Zurück zum Blog
Compliance
Praxis

KI-Inventar erstellen: So erfassen Sie alle KI-Systeme im Unternehmen

Bevor Sie KI-Compliance umsetzen können, müssen Sie wissen, welche KI-Systeme im Einsatz sind. Schritt-für-Schritt-Anleitung zur KI-Inventarisierung.

KCT
KI Comply TeamKI-Compliance Experten
18. Januar 20255 Min. Lesezeit
KI-Inventar erstellen: So erfassen Sie alle KI-Systeme im Unternehmen

KI-Inventar erstellen: So erfassen Sie alle KI-Systeme im Unternehmen

Das Wichtigste in Kürze: Ein vollständiges KI-Inventar ist die unverzichtbare Grundlage jeder KI-Compliance-Strategie. Ohne zu wissen, welche KI-Systeme im Unternehmen im Einsatz sind, können Sie weder die Risikoklassifizierung nach Art. 6 VO (EU) 2024/1689 durchführen noch Ihre Betreiberpflichten nach Art. 26 erfüllen. Gleichzeitig deckt eine systematische Bestandsaufnahme Shadow AI auf -- also KI-Tools, die Mitarbeiter ohne Genehmigung nutzen. Dieser Artikel zeigt Ihnen Schritt für Schritt, wie Sie ein KI-Register aufbauen, welche Informationen Sie erfassen müssen und wie Sie den Prozess dauerhaft verankern.

Inhaltsverzeichnis

  1. Warum ein KI-Inventar?
  2. Was gehört ins KI-Inventar?
  3. Schritt-für-Schritt-Anleitung
  4. Muster-Fragebogen für Abteilungen
  5. Häufige Fundstellen für versteckte KI
  6. KI-Inventar pflegen -- wie oft aktualisieren?
  7. Häufig gestellte Fragen (FAQ)
  8. Nächste Schritte

Warum ein KI-Inventar? {#warum-ein-ki-inventar}

Viele Unternehmen starten ihre KI-Compliance-Reise mit der Frage: Welche Pflichten haben wir? Die richtige erste Frage lautet jedoch: Welche KI-Systeme nutzen wir überhaupt?

Ohne eine vollständige Bestandsaufnahme aller KI-Systeme im Unternehmen bewegen Sie sich im Blindflug. Sie können weder einschätzen, welche regulatorischen Anforderungen für Sie gelten, noch sinnvolle Maßnahmen ergreifen. Ein KI-Inventar ist daher kein Nice-to-have -- es ist der zwingende erste Schritt.

1. Rechtliche Pflicht nach dem AI Act

Art. 26 Abs. 5 VO (EU) 2024/1689 verpflichtet Betreiber von Hochrisiko-KI-Systemen, die von diesen Systemen automatisch erzeugten Protokolle (Logs) aufzubewahren, soweit diese unter ihrer Kontrolle stehen. Darüber hinaus verlangt Art. 26 Abs. 1, dass Betreiber geeignete technische und organisatorische Maßnahmen treffen, um sicherzustellen, dass sie KI-Systeme gemäß den beigefügten Gebrauchsanweisungen verwenden. All das setzt voraus, dass Sie zunächst wissen, welche KI-Systeme im Einsatz sind. Ein strukturiertes KI-Inventar bildet die Grundlage, um diesen Pflichten nachzukommen.

2. Grundlage für die Risikoklassifizierung

Die KI-Verordnung unterscheidet vier Risikoklassen: verbotene Praktiken (Art. 5), Hochrisiko-KI (Art. 6 i.V.m. Anhang III), KI mit begrenztem Risiko (Art. 50) und KI mit minimalem Risiko. Welche Pflichten für Ihr Unternehmen gelten, hängt vollständig davon ab, in welche Kategorie Ihre KI-Systeme fallen. Ohne ein vollständiges Inventar können Sie keine belastbare Risikoklassifizierung durchführen -- und riskieren, Hochrisiko-Systeme zu übersehen.

