hf*S4-:Zj44'Pe`p^k!jf'aq[JR`<qH6Yd!8P)XX_O]PjW+B-Kcb;]+ES,r4I\7LjoT:Mn3o2)kkkM.J*^e%:d(:KP"/&]7j:f*3b:$<mFD_Pt#F&Y<=;jc5B9.hW(WT8oCKrd8Il]$\L(&\O+VF&uhJtiah])F*GO(-lTa\69D-'02'qSQ*d*k0NQ2%'C$;"6mW5"bUHeR#E0.1i41`"[b0\5(2H<\qNOeG^#`6?(..[Z2bJFjMgc$$<b&4t<dk^$M^Xlh'k_K\AM"We:l]kQ34S9dE$:LOD=1iA)L.ahKH"X`)\VmGB]D?,a'&_ke-NVI<A,m8r<6<CWoD#tN=iC>T!Js;MMsj`/;/JfKK00j.ara0ol)h-ZY>^bB4'L,Yl+bo6UNnl1W70Z9,NbHAoWq3!%rd&m@YUER7A$=A-mhOZ;f7U@g-m?_%pO15/"Q-oX:fqoY?ZWiu5QOeoQ\,^E20[ne,9fSNdqu;'EhC3MrO>3@[o?p`dpl4CKGH<(eSOZY@tDMR+B'`jCfA:Q_Bt+uRr;5T&ooS;/7CU:!^TL"30Q@c<Se.klY-d6b!`rTW8T*VFE0Ks*n,OX(@*Nt62W-a5LRja?DETLD=Z!I'Lp2u)adjTB.hQ56j6Z"%X'JHs6Ndd-<59]-Cj)9K`(UYlW*"a%"rl&4&,2"qJ5n9)(bmBSS*l8uN&lcRoPH1PeSrk*T-G$t-U[!#s)L;T;Og1inl>mq*75'F?-O8^gA8SRMUmGLH:08BHOj)"?Mj6*o'iuY*fao=tI8<PBtXNTk),J&%ZRJqgWXi78@MX`X\pBB23YDr\(Ag:+aY],$,qBi]u0QC"2hP,o'aXKbj!OX3`+SkM*7T_^oU0V7""rk:"L'cWlG_:V?Z\0Q]%oLo7G];j3Gg-sVcqT5flV66#W/1J<A2`_BjKOu&IO=CQ:t@X%5)$i#L\j(6aniF^X=)P)Rg'&t#pL;VZ@4IVWmQHGbb''1.0S.\#d2^"^(/_R_VEY.me_@HE0o?[9sRF3=ETIIS:W)NS&%c8CJNj$=gq0?:6uI><5.Seb$YT2^,'[h3o*cJ253tkFQ(g$ecHHla!B(X/.'`RMFXkY1R?Dd#5@lnIt&H#N4D.q=d0(,a=L(r9[2DDOn&]kb^)TX&ib4Q9OBqHN_#ZciTnO>l$``3/V<EfA(m"f];29!jInQk`\`KV#Zl!C=)3&?`6WEGE"s0Xl$BB&"3_3UgIb#(1cSs>7MPdWe=0'N[7!GjC9H-5X0!=Y5B)HH?/FgpL2"U.?,O'R[0C7R@:4Dd%m5^%.*Joe#@g^rp)lTPT>Bl?J6WA40HL@JC\/B(ko"m<"aCFC!J)s`IJDUohTo3<([fNq9d4Y]3`RAimoIY.hEeI[$D3O4I[Zs41MHV%LO%L,Yjr/d%*_S0PZV^o>LqR2ip"$cNW\Meb^e^>PGY^nZf;`>r<nSjVf;~>endstream
+endobj
+xref
+0 13
+0000000000 65535 f 
+0000000061 00000 n 
+0000000102 00000 n 
+0000000209 00000 n 
+0000000321 00000 n 
+0000000525 00000 n 
+0000000729 00000 n 
+0000000933 00000 n 
+0000001001 00000 n 
+0000001281 00000 n 
+0000001352 00000 n 
+0000004305 00000 n 
+0000006479 00000 n 
+trailer
+<<
+/ID 
+[<7f2d56b05401dde6cf637a2fdca76932><7f2d56b05401dde6cf637a2fdca76932>]
