eu-konform.ai
← Alle Artikel | Praxis

KI-Inventar erstellen – Schritt-für-Schritt-Anleitung

Erster Schritt zur AI-Act-Compliance: das KI-Inventar. Schritt-für-Schritt-Anleitung mit kostenloser Vorlage – so erfassen Sie alle KI-Systeme systematisch.

eu-konform.ai Redaktion · · 7 Min. Lesezeit

Sie wissen, dass der AI Act ab August 2026 gilt. Sie wissen, dass Sie Pflichten haben. Aber womit anfangen?

Mit dem KI-Inventar. Es ist der erste und wichtigste Schritt zur AI-Act-Compliance – und gleichzeitig der, den die meisten Unternehmen vor sich herschieben.

Das Problem: Die wenigsten wissen, wie viele KI-Systeme sie tatsächlich nutzen. In unserer Erfahrung unterschätzen Unternehmen die Zahl um den Faktor 3 bis 5. Der Praktikant nutzt ChatGPT für Social-Media-Texte, die Buchhaltung hat ein KI-gestütztes Belegerkennungstool, und im CRM läuft längst ein KI-basiertes Lead-Scoring – nur weiß die Geschäftsführung davon nichts.

Warum ist das KI-Inventar Pflicht?

Der AI Act verlangt von jedem Unternehmen, das KI einsetzt, eine systematische Übersicht aller eingesetzten KI-Systeme. Ohne Inventar können Sie weder die Risikoklasse bestimmen noch Dokumentationspflichten erfüllen – geschweige denn nachweisen, dass Sie compliant sind.

Konkret verlangt der AI Act von Betreibern (Art. 26):

  • Wissen, welche KI-Systeme im Einsatz sind
  • Deren Risikoklasse kennen
  • Die vorgesehene Zweckbestimmung einhalten
  • Menschliche Aufsicht sicherstellen

All das beginnt mit einem vollständigen Inventar.

Die 6 Schritte zum KI-Inventar

Schritt 1: Abteilungen systematisch befragen

Gehen Sie jede Abteilung einzeln durch. Nicht per Rundmail (“Hat jemand KI im Einsatz?”), sondern mit gezielten Fragen:

  • Welche Software-Tools nutzt ihr täglich?
  • Gibt es Tools, die automatisch Texte, Bilder oder Vorschläge erstellen?
  • Werden Daten automatisch analysiert, kategorisiert oder bewertet?
  • Nutzt jemand ChatGPT, Copilot, Claude oder ähnliche Assistenten?
  • Gibt es automatisierte Entscheidungsprozesse (z. B. Bewerber-Screening, Bonitätsprüfung)?

Typische Fundorte:

AbteilungHäufige KI-Tools
MarketingChatGPT, Midjourney, Canva AI, HubSpot KI-Features
VertriebCRM mit Lead-Scoring, Chatbots, E-Mail-Automatisierung
HRBewerber-Screening, CV-Parsing, Interview-Analyse
ITGitHub Copilot, KI-gestützte Monitoring-Tools
BuchhaltungBelegerfassung, automatische Kontierung
KundenserviceChatbots, automatische Ticket-Klassifizierung
GeschäftsführungKI-gestützte Dashboards, Prognose-Tools

Schritt 2: Schatten-KI aufspüren

Schatten-KI ist das KI-Äquivalent zu Schatten-IT: Tools, die Mitarbeiter eigenständig nutzen, ohne dass die IT oder Geschäftsführung davon weiß.

Das betrifft vor allem:

  • Browser-Extensions mit KI-Funktionen (Grammarly, DeepL, Zusammenfassungs-Tools)
  • Kostenlose Accounts bei ChatGPT, Claude, Gemini
  • KI-Features in bestehender Software, die per Update aktiviert wurden (Microsoft 365 Copilot, Adobe Firefly in Creative Cloud)

Praxis-Tipp: Fragen Sie nicht “Nutzt du KI?”, sondern “Nutzt du Tools, die automatisch Texte schreiben, Bilder erstellen oder Daten analysieren?” – viele Mitarbeiter denken bei “KI” nur an Roboter, nicht an ihr tägliches ChatGPT.

Schritt 3: Pro System die Kerndaten erfassen

Für jedes identifizierte KI-System dokumentieren Sie:

  1. Name und Anbieter – z. B. “ChatGPT (OpenAI)”
  2. Kategorie – Textgenerierung, Bildgenerierung, Analyse, Automatisierung, etc.
  3. Einsatzzweck – Wofür wird es konkret genutzt?
  4. Abteilung – Wer nutzt es?
  5. Betroffene Personen – Mitarbeiter, Kunden, Bewerber?
  6. Entscheidungsautonomie – Unterstützt es nur oder entscheidet es selbständig?
  7. Sitz des Anbieters – EU oder Nicht-EU?
  8. Server-Standort – Wo werden Daten verarbeitet?

