eu-konform.ai
← Alle Artikel | AI Act

EU-Datenbank für Hochrisiko-KI – Registrierungspflicht erklärt

85.000 KI-Systeme müssen in die EU-Datenbank – Registrierungspflicht erklärt. Erfahren Sie, wer betroffen ist, was droht und bis wann Sie handeln müssen.

eu-konform.ai Redaktion · · 7 Min. Lesezeit

Über 85.000 KI-Systeme könnten in der EU registrierungspflichtig sein – doch die meisten Unternehmen wissen noch nicht einmal, dass eine solche Pflicht auf sie zukommt. Wer eine Hochrisiko-KI einsetzt oder in Verkehr bringt, muss sie künftig in einer zentralen EU-Datenbank eintragen. Wer das versäumt, riskiert nicht nur Bußgelder, sondern darf sein System schlicht nicht mehr betreiben. Hier erfahren Sie, wen die Pflicht trifft, was eingetragen werden muss und bis wann Sie handeln müssen.


Was ist die EU-Datenbank für Hochrisiko-KI?

Der AI Act schafft mit Artikel 71 eine europaweit einheitliche, öffentlich zugängliche Datenbank für Hochrisiko-KI-Systeme. Sie wird von der Europäischen Kommission betrieben und dient einem klaren Ziel: Transparenz. Behörden, Bürgerinnen und Bürger, aber auch Geschäftspartner sollen nachvollziehen können, welche KI-Systeme auf dem EU-Markt sind, wer sie entwickelt hat und wofür sie eingesetzt werden.

Die Datenbank ist kein bürokratischer Selbstzweck. Sie ist das zentrale Aufsichtsinstrument, mit dem Marktüberwachungsbehörden prüfen können, ob ein Anbieter seinen Pflichten nachkommt. Ein System, das nicht registriert ist, gilt als nicht konform – unabhängig davon, ob es technisch einwandfrei ist.


Wer muss registrieren?

Die Registrierungspflicht trifft zwei Gruppen: Anbieter (Providers) und in bestimmten Fällen auch Betreiber (Deployers).

Anbieter von Hochrisiko-KI-Systemen

Als Anbieter gilt, wer ein KI-System entwickelt und auf dem EU-Markt in Verkehr bringt oder in Betrieb nimmt – also typischerweise Softwareunternehmen, Tech-Startups, aber auch Konzerne, die eigene KI-Lösungen bauen. Die Registrierungspflicht nach Artikel 49 Abs. 1 gilt für alle Hochrisiko-KI-Systeme gemäß Annex III des AI Act.

Konkret bedeutet das: Bevor ein System auf den Markt kommt, muss es eingetragen sein. Keine Registrierung, kein Marktzugang.

Betreiber aus dem öffentlichen Sektor

Für Betreiber aus dem öffentlichen Bereich – also Behörden, öffentliche Stellen, staatlich finanzierte Einrichtungen – gilt eine eigene Registrierungspflicht nach Artikel 49 Abs. 3. Sie müssen die bei ihnen eingesetzten Hochrisiko-KI-Systeme ebenfalls in die Datenbank eintragen, sofern der Anbieter außerhalb der EU sitzt oder die Registrierung durch den Anbieter nicht erfolgt ist.

Wichtig für KMUs: Wenn Sie als kleines Unternehmen eine Hochrisiko-KI-Lösung von einem US-amerikanischen Anbieter nutzen und dieser keine EU-Registrierung vorgenommen hat, kann die Pflicht auf Sie übergehen. Prüfen Sie Ihre Verträge.

Was ist mit privaten Betreibern?

Rein private Unternehmen, die eine Hochrisiko-KI ausschließlich intern einsetzen und diese nicht selbst entwickelt haben, sind grundsätzlich nicht direkt registrierungspflichtig – aber sie sind auf registrierte Anbieter angewiesen. Kaufen Sie ein nicht registriertes Hochrisiko-KI-System ein, begehen Sie bereits durch dessen Betrieb einen Verstoß. Die Registrierung des Anbieters ist also Ihre Compliance-Grundlage.


Welche KI-Systeme sind betroffen?