+% ReportLab generated PDF document -- digest (opensource)
+
+/Info 8 0 R
+/Root 7 0 R
+/Size 13
+>>
+startxref
+8246
+%%EOF
@@ -0,0 +1,131 @@
+%PDF-1.4
+%“Œ‹ž ReportLab Generated PDF document (opensource)
+1 0 obj
+<<
+/F1 2 0 R /F2 3 0 R
+>>
+endobj
+2 0 obj
+<<
+/BaseFont /Helvetica /Encoding /WinAnsiEncoding /Name /F1 /Subtype /Type1 /Type /Font
+>>
+endobj
+3 0 obj
+<<
+/BaseFont /Helvetica-Bold /Encoding /WinAnsiEncoding /Name /F2 /Subtype /Type1 /Type /Font
+>>
+endobj
+4 0 obj
+<<
+/Contents 11 0 R /MediaBox [ 0 0 595.2756 841.8898 ] /Parent 10 0 R /Resources <<
+/Font 1 0 R /ProcSet [ /PDF /Text /ImageB /ImageC /ImageI ]
+>> /Rotate 0 /Trans <<
+
+>> 
+  /Type /Page
+>>
+endobj
+5 0 obj
+<<
+/Contents 12 0 R /MediaBox [ 0 0 595.2756 841.8898 ] /Parent 10 0 R /Resources <<
+/Font 1 0 R /ProcSet [ /PDF /Text /ImageB /ImageC /ImageI ]
+>> /Rotate 0 /Trans <<
+
+>> 
+  /Type /Page
+>>
+endobj
+6 0 obj
+<<
+/Contents 13 0 R /MediaBox [ 0 0 595.2756 841.8898 ] /Parent 10 0 R /Resources <<
+/Font 1 0 R /ProcSet [ /PDF /Text /ImageB /ImageC /ImageI ]
+>> /Rotate 0 /Trans <<
+
+>> 
+  /Type /Page
+>>
+endobj
+7 0 obj
+<<
+/Contents 14 0 R /MediaBox [ 0 0 595.2756 841.8898 ] /Parent 10 0 R /Resources <<
+/Font 1 0 R /ProcSet [ /PDF /Text /ImageB /ImageC /ImageI ]
+>> /Rotate 0 /Trans <<
+
+>> 
+  /Type /Page
+>>
+endobj
+8 0 obj
+<<
+/PageMode /UseNone /Pages 10 0 R /Type /Catalog
+>>
+endobj
+9 0 obj
+<<
+/Author (\(anonymous\)) /CreationDate (D:20260530195342+00'00') /Creator (\(unspecified\)) /Keywords () /ModDate (D:20260530195342+00'00') /Producer (ReportLab PDF Library - \(opensource\)) 
+  /Subject (\(unspecified\)) /Title (\(anonymous\)) /Trapped /False
+>>
+endobj
+10 0 obj
+<<
+/Count 4 /Kids [ 4 0 R 5 0 R 6 0 R 7 0 R ] /Type /Pages
+>>
+endobj
+11 0 obj
+<<
