KI-Inventar aufbauen: Vollständige Erfassung aller KI-Systeme

Die EU AI Act Definition (Art. 3 Abs. 1) umfasst maschinenbasierte Systeme, die für autonomes Betrieb ausgelegt sind und aus Eingaben Ausgaben wie Vorhersagen, Empfehlungen, Entscheidungen oder Inhalte erzeugen. Praktisch fallen darunter: Machine Learning-Modelle, neuronale Netze, regelbasierte Expertensysteme (mit Einschränkungen), Natural Language Processing (NLP), Computer Vision, Empfehlungssysteme, Scoring-Modelle, generative KI. Nicht darunter fallen: klassische Softwarelogik ohne adaptive Komponenten, statistische Grundberechnungen, reine Datenbanksysteme.

In der Praxis werden folgende Systeme oft vergessen: HR-Software mit algorithmischer Kandidatenvorauswahl, CRM-Systeme mit Churn-Prediction oder Lead-Scoring, ERP-Systeme mit Nachfrageprognose, E-Mail-Filter und Spam-Erkennung, Fraud-Detection-Systeme, Chatbots und virtuelle Assistenten, automatisierte Preisgestaltung (Dynamic Pricing), Qualitätskontrollsysteme mit Bildverarbeitung, Kreditscoring und Bonitätsprüfung, Predictive Maintenance in der Produktion. Führen Sie Interviews mit allen Abteilungsleitern durch – IT allein kennt oft nicht alle eingesetzten KI-Systeme.

Ein EU AI Act-konformes KI-Inventar sollte mindestens enthalten: eindeutige System-ID und Name, Kurzbeschreibung und Hauptfunktion, Anbieter / Hersteller (intern oder extern), Versionsnummer und Updatezyklus, Einsatzbereich und betroffene Abteilungen, Anzahl betroffener Personen (Mitarbeitende, Kunden), Art der verarbeiteten Daten (personenbezogen? sensitiv?), vorläufige Risikoklasse (unakzeptabel / hoch / begrenzt / minimal), zuständiger Verantwortlicher, Datum der Ersterfassung und letzten Aktualisierung, Status (aktiv / geplant / eingestellt).

Empfohlenes Vorgehen: 1. Kickoff-Workshop mit IT, Legal, HR, Einkauf, Fachbereichen. 2. Fragebogen an alle Abteilungsleiter (automatisierte Entscheidungen? externe Softwaretools?). 3. Analyse der Software-Verträge und SaaS-Abonnements. 4. Review der IT-Systemlandschaft (ERP, CRM, HR, Marketing). 5. Konsolidierung und Bereinigung der Ergebnisse. 6. Erstbewertung und Priorisierung nach Risiko. 7. Freigabe durch Geschäftsführung. 8. Überführung in laufendes Inventar-Management.

Für kleinere Unternehmen reicht oft ein strukturiertes Excel/Google Sheets-Register. Für mittlere und große Unternehmen empfiehlt sich ein dediziertes GRC-Tool (Governance, Risk, Compliance) oder eine spezialisierte KI-Compliance-Software. ai-risk-check.com bietet eine automatisierte Erstbewertung, die als Grundlage für das Inventar dienen kann. Wichtig: Das Tool muss eine Versionsverwaltung ermöglichen und Änderungen nachvollziehbar machen.

Das KI-Inventar ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Etablieren Sie: einen Genehmigungsprozess für neue KI-Systeme (kein System ohne Inventareintrag), regelmäßige Überprüfung des Inventars (mindestens jährlich), automatische Benachrichtigung bei Systemänderungen oder Updates, klare Prozesse für die Außerbetriebnahme von KI-Systemen, Einbindung des Einkaufs (keine neuen KI-Software-Verträge ohne Inventarprüfung).