Nicht jede KI muss registriert werden – nur solche, die als Hochrisiko eingestuft sind. Die Liste der relevanten Anwendungsfelder findet sich in Annex III des AI Act. Dazu gehören unter anderem:

BereichBeispielhafte Anwendungen
BiometrieGesichtserkennung, Emotionserkennung
Kritische InfrastrukturKI in Strom-, Wasser-, Verkehrsmanagement
BildungZulassungsentscheidungen, Leistungsbewertung
BeschäftigungBewerberscreening, Mitarbeiterbewertung
Wesentliche DiensteKreditwürdigkeit, Sozialleistungen
StrafverfolgungRisikobewertung, Polygraftests
MigrationskontrolleVisumentscheidungen, Grenzkontrolle
JustizEntscheidungsunterstützung für Gerichte

Wenn Ihr Unternehmen KI in einem dieser Bereiche einsetzt oder entwickelt, sollten Sie unverzüglich prüfen, ob eine Registrierungspflicht besteht. Unser KI-Risikoklassen-Vergleich hilft dabei, die eigene Einordnung zu verstehen.


Was muss in die Datenbank eingetragen werden?

Die Registrierung ist keine formlose Selbstauskunft. Artikel 49 in Verbindung mit Anhang VIII des AI Act definiert genau, welche Informationen einzutragen sind. Für Anbieter umfasst das unter anderem:

Pflichtangaben für Anbieter

  • Name und Kontaktdaten des Anbieters und ggf. seines EU-Bevollmächtigten
  • Handelsname und Version des KI-Systems
  • Beschreibung des Systems – Zweck, Funktionsweise, Zielgruppe
  • Kategorie nach Annex III – in welchem Hochrisiko-Bereich wird es eingesetzt?
  • Status auf dem Markt – in Verkehr gebracht, außer Betrieb genommen, zurückgezogen
  • Zertifikatsnummern aus dem Konformitätsbewertungsverfahren (falls zutreffend)
  • Mitgliedstaaten, in denen das System eingesetzt wird oder eingesetzt werden soll
  • Link zur Bedienungsanleitung (Instructions for Use)
  • Datum der Inbetriebnahme

Für öffentliche Betreiber kommen zusätzlich Angaben hinzu: warum das System eingesetzt wird, welche Bevölkerungsgruppen betroffen sind und ob es im Rahmen einer Datenschutz-Folgenabschätzung überprüft wurde.

Änderungen müssen nachgepflegt werden

Die Registrierung ist kein einmaliger Akt. Wenn sich wesentliche Eigenschaften des Systems ändern – neue Version, neuer Anwendungsbereich, Rücknahme vom Markt – muss die Datenbank aktualisiert werden. Veraltete oder unvollständige Einträge gelten als Verstoß gegen die Registrierungspflicht.


Wie läuft die Registrierung praktisch ab?

Die Registrierung erfolgt über das EU-Portal für KI-Systeme, das von der Europäischen Kommission bereitgestellt wird. Zum Zeitpunkt der Erstellung dieses Artikels befindet sich das Portal im Aufbau; die operative Phase beginnt mit dem Inkrafttreten der Hochrisiko-Pflichten.

Schritt-für-Schritt

  1. KI-Inventar erstellen: Erfassen Sie alle KI-Systeme Ihres Unternehmens. Unser Leitfaden KI-Inventar erstellen zeigt, wie das gelingt.
  2. Hochrisiko-Prüfung: Prüfen Sie für jedes System, ob es unter Annex III fällt. Im Zweifel gilt: lieber registrieren als ignorieren.
  3. Konformitätsbewertung abschließen: Die Registrierung setzt voraus, dass das Konformitätsbewertungsverfahren abgeschlossen ist und eine EU-Konformitätserklärung vorliegt.
  4. EU-Portal nutzen: Halten Sie alle Pflichtangaben gemäß Anhang VIII bereit und tragen Sie das System ein.
  5. Registrierungsnummer dokumentieren: Nach erfolgreicher Registrierung erhalten Sie eine eindeutige Registrierungsnummer. Diese muss auf dem System, in der Dokumentation und gegenüber Betreibern angegeben werden.

Fristen: Wann gilt die Pflicht?

Der AI Act-Zeitplan ist gestaffelt. Für die Registrierungspflicht bei Hochrisiko-KI nach Annex III gilt:

  • 2. August 2026: Registrierungspflicht für neue Hochrisiko-KI-Systeme nach Annex III tritt in Kraft (verschoben auf 2. Dezember 2027 durch Digital Omnibus)
  • 2. August 2027: Systeme, die in regulierten Produkten nach Annex I eingebettet sind (z. B. Medizinprodukte, Maschinen), folgen (verschoben auf 2. August 2028 durch Digital Omnibus)

Lockerung bei Art. 6(3): Durch den Digital Omnibus wurde die Registrierungspflicht für KI-Systeme gelockert, die per Art. 6(3) als nicht-hochriskant eingestuft wurden. Anbieter, die nachweisen können, dass ihr System trotz Annex-III-Zugehörigkeit kein hohes Risiko darstellt, sind von der Registrierung befreit.

