KI-Inventar nach EU AI Act erstellen: Anleitung mit Vorlage
Ein KI-Inventar nach EU AI Act listet alle KI-Systeme im Unternehmen mit 14 Pflichtfeldern. Es ist die Grundlage für jede weitere Compliance-Massnahme. Eine KMU mit 50 Mitarbeitenden hat in der Praxis 15-30 KI-Touchpoints — viele davon Schatten-KI.
Warum das KI-Inventar der erste Schritt ist
Ohne KI-Inventar ist EU AI Act Compliance nicht möglich. Art. 26 (Deployer) und Art. 16 (Provider) verlangen implizit, dass Unternehmen wissen, welche KI-Systeme sie betreiben. ISO 42001 fordert es als Kernprozess.
Die meisten Unternehmen unterschätzen, wie viele KI-Systeme sie tatsächlich haben. Eine KMU mit 50 Mitarbeitenden hat 15-30 KI-Touchpoints — von ChatGPT über Copilot, Salesforce Einstein, HubSpot AI, HR-Tools mit Lebenslauf-Screening, Buchhaltung mit Anomalie-Detection bis Antiviren-Software mit ML-Engine.
Die 14 Pflichtfelder
1. System-ID — Eindeutige interne Kennung 2. Systemname und Anbieter — Marketingname plus rechtlicher Anbieter 3. Zweck und Funktionsbeschreibung — Konkret, nicht "AI" 4. Datenbasis — Trainingsdaten + Eingabedaten 5. Output und Entscheidungsrelevanz — Vorschlag oder Auto-Entscheidung 6. Provider/Deployer-Rolle — Modifikations-Falle Art. 25 beachten 7. Risikoklasse — Verboten/Hochrisiko/Begrenzt/Minimal 8. Annex-Bezug — Falls Hochrisiko: Nummer in Annex I oder III 9. FRIA-Status — Bei Hochrisiko + öffentlicher Aufgabe 10. Konformitätsbewertung — Selbst- oder externe Bewertung 11. DSFA-Status (DSGVO Art. 35) 12. Logging und Aufbewahrung — mindestens 6 Monate 13. Verantwortlicher (RACI) — Owner, Operator, Stakeholder 14. Lifecycle — Inbetriebnahme, Updates, Retraining-Plan
Schatten-KI finden — vier Quellen
SaaS-Vertragsregister mit Stichworten "AI", "ML", "Copilot", "Assistant", "Insights", "Predictive", "Smart". In Sammelverträgen wie Microsoft 365 E5 verstecken sich aktivierte AI-Features.
Mitarbeiter-Befragung — strukturiertes 5-Minuten-Survey: Welche Tools nutzen Sie täglich, die Texte/Bilder generieren, Daten klassifizieren oder Empfehlungen geben? Erfahrungswert: 30-50 % unter dem Radar.
Browser-Session-Analyse mit Einwilligung — Proxy-Logs auf KI-Domains scannen.
API-Gateway-Logs — Outbound-Calls zu OpenAI/Anthropic/Google verraten AI-Nutzung.
Wartung und Aktualisierung
Quartalsweise Review durch AI-Officer oder DPO. Trigger-Ereignisse für ad-hoc Update: Neuer SaaS-Vertrag mit AI-Komponente, Modellupgrade durch Anbieter, erhebliche Modifikation, neue rechtliche Klassifizierung.
Excel/Sheets reicht bis ~50 Systeme. Ab 100+ lohnt ein dediziertes GRC-Tool.
Häufig gestellte Fragen
Wie viele Felder muss ein KI-Inventar haben?+
Praktisch 14 Pflichtfelder: System-ID, Name/Anbieter, Zweck, Datenbasis, Output, Provider/Deployer-Rolle, Risikoklasse, Annex-Bezug, FRIA-Status, Konformitätsbewertung, DSFA, Logging, Verantwortlicher, Lifecycle.
Wer ist verantwortlich?+
AI-Officer oder Datenschutzbeauftragter als Doppelfunktion. In KMU oft IT-Leiter mit AI-Governance-Erweiterung.
Wie oft aktualisieren?+
Mindestens quartalsweise plus ad-hoc bei Trigger-Ereignissen.
Reicht Excel oder braucht es ein GRC-Tool?+
Bis ~50 Systeme reicht Excel mit Versionierung. Ab 100+ lohnt ein GRC-Tool mit Workflow für FRIA-Triggern.
Wie findet man Schatten-KI?+
Vier Quellen kombinieren: SaaS-Register, Mitarbeiterbefragung, Browser-Session-Analyse, API-Gateway-Logs.
Direkt prüfen — kostenlos
Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.
Kostenloser EU AI Act Check →Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.
Zuletzt aktualisiert: 4. Mai 2026