DE
HomeKI-Compliance › KI-Inventar

Inventarisierung · Klassifikation · Governance

Das KI-Inventar: Voraussetzung für alle weiteren Compliance-Maßnahmen

Bevor Risikoklassifikation, Betreiberpflichten oder ein KI-Managementsystem belastbar werden, muss eine Grundfrage beantwortet sein: Welche KI-Systeme setzen Sie tatsächlich ein?

Warum das KI-Inventar das Fundament ist

Jede weitere EU AI Act-Maßnahme setzt voraus, dass das Institut weiß, welche KI-Systeme es verwendet: Risikoklassifikation, Konformitätsbewertung, Fundamental Rights Impact Assessment, Vendor-Management, Schulungsplanung und laufende Überwachung.

Die entscheidende Frage lautet nicht nur: "Welche KI haben wir bewusst eingekauft?" Entscheidend ist: "Welche unserer Software-Systeme enthält KI-Komponenten im Sinne des EU AI Act, und wie werden diese im konkreten Fachprozess genutzt?"

Vier Herausforderungen einer strukturierten Bestandsaufnahme

Vendor-KI ist nicht als solche ausgewiesen

Software-Anbieter bezeichnen ML-Komponenten häufig als Advanced Analytics, Smart Features oder Copilot-Funktionen. Die regulatorische Klassifikation erfordert technisches Verständnis und Kenntnis der Abgrenzungskriterien.

Schatten-KI ist per Definition nicht inventarisiert

Consumer-KI-Tools und nicht genehmigte interne Tools erscheinen in keiner offiziellen IT-Liste. Ihre Erfassung erfordert technische Discovery und organisatorische Befragungen, bei gleichzeitiger Wahrung von DSGVO, Arbeitsrecht und Mitarbeiterrechten.

Abteilungen arbeiten isoliert

IT kennt Systeme, Einkauf kennt Verträge, Fachabteilungen kennen Nutzung, Compliance kennt Anforderungen. Keine einzelne Abteilung hat das Gesamtbild. Ein tragfähiges Inventar braucht einen koordinierten Aggregationsprozess.

Rollenklärung nach Art. 25 ist rechtlich komplex

Für jedes System muss geprüft werden, ob das Institut Anbieter oder Betreiber ist. Bei Modifikation, Branding oder Zweckänderung kann sich die Rollenlage ändern.

Was ein regulatorisch belastbares KI-Inventar enthält

  • Systemname, Version und Anbieter
  • Vertragsgrundlage, Systemverantwortung und Fachprozess
  • Funktionsbeschreibung und tatsächliche Nutzung
  • EU AI Act-Risikoklassifikation und Annex-III-Zuordnung
  • Rollenklärung nach Art. 25 und Art. 26
  • Status der Dokumentation und Anbieterunterlagen
  • CSRD-/ESRS-Relevanz bei Bias-, Diskriminierungs- oder Menschenrechtsrisiken
  • Oversight-Person, Eskalationspfad und Review-Zyklus

Dieses Inventar ist kein statisches Dokument. Es muss bei neuen Systemen, wesentlichen Updates und geänderter Nutzung aktualisiert werden. Es ist Grundlage für Reporting, Risk Committees und Aufsichtsgespräche.

Erfahrungswert aus der Praxis

Eine vollständige Erstbestandsaufnahme bei einem mittelgroßen österreichischen Finanzinstitut benötigt typischerweise mehrere Wochen. Ohne strukturierte Methodik werden vor allem Vendor-KI, Fachbereichsnutzung und HR-nahe Systeme leicht übersehen.

Strukturierte Erstbestandsaufnahme

Wir begleiten Sie von der ersten Bestandsaufnahme bis zur vollständigen KI-Governance-Struktur mit methodischem Vorgehen und Finanzmarktkenntnis.

Bestandsaufnahme anfragen

Quellen

Hinweis: Diese Seite dient der allgemeinen Information und stellt keine Rechtsberatung dar. Inhalte beziehen sich auf den Stand Mai 2026.