EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →
Alle Ratgeber
Inventar

KI-Inventar Vorlage 2026: Template für AI-Asset-Register nach EU AI Act

Zuletzt aktualisiert: Mai 2026·9 min Lesezeit
TL;DR

Ein KI-Inventar (AI-Asset-Register) ist die Grundvoraussetzung für EU-AI-Act-Compliance. Für jedes System brauchst du 12 Pflichtfelder: Name, Anbieter, Zweck, Lebenszyklus-Phase, Risikoklasse, Annex-Bezug, betroffene Personen, Datenquellen, Verantwortliche, Konformitätsbewertung-Status, EU-DB-Eintrag, FRIA-Status.

Wer EU-AI-Act-Compliance ernst nimmt, braucht ein vollständiges KI-Inventar. Ohne Überblick über die eigenen Systeme ist keine Risikoklassifikation, keine Pflichtenmatrix und keine Aufsichtsbeantwortung möglich.

Wofür dient das KI-Inventar?

  • Compliance-Grundlage: Art. 26 verlangt vom Deployer, jedes Hochrisiko-System angemessen zu betreuen — das setzt voraus, dass er weiss, welche Systeme er hat.
  • Aufsichts-Antworten: Bei Anfragen der Behörde (Bundesnetzagentur, RTR, EDÖB) musst du innerhalb weniger Tage Auskunft geben können.
  • Schatten-IT-Erkennung: Viele KI-Systeme schleichen sich über SaaS-Anwendungen oder Self-Service-Tools ein.
  • Risikomanagement: Du kannst nicht steuern, was du nicht siehst.

Die 12 Pflichtfelder

1. Eindeutiger System-Name

Intern verwendete Bezeichnung (z.B. "HR-Recruiter Pro v2.4").

2. Anbieter (Provider)

Firma, Land, Kontakt. Plus: Hat der Anbieter eine EU-Niederlassung oder einen autorisierten Vertreter (Art. 22)?

3. Zweckbestimmung

Was soll das System tun? Möglichst konkret — "CV-Screening mit Ranking" statt "HR-Tool".

4. Lebenszyklus-Phase

Pilot, Produktiv, Auslaufphase, Stilllegung. Pro Phase gelten unterschiedliche Pflichten.

5. Risikoklasse nach EU AI Act

Verboten / Hochrisiko / Begrenzt / Minimal / Nicht anwendbar. Begründung dokumentieren.

6. Annex-Bezug

Falls Hochrisiko: Annex I (sektoral) oder Annex III (Liste). Bei III: welche der 8 Nummern?

7. Betroffene natürliche Personen

Mitarbeitende, Kunden, Bewerber, Bürger, Patienten. Plus: besonders schutzbedürftige Gruppen?

8. Datenquellen

Welche Daten gehen rein? Personenbezogene Daten? Sensible Kategorien? Trainings- vs Live-Daten?

9. Interne Zuständigkeit

  • Process Owner (Geschäftsbereich)
  • Tech Owner (IT)
  • Compliance Owner (Recht/Datenschutz)
  • KI-Verantwortliche/r (sofern bestellt)

10. Konformitätsbewertung Status

Bei Hochrisiko-Eigenentwicklung: Welche Module? Bewertung abgeschlossen? Konformitätserklärung vorhanden?

11. EU-Datenbank-Eintrag

Bei Hochrisiko (Anbieter): Registrierungs-ID gemäss Art. 49.

12. FRIA-Status

Falls FRIA-pflichtig: Datum der letzten Durchführung, nächstes Re-Assessment, Verantwortliche/r.

Ergänzende Felder (empfohlen)

  • Vertragsklauseln: Liegen AI-Act-konforme Vertragsklauseln mit dem Anbieter vor?
  • AVV (Auftragsverarbeitungs-Vertrag): Bei DSGVO-Bezug
  • Drittland-Transfer: Bei Anbietern ausserhalb EU/EWR
  • Audit-Trail: Wer hat wann was geändert?
  • Kosten: Lizenz-/Service-Kosten pro Jahr (für CFO-Sichtbarkeit)
  • SLA / Verfügbarkeit: Bei kritischen Anwendungen

So findest du verborgene KI-Systeme

1. Befrage Abteilungen einzeln: HR, IT, Marketing, Vertrieb, Produktion, Finanzen, Rechtsabteilung. Gefragt wird nicht "habt ihr KI?" sondern "habt ihr Tools, die automatisierte Vorschläge machen, Inhalte generieren, Klassifikationen vornehmen oder Entscheidungen unterstützen?"