+/Filter [ /ASCII85Decode /FlateDecode ] /Length 2525
+>>
+stream
+Gatm<?!#cO&q/qEe>&Fk)n!DFGr!;=Dh)B&@F!QdQaY_Y'dT3S>%-CVO5J\DfbPG6Sq5f%QFbUhldi0KKp.-2DLYH'U>lh+IHJIR)U4-9bbriKog]6O%X><9iQUg)0;9laR,`K9T#3=,efV:Z^`e)HY",8BSse4U?#q._4N=-=_")/.SM.\"s.&fgFStgsjQrUbGtBAj0><tfHC$#X6Q1BNd;RN_q@"MFJY2+5H-&:)'m_E+]YJGn*Nu?LZ<57+Q\p)X-5Mb`mf+\W4P-FU8eec+8nenu?&5l'b31)Kb>0N[aRpRO)omuFET$*G00%n0/Ds*1*8%M>fPL>&i6jcsr;2"a-\u7K^@EOk@UcJZq#RCodt>N/OH]-&b_mH^?q/&)p,Rqh3T"]2iL:9aR(GJ2_p%e`(O6ts^CoB4CW9Z>ED$V@_g(/uN*l6Rc:5_#lVS1Bqj6'i[s.4O/rZA%!uL\&.hZ>PDp-o[nJpZqM6d\@YIKq<X==uB6hG;m>,bY50#sO^p%XVRa7YL<(ali`A^K7N^m_4a1eZpKIM=Rk=\F1i*Bo]kk0fh_>)LN0N!?LdC6cr)L+UY30ams@<PJWPM^%mK&T\PS+GhNQ[i7S+igG;7&jLBO:_LdA)]>*':_F!o#s^FYg;Sc/2#hEj\nZ+W<*OVNUb0GN&7>e4oW#H&@^2".WBRJ5`*UK%>bArYT>Z#l]Jt`!#<pJj#O5:s>]u0:.-k39#TEG%:`/fN6_Y>SV-EZNjBLhM.%c0qo!^X0SAYM!TB/I@65bo>mfh4MWp`3OF&A6$V8_3I2WoKdN%S1(d.'_&QT<^s5j.=sJfuemL]-c%#J-)IV(P2V5PBIhdqS>Y0"HG5X'7068"!,=nr5gj#EB!ojJa<;lSoIr=UT(opcBLgC_o*,6i)`#0pCksnD,q/NYKp<b2CmR9_B@D<?Ko/)I<$=cNbh11^5.G[<n$M@fiW^e<gPJrfh/#8#f,'QI-e_c#EN.^u1:PTXV-*rMQV6q6k;hFc4prT'$%$gWjtLCWH%eTR+!]E4'";7r9j9C;#.(h-.VEH3"JR[=G<(JYVa<Z4)E27C$crcPGC\n6(:F454=SqK]F+DmW0OBp[[7\t/hMjg<J#:J&GRc\6[Y"_\-+57H<?GBH=r]/DI-q.f%VA((YnZ-T,:H_c!<WR:T$j6:*>hdrc8VNU?t23[ZR<P6]9BHfn$$hT3tUNDHOJ9c\^J9YS,m_TX29Esk:M8*pi0[7XEj;2mSr@_%`jeh^:^Y!WN#B!7B(E,Bs17(F$NtpJ"F2hH#<#%3PBd)^LM37m*.J(0^>ahk(,t0Ue)IoZqA5Qb@l$cR3KbA\1`*fXa(`Q?R=-gs[m1E*C^MrUsB#jB`Wj9Q">8WAmK]KMg!]:l;Is`8eQc-'0J6Y6](Bi#W:Jb&kHNOCfpeZc./Z5O:,(%]$'S,br)8_c,g+Y^SOSj\u<moZ9\l<C3hQE;-M@(K(T$e$)Xu@dI\SE!B.D'"K_m)jc#Rpt?\jX"oJOm%MO;3[6rt3\\&7J%/hQ(,";L,9:&_,puglt<J6R@gZfi_A0V.'X&d)<rZ*5M25.b!g!P*Y1=$j59CaAsO4L=ls0]iaFe/s]d4-VDZ^I073FO2L2hZ^d_29B%bodIXFC2/ADE2-)s%DRoa'49_-"7I5bHc]Es97;`t-Zp\s^]Hc65H'J\7_9=u@1LomkLUW'*?f]*lG[^5HRPH_)-#,N$(UR?iZ^XD4"/-+P*L#3CUTs,T'Lt#Pgend=m5Lr/;s7f1"WF>0fVVi6:_T(rdYad0F_.Ml?Po2]Yl3Y@"E/D>YLPe+/qo%K;1;1u9M)oOjV;:Y6;4a[Zb!MMUpKNj$AIsMH"a7B9guk3>FBI][Iq\,j&3)#*[!'