Code of Conduct

EconLab AI setzt Agentic-Coding-Systeme, Large Language Models und Multi-Agent-Architekturen als zentrale Werkzeuge in der Softwareentwicklung, Beratung und Produktentwicklung ein. Der Einsatz dieser Technologien erfolgt nicht verdeckt, sondern wird systematisch dokumentiert und gegenüber allen Stakeholdern offengelegt. Jeder Code-Beitrag, der unter Beteiligung generativer KI entsteht, wird durch ein Co-Authored-By-Tag im Versionskontrollsystem gekennzeichnet. Dokumente, Analysen und Artefakte, die KI-Unterstützung erfahren haben, werden als solche deklariert.

Für den operativen Einsatz autonomer Agenten gilt ein gestuftes Autonomie-Modell, das sich an der Responsible Scaling Policy von Anthropic orientiert: Je höher der Autonomiegrad eines Systems, desto strenger die Kontrollmechanismen. In kritischen Kontexten — etwa der Verarbeitung personenbezogener Daten, der Generierung rechtsverbindlicher Dokumente oder der Interaktion mit Produktivsystemen — operiert kein Agent ohne dokumentierten Review-Prozess durch einen menschlichen Prüfer. Autonomie ohne Aufsicht ist aus unserer Perspektive keine Effizienzsteigerung, sondern ein Kontrolldefizit.

EconLab AI publiziert den eingesetzten AI-Tool-Stack: Welche Modelle für welche Aufgabenklassen verwendet werden, welche Daten in den Verarbeitungsprozess eingehen und welche inhärenten Limitationen die jeweiligen Systeme aufweisen. Diese Offenlegung erfolgt nicht als nachgelagerter Compliance-Report, sondern als architektonisches Prinzip. Die Prämisse lautet: Systeme, deren Funktionsweise nicht erklärbar ist, erfüllen nicht die Anforderungen an eine prüfungssichere Dokumentation — und werden folglich nicht in Mandantenkontexten eingesetzt.

EconLab AI unterhält keine intermediäre Kommunikationsschicht zwischen den ausführenden Fachkräften und dem Mandanten. Wer die Arbeit ausführt, kommuniziert direkt mit dem Auftraggeber. Dieses Prinzip eliminiert Informationsverluste, die in traditionellen Beratungsstrukturen durch die Zwischenschaltung von Account Managern, Engagement Leads oder Projektkoordinatoren systematisch entstehen. Die Erfahrung aus sieben Jahren Wirtschaftsprüfung hat gezeigt, dass die Distanz zwischen Prüfer und Prüfungsobjekt direkt mit der Fehlerquote in der Beurteilung korreliert — dasselbe Prinzip gilt für die Beratung.

Scope-Ehrlichkeit ist ein verbindlicher Standard: Wenn ein Mandantenauftrag außerhalb unserer Kernkompetenz liegt, wenn die Erwartungen an Zeitrahmen oder Budget unrealistisch sind oder wenn ein anderer Dienstleister besser geeignet wäre, wird dies proaktiv kommuniziert. Die kurzfristige Umsatzmaximierung durch Annahme ungeeigneter Mandate widerspricht dem langfristigen Interesse an einer belastbaren Reputation. Dieses Prinzip ist nicht altruistisch motiviert — es ist ökonomisch rational: Fehlgeschlagene Projekte generieren höhere Opportunitätskosten als abgelehnte.

Die Preisgestaltung erfolgt transparent und nachvollziehbar. Tagessätze, Pauschalpreise und Retainer-Modelle werden vor Projektbeginn schriftlich fixiert. Nachträgliche Kostenerhöhungen ohne dokumentierte Scope-Änderung finden nicht statt. Statusberichte werden in definierten Intervallen bereitgestellt, deren Frequenz sich nach der Projektkomplexität richtet — nicht nach der Zahlungsbereitschaft des Mandanten.

Für sämtliche Mandantendaten, die im Rahmen von Beratungs-, Entwicklungs- oder Prüfungstätigkeiten verarbeitet werden, gilt eine Zero-Data-Retention-Policy: Daten werden nicht länger gespeichert als für die Erfüllung des konkreten Auftrags erforderlich und nach Abschluss des Mandats vollständig gelöscht. Eine Verwendung von Mandantendaten zur Verbesserung eigener Modelle, Frameworks oder Produkte findet kategorisch nicht statt. Die Daten unserer Mandanten gehören unseren Mandanten — ohne Einschränkung, ohne Ausnahme und ohne Interpretationsspielraum.

Sämtliche Datenverarbeitungsprozesse, die KI-Systeme involvieren, werden auf EU-gehosteter Infrastruktur ausgeführt. Ein Transfer personenbezogener Daten in Jurisdiktionen außerhalb der Europäischen Union erfolgt nicht. Die DSGVO-Konformität wird nicht als Compliance-Ziel behandelt, sondern als architektonische Baseline implementiert: Privacy-by-Design und Privacy-by-Default sind keine nachgelagerten Prüfungskriterien, sondern Entwurfsprinzipien, die in jeder Systemarchitektur ab dem initialen Design verankert werden. Datenschutz-Folgenabschätzungen werden vor der Inbetriebnahme neuer KI-Systeme durchgeführt — nicht retrospektiv.

Die technische Absicherung umfasst Verschlüsselung bei Übertragung und Speicherung, rollenbasierte Zugriffskontrolle und regelmäßige Sicherheitsüberprüfungen. API-Schlüssel, Zugangsdaten und sicherheitsrelevante Konfigurationen werden ausschließlich in dedizierten Secrets-Management-Systemen verwaltet und niemals in Versionskontrollsystemen, Dokumentationen oder Kommunikationskanälen exponiert.