3. Shadow AI aufdecken

Studien zeigen, dass über 60 % der Beschäftigten KI-Tools am Arbeitsplatz nutzen, ohne dass die IT-Abteilung davon weiß. Diese sogenannte Shadow AI stellt ein erhebliches Compliance-Risiko dar: Daten fließen unkontrolliert an externe Anbieter, Geschäftsgeheimnisse gehen verloren, und DSGVO-Verstöße bleiben unentdeckt. Ein systematischer Inventarisierungsprozess -- der ausdrücklich auch die Befragung von Abteilungen und die Analyse von Netzwerkverkehr umfasst -- ist der effektivste Weg, um Schatten-KI ans Licht zu bringen.

4. Parallele zum Verzeichnis der Verarbeitungstätigkeiten (DSGVO)

Wenn Ihnen das Konzept bekannt vorkommt, ist das kein Zufall. Das KI-Inventar ist das KI-Pendant zum Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 VO (EU) 2016/679 (DSGVO). So wie die DSGVO verlangt, dass Unternehmen dokumentieren, welche personenbezogenen Daten sie wie verarbeiten, verlangt der AI Act ein Bewusstsein darüber, welche KI-Systeme wie eingesetzt werden. Viele Unternehmen nutzen die bestehenden DSGVO-Prozesse als Ausgangspunkt für die KI-Inventarisierung -- das spart Zeit und stellt Konsistenz sicher. Überall dort, wo ein KI-System personenbezogene Daten verarbeitet, müssen beide Register ohnehin miteinander verknüpft werden.

Was gehört ins KI-Inventar? {#was-gehoert-ins-ki-inventar}

Ein gutes KI-Inventar erfasst alle relevanten Informationen auf einen Blick. Die folgende Vorlage zeigt die zehn Kernfelder, die Sie für jedes KI-System dokumentieren sollten:

FeldBeschreibungBeispiel
Name des KI-SystemsOffizielle ProduktbezeichnungChatGPT Enterprise
AnbieterHersteller bzw. Anbieter des SystemsOpenAI
Einsatzbereich / AbteilungWo wird das System genutzt?Marketing, Kundenservice
Zweck der NutzungKonkreter AnwendungsfallTexterstellung für Newsletter, FAQ-Chatbot
Risikoklasse (nach Art. 6)Einstufung gemäß KI-VerordnungMinimales Risiko
Personenbezogene Daten (ja/nein)Werden personenbezogene Daten verarbeitet?Ja -- Kundennamen, E-Mail-Adressen
Verantwortliche PersonWer ist intern für das System zuständig?Leitung Marketing / Fr. Müller
Vertragsstatus (AVV, DPA)Liegt ein Auftragsverarbeitungsvertrag vor?AVV abgeschlossen am 15.01.2026
Datum der EinführungWann wurde das System eingeführt?März 2025
Letzte ÜberprüfungWann wurde der Eintrag zuletzt geprüft?Januar 2026

Praxistipp: Starten Sie mit einer einfachen Tabelle -- etwa in Excel oder Google Sheets. Viele Unternehmen machen den Fehler, zunächst ein komplexes Tool einführen zu wollen, und verzögern dadurch den eigentlichen Start. Eine strukturierte Tabelle mit den genannten Spalten reicht für den Anfang vollständig aus. Sie können später immer noch auf eine spezialisierte Governance-Plattform umsteigen.

Ergänzend zu den Kernfeldern empfiehlt es sich, weitere Informationen zu dokumentieren:

  • Datenflüsse: Welche Daten werden an das System gesendet? Wohin fließen die Ergebnisse?
  • Rechtsgrundlage nach DSGVO: Falls personenbezogene Daten verarbeitet werden -- auf welcher Grundlage (Art. 6 Abs. 1 DSGVO)?
  • Serverstandort / Datenresidenz: Werden Daten in der EU verarbeitet oder in Drittstaaten?
  • Kosten und Lizenzmodell: Welche laufenden Kosten entstehen?
  • Dokumentation des Anbieters: Liegt eine Gebrauchsanweisung im Sinne von Art. 13 VO (EU) 2024/1689 vor?

Schritt-für-Schritt-Anleitung {#schritt-fuer-schritt-anleitung}

Die Erstellung eines KI-Inventars ist kein einmaliges Projekt, sondern der Beginn eines kontinuierlichen Prozesses. Die folgenden sechs Schritte führen Sie systematisch durch die erste Bestandsaufnahme.

