Wenn sich ein Unternehmen mit den Anforderungen des EU AI Act beschäftigt, trifft es ziemlich früh auf einen zentralen Begriff: Das KI-Inventar (oder auch KI-Verzeichnis, KI-Inventarliste, KI-Register). Das KI-Inventar ist für viele KMU der erste konkrete Schritt in Richtung EU-AI-Act-Compliance – und zugleich der am häufigsten aufgeschobene Schritt. Ein KI-Inventar erstellen und pflegen zu lassen, ist aber weder eine bürokratische Gängelung noch ein reines IT-Projekt. Vielmehr ist es der erste essentielle Schritt in ein nachhaltiges KI-Risikomanagement und sollte zur Priorität erklärt werden, wenn der Einstieg in die Nutzung von KI-Systemen erst einmal beschlossene Sache ist.
Wer nicht weiß, welche KI-Systeme im Unternehmen überhaupt im Einsatz sind, kann weder ihre Risiken in Hinblick auf Recht und Regulatorik sowie hinsichtlich Cyber-Security bewerten, noch konkrete Risikostufen festlegen und damit nicht seinen Pflichten nach dem AI Act nachkommen. Diese Guideline erklärt, warum Sie bereits jetzt ein KI-Inventar erstellen sollten, was hineingehört, wie Sie es praktisch aufbauen und dauerhaft pflegen – und liefert am Ende eine kompakte Checkliste zum Abhaken. und natürlich auch eine kostenlose EXCEL-Vorlage für die KI-Inventarliste.
KI-Inventar erstellen: Was das ist – und warum jetzt
Ein KI-Inventar ist ein strukturiertes Verzeichnis aller Künstliche-Intelligenz-Systeme, die in einem Unternehmen entwickelt, eingekauft oder genutzt werden. Man kann es sich als das KI-Pendant zum Verzeichnis von Verarbeitungstätigkeiten (VVT) aus der DSGVO vorstellen: eine zentrale, gepflegte Übersicht, die auf Nachfrage einer Aufsichtsbehörde sofort vorzeigbar ist.
Der Grund für die neue Dringlichkeit liegt im gestaffelten Inkrafttreten des EU AI Act. Drei Punkte sind für KMU entscheidend:
- Die KI-Kompetenzpflicht gilt bereits: Seit dem 2. Februar 2025 verlangt Art. 4 KI-VO, dass Unternehmen für ausreichende KI-Kompetenz ihres Personals sorgen. Wer das nicht dokumentiert hat, ist streng genommen schon jetzt in der Pflichtverletzung.
- Ab dem 2. August 2026 wird die Verordnung weitgehend vollständig anwendbar: Dann greifen unter anderem die Transparenzpflichten nach Art. 50 – also die Kennzeichnung von Chatbots, KI-generierten Inhalten und Deepfakes.
- Die Hochrisiko-Fristen wurden verschoben: Mit der politischen Einigung zum „Digital Omnibus“ vom Mai 2026 rutschen die umfangreichen Pflichten für eigenständige Hochrisiko-Systeme (Anhang III) voraussichtlich auf Dezember 2027, für in Produkte eingebettete KI (Anhang I) sogar auf August 2028. Das verschafft Luft – macht das Inventar aber nicht weniger dringlich, denn ohne eine praxistaugliche Bestandsaufnahme weiß niemand, ob überhaupt ein Hochrisiko-System im Haus ist.
Warum gerade KMU ein KI-Inventar brauchen
Großkonzerne haben Compliance-Abteilungen, die solche Verzeichnisse (hoffentlich) ohnehin führen. Bei KMU ist die Ausgangslage eine andere – und paradoxerweise riskanter:
- Shadow AI wächst unbemerkt: In kleineren Unternehmen führen einzelne Mitarbeiter KI-Tools oft eigeninitiativ ein – ein ChatGPT-Konto hier, ein KI-Feature im CRM dort. Ohne Inventar entsteht eine Shadow-AI-Landschaft, die niemand vollständig überblickt.
- KI steckt längst in Standardsoftware: Viele KMU glauben, sie setzten „gar keine KI“ ein – dabei haben Microsoft 365 (Copilot), das E-Mail-Programm, die Buchhaltungssoftware oder das Bewerbermanagement längst KI-Funktionen integriert. Sogar die simplen Accounting-Lösungen für die Belegsortierung nutzen inzwischen KI-Werkzeuge zur Texterkennung. Auch diese zählen.