2. Software-Inventar prüfen: Aus IT-Asset-Management alle SaaS-Lizenzen exportieren. Pro Tool: gibt es KI-Komponenten? CRM-Tools haben oft Lead-Scoring; Kollaborations-Tools haben oft Smart-Replies; Help-Desks haben oft Intent-Erkennung.

3. API-Calls auditieren: Ausgehende Calls an OpenAI, Anthropic, Google AI, Azure AI, AWS Bedrock erfassen. Jeder Call deutet auf eine KI-Integration hin.

4. Browser-History stichprobenartig prüfen: Wenn Mitarbeitende ChatGPT, Claude, Gemini privat im Arbeitskontext nutzen — Schatten-IT.

Aktualisierungs-Frequenz

  • Quartalsweise Vollüberprüfung
  • Bei jeder neuen System-Anschaffung sofort eintragen
  • Bei wesentlichen Änderungen Risikoklassifikation neu prüfen
  • Bei Audits jeweils aktuelle Version vorlegen

Format-Empfehlung

Excel/CSV reicht für KMU. Ab 50+ Systemen lohnt sich ein dediziertes GRC-Tool oder eine Datenbank-Lösung. ai-risk-check.com bietet ein integriertes KI-Inventar mit Risikoklassifikation und Pflichten-Tracking.

Häufige Fehler

1. Inventar einmalig erstellen, dann liegen lassen — wird sofort veraltet 2. Nur Eigenentwicklungen erfassen — SaaS-KI ist meist 80% des Bestands 3. Keine Risikoklassifikation — Inventar ohne Klasse ist nutzlos 4. Keine Verantwortlichkeiten zuweisen — was nicht zugeordnet ist, wird nicht gepflegt

Häufig gestellte Fragen

Welche Pflichtfelder muss ein KI-Inventar mindestens enthalten?+

Zwölf Felder pro System: Name, Anbieter, Zweckbestimmung, Lebenszyklus-Phase, Risikoklasse, Annex-Bezug, betroffene Personen, Datenquellen, interne Zuständigkeit (Process/Tech/Compliance Owner), Konformitätsbewertung Status, EU-Datenbank-ID, FRIA-Status. Empfohlen zusätzlich: Vertragsklauseln, AVV, Drittland-Transfer, Audit-Trail.

Wie oft muss das KI-Inventar aktualisiert werden?+

Quartalsweise eine Vollüberprüfung, sofort bei jeder neuen System-Anschaffung, bei wesentlichen Änderungen Risikoklassifikation neu prüfen, und bei Aufsichtsanfragen muss die aktuelle Version innerhalb weniger Tage vorliegen können.

Wie finde ich verborgene KI-Systeme im Unternehmen?+

Vier Strategien parallel: 1) Strukturierte Befragung aller Abteilungen mit konkreten Fragen wie automatisierte Vorschläge oder Entscheidungsunterstützung. 2) Software-Inventar aus IT-Asset-Management exportieren und jedes Tool auf KI-Komponenten prüfen. 3) Ausgehende API-Calls an OpenAI, Anthropic, Google AI, Azure AI, AWS Bedrock auditieren. 4) Stichprobenartig Browser-History auf ChatGPT, Claude, Gemini im Arbeitskontext prüfen.

Reicht eine Excel-Tabelle oder brauche ich ein GRC-Tool?+

Für KMU bis etwa 50 KI-Systeme reicht eine strukturierte Excel- oder CSV-Datei. Ab 50+ Systemen oder bei mehreren Geschäftsbereichen mit unterschiedlichen Process Ownern lohnt sich ein dediziertes Tool. ai-risk-check.com bietet ein integriertes KI-Inventar mit automatischer Risikoklassifikation und Pflichten-Tracking.

Müssen auch ChatGPT-Lizenzen einzelner Mitarbeiter ins Inventar?+

Ja, sofern sie im Geschäftskontext genutzt werden. Generative KI mit Anbieter-Hosting ist nach Art. 50 als KI-System mit Transparenzpflichten einzustufen. Wenn das Tool im Unternehmensauftrag genutzt wird, ist das Unternehmen Deployer und muss es im Inventar führen — auch wenn die Lizenz auf einzelne Mitarbeiter ausgestellt ist.

Direkt prüfen — kostenlos

Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.

Kostenloser EU AI Act Check →
Weiterlesen
Innopulse Legal Engine v3.8.0

Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.

Zuletzt aktualisiert: Mai 2026

Alle RatgeberWissenshub
KI-Inventar Vorlage 2026 — AI-Asset-Register Template | ai-risk-check.com