Schritt 4: Risikoklasse zuordnen

Basierend auf den erfassten Daten ordnen Sie jedes System einer der vier AI-Act-Risikoklassen zu:

  • Verboten – Social Scoring, manipulative Systeme → sofort abschalten
  • Hochrisiko – HR-Entscheidungen, Kreditwürdigkeit, Versicherung, Bildung, kritische Infrastruktur → umfangreiche Pflichten
  • Begrenztes Risiko – Chatbots, KI-generierte Inhalte → Transparenzpflicht
  • Minimales Risiko – Spam-Filter, Rechtschreibprüfung → keine besonderen Pflichten

Im Zweifel höher klassifizieren. Lieber ein System als “begrenztes Risiko” einstufen, das eigentlich minimal ist, als umgekehrt.

Schritt 5: Verantwortlichkeiten festlegen

Für jedes KI-System brauchen Sie eine verantwortliche Person:

  • Wer entscheidet über den Einsatz?
  • Wer überwacht die Nutzung?
  • Wer ist Ansprechpartner bei Vorfällen?
  • Wer stellt sicher, dass die menschliche Aufsicht funktioniert?

Das muss kein Vollzeitjob sein – aber es muss klar sein, wer zuständig ist.

Schritt 6: Regelmäßig aktualisieren

Ein KI-Inventar ist kein einmaliges Projekt. Neue Tools kommen dazu, alte werden abgeschafft, Einsatzzwecke ändern sich. Planen Sie mindestens einen vierteljährlichen Review ein.

Trigger für Ad-hoc-Updates:

  • Neues Software-Tool eingeführt
  • Bestehendes Tool bekommt KI-Features per Update
  • Einsatzzweck eines Tools ändert sich
  • Neue Abteilung beginnt KI zu nutzen

Häufige Fehler beim KI-Inventar

1. Nur “offensichtliche” KI erfassen ChatGPT ist klar. Aber die KI-gestützte Autokorrektur in der E-Mail-Software? Das automatische Tagging in der Foto-Verwaltung? Die Betrugserkennung im Payment-System? KI ist oft unsichtbar – genau deshalb brauchen Sie den systematischen Ansatz.

2. Eingebettete KI-Features übersehen Microsoft 365, Google Workspace, Salesforce, SAP – alle großen Plattformen bauen zunehmend KI ein. Diese Features sind oft per Default aktiviert und werden von Mitarbeitern genutzt, ohne dass es bewusst als “KI-Nutzung” wahrgenommen wird.

3. Das Inventar einmal erstellen und vergessen KI-Landschaften ändern sich schnell. Ein Inventar vom April ist im Oktober veraltet. Ohne regelmäßige Updates wird es zur Compliance-Falle statt zum Compliance-Instrument.

4. Keine Verantwortlichkeiten definieren Ein Inventar ohne Verantwortliche ist eine Tabelle – kein Compliance-Instrument. Jemand muss dafür geradestehen, dass die Einträge aktuell und korrekt sind.

Was gehört NICHT ins KI-Inventar?

Nicht jede Software mit ein bisschen Automatisierung ist ein KI-System im Sinne des AI Acts. Der AI Act definiert KI-Systeme als maschinenbasierte Systeme, die mit unterschiedlichem Grad an Autonomie Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen.

Nicht erfasst werden müssen:

  • Einfache regelbasierte Systeme (If-Then-Logik)
  • Klassische Datenbanken und Suchfunktionen
  • Statische Automatisierungen (Makros, Skripte)

Im Graubereich: Wenn Sie unsicher sind, ob ein Tool ein KI-System ist – nehmen Sie es auf. Ein Eintrag zu viel im Inventar schadet nicht. Ein fehlender Eintrag schon.

Fazit

Das KI-Inventar ist kein bürokratischer Selbstzweck – es ist das Fundament Ihrer AI-Act-Compliance. Ohne zu wissen, welche KI-Systeme im Unternehmen laufen, können Sie weder Risiken bewerten noch Pflichten erfüllen.

Der Aufwand? Für ein typisches KMU: 1–2 Tage für die initiale Erfassung, danach 2–3 Stunden pro Quartal für Updates.

Der Nutzen? Rechtskonformität, Überblick und – ganz nebenbei – ein besseres Verständnis dafür, wie KI in Ihrem Unternehmen tatsächlich eingesetzt wird.

Sie möchten Ihr KI-Inventar direkt anlegen und die Risikoklassen automatisch bestimmen lassen? Der KI-Kompass führt Sie in 5 Minuten durch den gesamten Prozess – kostenlos und ohne Registrierung.

Ist Ihr KI-Einsatz konform?

Kostenloser Risiko-Check in 5 Minuten – ohne Registrierung.

Jetzt prüfen
← Alle Artikel