Linkedin

KI-Register als Compliance-Fundament

KI-Register als Compliance-Fundament

KI-Register als Compliance-Fundament

Das KI-Register als Compliance-Fundament

Sie haben Ihre KI-Systeme erfasst. Das Register steht. Und jetzt? Viele Unternehmen behandeln das KI-Inventar als Pflichtübung und legen es dann zur Seite. Das ist ein Fehler. Das Register ist kein Abhak-Punkt, sondern das Fundament für alle weiteren Compliance-Schritte. In diesem Artikel zeige ich, welchen praktischen Nutzen das Register hat und wie es den weiteren Weg durch den NADOVO Compliance Cycle bestimmt.

Was das Inventar liefert

Ein vollständiges KI-Inventar beantwortet drei Fragen, die Sie für jede weitere Phase brauchen.

Erstens: Was haben wir? Jedes KI-System mit Name, Anbieter, Deployment-Art und technischen Eckdaten. Ohne diese Basis wissen Sie nicht, worüber Sie überhaupt reden.

Zweitens: Wer ist verantwortlich? Die Rollenbestimmung als Provider oder Deployer entscheidet über Ihre Pflichten. Als Deployer gelten andere Anforderungen als für Provider. Die meisten KMUs sind Deployer, aber die Klarheit muss pro System dokumentiert sein.

Drittens: Wo wird es eingesetzt? Abteilung, Nutzerkreis und erste Hinweise auf den Anwendungszweck. Diese Information ist der Übergang zur nächsten Phase.

Vom Register zum Anwendungsfall

Das Inventar erfasst Assets. Aber der EU AI Act reguliert nicht Assets, sondern Anwendungsfälle. Derselbe Chatbot kann je nach Einsatz minimales oder hohes Risiko bedeuten.

In der DEFINE-Phase verbinden Sie jedes Asset mit seinem konkreten Anwendungsfall. Aus dem Asset wird ein KI-Prozess. Erst dieser Prozess lässt sich klassifizieren. Das KI-Register liefert die Grundlage: Sie können nur klassifizieren, was Sie kennen.

Ein Beispiel: Ihre Dokumentation zeigt Microsoft Copilot in drei Abteilungen. In der DEFINE-Phase wird daraus: Copilot für E-Mail-Zusammenfassungen im Vertrieb, Copilot für Vertragsanalyse in der Rechtsabteilung, Copilot für Bewerbungsscreening im HR. Ein Asset, drei Prozesse, möglicherweise drei verschiedene Risikoklassen.

Der Pfad hängt von der Risikoklasse ab

Hier zeigt sich der praktische Nutzen des NADOVO Compliance Cycle. Nicht jeder KI-Prozess muss denselben Weg gehen.

Hochrisiko-Prozesse nach Annex III durchlaufen den vollständigen Pfad: DISCOVER, DEFINE, ASSESS, IMPLEMENT. Die ASSESS-Phase umfasst systematische Risikobewertung, Mitigationsmaßnahmen, Dokumentation der menschlichen Aufsicht. Das ist Aufwand, aber notwendig.

Prozesse mit begrenztem oder minimalem Risiko können ASSESS überspringen. Nach der Klassifizierung in DEFINE geht es direkt zu IMPLEMENT. Dort setzen Sie die Transparenzpflichten um oder dokumentieren freiwillige Maßnahmen. Der Aufwand ist erheblich geringer.

Diese Differenzierung ist der Grund, warum eine saubere Erfassung in DISCOVER so wichtig ist. Ohne vollständige Erfassung fehlt Ihnen die Übersicht, welche Prozesse welchen Pfad nehmen. Sie riskieren, entweder zu viel Aufwand für unkritische Systeme zu betreiben oder kritische Systeme zu übersehen.

Praktisches Beispiel: Ein KMU mit 12 KI-Systemen

Ein mittelständisches Unternehmen hat nach der DISCOVER-Phase 12 KI-Systeme erfasst. In der DEFINE-Phase entstehen daraus 18 KI-Prozesse, weil einige Systeme mehrfach eingesetzt werden.

Die Klassifizierung ergibt: 2 Prozesse sind Hochrisiko (HR-Screening, Kreditwürdigkeitsprüfung), 4 Prozesse haben begrenztes Risiko (Chatbots mit Kundenkontakt), 12 Prozesse sind minimales Risiko (interne Produktivitätstools).

Der Compliance-Aufwand verteilt sich entsprechend: Für 2 Prozesse der vollständige Pfad mit ASSESS. Für 16 Prozesse der direkte Weg zu IMPLEMENT. Das ist beherrschbar. Ohne die Bestandsaufnahme wäre unklar gewesen, dass nur 2 von 18 Prozessen den vollen Aufwand brauchen.

MONITOR schließt den Kreis

Das KI-Register ist nicht statisch. In der MONITOR-Phase überwachen Sie laufende Prozesse und prüfen auf Veränderungen. Neue Systeme werden erfasst und durchlaufen den Cycle. Bestehende Systeme mit geändertem Anwendungszweck springen zurück zu DEFINE.

Die Bestandsaufnahme wird zum lebenden Dokument. Bei jährlichen Reassessments oder nach Incidents wissen Sie sofort, welche Prozesse betroffen sind und welchen Status sie haben. Ohne KI-Register fehlt diese Übersicht.

Der ROI einer guten Erfassung

Der Aufwand für ein sauberes KI-Register zahlt sich mehrfach aus.

Bei Audits oder Behördenanfragen haben Sie sofortige Auskunftsfähigkeit. Sie müssen nicht erst suchen, was Sie eigentlich haben.

Bei der Ressourcenplanung wissen Sie, wie viele Prozesse den aufwändigen Pfad brauchen und können Budget und Personal entsprechend einplanen.

Bei neuen KI-Einführungen haben Sie einen klaren Prozess. Das System wird erfasst, der Anwendungsfall definiert, die Risikoklasse bestimmt, der passende Pfad durchlaufen.

Bei Änderungen im Unternehmen, etwa wenn eine Abteilung ein bestehendes Tool für einen neuen Zweck nutzen will, können Sie schnell prüfen, ob sich die Risikoklasse ändert.

Ihr nächster Schritt

Wenn Sie bereits ein KI-Register haben: Prüfen Sie, ob die Rollenbestimmung für jedes System dokumentiert ist. Prüfen Sie, ob Sie die Anwendungsfälle kennen, nicht nur die Assets.

Wenn Sie noch kein KI-Register haben: Starten Sie mit der Erfassung. Fünf Systeme diese Woche. Erweitern Sie iterativ. Das Register muss nicht perfekt sein, um nützlich zu sein.

Das KI-Register ist der Startpunkt. Was Sie damit machen, entscheidet über Ihren Compliance-Erfolg.

Über den Autor

Jochen Stier ist AI Compliance Experte mit über 20 Jahren Erfahrung in Prozessmanagement und IT Service Management. Er unterstützt deutsche KMUs dabei, die Anforderungen des EU AI Act systematisch und pragmatisch umzusetzen. Sein 5-Phasen Framework NADOVO verbindet regulatorische Anforderungen mit praktischer Umsetzbarkeit, ohne Enterprise-Budgets oder komplexe Tools.

Weitere Blogartikel

© 2026 Jochen Stier / Contoro Solutions