Audit Proof Pack: Ordnerstruktur, Benennung & Aufbewahrung

So legst du Nachweise sauber ab: klare Ordnerstruktur, Dateinamen-Konvention, Mindestinhalte und Mini-Checkliste.

Ziel: Alle Nachweise zu eurer Recruiting-KI so ablegen, dass Prüfungen/Audits schnell und stressfrei laufen.
Siehe Glossar: Audit Proof Pack, Logging/Protokollierung, KPI, Serious Incident.

1) Ordnerstruktur (Startvorschlag)

/audit-proof-pack/
├─ 00_meta/
│  ├─ README.md                      # Kurzbeschreibung & Verantwortliche
│  └─ changelog.md                   # Was wurde wann aktualisiert?
├─ 10_vendor/
│  ├─ IFU/                           # Instructions for Use (Hersteller)
│  ├─ DOC/                           # EU-Konformitätserklärung
│  └─ CE/                            # CE-Kennzeichnung/Bescheide
├─ 20_setup/
│  ├─ sop/                           # SOP, Rollen, Vertretung, Entscheidungsbaum
│  ├─ thresholds/                    # Schwellenwerte & Versionen
│  └─ transparency/                  # Transparenzhinweise (Live-Fassung)
├─ 30_ops/
│  ├─ logs/                          # Export-Logs (CSV/JSON), Test-Logs
│  ├─ kpi/                           # KPI-Auswertungen (Monat/Quartal)
│  └─ uat/                           # Abnahmeprotokolle (UAT)
├─ 40_security_quality/
│  ├─ quality/                       # Accuracy/Robustness/Cybersecurity-Nachweise
│  └─ changes/                       # Release Notes, Regressionstests
└─ 50_incident_pmm/
   ├─ incidents/                     # Serious-Incident-Dokumente
   └─ pmm/                           # Post-Market-Monitoring (Zyklen/Reviews)

Tipp: Die Struktur darf schlank sein – wichtig ist Klarheit & Wiederauffindbarkeit.

2) Dateinamen-Konvention (einfach & maschinenfreundlich)

Schema: YYYY-MM-DD__Thema__Version__Kurztext.ext

Beispiele:

2025-09-15__SOP__v1-2__oversight-schwellen.pdf
2025-09-15__thresholds__v1-0__score-zonen.md
2025-09-15__transparency__v1-1__stellenportal-text.md
2025-09-15__logs__REQ-2025-0001__entscheidungslog.json
2025-09-30__kpi__Q3__auswertung.xlsx
2025-10-01__release-notes__v1-4-2__modellupdate.md

Regeln:

Datum YYYY-MM-DD, keine Umlaute/Sonderzeichen in Dateinamen.
Version mit vX-Y (Bindestrich statt Punkt, falls Systeme Punkte schlecht verarbeiten).
Kurztext maximal 4–6 Wörter.

3) Mindestinhalte (Checkliste pro Ordner)

/10_vendor/

[ ] IFU aktuell + Zweck passend
[ ] DoC vorhanden
[ ] CE-Unterlagen/Herstellerangaben

/20_setup/

[ ] SOP mit Rollen, Entscheidungsbaum, Übersteuern-Regeln
[ ] Schwellenwerte (Score-Zonen) mit Datum & Begründung
[ ] Transparenzhinweise (Live-Fassung, Link/Copy)

/30_ops/

[ ] Logs mit Version/ID, Score, Entscheidung, Override
[ ] KPIs (Monat/Quartal) mit kurzer Interpretation
[ ] UAT-Protokolle (bei Einführung/Updates)

/40_security_quality/

[ ] Nachweise zu Accuracy/Robustness/Cybersecurity
[ ] Release Notes + Regressionstests bei Updates

/50_incident_pmm/

[ ] Serious-Incident-Prozess & Fälle (falls aufgetreten)
[ ] PMM-Plan + Review-Protokolle (Zyklen, Maßnahmen)

4) Aufbewahrung & Zugriff

Retention: Mindestens 6 Monate nach Abschluss des Verfahrens; praxisnah oft 12–24 Monate (intern definieren).
Zugriff: Leserechte für HR/Compliance; Schreibrechte begrenzen; Änderungsverlauf aktiv.
Backups: Versioniert (z. B. Cloud-Drive mit Version History).

5) Mini-README (Vorlage)

# Audit Proof Pack – Recruiting-KI
Verantwortlich: [[Name, Rolle, E-Mail]]
Vertretung: [[Name]]

Zweck: Nachweise für den rechtskonformen Betrieb unserer Recruiting-KI.
Ablage: Siehe Ordnerstruktur. Änderungen in `00_meta/changelog.md`.

Review-Zyklus: Quartalsweise (siehe 50_incident_pmm/pmm/).
Letztes Review: [[YYYY-MM-DD]]
Nächstes Review: [[YYYY-MM-DD]]

6) Nächste Schritte

SOP/Schwellen finalisieren → /blog/oversight-und-schwellenwerte/
Logging-Setup prüfen → /blog/logging-quickstart-json/
KPI-Startset übernehmen → /blog/kpi-startset-recruiting/
Transparenztexte live schalten → /blog/transparenzhinweis-mustertexte/