Schritt 1: Auftrag und Verantwortlichkeiten klären

Bevor Sie mit der eigentlichen Erfassung beginnen, brauchen Sie ein klares Mandat der Geschäftsführung. Die KI-Inventarisierung betrifft alle Abteilungen und erfordert deren aktive Mitarbeit -- das funktioniert nur mit Rückendeckung von oben.

Klären Sie folgende Punkte:

  • Wer leitet das Projekt? Typischerweise übernimmt die IT-Abteilung die Federführung, unterstützt durch den Datenschutzbeauftragten und ggf. die Compliance-Abteilung.
  • Welches Budget und welcher Zeitrahmen stehen zur Verfügung? Die erste Bestandsaufnahme dauert je nach Unternehmensgröße zwischen zwei Wochen und drei Monaten.
  • Wie wird kommuniziert? Informieren Sie alle Abteilungsleitungen frühzeitig über das Vorhaben. Betonen Sie, dass es nicht um Kontrolle einzelner Mitarbeiter geht, sondern um eine organisatorische Pflicht.

Definieren Sie außerdem den Scope: Erfassen Sie nur offiziell beschaffte Systeme? Oder auch Tools, die Mitarbeiter eigenständig nutzen? Die Empfehlung lautet klar: Erfassen Sie alles. Nur so erhalten Sie ein realistisches Bild.

Schritt 2: IT-Systeme scannen

Beginnen Sie mit den Daten, die bereits vorliegen. Ihre IT-Abteilung verfügt in der Regel über umfangreiche Informationen, die als Ausgangspunkt dienen:

  • Software-Inventar: Welche Anwendungen sind offiziell installiert oder bereitgestellt? Prüfen Sie, welche davon KI-Funktionen enthalten -- viele SaaS-Produkte haben in den letzten Jahren KI-Features integriert, ohne dass Kunden aktiv zugestimmt haben.
  • Lizenzmanagement: Welche Lizenzen werden bezahlt? Suchen Sie gezielt nach Produkten wie Copilot, Jasper, Grammarly, DeepL Pro, Midjourney und ähnlichen.
  • API-Calls und Netzwerkverkehr: Analysieren Sie ausgehende Verbindungen zu bekannten KI-Diensten (api.openai.com, generativelanguage.googleapis.com, api.anthropic.com etc.). Firewalls und Proxy-Logs liefern wertvolle Hinweise.
  • Browser-Extensions und Plugins: Inventarisieren Sie installierte Browser-Erweiterungen auf verwalteten Geräten. Viele KI-Assistenten laufen als Chrome-Extension.

Wichtig: Dieser technische Scan erfasst nur einen Teil der Realität. Viele KI-Tools laufen über den Browser und hinterlassen im Unternehmensnetzwerk kaum Spuren -- insbesondere wenn Mitarbeiter private Geräte oder Mobiltelefone nutzen.

Schritt 3: Abteilungen befragen

Der technische Scan allein reicht nicht aus. Ergänzen Sie ihn durch eine strukturierte Befragung aller Abteilungen. Nutzen Sie dafür den Muster-Fragebogen weiter unten in diesem Artikel.

Gehen Sie dabei sensibel vor:

  • Kommunizieren Sie klar, dass es sich nicht um eine Überwachungsmaßnahme handelt, sondern um eine gesetzliche Pflicht.
  • Gewähren Sie ggf. eine Amnestie-Phase: Mitarbeiter, die bisher unautorisiert KI-Tools genutzt haben, können dies melden, ohne Konsequenzen befürchten zu müssen. Dieser Ansatz liefert erfahrungsgemäß deutlich ehrlichere Ergebnisse.
  • Befragen Sie nicht nur die Abteilungsleitung, sondern auch operative Mitarbeiter. Oft weiß die Führungskraft nicht, welche Tools ihr Team tatsächlich nutzt.

Planen Sie für jede Abteilung ein kurzes Interview oder einen Workshop (30--60 Minuten) ein, um den Fragebogen gemeinsam durchzugehen und Rückfragen zu klären.

Schritt 4: Shadow AI aufdecken

Dieser Schritt verdient besondere Aufmerksamkeit, denn hier lauern die größten Überraschungen. Shadow AI umfasst alle KI-Systeme, die ohne offizielle Genehmigung oder Kenntnis der IT-Abteilung genutzt werden.

