Die EU-KI-Verordnung (Verordnung (EU) 2024/168) bringt nicht nur neue Regeln für den Umgang mit Künstlicher Intelligenz, sie verlangt auch eines: Transparenz und Nachvollziehbarkeit.
Wer KI-Systeme einsetzt, muss wissen, was sie tun, wofür sie eingesetzt werden und welche Risiken damit verbunden sind. Und das idealerweise nicht nur in Köpfen und PowerPoint-Folien, sondern in einer formellen, strukturierten Dokumentation.
Kurz gesagt:
Viele Unternehmen werden künftig ein KI-Systemverzeichnis führen müssen, vergleichbar mit dem Verarbeitungsverzeichnis nach DSGVO.
Doch was genau muss da rein? Wer ist betroffen? Und wie fängt man am besten an?
Was ist ein KI-Systemverzeichnis?
Ein KI-Systemverzeichnis (auch „KI-Register“ oder „AI Inventory“) ist eine strukturierte Dokumentation über:
- welche KI-Systeme im Unternehmen im Einsatz sind,
- zu welchem Zweck sie genutzt werden,
- wer sie bereitstellt oder entwickelt hat,
- wie die Entscheidungslogik funktioniert,
- und welche Risiken damit verbunden sein könnten.
Es dient nicht nur interner Transparenz, sondern ist auch eine Grundlage für Aufsichtsbehörden, Audits oder die Beurteilung von Pflichten nach AI Act.
Wer muss ein solches Verzeichnis führen?
Die Dokumentationspflicht ergibt sich insbesondere aus:
- Artikel 12–13 (Technische Dokumentation & Logging bei Hochrisiko-Systemen)
- Artikel 29 (Pflichten der Nutzer von Hochrisiko-KI-Systemen)
- Artikel 50 (Transparenzpflichten für bestimmte KI-Anwendungen)
Betroffen sind also:
- Anbieter und Nutzer von Hochrisiko-KI-Systemen
- Nutzer von KI-Systemen mit Interaktion mit natürlichen Personen
- Unternehmen, die generative KI in kritischen Kontexten einsetzen
- Organisationen mit KI-gestützten Entscheidungsprozessen (z. B. in HR, Kundenbewertung, Scoring etc.)
Auch wenn die formelle Verpflichtung zunächst nur bestimmte Systeme betrifft, zeigt sich:
Ein zentrales KI-Verzeichnis ist ein strategischer Vorteil, nicht nur zur Risikobewertung, sondern auch zur Koordination zwischen IT, Datenschutz, Einkauf und Fachabteilungen.
Was muss dokumentiert werden? Die wichtigsten Inhalte
Ein sinnvolles KI-Systemverzeichnis enthält mindestens folgende Angaben:
| Kategorie | Beispiel / Inhalt |
|---|---|
| Bezeichnung des Systems | „Bewerberanalyse KI“, „Produkt-Empfehlungsmodul“, „Copilot im Vertrieb“ |
| Zweck des Einsatzes | Bewerberbewertung, Textgenerierung, Kundensegmentierung |
| Verantwortliche Stelle | HR, Marketing, IT |
| Anbieter / Hersteller | Microsoft, OpenAI, internes Entwicklungsteam |
| Systemkategorie | Hochrisiko / nicht-hochriskant / unkritisch |
| Nutzungsart | intern / extern / hybrid |
| Datenbasis / Inputdaten | Lebensläufe, Kundendaten, Nutzereingaben |
| Autonomiegrad | vollautomatisiert / teilautomatisiert / assistierend |
| Entscheidungswirkung | bindend / vorschlagend / unterstützend |
| Protokollierung vorhanden? | Ja / Nein – ggf. mit Link zu Logs oder Audit-Trails |
| Bewertung Risiken & Maßnahmen | Risikoabschätzung nach internem Kriterienkatalog / Art. 29 AI Act |
| DSFA erforderlich / erfolgt? | Ja / Nein – Link zur Datenschutzfolgeabschätzung |
| Letzte Überprüfung / Update | Datum, verantwortliche Person |
Gibt es Vorlagen oder Tools dafür?
Aktuell gibt es noch keine offizielle EU-Vorlage für ein KI-Systemverzeichnis, aber viele Unternehmen orientieren sich an folgenden Ansätzen:
- DSGVO-Verarbeitungsverzeichnis als Vorbild: Die Struktur ist ähnlich und bestehende Tools können oft erweitert werden.
- ISO/IEC 42001 („AI Management System“) als Rahmen: Diese Norm beschreibt ebenfalls Inventar- und Kontrollpflichten.
- Tools:
- Datenschutzmanagement-Tools wie OneTrust, heyData, Priverion (je nach Erweiterung)
- Interne Excel-/SharePoint-Listen mit klarer Zuständigkeit
- Eigenentwicklungen im ISMS (z. B. Anhang zu Asset-Inventaren)
Empfehlung: Die Führung eines KI-Verzeichnisses sollte nicht allein dem Datenschutz überlassen werden, sondern gemeinsam mit IT, Einkauf und Fachbereichen erfolgen.
Best Practices für die Einführung
- 🔍 Frühzeitig inventarisieren: Besser zu viel als zu wenig dokumentieren, spätere Relevanz ist oft schwer vorhersehbar.
- 🧭 Rollen und Prozesse festlegen: Wer trägt ein, wer bewertet, wer aktualisiert?
- 📅 Turnus festlegen: Quartalsweise Aktualisierung z. B. im Rahmen von ISMS- oder Datenschutzroutinen.
- ✅ Kritikalität kennzeichnen: KI-Systeme nach Risiko oder Regulierungsrelevanz priorisieren.
Ein gutes KI-Systemverzeichnis…
✔ schützt vor Haftung,
✔ unterstützt Datenschutz und Informationssicherheit,
✔ fördert Transparenz,
✔ und bereitet Ihr Unternehmen auf kommende Prüfpflichten vor.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Datenschutzberatung, Auditing und internationalen Datentransfer (TIA). Machen Sie kurzfristig einen Termin aus: