Apr 22 / David Gall

KI-Register nach EU AI Act: Vorlage, Pflichten und Umsetzung für Unternehmen

Einleitung

Die meisten Unternehmen unterschätzen einen einfachen Fakt: Sie wissen nicht, wie viele KI-Systeme sie tatsächlich im Einsatz haben. ChatGPT im Marketing, Copilot in der IT, ein Bewerbungsfilter im HR, ein Scoring-Tool im Vertrieb, ein Übersetzungstool im Kundenservice, der Überblick geht schnell verloren.
Genau hier setzt der EU AI Act an.

Problem: Ohne strukturierte Erfassung aller eingesetzten KI-Systeme ist keine Risikoklassifizierung, keine Pflichtenzuordnung und kein Auditnachweis möglich.

Lösung: Ein KI-Register (auch KI-Inventar oder KI-Verzeichnis genannt) ist das zentrale Steuerungsinstrument, um den EU AI Act in der Praxis umzusetzen. Dieser Artikel erklärt, was ein KI-Register leisten muss, welche Felder sinnvoll sind, wie Sie es aufbauen und stellt Ihnen am Ende eine kostenlose Vorlage inklusive Anhang I und III zum direkten Einsatz bereit.

Für eine vollständige Orientierung zu allen Unternehmenspflichten empfehlen wir unseren EU AI Act Leitfaden 2026.

Inhaltsverzeichnis

  1. Was ist ein KI-Register?
  2. Rechtliche Grundlage: Warum ein KI-Register in der Praxis unverzichtbar ist
  3. Wer sollte ein KI-Register führen?
  4. Pflichtfelder: Was ein KI-Register enthalten sollte
  5. Internes KI-Register vs. öffentliche EU-Datenbank
  6. Schritt-für-Schritt: So bauen Sie Ihr KI-Register auf
  7. Typische Fehler bei der Inventarisierung
  8. Verknüpfung mit DSGVO, NIS2 und ISO 42001
  9. KI-Register Vorlage kostenlos herunterladen
  10. FAQ
  11. Fazit

 1. Was ist ein KI-Register? 

Ein KI-Register ist eine strukturierte, interne Übersicht über alle KI-Systeme, die ein Unternehmen entwickelt, einkauft, integriert oder betreibt. Es dokumentiert pro System unter anderem Zweck, Anbieter, verarbeitete Daten, Rollenverteilung (Anbieter oder Betreiber), Risikoklasse nach EU AI Act und Verantwortlichkeiten.
Das KI-Register ist die Grundlage für:

  • die Einstufung nach Risikoklassen
  • die Zuordnung konkreter Pflichten aus dem AI Act
  • die technische Dokumentation und Konformitätsbewertung
  • die Nachweisführung gegenüber Aufsichtsbehörden
  • das laufende Risikomanagement und Post-Market Monitoring

Ohne KI-Register bleibt jede Compliance-Maßnahme Stückwerk. Mit KI-Register entsteht ein belastbares Fundament für Governance, Audits und Schulungsnachweise.

2. Rechtliche Grundlage: Warum ein KI-Register in der Praxis unverzichtbar ist

Der EU AI Act (Verordnung (EU) 2024/1689) schreibt ein „KI-Register" nicht wörtlich vor. Er verlangt jedoch an zahlreichen Stellen Nachweise und Dokumentationen, die ohne eine zentrale Inventarisierung nicht erfüllbar sind:

  • Art. 4 verpflichtet zur ausreichenden KI-Kompetenz aller Mitarbeitenden, die KI einsetzen – das setzt voraus, dass das Unternehmen weiß, welche Systeme im Einsatz sind.
  • Art. 9 fordert ein Risikomanagementsystem für Hochrisiko-KI.
  • Art. 11 in Verbindung mit Anhang IV verlangt eine umfassende technische Dokumentation pro Hochrisiko-System.
  • Art. 26 verpflichtet Betreiber von Hochrisiko-KI zur laufenden Überwachung.
  • Art. 27 verpflichtet bestimmte Deployer zur Grundrechte-Folgenabschätzung (FRIA) – dazu unten mehr.
  • Art. 50 regelt die Transparenz- und Kennzeichnungspflichten.
  • Art. 49 und Art. 71 schreiben für bestimmte Hochrisiko-KI-Systeme eine Eintragung in die EU-Datenbank vor (primär durch Anbieter).