Typische Fundstellen für Shadow AI:

  • Private KI-Accounts: Mitarbeiter nutzen kostenlose Versionen von ChatGPT, Gemini oder Claude mit ihrer privaten E-Mail-Adresse für berufliche Aufgaben.
  • Browser-Extensions: KI-basierte Schreibassistenten, Grammatik-Tools oder Zusammenfassungs-Plugins, die Mitarbeiter eigenständig installiert haben.
  • Mobile Apps: KI-Apps auf privaten Smartphones, die für berufliche Zwecke eingesetzt werden.
  • Eingebettete KI in Freemium-Tools: Viele kostenlose Online-Tools nutzen im Hintergrund KI -- etwa für Übersetzungen, Bildbearbeitung oder Datenanalyse.

Nutzen Sie die Ergebnisse der Abteilungsbefragung, den Netzwerkscan und -- falls vorhanden -- Auswertungen des Mobile Device Managements, um ein möglichst vollständiges Bild zu erhalten. Vergessen Sie nicht: Das Ziel ist nicht, Mitarbeiter zu bestrafen, sondern einen ehrlichen Ist-Zustand zu dokumentieren.

Schritt 5: Risikoklassifizierung durchführen

Sobald Sie eine vollständige Liste aller KI-Systeme haben, ordnen Sie jedes System einer der vier Risikoklassen nach dem AI Act zu:

  1. Unannehmbares Risiko (Art. 5): Verbotene KI-Praktiken -- z. B. Social Scoring, unterschwellige Manipulation oder biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum. Falls Sie solche Systeme identifizieren, müssen sie sofort abgeschaltet werden.

  2. Hohes Risiko (Art. 6 i.V.m. Anhang III): KI-Systeme in sensiblen Bereichen wie Personalwesen (Bewerbungsscreening, Leistungsbewertung), Kreditwürdigkeitsprüfung, Strafverfolgung oder kritische Infrastruktur. Für diese gelten umfangreiche Pflichten nach Art. 9--15 VO (EU) 2024/1689.

  3. Begrenztes Risiko (Art. 50): KI-Systeme, die mit Personen interagieren (z. B. Chatbots), Emotionen erkennen oder Deepfakes erzeugen. Hier gelten Transparenzpflichten -- Nutzer müssen wissen, dass sie mit KI interagieren.

  4. Minimales Risiko: Alle übrigen KI-Systeme, z. B. Spam-Filter, Autokorrektur oder einfache Empfehlungsalgorithmen. Hier gelten keine spezifischen Pflichten nach dem AI Act, wohl aber die allgemeine KI-Kompetenzpflicht nach Art. 4.

Dokumentieren Sie die Einstufung im KI-Inventar und begründen Sie Ihre Entscheidung nachvollziehbar. Im Zweifelsfall empfiehlt es sich, eine konservative Einstufung vorzunehmen und rechtliche Beratung einzuholen.

Schritt 6: Register anlegen und Prozess etablieren

Überführen Sie Ihre Ergebnisse nun in ein dauerhaftes KI-Register. Dafür brauchen Sie drei Dinge:

  • Ein zentrales Dokument: Ob Tabelle, Datenbank oder spezialisiertes Tool -- das Register muss an einem definierten Ort gepflegt werden, auf den alle relevanten Personen Zugriff haben.
  • Einen Änderungsprozess: Legen Sie fest, wie neue KI-Systeme ins Register aufgenommen werden. Idealerweise wird die Eintragung ins KI-Inventar zur Voraussetzung für die Genehmigung neuer KI-Tools. Kein Eintrag, keine Nutzung.
  • Einen Review-Zyklus: Definieren Sie, wie oft das Register überprüft wird (siehe Abschnitt weiter unten).

Verknüpfen Sie das KI-Register mit Ihrem bestehenden Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) und Ihrem IT-Asset-Management. Vermeiden Sie Insellösungen -- das KI-Inventar sollte Teil Ihrer übergreifenden Governance-Struktur sein.

Muster-Fragebogen für Abteilungen {#muster-fragebogen}

Der folgende Fragebogen eignet sich für die systematische Befragung aller Abteilungen. Er kann per E-Mail versendet oder im Rahmen eines Workshops gemeinsam ausgefüllt werden.

