KI-Inventar erstellen: Schritt-für-Schritt für KMU
Kurz zusammengefasst: Das KI-Inventar ist die Grundlage jeder AI Act Compliance. Es dokumentiert, welche KI-Systeme Ihr Unternehmen einsetzt, wofür, und welche Risikoklasse sie haben. Die EU KI-Verordnung verlangt diese Übersicht implizit für alle Betreiber — explizit für Hochrisiko-Systeme [Art. 26 Abs. 6 KI-VO]. Dieses Dokument zeigt, wie Sie ein KI-Inventar in weniger als zwei Stunden aufbauen. Frist: 2. August 2026. Bußgelder bis 35 Millionen Euro bei Nicht-Einhaltung.
Was ist ein KI-Inventar und warum brauchen Sie es?
Ein KI-Inventar (auch KI-Register oder KI-Verzeichnis genannt) ist eine strukturierte Liste aller KI-Systeme, die Ihr Unternehmen einsetzt oder betreibt. Es ist das Herzstück Ihrer AI Act Compliance — ohne es können Sie weder eine Risikoklassifizierung durchführen noch Schulungspflichten zuordnen noch im Prüfungsfall nachweisen, dass Sie Ihre Pflichten ernst nehmen.
Stellen Sie sich vor: Eine Aufsichtsbehörde fragt nach Ihren KI-Systemen. Können Sie in 10 Minuten eine vollständige Übersicht vorlegen? Wer die nutzt, wofür, und ob Sie die Risiken kennen? Wenn nicht — das KI-Inventar ist Ihre Antwort auf diese Frage.
KMU-Tipp: Das KI-Inventar muss kein aufwändiges System sein. Eine strukturierte Excel-Tabelle mit den richtigen Feldern reicht für die meisten Unternehmen bis 250 Mitarbeiter vollständig aus. Wichtig ist die Vollständigkeit und die regelmäßige Aktualisierung — mindestens einmal jährlich oder bei jedem neuen KI-Tool.
Was gehört in das KI-Inventar?
Die KI-Verordnung gibt keine exakte Vorlage vor — aber aus den Betreiberpflichten [Art. 26 KI-VO] und den Anforderungen an die Risikoklassifizierung lassen sich die notwendigen Felder ableiten. Ein praxistaugliches KI-Inventar für KMU enthält mindestens diese Angaben:
| Feld | Warum notwendig | Beispiel |
|---|---|---|
| Name des KI-Systems | Eindeutige Identifikation | ChatGPT Plus (OpenAI) |
| Anbieter / Hersteller | Vertragspartner, Datentransfer | OpenAI Inc., USA |
| Version / Modell | Nachvollziehbarkeit bei Updates | GPT-4o |
| Einsatzzweck im Unternehmen | Basis der Risikoklassifizierung | Textentwürfe, interne Recherche |
| Betroffene Abteilungen / Nutzer | Schulungspflicht zuordnen [Art. 4] | Marketing, Vertrieb (12 Personen) |
| Risikoklasse | Pflichten-Zuordnung | Minimal / Niedrig / Hochrisiko |
| Kundenkontakt Ja/Nein | Transparenzpflicht [Art. 50] | Nein (nur intern) |
| Verantwortliche Person | Ansprechpartner für Behörden | Max Müller, IT-Leitung |
| Letzte Überprüfung | Aktualitätsnachweis | April 2026 |
Für Hochrisiko-KI-Systeme (z.B. Recruiting-KI, Kreditscoring) kommen weitere Felder hinzu: technische Dokumentation, Konformitätserklärung und ggf. FRIA-Protokoll. Für Standard-KMU ohne Hochrisiko-Einsatz reicht die obige Grundstruktur.
Schritt-für-Schritt: KI-Inventar in 5 Schritten anlegen
Alle KI-Tools im Unternehmen identifizieren
Sammeln Sie erst alles, was im Unternehmen läuft — auch wenn Sie nicht sicher sind, ob es unter den AI Act fällt. Besser zu viel erfassen als zu wenig. Denken Sie an drei Kategorien:
- Eigenständige KI-Tools: ChatGPT, Copilot, Midjourney, Perplexity, Gemini
- KI in Software integriert: Copilot in Microsoft 365, KI-Funktionen in Ihrem ERP/CRM (SAP, Salesforce, Datev), KI-Spam-Filter, Chatbots auf der Website
- Branchenspezifische KI: Diagnose-Software (Medizin), Routenoptimierung (Logistik), Scoring-Systeme (Finanzen)
Tipp: Fragen Sie auch die Fachabteilungen direkt — IT-Leitung, HR, Marketing und Vertrieb nutzen oft eigene KI-Tools, die der Geschäftsführung nicht bekannt sind.