\,/)sNlGN@15)3FENA5%a<9jt3e)UO9!ci?b^G=&eg4KRQ:iBkfW*(fS)q)WjbbVNNb=nA6IGF)s]&tMgJ=&NB_,ch<1f4)!e;];ifZo";C1^#llH6?:iF(CU]B<cV$rCXV=oEq]3`iPHf6D/c2-dXtoIb4(JCS/@Q)LE-@J\mId!-9&e$5Y50ILlR][^r_$Hm3`o-J..d>,r-Kd>5jJ8>_rB]IUGeEY>t0J.-^I1n(D^og=7N6IS<Tk2?;oO"5Eh"R9]@gLh6@#deqTkp-^oOk1AN?r+mY^5bFG:uk-aAP#K[1Kne$RQJfT$seBXrnL>Jh+,YK@VH<n1Y8?opCl.;EpW(LT4<fJ2`<N85;7Ve6JB$pH/mr*Nn;AoWE<qH9+T>9O@$3eaB,<1U0V!B)=8=1R]I*I^Q9sbK$J*Pm+sk#shYij<Y=CQ,0VVm&,QBDHp;Z"1hX7dWDCtTm#4Bn+;C[.SNbh:pLo[mP1JUmq"a\rD#aj*^pP<9u;rQQrDQn!VU6,oj.C`k\)<X=%]c`=r],iM5NK41:[.+jKk].ZTV^Uh;c1V#(VQcR%QM/"#8FEU@[r*Vu7WlU!8kR?nq(c8!/3bLO4W5rHH/LFF!K]BD:/,+P[3Anf2+"pciKl%u(~>endstream
+endobj
+12 0 obj
+<<
+/Filter [ /ASCII85Decode /FlateDecode ] /Length 2715
+>>
+stream
+Gatm<?$"cA&Ua>VR$X?)PR-7fK\dtYQ5RYcNlfaM?1A(4QK0(f:t],VFo:paZO9Y6,=P9u-'\f_JD$N^St6f'jPqVlJ+%0IX!nKB#8DhJ>u2)Z0hq[>f@+sDIM[*%k(2\cH'D0li$s[`]SG6J8FBP2hndD%Bc)`@KVl.7S+@r\AZKIM+Nrtl4Lk9B/sYrT9PJZn-&`IW0%@e5P4pIORb<H(=rHq)08@ABr6["QD:EU9'O$m+(uC;AIMmm>[k`+!JYmqDo^<4`?hemVF;2JAkem_iW@Ahb:aj_-s!QHUIk'e-HX#,g&-;N:o-g'5D3fLAUcoAI?9K%2n%Sng:Qq826UD"5RS@')WMNE\d'[\uU(WI5pF@E?R9,o_p4d"#U(cc>H<Vbk"AX@@2SM9[B9\pD1JQa,-^W`H%F)aLUJV5g?_s.uD.Hqe*a/7.E0Qn#3R6L^o&\SIJ90lFh*u*W1o4Ln$hHDkIX@HSb31\)]HkQS7f</d6*Ph=/d5[FUcFs&JgcPuMh=.b7n4Ws1^KV$+e^I?^!O>L*d`!5'jAe7>_DR9L.\/LN$j+L>&3Xhi$=9lnN7n&T;(h/&;OR'7=I"dkp)aIP(IS0Am5R5X27\1<Iu!m.#XPuh$V\G#E+7OJ?u?o^^bo-c&itA61J.eUkd[D#drJ>7H4sifX^)7M2@Q&Z(K&0oP:iKo1$S@EOA"ZJV&(XO_gfgO(5,)ebtBJ6?C@g2mkJ/Y_&r"FkSO&q_e3.H10+d.@qOj69e-K^-A'7!5t$AKjm8qluLI,JSSa2`NbOuA"Nk>TVN30j?0K$(,G!BOJt3!,u[T5$2R=%ke"?+XYcAS<(!