1. Welche Software-Tools und Online-Dienste nutzen Sie in Ihrer Abteilung regelmäßig, die „intelligente" oder automatisierte Funktionen bieten? Beispiele: Textvorschläge, automatische Zusammenfassungen, Chatbots, Bildgeneratoren, Übersetzungsdienste, prädiktive Analysen.

2. Nutzen Mitarbeiter in Ihrer Abteilung KI-Dienste wie ChatGPT, Gemini, Claude, Copilot, DeepL oder ähnliche -- auch mit privaten Accounts oder kostenlos? Bitte antworten Sie ehrlich. Diese Erhebung dient der Erfüllung gesetzlicher Pflichten und hat keine arbeitsrechtlichen Konsequenzen.

3. Für welche konkreten Aufgaben werden diese Tools eingesetzt, und welche Daten werden dabei eingegeben? Beispiele: E-Mail-Entwürfe, Vertragsanalyse, Übersetzungen, Code-Generierung, Kundenkommunikation, Datenanalyse.

4. Wurden bei der Nutzung dieser Tools jemals personenbezogene Daten (Namen, E-Mail-Adressen, Gehaltsdaten, Kundendaten) eingegeben? Falls ja: Welche Datenkategorien und in welchem Umfang?

5. Gibt es in Ihrer Abteilung Wünsche oder Pläne, zukünftig weitere KI-Tools einzusetzen? Falls ja: Welche Tools und für welche Zwecke?

Praxistipp: Ergänzen Sie den Fragebogen um eine Liste bekannter KI-Tools (ChatGPT, Gemini, Claude, Copilot, Midjourney, DeepL, Grammarly, Jasper, Perplexity etc.) zum Ankreuzen. Das erleichtert die Beantwortung und erhöht die Trefferquote, weil Mitarbeiter oft gar nicht daran denken, bestimmte Tools als „KI" zu klassifizieren.

Häufige Fundstellen für versteckte KI {#haeufige-fundstellen}

Bei der Inventarisierung übersehen Unternehmen regelmäßig KI-Systeme, die nicht als solche wahrgenommen werden. Die folgende Liste zeigt typische Fundstellen, die bei einer gründlichen Bestandsaufnahme geprüft werden sollten:

  • E-Mail-Spam-Filter: Nahezu jeder E-Mail-Dienst nutzt maschinelles Lernen zur Spam-Erkennung. Microsoft 365, Google Workspace und andere Anbieter setzen hier hochentwickelte KI ein.
  • Autokorrektur und Textvorschläge: Die Autokorrektur in Smartphones und die intelligenten Textvorschläge in Gmail („Smart Compose"), Outlook und anderen Anwendungen basieren auf KI-Modellen.
  • CRM-Funktionen: Salesforce Einstein, HubSpot KI-Features, Pipedrive Smart Contacts -- viele CRM-Systeme haben in den letzten Jahren KI-Module integriert, die automatisch Lead-Scoring, Prognosen oder E-Mail-Vorschläge generieren.
  • Smart Assistants in Office-Suiten: Microsoft Copilot in Word, Excel und PowerPoint, Google Duet AI in der Workspace-Suite -- diese Assistenten sind oft standardmäßig aktiviert.
  • Suchmaschinen: Google und Bing liefern KI-generierte Zusammenfassungen. Mitarbeiter, die beruflich recherchieren, nutzen damit faktisch KI.
  • Übersetzungsdienste: DeepL, Google Translate und andere Übersetzungstools basieren auf neuronaler maschineller Übersetzung -- also KI.
  • Buchhaltungs- und ERP-Software: Automatische Kontierungsvorschläge, Anomalie-Erkennung bei Buchungen oder prädiktive Cashflow-Analysen nutzen häufig KI im Hintergrund.
  • Recruiting-Plattformen: LinkedIn Recruiter, Indeed Smart Sourcing und ähnliche Plattformen verwenden KI-Algorithmen zum Matching und Ranking von Kandidaten -- potenziell Hochrisiko-KI nach Anhang III Nr. 4.
  • Videokonferenz-Tools: Transkriptionsfunktionen in Zoom, Teams oder Google Meet, Hintergrundunschärfe und Geräuschunterdrückung -- alles KI-basiert.
  • Cybersecurity-Tools: Endpoint Detection, Intrusion Detection Systems und SIEM-Lösungen nutzen maschinelles Lernen zur Bedrohungserkennung.
  • Chatbots auf der eigenen Website: Falls Ihr Unternehmen einen Chatbot auf der Website oder im Kundenportal einsetzt, handelt es sich um ein KI-System mit Transparenzpflichten nach Art. 50 VO (EU) 2024/1689.
  • Personalmanagement-Software: Automatisierte Schichtplanung, Leistungsanalysen oder Abwesenheitsprognosen können KI-basiert sein -- mit entsprechenden Compliance-Anforderungen.