Kurz: Der AI Act verlangt nicht wörtlich ein „KI-Register" – aber er fordert so viele dokumentationsrelevante Nachweise, dass ein zentrales Verzeichnis der einzig praktikable Weg ist, die Pflichten strukturiert zu erfüllen.

3. Wer sollte ein KI-Register führen? 

Die Dokumentationspflichten des AI Act treffen faktisch alle Unternehmen, die KI einsetzen – unabhängig von Größe oder Branche. Relevante Rollen nach AI Act:

  • Anbieter (Provider): Unternehmen, die KI-Systeme entwickeln oder unter eigenem Namen bereitstellen.
  • Betreiber (Deployer): Unternehmen, die KI-Systeme im beruflichen Kontext einsetzen – der deutlich größere Teil des Mittelstands.
  • Importeure und Händler: Unternehmen, die KI-Systeme aus Drittländern in den EU-Markt bringen oder weiterverkaufen.

Auch KMU, die „nur" ChatGPT, Copilot oder einen KI-Chatbot einsetzen, fallen als Betreiber unter den AI Act. Die Rollenzuordnung ist entscheidend, weil sich daraus die konkreten Pflichten ergeben. Mehr dazu in unserem Artikel zur Kennzeichnungspflicht nach Artikel 50.

4. Pflichtfelder: Was ein KI-Register enthalten sollte 

Ein auditfähiges KI-Register sollte pro KI-System mindestens folgende Felder enthalten:

Identifikation

  • Eindeutige ID des KI-Systems
  • Bezeichnung / Produktname
  • Version
  • Anbieter / Hersteller
  • Einsatzbeginn

 Zweck und Einsatz 

  • Beschreibung des Verwendungszwecks
  • Betroffene Fachabteilung(en)
  • Einsatzszenarien (intern/extern, kundenbezogen, mitarbeiterbezogen)
  • Betroffene Personengruppen

Rollen und Verantwortlichkeiten

  • Rolle nach AI Act (Anbieter, Betreiber, Importeur, Händler)
  • Fachlicher Verantwortlicher (Business Owner)
  • Technischer Verantwortlicher (IT/DevOps)
  • AI Officer / Compliance-Verantwortlicher

Risikoklassifizierung

  • Einstufung nach AI Act (verboten, hochrisiko, begrenztes Risiko, minimal)
  • Bezug zu Anhang I (Harmonisierungsrechtsvorschriften) und Anhang III (Hochrisiko-Bereiche)
  • GPAI-Bezug (General Purpose AI) – ja/nein
  • Begründung der Einstufung

Daten und Grundrechte

  • Verarbeitung personenbezogener Daten (ja/nein)
  • DSGVO-Rechtsgrundlage
  • Datenquellen und Datenqualität
  • Erforderlichkeit einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO
  • Erforderlichkeit einer Grundrechte-Folgenabschätzung (FRIA) nach Art. 27 AI Act – relevant insbesondere für öffentliche Stellen, private Anbieter öffentlicher Dienste sowie Deployer im Bereich Kreditwürdigkeitsprüfung und Lebens-/Krankenversicherung

 Technische Dokumentation und Kontrollen

  • Vorhandensein technischer Dokumentation (Art. 11, Anhang IV)
  • Human Oversight-Maßnahmen (Art. 14)
  • Logging und Protokollierung (Art. 12)
  • Transparenz- und Kennzeichnungspflichten (Art. 50)
  • Post-Market Monitoring und Incident-Response

Status und Lebenszyklus 

  • Status (aktiv, in Prüfung, deaktiviert, abgelöst)
  • Datum der letzten Überprüfung
  • Nächste geplante Prüfung
  • Änderungshistorie
Empty space, drag to resize
Diese Struktur deckt die Anforderungen aus Art. 9–15, Art. 26 und Art. 50 AI Act in einem einzigen Dokument ab.

5. Internes KI-Register vs. öffentliche EU-Datenbank

Wichtig zu unterscheiden:

  • Das interne KI-Register ist ein unternehmenseigenes Steuerungsinstrument. Es ist nicht öffentlich und enthält vertrauliche Informationen.
  • Die EU-Datenbank für Hochrisiko-KI-Systeme nach Art. 71 AI Act ist eine öffentliche, EU-weite Datenbank. Dort müssen bestimmte Hochrisiko-KI-Systeme nach Anhang III vor Inbetriebnahme registriert werden. Die Eintragungspflicht trifft nach Art. 49 AI Act primär Anbieter (bzw. deren EU-Bevollmächtigte). Für Deployer gilt die Eintragungspflicht nur, wenn sie öffentliche Stellen oder Einrichtungen der Union sind.