&Ca-GUqA2SD&b(df><1:O;mT2Y&f:1B#`G'K&XOM`N5cEL$$R$f9fdDG22D,/FCZtU[^(FrU)C#6IdUEH\WX<sql#L*e<T@akdPiI2b4Yl8#-$kKd>Pn>3(iSS<s&2M7G0@fptaabNcge)*62&jBO)@q_5#1c<P\*K4Jna97kn!VqH^TpH9q"l$Lun<[ABOB+@7^lPGkOS,Bmh=9Y,'5A$N&4.;Ui*c'Y5D#g\7ArXasVZnOQKl4(n=3="e+fXJ[K,uAB*hpW-l7eY=<+"%s<<_*_g[O&l'W!jVb@;o*,)fBh=aRFHu/$>uFICT'q3FA7.Nn_!L4:h=ZTV127^onkFi7G<0KG]^l"#bmo<!Os9@&+I7-ZT`6XBV_\W(Fe\4pnh3'mBkCVMG7$=48!2O>_u!0Y-V):"+P&--ar<>q,H:%D:'^ZQuf9J(kE]a<ZZ#[eb@_A0eiMYP.Z7XrG4h7\MA?3&_mRlS>G*#UH/\C/%>h^G?#TCQGcMXIUfabd,TJ.?mBL5(JIn3F8!!C_V:HQD305L45k8Keb4'.qH\8F@0giX]XQQ/%@2]>/1W:,Ep,d0M[_4.*PK7M!Us%N]<p3-qne&Z'-b43ptsG89aijR(]sFoEitF=feVuR@e@ok5]jc`'a@jH&`40W&c/@0^dj<@5VGh8p;K2rrTLjeE%gP>qW]^Q3F)C=sKT==d5d6KA;ce[U&(.je6IF]n<Rlq:SLYmY%SoMf]lg&LF(hol5]HrlhGnV+.=sff6*$:Vq*\c=+$T[I6V[ITT,D`13$np1&U$1lN*G$O=L_)lUuHfskRVY/lNE@8sMul?r/8;`kn:O*cb7QuD4PKl(I:(YdLE%"t3;V+go209=Sq..,7'V5=N66K3"&V6s$b6hLP&)CG>-dr<TA`Ql#)5>"FRUnTJH6a-m&@pg!?rAqL#\[!O+*CnHZOs"RiGAc%f6+[i$6?iI*QM=pe%dB`$.*aoY"8SPDD]muHAabp)[k2RO/]V1Q'W*5e&-$4b$_oiPq"P7Ya<8X25ngi`1t#)\>4X?%FZjW^5703NW,GqM=LUEi3J&;c0iE#89'CVhgV]ZE].:F@%o-@?T$pI3%[sVuk+QBp9XCla>(i_WJmG6LNL.4of)QQ8"]X87Cq3Hi)h!d)j;%hmQD2>PGQNkVm%g/bW1%$2`R-*@DZ%eO(S>7pJ7`fK+u2*le($Z2N!HhV"b(+ig7ds?+`Bc=')Mb#j5rV`G4`\bbjnhZg$Vp^(?D7YB[4'rFmj<5hrit?F<%iu5qcLin'fdc=%=R.P9sSZRpoBUMuMt91sPr9,q5LX9,7crXbPF.CEqX2M@#nfJ!__J\>l?l78_'g<0tD<Ii/gOs'c#VS=LfcQjD?0DH5B_oqU*1B;7SH3tgpC`;8V2=4Rls.+oI:-O%MiVI\EnD#Yj@0t*DaP/B_2'RSS=SuhPoNP%*/ZYl)C[Dhg32Hp4&U#/;Fk-I=jXsL`F&8e8s.cPeCl:Mbh<GB#FRq("6IYF@^+Dk^*qE8g;?JD<[jJBmkV'kaq:RLS&LB#Ro,4H._o]pBeW5O_u;n?1SgboEK0'Km[q/T6F@R-1n>"D?f*e]J83iDEPm`,>8B8?aR4.CWqo'>I3N/Uac&X^`\)YTSb`$n`3HfAu(X1R$iKGJss1[LdUbJJ.!l6s`4"4MLEiMj_8S6M8%;T_SXh.#Y1=KA-Z$c#2AO**2!Hmahi>.`fGS&^M/"&cJ[;gN:j_.u%X]:qSk@!-.+^$bAii_@8k3c[4+nf[<Hq-r_,=Y(Z]9Oij(*r2.[a[b-U4h<r@_P256C0/9aiOVDG9M8N1f)%is3XU:aD31\YVSCOA9sk\jM'NliApEXo"P#<s-nH&fFMpRnpD9!*Td]~>endstream
+endobj
+13 0 obj
+<<
+/Filter [ /ASCII85Decode /FlateDecode ] /Length 2715