Einsatzzweck für jedes Tool dokumentieren
Der Einsatzzweck ist der wichtigste Eintrag — er bestimmt die Risikoklasse. Beschreiben Sie konkret, wofür das Tool genutzt wird, nicht nur welches Tool es ist. "ChatGPT für Marketing-Texte" ist ausreichend. "Recruiting-KI zur Vorauswahl von Bewerbern" löst dagegen sofort eine Hochrisiko-Prüfung aus.
Dokumentieren Sie auch, ob das Tool im Kundenkontakt eingesetzt wird — das ist relevant für die Transparenzpflicht nach Art. 50 KI-VO.
Risikoklasse bestimmen
Prüfen Sie für jedes Tool: Fällt der Einsatzzweck in Anhang III der KI-Verordnung? Dieser lischt Hochrisiko-Bereiche auf. Für die meisten KMU-Anwendungen lautet die Antwort: Nein — das Tool fällt in die Kategorie "minimales Risiko".
Hochrisiko-Bereiche die KMU häufig betreffen: Recruiting und Personalentscheidungen [Anhang III Nr. 4], Kreditwürdigkeitsprüfung [Anhang III Nr. 5], Biometrische Identifikation [Anhang III Nr. 1].
Tragen Sie die Risikoklasse ins Inventar ein und notieren Sie kurz die Begründung. Das zeigt der Behörde, dass Sie aktiv geprüft haben — auch wenn das Ergebnis "kein Hochrisiko" ist.
Schulungspflicht zuordnen
Art. 4 der KI-Verordnung verlangt, dass alle Mitarbeiter die KI einsetzen über ausreichende KI-Kompetenz verfügen. Tragen Sie ins Inventar ein, welche Abteilungen oder Personen das jeweilige Tool nutzen, wann die Schulung stattgefunden hat und wer sie durchgeführt hat. Diese Dokumentation gilt bereits seit 2. Februar 2025 — nicht erst ab August 2026. [Art. 4, Art. 113 Abs. 1 KI-VO]
Aktualisierungs-Prozess festlegen
Das KI-Inventar ist kein einmaliges Dokument. KI-Tools ändern sich schnell — neue werden eingeführt, alte abgelöst, Einsatzzwecke ausgeweitet. Legen Sie fest: Wer ist verantwortlich? Wie oft wird geprüft? Wann muss ein neuer Eintrag angelegt werden?
Empfehlung: Vierteljährliche Überprüfung, und immer dann wenn ein neues KI-Tool im Unternehmen eingeführt wird. Die verantwortliche Person sollte namentlich benannt sein.
Praxisbeispiel: KI-Inventar eines Steuerberatungsbüros
Ein Steuerberatungsbüro mit 18 Mitarbeitern hat folgendes KI-Inventar aufgebaut — als Vorlage für ähnliche Unternehmen:
| KI-System | Einsatzzweck | Nutzer | Risikoklasse | Kundenkontakt |
|---|---|---|---|---|
| ChatGPT Plus | Mandantenschreiben, interne Recherche | Alle Berater (12) | Minimal | Nein |
| DATEV AI-Assistent | Buchungsvorschläge, Belegzuordnung | Buchhaltungsteam (5) | Minimal | Nein |
| Microsoft Copilot (M365) | E-Mail-Zusammenfassungen, Protokolle | Alle Mitarbeiter (18) | Minimal | Nein |
| KI-Chatbot (Website) | Erstanfragen qualifizieren | Automatisch | Art. 50 | Ja → Hinweis ergänzt |
Aufwand für dieses Inventar: Ein halber Nachmittag für die Ersterfassung. Jetzt passt es eine verantwortliche Person einmal im Quartal an. Die Schulungsdokumentation für alle 18 Mitarbeiter liegt bei: zwei Stunden Online-Einweisung plus schriftliche Bestätigung — erledigt an einem einzigen Nachmittag.
Das Ergebnis: Das Büro kann einer Behörde vollständige AI Act Compliance nachweisen. Gesamtaufwand: unter 4 Stunden. Kosten für externe Beratung: null.
