KI-System-Register
Ein KI-System-Register ist ein internes Verzeichnis, in dem Unternehmen alle eingesetzten KI-Systeme systematisch erfassen und dokumentieren. Es dient als zentrale Übersicht für Compliance-Anforderungen nach EU AI Act und bildet die Grundlage für Risikobewertung und Registrierungspflichten.
Ausführliche Erklärung
Das KI-System-Register hat sich als unverzichtbares Steuerungsinstrument etabliert, seit der EU AI Act 2024 in Kraft getreten ist. Es handelt sich um eine strukturierte Dokumentation aller KI-Anwendungen im Unternehmen – von offensichtlichen Tools wie ChatGPT bis zu versteckten KI-Funktionen in CRM-Systemen, HR-Software oder Buchhaltungsprogrammen. Das Register erfasst für jedes System mindestens Bezeichnung, Zweck, Anbieter, Betreiber, eingesetzte Daten, Risikoeinstufung und die verantwortlichen Personen im Unternehmen.
Die praktische Bedeutung liegt in drei Funktionen: Erstens verschafft es Transparenz über die tatsächlich eingesetzte KI-Landschaft und deckt sogenannte Schatten-IT auf. Zweitens ermöglicht es die Risikoklassifizierung nach EU AI Act – entscheidend dafür, welche rechtlichen Pflichten greifen. Drittens bildet es die Grundlage für die verpflichtende Registrierung von Hochrisiko-KI-Systemen in der EU-Datenbank gemäß Artikel 49 AI Act, die ab August 2026 vollständig gilt.
Das KI-System-Register ist eng mit dem DSGVO-Verarbeitungsverzeichnis nach Artikel 30 DSGVO verknüpft, ersetzt dieses aber nicht. Jedes KI-System, das personenbezogene Daten verarbeitet, benötigt Einträge in beiden Dokumenten – idealerweise mit Querverweisen. Während das Verarbeitungsverzeichnis die Datenschutzperspektive abdeckt, fokussiert das KI-Register auf AI-Act-Compliance: Risikoklasse, Zweckbestimmung, Anbieter- und Betreiberpflichten sowie die Einstufungsbegründung.
In der Praxis empfiehlt sich für KMU mit bis zu 20 KI-Systemen eine Excel-basierte Lösung, die halbjährlich aktualisiert wird. Größere Unternehmen nutzen spezialisierte Governance-Tools. Entscheidend ist, dass jede KI-Anwendung einen eigenen, detaillierten Eintrag erhält – pauschale Angaben wie "Marketing nutzt KI" erfüllen die Dokumentationspflicht nicht. Das Register muss außerdem gepflegt werden: Neue KI-Systeme, Änderungen der Zweckbestimmung oder Anbieterwechsel sind zeitnah zu dokumentieren.
Praxisbeispiel
Ein Steuerberatungsbüro mit 18 Mitarbeitenden nutzt ein KI-gestütztes Tool zur Belegerfassung, Microsoft 365 Copilot für E-Mail-Entwürfe und einen Chatbot auf der Website. Die Geschäftsführerin legt ein KI-Register in Excel an und erfasst alle drei Systeme mit Zweck, Anbieter, Datenkategorien und Risikoeinstufung. Beim Belegerfassungs-Tool stellt sie fest, dass es Finanzdaten verarbeitet und als Hochrisiko-System einzustufen ist – damit wird ab August 2026 eine EU-Registrierung fällig. Das Register ermöglicht ihr, rechtzeitig die technische Dokumentation vorzubereiten und die Pflichten als Betreiberin zu erfüllen.
Quellen
- KI-Register nach EU AI Act: Struktur, Pflichtfelder und Vorlage | DATUREX GmbH
- Article 49: Registration | EU Artificial Intelligence Act
- KI-Register Pflicht EU AI Act – Künstliche Intelligenz Risiko Artikel
- AI Act: Regeln für Unternehmen beim Einsatz künstlicher Intelligenz | IHK München
- DSGVO KI Verarbeitungsverzeichnis: Muster-Eintrag nach Art. 30 für KI-Systeme | Skill-Sprinters