+>>
+stream
+Gatm<9ip(?(>\R4hQED0=Qitt=[<],'?Hu#B&u`)QY"-6a\sME'-D]$gfKYTliu0bdK+D/WDr?P^ADfi,8WS9rVKP*SNkKCV+7+Q%l<cC-_uM:qYY=)h]o=13V4:M(^:9m;;es5&E>e+G!+Z?iZU=2huu\;:?W-sG<e2P_OfW(9])V#!]GGs!c,\d$bbllCPU2HV)(+d>#[u7Vg1_khUi>P)C5%5j43qR-[PPR&-$+2rkQi!I`;5%l^(Dln%L#TlpQg`Ga?*b]^1R>,f(UCEFhSP$`RLF7<<ieVW]q=-IPjr;:I(4SQ4Z`:7].4'B?mR2sjGs3_pEWdH=3J`^(6_2'/Ps9tPp\[MLnplpai[D4dem<)[,s>Ula]6Y5Co/er<!1RQ*DWK(\]8XbNZ9s%&'R7p>SSAP)$at-Pu\V-frlko@--Ou>kD[em&4VrAI"85UKp-rYKbn+5AdtjYpEaIZg0ZS0,Ug=@Nb+V&gDFQ^WpZ>J`1o$7uWVfV/l'+4l8YqR">+RQ"3>j*f]INISWp3$.<&JjVWG:Yl@?dE=lkf5J7-<MP%+?bmFN=&19.hGu*RX]9eM2s$CMI@@rW6a:_B%P,I=Tb@Zh$9L#:I5Er\U@Qf6r<PEB:+B-$OA@4(7LOdD4JLs(NrcaQ&i@R]550F,d:np1dW>.:3ds=\2n=O[T_$!>(,&Q_'L(.sNLE@`P53+BNQ!%??(6Wt8K=YN4.6gFc++cB]>k5,Q:YLh!9#ocr\OWfhZTnsj!j?5S@"Y4Wi`LI'Pr]8>tk9Gg>_Lihh^qg9,nSYJ2UZ(,BGT#7ZW85[]LY($9)76@R#U<6+$gO@d<0gTh!#>M1J=1*=dSG\Inl<0j&;T2DHF4s?KoCj)\FrBcKAsUd],_N$icXiLHH'Sgp4eV9+1+Pg&79sQVfejq")ojm/45RiOcg3rIe0<4Nfg9XU[SY[pE[UF0U#3)s?SI4(I[40ihW?`1&EZ]5Rn?%54hEQdo7d8mnqXH_O,iLMElYO#a29;8XlXT+jG$?:&j/2eQ3Jqs@#HRIF);fBNsp<BB,r\,CoT;7RC!Mji3_(FO'PGeP$*f7h?=&Gbbd=9QkfZ[,-?B%4b_&aPhT"5_#a;ockeFCQ.)/C\.'NQD(:*Ug+bMpk\O*:1uuLr3<Y42p^Ru?#=*CEL*Sh7:#E8bnE9uBjqT8]^bYZZ';K2#bIM!-e6PbFaJq)CjO=6BT-aV(8K*>pa2[$P4&l<cP&""dB#kKa3gHbi(ocZ=*A1W7d;*b,X>UNAHt3%VZ-:%fWWKT96Yik;@Q,>:Rg'"25Q7R1VIjXCgJM]5oL(IGf[uP]Bl7]dp06Y`m4gTT=asJuB#9pQ4Dn70OhBS$?,3>^)7#SRX*,/M>B8im2X"NQ]5&RBO/eXtiNKahn:V_S<p3_1C2Xdpr?P"hl/#EPZ5IJ>pO,`BW:,?2\)#7[LU,Vtj&ehp2hg<BfEr`uK`HBF8jE^L;GBsP'TG8V%d:)=3G>4<5c:"5M;)#$bqXf4(9d;MX>L'IUb]EsKO`s15:m[oMjfM@W[fPAbWG.oQoG3"o7r<cpo_e>MkU3).`5AfW`.sf-!aa7YrJW,Ag)3<cPBl3I-YL_H6E\OVpm/PFuUr-7:oTl@HjAFLk\4^[9`B&M'WjEJ%PIFgXOAG]XY]XdVi\\PqD2"R--;M?Fa[>9:^uh$:UkFLo\O*LrJn^6g>R"s#Jp=D5-2^JU,1+W!hht$CWc;Eii2RgV/1+RQicf2W'4YO+#e;qCCXP9?a,^Vpb#[815/:8Q+TSA.Y^uMAD&m(>&MUV:e<@luAlja3gR=Nb]U>$l@UDrF];CQWktteq>rA8`YUA!