Diese Liste ist nicht abschließend. Als Faustregel gilt: Überall dort, wo Software automatisch Muster erkennt, Vorhersagen trifft oder Inhalte generiert, steckt mit hoher Wahrscheinlichkeit KI dahinter.

KI-Inventar pflegen -- wie oft aktualisieren? {#ki-inventar-pflegen}

Ein KI-Inventar, das einmal erstellt und dann in der Schublade verschwindet, ist wertlos. Die KI-Landschaft in Unternehmen verändert sich rasant -- neue Tools werden eingeführt, bestehende Produkte erhalten KI-Updates, Mitarbeiter entdecken neue Anwendungsmöglichkeiten.

Empfohlene Aktualisierungszyklen

AnlassHäufigkeit
Reguläres ReviewMindestens vierteljährlich
Einführung neuer SoftwareSofort -- vor Inbetriebnahme prüfen, ob KI-Funktionen enthalten sind
Wesentliche Updates bestehender SoftwareBei jedem Major Release prüfen
Organisatorische VeränderungenBei Abteilungsumstrukturierungen, Fusionen oder neuen Geschäftsbereichen
Änderungen der RechtslageBei neuen Durchführungsverordnungen oder Leitlinien der EU-Kommission
Vollständige NeuerhebungMindestens einmal jährlich inklusive erneuter Abteilungsbefragung

Tipps für die nachhaltige Pflege

  • Integrieren Sie die KI-Prüfung in bestehende Beschaffungsprozesse: Jede neue Softwarebeschaffung sollte eine Prüfung enthalten, ob das Produkt KI-Funktionen beinhaltet. Falls ja, wird es automatisch ins KI-Inventar aufgenommen.
  • Benennen Sie einen KI-Inventar-Verantwortlichen: Eine Person (oder ein kleines Team) sollte die Gesamtverantwortung für die Aktualität des Registers tragen.
  • Nutzen Sie automatische Alerts: Konfigurieren Sie Ihre Netzwerküberwachung so, dass neue Verbindungen zu bekannten KI-API-Endpoints automatisch gemeldet werden.
  • Schulen Sie Führungskräfte: Abteilungsleitungen sollten wissen, dass sie neue KI-Nutzung in ihrem Bereich melden müssen. Verankern Sie diese Pflicht in den internen Richtlinien.

Häufig gestellte Fragen (FAQ) {#faq}

Ist ein KI-Inventar gesetzlich vorgeschrieben?

Der AI Act schreibt kein „KI-Inventar" als benanntes Dokument vor. Allerdings verpflichtet Art. 26 VO (EU) 2024/1689 Betreiber, geeignete technische und organisatorische Maßnahmen zu treffen und Aufzeichnungen zu führen. In der Praxis ist ein KI-Inventar die einzig sinnvolle Methode, um diese Pflichten zu erfüllen. Auch die KI-Kompetenzpflicht nach Art. 4 setzt voraus, dass bekannt ist, welche KI-Systeme genutzt werden -- denn nur dann können Schulungen passgenau gestaltet werden.

Wie unterscheidet sich ein KI-Inventar vom Verzeichnis der Verarbeitungstätigkeiten?

Das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO dokumentiert die Verarbeitung personenbezogener Daten. Das KI-Inventar erfasst alle KI-Systeme -- unabhängig davon, ob sie personenbezogene Daten verarbeiten. In der Praxis gibt es große Überschneidungen: KI-Systeme, die personenbezogene Daten verarbeiten, müssen in beiden Verzeichnissen dokumentiert sein. Viele Unternehmen ergänzen ihr DSGVO-Verzeichnis um KI-spezifische Felder, anstatt ein komplett separates Register zu führen.

Wie gehe ich mit KI-Funktionen in bestehender Software um?