Das interne KI-Register ist die Grundlage, um die Meldepflichten gegenüber der EU-Datenbank korrekt zu erfüllen. Beide ergänzen sich – ersetzen sich aber nicht.

6. Schritt-für-Schritt: So bauen Sie Ihr KI-Register auf

Schritt 1 – Zielsetzung definieren

Legen Sie fest, ob das Register alle KI-Systeme erfasst oder sich auf bestimmte Kategorien (z. B. Hochrisiko, generative KI) beschränkt. Empfehlung: möglichst vollständig.

Schritt 2 – Verantwortlichkeiten klären

Benennen Sie eine zentrale Stelle (AI Officer oder KI-Compliance-Beauftragte/r) und koordinieren Sie mit Datenschutzbeauftragtem, Informationssicherheit, IT und Fachabteilungen.

Schritt 3 – Systeme identifizieren

Erfassen Sie intern entwickelte, eingekaufte, lizenzierte und Open-Source-KI-Systeme. Binden Sie Fachabteilungen aktiv ein, um Schatten-KI aufzudecken also KI-Tools, die außerhalb offizieller Genehmigungsprozesse genutzt werden.

Schritt 4 – Felder strukturiert befüllen 

Nutzen Sie die oben beschriebene Pflichtfeld-Struktur. Verwenden Sie standardisierte Werte (z. B. Dropdowns für Risikoklasse), um spätere Auswertungen zu ermöglichen.

Schritt 5 – Risikoklassifizierung durchführen

Gleichen Sie jeden Eintrag mit Anhang I und Anhang III AI Act ab. Dokumentieren Sie die Begründung der Einstufung, das ist auditrelevant.

Schritt 6 – Pflichten ableiten

Jeder Eintrag sollte klar zeigen, welche AI-Act-Pflichten gelten: Transparenz, Human Oversight, technische Dokumentation, Post-Market Monitoring, Vorfallmeldung.

Schritt 7 – Pflegeprozess etablieren 

Das Register ist kein einmaliges Dokument, sondern ein laufender Betriebsprozess. Definieren Sie Prüfzyklen (z. B. quartalsweise) und Trigger-Ereignisse (neue KI-Einführung, Versionswechsel, Zweckänderung).

 Schritt 8 – Mit anderen Systemen verknüpfen

Binden Sie das KI-Register an bestehende Governance-Strukturen an: Verarbeitungsverzeichnis nach DSGVO, Risikomanagement nach ISO 42001, Informationssicherheits-Managementsystem nach ISO 27001/NIS2.

7. Typische Fehler bei der Inventarisierung 

Aus der Praxis wiederkehrende Probleme:

  • Nur IT-getriebene Erhebung: KI-Systeme werden längst in Fachabteilungen eingeführt – HR, Marketing, Vertrieb. Wer nur die IT fragt, übersieht die Hälfte.
  • Fehlende Abgrenzung, was „KI" ist: Ohne klare Definition (orientiert an Art. 3 Nr. 1 AI Act) landen entweder zu wenige oder zu viele Systeme im Register.
  • Einmalige Erfassung: Ein Register, das nach sechs Monaten nicht aktualisiert wird, ist im Ernstfall wertlos.
  • Fehlende Rollenzuordnung: Ohne Anbieter/Betreiber-Klassifizierung lässt sich keine Pflicht ableiten.
  • Keine Begründung der Risikoklasse: Die Einstufung allein reicht nicht – die Herleitung muss dokumentiert sein.
  • Trennung von DSGVO- und KI-Dokumentation: Wer zwei getrennte Welten aufbaut, verdoppelt den Aufwand.