- Die Rolle entscheidet über die Pflichten: Der AI Act unterscheidet zwischen Anbietern, Betreibern, Importeuren und Händlern. Die meisten KMU sind Betreiber (Deployer) und haben damit reduzierte, aber reale Pflichten. Ohne Inventar lässt sich diese Rolle je System gar nicht bestimmen.
- KMU-Erleichterungen setzen Wissen voraus: Der AI Act sieht für kleinere Unternehmen vereinfachte Anforderungen vor – doch um sie zu nutzen, muss man erst wissen, welche Systeme man betreibt und wie sie einzustufen sind.
Was in ein KI-Inventar gehört
Ein brauchbares Inventar ist mehr als eine Namensliste. Pro erfasstem KI-System sollten mindestens die folgenden Angaben festgehalten werden. Die Tabelle zeigt die Kernfelder („Must-Haves“) mit einem kurzen exemplarischen Praxis-Beispiel:
| Feld | Was erfasst wird | Beispiel |
|---|---|---|
| Bezeichnung / System | Name des Tools oder der KI-Funktion | Microsoft 365 Copilot |
| Anbieter | Hersteller bzw. Vertragspartner | Microsoft Ireland |
| Zweck / Einsatzgebiet | Wofür wird das System genutzt? | Texterstellung, Meeting-Zusammenfassungen |
| Abteilung / Verantwortlicher | Wer nutzt es, wer ist zuständig? | Marketing / Teamleitung |
| Datenkategorien | Welche (ggf. personenbezogenen) Daten fließen ein? | Interne Dokumente, Kundennamen |
| Rolle nach AI Act | Anbieter, Betreiber, Importeur oder Händler? | Betreiber (Deployer) |
| Risikoklasse | Minimal, begrenzt, hoch oder inakzeptabel? | Begrenztes Risiko (Transparenzpflicht) |
| Vertrag / Datenschutz | AVV vorhanden? Datenfluss in Drittländer? | AVV abgeschlossen, EU-Datenresidenz |
| Status / letzte Prüfung | Aktiv, in Prüfung, abgelöst; Datum | Aktiv, geprüft 06/2026 |
Die beiden Felder Rolle und Risikoklasse sind das Herzstück: Aus ihnen leiten sich sämtliche weiteren Pflichten ab. Sie lassen sich aber erst sinnvoll ausfüllen, wenn die Grunddaten stehen – deshalb ist die Reihenfolge wichtig.
KI-Inventar erstellen in vier Schritten
Ein KI-Inventar erstellen Sie nicht mit einem Klick, aber der Aufbau des KI-Inventars muss nicht kompliziert sein. Für die meisten KMU reicht zu Beginn eine strukturierte Tabelle (Excel, CSV oder ein einfaches Tool). Entscheidend ist das systematische Vorgehen: Bestandsaufnahme, Rolle und Kontext bestimmen, Risikoklassifizierung durchführen, Maßnahmen ableiten.
Schritt 1: Bestandsaufnahme (Discovery)
Erfassen Sie alle KI-Systeme – und suchen Sie aktiv nach den versteckten „Schattensystemen“. Gehen Sie dazu Abteilung für Abteilung vor und prüfen Sie sowohl offensichtliche KI-Tools als auch KI-Funktionen in bestehender Standardsoftware sowie die echte, reale Nutzung Ihrer Mitarbeiter. Ein kurzer Fragebogen an die Teamleitungen („Welche digitalen Werkzeuge nutzt ihr, die Texte, Bilder, Vorschläge oder Auswertungen automatisch erzeugen?“) fördert erfahrungsgemäß mehr zutage als eine reine IT-Abfrage.
Schritt 2: Rolle und Kontext bestimmen
Klären Sie für jedes System Ihre Rolle nach dem AI Act. In den allermeisten Fällen sind KMU Betreiber – sie setzen fremde KI ein, entwickeln sie aber nicht selbst. Wer jedoch ein zugekauftes System wesentlich verändert oder unter eigenem Namen weitervertreibt, kann zum Anbieter mit deutlich höheren Pflichten werden. Das trifft insbesondere auf Software-Anbieter oder SaaS-Startups zu.
Schritt 3: Risikoklassifizierung
Ordnen Sie jedes System einer der vier Risikoklassen zu: minimal, begrenzt (Transparenzpflicht), hoch oder inakzeptabel (verboten). Prüfen Sie insbesondere, ob ein Anwendungsfall unter die Hochrisiko-Bereiche des Anhang III fällt (etwa Biometrie, Personalauswahl, Bonitätsprüfung). Wichtig: Auch das Ergebnis „nicht hochriskant“ sollte dokumentiert und begründet werden – der AI Act verlangt in bestimmten Fällen eine schriftliche Begründung, die idealerweise direkt notiert wird.
