KI-Register (Verzeichnis eingesetzter KI-Systeme)
Vorlage für ein KI-Register (Verzeichnis) aller in einer Behörde eingesetzten KI-Anwendungen. Das Register schafft Transparenz und bündelt die wichtigsten Angaben für rechtskonformen und sicheren KI-Einsatz (u. a. EU-KI-Gesetz, DSGVO, ISMS-Standards). Es kann als Tabelle geführt und regelmäßig aktualisiert werden.
Verzeichnis aller KI-Systeme/KI-Funktionen, die in der Organisation genutzt oder betrieben werden. Ziel ist, zentrale Informationen wie Zweck, Verantwortlichkeiten, Datenarten, Risikokategorie sowie Maßnahmen zu Datenschutz und IT-Sicherheit nachvollziehbar zu dokumentieren.
Beispieltabelle
| Nr. | Bezeichnung des KI-Systems | Verantwortliche Person/Abteilung | Zweck und Einsatzbereich | Risikokategorie (EU-KI-Gesetz) | Hersteller/Anbieter | Technische Beschreibung | Verwendete Datenarten | Personenbezug (ja/nein) | DSFA erforderlich? (ja/nein/prüfen) | EU-Datenbank-Registrierung (Art. 49/71) (ja/nein/prüfen) | Schnittstellen | Maßnahmen Transparenz/Nachvollziehbarkeit | Maßnahmen IT-Sicherheit | Status (Pilot/Betrieb/Stillgelegt) | Letzte Überprüfung |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | AnyGuard Public | Fachbereich X / IT Y | Assistenz bei Dokumenten, Wissensarbeit, Protokollen (Verwaltung) | i. d. R. begrenzt/minimal; bei Entscheidungs-/Bewertungsnutzung prüfen | AnyGuard | KI-Assistenz/Plattform, i. d. R. SaaS | Texte/Dokumente (kontextabhängig) | prüfen | prüfen | prüfen | z. B. DMS/Office | Nutzerhinweise, Protokollierung/Audit-Trail | Zugriffskontrolle, Verschlüsselung (gem. Anbieter/IT) | Pilot | 09.02.2026 |
Hinweis zum Beispiel: Funktionsbeschreibung/Positionierung „KI-Assistenz für Behörden“ und Aussagen zu datenschutzkonformer Verarbeitung sind Herstellerangaben.
Erläuterungen zu den Spalten (kurz)
Nr.: Eindeutige laufende Nummer.
Bezeichnung: Produkt-/Systemname (inkl. Modul/Funktion).
Verantwortlich: Fachliche und technische Zuständigkeit.
Zweck/Einsatzbereich: Konkreter Prozess und Nutzungskontext.
Risikokategorie: Einordnung nach EU-KI-Gesetz (z. B. minimal, begrenzt/Transparenzpflichten, hochriskant, verboten).
Technische Beschreibung: Kurz, z. B. Modelltyp, Cloud/On-Prem.
Datenarten/Personenbezug: Welche Daten verarbeitet werden und ob personenbezogen.
DSFA: Datenschutz-Folgenabschätzung nach DSGVO (ja/nein/prüfen).
EU-Datenbank-Registrierung: Relevanz für Hochrisiko-Systeme (siehe Rechtsbezug).
Schnittstellen: Anbindungen/Datenflüsse.
Transparenz/Nachvollziehbarkeit: z. B. Nutzerinfo, Protokollierung, Dokumentation.
IT-Sicherheit: z. B. Zugriff, Verschlüsselung, Monitoring.
Status/Letzte Überprüfung: Lebenszyklus und Aktualität.
Rechtsbezug (EU-KI-Gesetz) – warum ein Register besonders für Behörden sinnvoll ist
Ein internes KI-Register ist nicht als allgemeine Pflicht „für alle KI“ formuliert. Für öffentliche Stellen entstehen aber konkrete Registrierungs- und Nachweispflichten, die sich ohne zentrales Verzeichnis kaum sauber steuern lassen:
EU-Datenbank (Registrierung/Nutzungseintrag): Öffentliche Stellen müssen bei bestimmten Hochrisiko-KI-Systemen (Anhang III) sich und die Nutzung in der EU-Datenbank registrieren (Art. 49 i. V. m. Art. 71; Detailangaben in Anhang VIII).
Grundrechte-Folgenabschätzung (FRIA): Vor Erstnutzung bestimmter Hochrisiko-Systeme ist eine Fundamental Rights Impact Assessment durch öffentliche Stellen vorgesehen (Art. 27).
Transparenzpflichten: Für bestimmte Systeme (z. B. Interaktion mit KI, Kennzeichnung synthetischer Inhalte) gelten Transparenzpflichten (Art. 50).
Hinweis
Das KI-Register sollte bei Neueinführung, wesentlichen Änderungen (Zweck, Daten, Modell/Anbieter, Schnittstellen) und mindestens regelmäßig im Rahmen von Audits/Reviews aktualisiert werden.
Hinweis zur Richtigkeit Dieser Eintrag dient als Orientierungshilfe. KI ist ein komplexes und dynamisches Fachgebiet; kurze Beschreibungen können vereinfachen und sind nicht in jedem Fall vollständig. Je nach Einsatzbereich, technischer Entwicklung und Rechtslage können weitere Anforderungen oder Begriffe relevant werden. Ein Anspruch auf Vollständigkeit oder absolute Richtigkeit besteht nicht.
Quelle Dieser Eintrag basiert in Struktur und Grundgedanken auf dem Eintrag „KI-Register“ des ISMS-Ratgeber-Wikis. (wiki.isms-ratgeber.info)