Häufige Fehler beim KI-Inventar
- Nur "offizielle" Tools erfassen: Mitarbeiter nutzen oft eigenverantwortlich KI-Tools, die die IT nicht kennt. Fragen Sie aktiv nach — besonders in Marketing, Vertrieb und HR.
- Einsatzzweck zu vage: "ChatGPT für die Arbeit" reicht nicht. Beschreiben Sie den konkreten Prozess — das ist die Basis der Risikoklassifizierung.
- Kein Aktualisierungs-Prozess: Ein Inventar das sechs Monate alt ist, bringt im Prüffall wenig. Benennen Sie einen Verantwortlichen und einen festen Turnus.
- Hochrisiko-Prüfung übersprungen: Es reicht nicht zu sagen "wir haben kein Hochrisiko". Sie müssen dokumentieren, dass Sie geprüft haben — mit Begründung.
August-Deadline: Ab dem 2. August 2026 gilt die KI-Verordnung vollständig für Betreiber. Wer bis dahin kein KI-Inventar hat und keine Schulungsdokumentation vorweisen kann, riskiert Bußgelder bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes für Betreiber-Verstöße. [Art. 99 KI-VO]
Was kostet die Umsetzung?
Selbst erarbeiten ist möglich — aber braucht Zeit und eine Vorlage die nichts Wichtiges vergisst. Die Alternativen:
| Weg | Kosten | Zeitaufwand | Risiko |
|---|---|---|---|
| Externe Compliance-Beratung | 2.000–8.000 € | Mehrere Wochen | Niedrig |
| Selbst ohne Vorlage | 0 € | 20–40 Stunden | Mittel (Vollständigkeit?) |
| AI Act Compliance Kit | ab 149 € | 2–4 Stunden | Niedrig |
Das AI Act Compliance Kit enthält eine fertige KI-Inventar-Vorlage (Excel) mit allen notwendigen Feldern, eine Risikoklassifizierungs-Checkliste, eine Schulungsdokumentation und den vollständigen 90-Tage-Umsetzungsplan. Alles aufeinander abgestimmt — ausfüllen, fertig, rechtssicher.
KI-Inventar-Vorlage sofort herunterladen — ab 149 €
Fertige Excel-Vorlage für Ihr KI-Inventar, Risikoklassifizierungstool und Schulungsdokumentation. 11 Vorlagen, Einmalkauf. Kein Abo. Jetzt — 91 Tage vor der August-Deadline.
Compliance Kit ansehen – ab 149 €Häufige Fragen zum KI-Inventar
Muss das KI-Inventar bei einer Behörde eingereicht werden?
Nein — das KI-Inventar ist ein internes Dokument. Es muss auf Anfrage einer Aufsichtsbehörde vorgelegt werden können, wird aber nicht regelmäßig eingereicht. Ausnahme: Hochrisiko-KI-Systeme müssen in einer EU-weiten Datenbank registriert werden [Art. 71 KI-VO] — das betrifft die meisten KMU nicht.
Wie detailliert muss die Beschreibung des Einsatzzwecks sein?
Detailliert genug, dass ein Außenstehender versteht, wie das System genutzt wird und warum Sie keine Hochrisiko-Einstufung vorgenommen haben. Zwei bis drei Sätze reichen in der Regel. Bei Hochrisiko-Systemen ist deutlich mehr Dokumentation erforderlich.
Was ist wenn unser Anbieter keine AI Act-Dokumentation liefert?
Fragen Sie aktiv nach. Anbieter von KI-Systemen sind nach Art. 13 und Art. 16 KI-VO verpflichtet, Betreibern die notwendigen Informationen zur Verfügung zu stellen. Reagiert ein Anbieter nicht, ist das ein Warnsignal — und ein Grund, die Nutzung des Tools zu überdenken.
Braucht ein Unternehmen mit nur einem KI-Tool auch ein Inventar?
Ja. Der Umfang spielt keine Rolle. Auch wenn Sie nur ChatGPT nutzen, müssen Sie den Einsatzzweck dokumentiert haben und nachweisen können, dass Sie die Schulungspflicht erfüllt haben. Ein KI-Inventar mit einem Eintrag ist rechtlich genauso wirksam wie eines mit zwanzig.
Weiterführende Artikel:
AI Act Pflichten für KMU 2026: Der vollständige Überblick
Art. 4 KI-Kompetenz: Schulungspflicht konkret
ChatGPT im Unternehmen: Was der AI Act vorschreibt