Schritt 4: Maßnahmen ableiten
Aus Rolle und Risikoklasse ergeben sich die konkreten To-dos: Transparenzhinweise ergänzen, AVV nachfordern, Schulungen ansetzen, Dokumentation aufbauen. Halten Sie diese Maßnahmen samt Verantwortlichkeit und Frist direkt im Inventar oder in einer verknüpften Maßnahmenliste fest.
KI-Inventar mit Software erstellen
Wer die Erfassung, Pflege und Überwachung seiner eingesetzten KI-Systeme vereinfachen und die Erinnerungen automatisieren möchte, kann auf maßgeschneiderte Software-Lösungen zur KI-Inventarisierung zurückgreifen. ElsenGRC hat eine spezielle KI-Inventarsoftware entwickelt, die neben Erfassung und Risikoeinstufung auch den rechtskonformen Export im Falle einer behördlichen Prüfung ermöglicht. Sprechen Sie uns gerne an!

Es existieren maßgeschneiderte Software-Lösungen für die Erstellung von KI-Inventarlisten. Unsere ElsenGRC App bietet eine komfortable Funktionen zum Erfassen und Pflegen der KI-Systeme.
KI-Inventar pflegen: Wenn aus Dokumentation ein Prozess wird
Der häufigste Fehler ist, das KI-Inventar einmal zu erstellen und dann im Laufwerks-Nirvana der internen Unternehmens-Cloud verschwinden zu lassen. Ein Inventar ist nur so viel wert wie seine Aktualität – und die KI-Landschaft eines Unternehmens verändert sich schnell. Damit aus dem Dokument ein lebendiger Prozess wird, haben sich drei Routinen bewährt:
- Feste Review-Zyklen: Legen Sie einen regelmäßigen Turnus fest (etwa quartalsweise), in dem das Inventar auf neue Systeme, geänderte Nutzung und ausgelaufene Tools geprüft wird.
- Inventar in den Beschaffungsprozess einbauen: Jedes neue Tool mit KI-Funktion wird vor der Einführung ins Inventar aufgenommen und klassifiziert. So entsteht Shadow AI gar nicht erst und die Geschäftsleitung kann auch wieder ruhig schlafen.
- Klare Verantwortlichkeit: Benennen Sie eine Person (KI-Beauftragter oder Compliance-Owner), die das Inventar führt. Ohne festen Verantwortlichen verwaist jedes Verzeichnis.
Wer diese Routinen mit der ohnehin fälligen KI-Kompetenzschulung und der DSGVO-Dokumentation verzahnt, spart Doppelarbeit – denn viele Felder (Anbieter, Datenkategorien, AVV-Status) überschneiden sich mit dem Verarbeitungsverzeichnis und können teilweise nahtlos übernommen werden.
Häufige Fehler beim KI-Inventar
- Nur die „offensichtliche“ KI erfassen: ChatGPT wird notiert, der KI-Filter im Bewerbertool übersehen. Gerade die eingebettete KI in Standardsoftware ist der blinde Fleck. Hier macht sich genaues Hinsehen bezahlt!
- Die Risikoklassifizierung raten statt prüfen: „Wird schon minimal sein“ ist keine Bewertung. Anhang III gehört konkret durchgesehen – und das Ergebnis dokumentiert.
- Das Inventar von der Realität entkoppeln: Ein Verzeichnis, das nach der Ersterstellung nie wieder angefasst wird, ist im Ernstfall wertlos und sogar irreführend.
- Datenschutz und AI Act getrennt behandeln: Beide hängen eng zusammen. Wer AVV-Status und Datenkategorien nicht miterfasst, muss später alles doppelt aufrollen.