$RsI+;gehR'(2'JVAh)nSl1?^ulQ=FB&Akb*qK:S(?,MAW2X'l=Mu>'MD]n^1O:g%O15KC"terK]t^/STu06`ro[h_lPG]INHtWpZjUH%I:f8fO[/JTPE'5Oga+I?8NS^0WjIZU=FcKDt$N$H_*To2M76m[")+ga^H+!*mpUlSPGi/_IhA""c1C1]d[;/%HAS,o;hI]=piMp3o>$a%gl+<6J<^TO>)+_(W5m92bQ#;*PeI]%u"l,!Bq'^BdQWF1"D5<::S[s1W7>@LsJZ_nKtJ'AbRYnal\*sPceX(aYMa:?u-tHpS:S<E*gG$7/&#!pTin$bPIQp,J%%A7W*=tGtLN)6mGP;jSBM8Ad:WM)[q2?n^+NmZTTOl?8i%[#YUI6W$5irc0XH$J#Tub"4qO&>8,R7bn9seJ!0t@UjV6A"DEY89_IkbmVpP\L(PbQSp04u(%a;*1mQm$T.Pr9%hgBk[4:j#?:WtXGo\u^]UG.tl$E5i5h\RhL?R5/7rk"J-7!Kd2jW/UfM200e;*jKLoUKrpB7#Z1`$m)ec,u$]J95KQBPnhOmOYFqJMjRB%hr4H**hPF5._o5iIIapcAkHblYVm_WTfHc7n1+j:&r"Mbo3!+SHJ[]/ii5K7ZF[_1KVerGoK!hn8,s"4)>G4N;ho+*e<pq;!.i/?YGC%^l]I;BST9$]h/6:(89Sr"iW#(G%\fq0eZ?77F0<$cR#AqfJfk>0L^i2,V`&!/OtF!jh],WPs$R*:e$<>DHOr`$`q%K@YV9?'S5:/m&VK3MoI=l)P3J982\e^0M-d<l_>=4][+jIKqi7q8[p86^7(+<-9p)nto&?dC%>\U3PX"Drg&O@@pm5gH&MN>!UH^rr<[NB/]~>endstream
+endobj
+14 0 obj
+<<
+/Filter [ /ASCII85Decode /FlateDecode ] /Length 235
+>>
+stream
+Gaqcp3tK1^%#"BSMAlSQcm7_\,%-!'.:OriB`i2`9b;dr;]Z"2mH)WcAVlWt]3-u+_I0a:O:(+UR>D>aK9]$2M0p]6;P\WAVjNLP8<oe9*o!34<EgdYO^B^SRZ9DoOQm-O>0PJUc.Foi^#e@'CWK#U&4+Sdp\2=\[4<^6f]M&Q1"]:cjt1eQ[WYV>=DE<V*d_Wh;;KnN?]g8?Ur+L950O=FJDpNJrb]\Bnc7h383$~>endstream
+endobj
+xref
+0 15
+0000000000 65535 f 
+0000000061 00000 n 
+0000000102 00000 n 
+0000000209 00000 n 
+0000000321 00000 n 
+0000000526 00000 n 
+0000000731 00000 n 
+0000000936 00000 n 
+0000001141 00000 n 
+0000001210 00000 n 
+0000001490 00000 n 
+0000001568 00000 n 
+0000004185 00000 n 
+0000006992 00000 n 
+0000009799 00000 n 
+trailer
+<<
+/ID 
+[<5a44b88e987f42b6efa05c14ae0620ac><5a44b88e987f42b6efa05c14ae0620ac>]
+% ReportLab generated PDF document -- digest (opensource)
+
+/Info 9 0 R
+/Root 8 0 R
+/Size 15
+>>
+startxref
+10125
+%%EOF