8. Verknüpfung mit DSGVO, NIS2 und ISO 42001 

Das KI-Register sollte nicht isoliert geführt werden. Sinnvolle Schnittstellen:

  • DSGVO: Verarbeitungsverzeichnis (Art. 30), DSFA (Art. 35) und KI-spezifische Risiken lassen sich integriert denken. Mehr dazu in unserem Artikel EU AI Act vs. DSGVO.
  • NIS2: KI-Systeme in kritischen Prozessen erhöhen das Cyberrisiko. Das Register unterstützt das Asset-Management und die Sicherheitsmaßnahmen nach NIS2.
  • ISO 42001: Die internationale Norm für KI-Managementsysteme baut strukturell auf einem Inventar und Risikomanagement auf. Ein gepflegtes KI-Register ist ein zentrales Element jeder ISO-42001-Einführung.

So wird aus einer Pflicht ein integriertes Governance-Instrument.

9. KI-Register Vorlage kostenlos herunterladen

Damit Sie nicht bei Null beginnen müssen, stellt Certurio eine strukturierte KI-Register-Vorlage inklusive Anhang I und Anhang III als PDF zur Verfügung. Die Vorlage enthält:

  • vollständige Pflichtfeld-Struktur
  • Anhang I (Harmonisierungsrechtsvorschriften) zur Referenz
  • Anhang III (Hochrisiko-Bereiche) zur Referenz
  • Hinweise zur Befüllung
  • Certurio-Design mit klarer, audittauglicher Struktur

10. FAQ

Muss auch ein kleines Unternehmen ein KI-Register führen?

Der EU AI Act unterscheidet bei den Dokumentationsanforderungen nicht nach Unternehmensgröße. Sobald KI im beruflichen Kontext eingesetzt wird, entstehen Nachweispflichten. Für KMU ist ein schlankes, strukturiertes Register meist ausreichend.

Muss ChatGPT oder Microsoft Copilot im KI-Register erfasst werden?

Ja. Auch wenn Ihr Unternehmen nur als Betreiber auftritt, fallen generative KI-Tools unter den AI Act – insbesondere mit Blick auf Art. 4 (KI-Kompetenz) und Art. 50 (Transparenz).

Reicht eine Excel-Liste als KI-Register?

Für viele KMU ja, sofern die Pflichtfelder vollständig abgebildet und Pflegeprozesse definiert sind. Bei größeren Organisationen oder mehreren Hochrisiko-Systemen sind spezialisierte Governance-Tools sinnvoll.

Wer ist im Unternehmen für das KI-Register verantwortlich?

In der Regel der AI Officer oder KI-Compliance-Beauftragte, in Abstimmung mit Datenschutz, IT-Sicherheit und Fachabteilungen.

Wie oft muss das KI-Register aktualisiert werden?

Es sollte laufend bei Änderungen aktualisiert und mindestens einmal pro Quartal systematisch überprüft werden.

Muss jedes KI-System auch in die EU-Datenbank eingetragen werden?

Nein. Die Eintragungspflicht nach Art. 49 und Art. 71 AI Act gilt nur für bestimmte Hochrisiko-KI-Systeme nach Anhang III und trifft primär Anbieter. Betreiber sind nur dann eintragungspflichtig, wenn sie öffentliche Stellen sind. Das interne KI-Register ist davon unabhängig und unabhängig davon empfehlenswert.

11. Fazit

Ein KI-Register ist kein bürokratisches Nice-to-have, sondern das operative Rückgrat jeder EU-AI-Act-Compliance. Ohne strukturierte Erfassung keine Risikoklassifizierung, ohne Risikoklassifizierung keine Pflichtenzuordnung, ohne Pflichtenzuordnung kein Nachweis. Wer jetzt aufsetzt, schafft die Grundlage für Audit-Sicherheit, belastbare Governance und eine souveräne KI-Strategie, weit über 2026 hinaus.

Die Certurio-Vorlage gibt Ihnen einen sofort nutzbaren Startpunkt. Die EU AI Act Schulung von Certurio liefert das Know-how, um die Felder auch inhaltlich korrekt zu befüllen.
Empty space, drag to resize
Dieser Artikel wurde von Certurio erstellt und basiert auf dem Verordnungstext der KI-Verordnung (EU) 2024/1689 (EUR-Lex), den offiziellen Informationen der Europäischen Kommission, des EU AI Office und der Bundesnetzagentur sowie einschlägigen Fachanalysen. Certurio ist Anbieter von KI-Compliance-Schulungen und -Materialien. Dieser Artikel stellt keine Rechtsberatung dar und ersetzt im Einzelfall nicht die Prüfung durch qualifizierte juristische Fachkräfte.
Created with