Auch eingebettete KI-Funktionen -- etwa Copilot-Features in Microsoft 365 oder KI-basierte Analysen in Ihrem CRM -- sollten im KI-Inventar erfasst werden. Entscheidend ist nicht, ob Sie ein „KI-Produkt" gekauft haben, sondern ob Sie eine Funktion nutzen, die auf KI basiert. Prüfen Sie die Release Notes und Produktbeschreibungen Ihrer wichtigsten Softwareanwendungen gezielt auf KI-bezogene Begriffe wie „AI", „maschinelles Lernen", „Neural", „Smart" oder „Intelligent".

Wie groß muss ein Unternehmen sein, um ein KI-Inventar zu brauchen?

Die Pflichten des AI Act gelten unabhängig von der Unternehmensgröße. Auch ein kleines Unternehmen mit zehn Mitarbeitern, das KI-Systeme beruflich einsetzt, ist Betreiber im Sinne der Verordnung. Der Umfang des Inventars skaliert natürlich mit der Unternehmensgröße: Ein Startup mit drei KI-Tools braucht kein komplexes Governance-System, sollte aber mindestens eine dokumentierte Übersicht pflegen. Für KMU reicht zu Beginn eine einfache Tabelle mit den oben genannten Kernfeldern.

Können wir externe Dienstleister mit der KI-Inventarisierung beauftragen?

Ja, das ist möglich und in größeren Unternehmen durchaus üblich. Externe Berater bringen Erfahrung aus anderen Projekten mit und können den Prozess beschleunigen. Allerdings sollte die interne Verantwortung immer im Unternehmen verbleiben. Externe können den Prozess unterstützen und moderieren, aber die Kenntnis über die eigenen Systeme muss intern aufgebaut werden. Andernfalls ist das Inventar beim nächsten Update bereits veraltet.

Nächste Schritte {#naechste-schritte}

Ein KI-Inventar zu erstellen, ist der erste und wichtigste Schritt auf dem Weg zur KI-Compliance. Aber es ist eben nur der erste Schritt. Sobald Sie wissen, welche KI-Systeme in Ihrem Unternehmen im Einsatz sind, stellen sich die nächsten Fragen:

  • Risikoklassifizierung vertiefen: Für jedes System im Inventar eine fundierte Einstufung nach Art. 6 VO (EU) 2024/1689 vornehmen.
  • KI-Kompetenz sicherstellen: Alle Mitarbeiter, die mit KI arbeiten, müssen gemäß Art. 4 geschult werden -- zugeschnitten auf die konkreten Systeme aus Ihrem Inventar.
  • KI-Richtlinie verabschieden: Regeln Sie verbindlich, welche KI-Tools erlaubt sind, wie sie genutzt werden dürfen und welche Daten eingegeben werden dürfen.
  • Shadow AI eindämmen: Schaffen Sie attraktive, genehmigte Alternativen, damit Mitarbeiter nicht auf unautorisierte Tools ausweichen müssen.
  • Compliance-Checkliste durcharbeiten: Prüfen Sie Ihren gesamten Compliance-Status systematisch mit unserer KI-Compliance Checkliste.

Sie möchten sicherstellen, dass Ihr Team die nötige KI-Kompetenz für den Umgang mit diesen Systemen hat? KI Comply bietet praxisnahe Schulungen, die exakt auf die Anforderungen des AI Act zugeschnitten sind -- inklusive Zertifikat. So erfüllen Sie nicht nur die Inventarisierungspflicht, sondern auch die Kompetenzanforderung nach Art. 4 VO (EU) 2024/1689.

Jetzt KI-Schulung entdecken

Rechtsquellen

  • Betreiber-PflichtenArt. 26 VO (EU) 2024/1689 (Quelle)
  • AufzeichnungspflichtenArt. 26 Abs. 5 VO (EU) 2024/1689
  • RisikoklassifizierungArt. 6 VO (EU) 2024/1689
  • Verzeichnis der VerarbeitungstätigkeitenArt. 30 VO (EU) 2016/679

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine rechtliche Bewertung Ihres konkreten Falls wenden Sie sich bitte an einen spezialisierten Rechtsanwalt.

Artikel teilen:

Machen Sie Ihr Team KI-fit

Mit unserer Online-Schulung erfüllen Sie die Anforderungen der KI-Verordnung - einfach und effizient.

Preise ansehen