Checkliste: KI-Inventar anlegen und pflegen
Kompakt zum Abhaken, Ausdrucken und Aufhängen – die zentralen Schritte für ein prüffestes KI-Inventar:
- Alle KI-Systeme abteilungsweise erfasst – inklusive eingebetteter KI in Standardsoftware
- Shadow AI aktiv aufgespürt (Team-Abfrage statt reiner IT-Sicht)
- Pro System die Kernfelder ausgefüllt (Anbieter, Zweck, Verantwortlicher, Datenkategorien)
- Rolle nach AI Act bestimmt (meist Betreiber/Deployer)
- Risikoklasse je System zugeordnet und die Bewertung dokumentiert
- Anhang-III-Prüfung durchgeführt (Hochrisiko-Bereiche gezielt geprüft)
- AVV-Status und Datenfluss je System vermerkt (Verzahnung mit DSGVO)
- Maßnahmen mit Verantwortlichkeit und Frist abgeleitet
- Fester Review-Turnus etabliert (z.B. quartalsweise)
- Verantwortliche Person für die Pflege benannt
- Inventar in den Beschaffungsprozess integriert (neue Tools vorab erfassen)
Die Checkliste gibt es auf Wunsch auch als PDF-Version zum Download:
Natürlich gibt es unsere Vorlage zur KI-Inventarliste auch als kostenloses Muster im EXCEL-Format zum Download:
Wie Elsen GRC Sie unterstützt
Ein KI-Inventar ist der Einstieg in die AI-Act-Compliance – und selten der Endpunkt. Elsen GRC begleitet KMU auf dem gesamten Weg:
- AI Act Readiness Scan: Wir erstellen gemeinsam Ihr KI-Inventar, nehmen die Risikoklassifizierung vor und liefern eine Roadmap mit Blick auf die relevanten Fristen – so können Sie Ihr KI-Inventar erstellen lassen, statt es allein zu stemmen.
- KI-Kompetenzschulung nach Art. 4 EU AI Act: Erfüllt die gesetzliche Schulungspflicht – inklusive Mitarbeiter-Zertifikat, Schulungsregister und KI-Inventar-Vorlage.
- KI-Governance-Beratung: Vollständiges Governance-Framework mit Policies, Rollen und Freigabeprozessen – damit das Inventar dauerhaft gepflegt bleibt.
- KI-Inventar Software: Mit unserem Software-Angebot rund um die KI-Inventarisierung und Risikoeinstufung ermöglichen wir Ihnen die digitalisierte und automatisierte Erfassung und Überwachung Ihrer KI-Systeme.
So wird aus einer einmaligen Bestandsaufnahme ein gesteuerter, prüffester Bestandteil Ihrer GRC-Struktur.
Die häufigsten Fragen zum KI-Inventar (FAQ)
Ist ein KI-Inventar gesetzlich vorgeschrieben?
Der AI Act nennt kein „KI-Inventar“ als wörtliche Pflicht, setzt es aber faktisch voraus: Ohne vollständige Bestandsaufnahme lassen sich Risikoklassifizierung, Transparenz- und Dokumentationspflichten nicht rechtssicher erfüllen. Wer die Vorgaben erfüllen will, muss daher praktisch ein KI-Inventar erstellen – an einem strukturierten Verzeichnis führt kein Weg vorbei. Wer sich nicht mit Buntstiften und Karo-Papier bewaffnen will, sollte sich daher auch mit entsprechender Software für KI-Inventarisierung auseinandersetzen.
Zählt ChatGPT im Unternehmen als KI-System fürs Inventar?
Ja. Jedes eingesetzte KI-Tool gehört ins Inventar – auch allgemeine Assistenten wie ChatGPT, Claude oder Copilot sowie KI-Funktionen, die in vorhandener Software stecken. Unabhängig von der Dokumentation sollten Unternehmen aber darauf achten, dass Sie Claude sicher nutzen oder ChatGPT sicher nutzen.
Womit sollte man ein KI-Inventar erstellen – reicht Excel?
Für den Einstieg und kleinere Unternehmen ja: Sie können Ihr KI-Inventar mit einer Excel-Tabelle erstellen. Wichtig sind Struktur, Vollständigkeit und regelmäßige Pflege, nicht das Werkzeug. Mit wachsender Systemzahl kann später ein dediziertes Tool wie eine KI-Inventarsoftware sinnvoll werden.
Wer sollte das Inventar führen?
Eine klar benannte Person – etwa ein KI-Beauftragter oder Compliance-Owner – idealerweise in Abstimmung mit dem Datenschutzbeauftragten, da sich die Verzeichnisse inhaltlich stark überschneiden.
Wie oft muss das Inventar aktualisiert werden?
Ein fester Review-Turnus (häufig quartalsweise) plus anlassbezogene Updates bei jeder neuen KI-Einführung. Entscheidend ist, dass das Inventar den tatsächlichen Ist-Zustand abbildet.
Verwandte Themen
- EU AI Act: Definition, Bedeutung & Pflichten
- KI-Governance: Definition, Bedeutung & GRC-Relevanz
- Shadow AI: Definition, Risiken & Maßnahmen
- Risikoklassifizierung nach AI Act: Die vier Risikoklassen
Quellen
- EU-Kommission: Regulatory framework on AI
- EU AI Act: Implementation Timeline
- EU AI Act, Anhang III – Hochrisiko-KI-Systeme
Bild: Titelbild © Adrien Olichon auf Unsplash