Das klingt nach viel Zeit – ist es aber nicht. Die Konformitätsbewertung, die Erstellung der technischen Dokumentation und die Schulung der Mitarbeitenden nach Artikel 4 brauchen Vorlaufzeit. Wer im Frühjahr 2026 noch nicht begonnen hat, wird es eng.

Bestandssysteme

Für KI-Systeme, die bereits vor dem 2. Dezember 2027 auf dem Markt sind und danach wesentlich verändert werden, gelten die neuen Pflichten ab dem Zeitpunkt der Änderung. Reine Bestandssysteme ohne Änderung haben bis zum 2. August 2028 Übergangsfrist – aber auch für sie läuft die Uhr.


Was passiert, wenn Sie nicht registrieren?

Fehlende Registrierung ist kein Kavaliersdelikt. Artikel 99 Abs. 3 sieht für Verstöße gegen die Registrierungspflicht Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist.

Für ein mittelständisches Unternehmen mit 50 Millionen Euro Jahresumsatz wären das bis zu 1 Million Euro. Für ein Startup mit 5 Millionen Euro Umsatz läge die Obergrenze bei 100.000 Euro. Und das ist nur die Geldbuße – hinzu kommen mögliche Marktverbote und Reputationsschäden. Mehr zu den Bußgeldern und Strafen des AI Act erfahren Sie in unserem ausführlichen Artikel dazu.


Drei häufige Missverständnisse zur Registrierungspflicht

1. „Unser Anbieter kümmert sich darum”

Das stimmt oft nicht. Wenn Ihr Anbieter außerhalb der EU sitzt und keinen EU-Bevollmächtigten benannt hat, kann die Pflicht auf Sie als Betreiber übergehen. Klären Sie vertraglich, wer registriert – und sichern Sie sich eine Bestätigung der Registrierungsnummer.

2. „Wir sind ein KMU, für uns gelten Ausnahmen”

Es gibt erleichterte Pflichten für Kleinstunternehmen und KMUs in bestimmten Bereichen – etwa bei der Erstellung technischer Dokumentation. Die Registrierungspflicht selbst kennt keine KMU-Ausnahme. Wenn das System hochriskant ist, muss es eingetragen werden.

3. „Das System läuft intern, niemand merkt es”

Die Registrierungspflicht gilt unabhängig davon, ob ein System öffentlich zugänglich ist oder intern genutzt wird. Auch ein HR-Tool zur Bewerberauswahl, das nur intern läuft, fällt unter Annex III und muss registriert werden.


Verbindung zur DSGVO: Synergiepotenzial nutzen

Die Registrierungspflicht nach dem AI Act und die DSGVO-Anforderungen überschneiden sich in mehreren Punkten. Die Datenschutz-Folgenabschätzung (DSFA) ist oft für dieselben Systeme relevant, die auch AI Act-pflichtig sind. Wer beide Prozesse parallel aufzieht, spart erheblich Zeit und vermeidet Doppelarbeit. Fassen Sie die Dokumentation zusammen, nutzen Sie gemeinsame Prozessschritte und legen Sie klare Zuständigkeiten für beide Compliance-Stränge fest.


Fazit

Die EU-Datenbank für Hochrisiko-KI ist kein bürokratisches Randthema – sie ist das öffentliche Rückgrat der KI-Aufsicht in Europa. Für Unternehmen, die Hochrisiko-KI entwickeln oder betreiben, ist die Registrierung eine Grundvoraussetzung für legalen Marktzugang. Die Pflicht gilt ab Dezember 2027 (verschoben durch Digital Omnibus), aber die Vorbereitungszeit ist bereits jetzt knapp.

Die gute Nachricht: Wer das KI-Inventar bereits aufgebaut hat, die Risikoklassen kennt und die Konformitätsbewertung angeht, hat den schwierigsten Teil bereits hinter sich. Die Registrierung selbst ist dann nur noch der letzte administrative Schritt.

Handeln Sie jetzt – nicht erst wenn die Frist drängt.


Wissen Sie, ob Ihre KI-Systeme registrierungspflichtig sind?

Der eu-konform.ai Risiko-Check analysiert Ihre KI-Landschaft in wenigen Minuten: Welche Systeme fallen unter Annex III? Wer trägt die Registrierungspflicht – Sie oder Ihr Anbieter? Was müssen Sie bis Dezember 2027 vorbereiten?

→ Jetzt kostenlosen Risiko-Check starten

Ist Ihr KI-Einsatz konform?

Kostenloser Risiko-Check in 5 Minuten – ohne Registrierung.

Jetzt prüfen