Compliance-by-Design bedeutet in der Praxis: Jedes System, das EconLab AI konzipiert, entwickelt oder implementiert, ist ab dem ersten Entwicklungstag auditierbar. Dies ist keine Reaktion auf regulatorische Anforderungen, sondern eine Konsequenz aus sieben Jahren Prüfungserfahrung. Wer selbst Systeme auf Konformität, Integrität und Nachvollziehbarkeit geprüft hat, weiß, welche Fragen ein Auditor stellen wird — und baut die Antworten in die Architektur ein, bevor die Frage gestellt wird.

Wir wenden dieselben Prüfungsstandards auf unsere eigenen Produkte an, die wir an Mandantensysteme anlegen. VisionDocs, LMAT, unsere internen Frameworks — sämtliche Systeme werden nach den Maßstäben von ISA 315 (Risikoidentifikation), ISO/IEC 27001 (Informationssicherheit) und den Anforderungen des EU AI Act evaluiert. Es gibt keinen doppelten Standard. Diese Symmetrie zwischen interner und externer Prüfung ist kein Qualitätsmerkmal, das wir wählen — es ist die Mindestanforderung an die Glaubwürdigkeit eines Unternehmens, das andere prüft und berät.

Jede Architekturentscheidung, jeder Agent-Workflow und jeder Datenverarbeitungsschritt verfügt über einen dokumentierten Audit-Trail. Diese Dokumentation umfasst die Entscheidungsgrundlage, die evaluierten Alternativen, die Risikobewertung und die Verantwortlichkeiten. Der Audit-Trail ist dabei kein bürokratischer Overhead — er ist das Instrument, das retrospektive Analyse, Fehleridentifikation und kontinuierliche Verbesserung erst ermöglicht.

EconLab AI verpflichtet sich zu einem systematischen Umgang mit Fehlern, der auf den Prinzipien der Offenlegung, Ursachenanalyse und strukturellen Prävention basiert. Wenn ein KI-System unerwartete oder fehlerhafte Ergebnisse produziert, wenn eine Architekturentscheidung sich als suboptimal erweist oder wenn ein Mandantenauftrag nicht die vereinbarte Qualität erreicht, wird dies gegenüber dem betroffenen Stakeholder proaktiv kommuniziert — nicht verschleiert, relativiert oder durch nachträgliche Umdeutung kaschiert.

Für jeden identifizierten Fehler wird eine Root-Cause-Analyse durchgeführt, die über die unmittelbare Symptombehandlung hinausgeht. Die Frage lautet nicht ausschließlich, was schiefgelaufen ist, sondern warum die bestehenden Kontrollmechanismen den Fehler nicht verhindert haben. Die Ergebnisse dieser Analyse fließen in die Anpassung von Prozessen, Architekturen und Review-Verfahren ein. Dieser Feedback-Loop ist keine optionale Best Practice — er ist ein verbindlicher Bestandteil unseres Qualitätsmanagements.

Accountability bedeutet bei EconLab AI nicht die nachträgliche Zuweisung von Schuld, sondern die ex ante definierte Zuordnung von Verantwortlichkeiten. Für jedes Projekt, jeden Agent-Workflow und jede Mandantenbeziehung existiert eine dokumentierte Verantwortungsstruktur, die festlegt, wer Entscheidungen trifft, wer diese überprüft und wer bei Abweichungen eskaliert. Diese Struktur ist einsehbar — für Mandanten, Partner und interne Beteiligte gleichermaßen.

Der vorliegende Code of Conduct operiert nicht im regulatorischen Vakuum, sondern baut auf bestehenden gesetzlichen Rahmenwerken und internationalen Standards auf, die er durch praxiserprobte Audit-Kriterien ergänzt. EconLab AI betrachtet regulatorische Compliance nicht als Kostenfaktor, sondern als Qualitätsmerkmal, das den langfristigen Wert unserer Arbeit für Mandanten in regulierten Märkten sicherstellt.

Die regulatorische Orientierung umfasst den EU AI Act in seiner vollständigen Anwendbarkeit ab August 2026, einschließlich Risiko-Klassifikation, Dokumentationspflichten und Human-Oversight-Anforderungen für High-Risk-Systeme. Die DSGVO bildet die datenschutzrechtliche Baseline für sämtliche Verarbeitungstätigkeiten. ISO/IEC 42001 als internationaler Standard für AI Management Systems definiert den organisatorischen Rahmen. Die Prüfungsstandards ISA 315 und die IDW-Prüfungshinweise liefern die methodische Grundlage für unsere Qualitätssicherung — nicht als theoretischer Referenzrahmen, sondern als operatives Werkzeug, das in sieben Jahren Prüfungspraxis erprobt wurde.

Die Mitgliedschaft in der ISACA-Fachgruppe Digital Trust und die Mitarbeit am Positionspapier zu vertrauensbildender KI unterstreichen, dass unser Engagement für regulatorische Standards über die bloße Einhaltung hinausgeht. EconLab AI beteiligt sich aktiv an der Entwicklung und Weiterentwicklung von Governance-Frameworks für den verantwortungsvollen Einsatz künstlicher Intelligenz — nicht als passive Rezipienten regulatorischer Vorgaben, sondern als Mitgestalter der Standards, nach denen wir arbeiten.