E
in KI-Register klingt zunächst wie ein Verwaltungsartefakt: eine Liste, ein Tool, ein paar Felder, fertig. Genau so werden viele Register auch gebaut – und genau deshalb funktionieren sie später weder im Audit noch im Betrieb. Denn ein Register, das nur „Daten sammelt“, wird schnell veraltet, erzeugt Diskussionen und wird umgangen. Ein Register, das dagegen Audit und Betrieb bedient, ist etwas anderes: Es ist die zentrale Steuerungsspur für Verantwortlichkeiten, Klassifizierung, Änderungen und Nachweise. Und es ist vor allem so gestaltet, dass es im Alltag genutzt wird, nicht nur im Prüfungsfall.
Der EU AI Act macht diese Doppelrolle wichtig, weil sich die Nachweiserwartung nicht auf „wir haben uns Gedanken gemacht“ beschränkt. Es geht um nachvollziehbare Entscheidungen: warum eine Anwendung so eingestuft wurde, welche Anforderungen daraus folgen, wie sie umgesetzt werden, wie Änderungen erkannt werden und wie man im Ereignisfall reagieren kann. Wenn Ihr Register diese Kette nicht abbildet, müssen Sie sie in PowerPoints, E-Mails und Einzeldokumenten nachbauen – und genau das ist der Moment, in dem das Thema kippt: zu viel Aufwand, zu wenig Klarheit.
Ein guter Ausgangspunkt ist deshalb eine einfache Leitfrage: Welche Fragen muss das Register in 60 Sekunden beantworten können? Nicht im Idealfall, sondern im Alltag. Typisch sind das Fragen wie: Welche KI-Anwendungen haben wir überhaupt? Wer ist verantwortlich? Welche davon beeinflussen Entscheidungen oder kritische Prozesse? Welche Risikoklasse gilt – und warum? Welche externen Anbieter stecken drin? Was hat sich zuletzt geändert? Wo liegen die wichtigsten Nachweise? Und: Was ist der Plan, wenn die Anwendung falsch arbeitet oder ausfällt?
Wenn Ihr Register diese Fragen beantwortet, ist es automatisch auditfähig – weil Sie nicht erst suchen müssen. Und es ist automatisch betriebsfähig – weil Verantwortlichkeiten und Abläufe klar werden. Der Fehler vieler Register ist, dass sie stattdessen versuchen, „alles“ zu dokumentieren: Modelltyp, Trainingsdetails, technische Parameter. Das kann in einzelnen Fällen relevant sein, ist aber selten der Kern dessen, was im Audit und im Betrieb zählt. Die Kunst ist nicht, viele Felder zu haben, sondern die richtigen Felder, die Entscheidungen und Betrieb tragen.
Warum Register so oft scheitern (und was das im Alltag kostet)
Register scheitern typischerweise nicht daran, dass sie am Tag 1 falsch aussehen. Sie scheitern am Tag 90, wenn die Realität sie überholt hat. Neue Use Cases kommen hinzu, Fachbereiche aktivieren neue Features, Anbieter ändern Funktionen, Modelle werden aktualisiert, Datenquellen wandern, Nutzergruppen wachsen. Wenn das Register keinen Mechanismus hat, diese Veränderungen einzufangen, wird es zum Museum: interessant, aber nicht mehr wahr. Und ein Register, das nicht wahr ist, ist gefährlicher als gar keins, weil es falsche Sicherheit erzeugt.
Im Audit kostet das Zeit und Vertrauen. Im Betrieb kostet es noch mehr: Diskussionen darüber, ob eine Anwendung „im Register steht“, ob sie klassifiziert ist, ob man sie stoppen darf, wer entscheiden muss, ob ein Change „wesentlich“ ist und ob neue Nachweise nötig sind. Je mehr KI-Nutzung wächst, desto schneller eskalieren diese Reibungen. Genau deshalb muss ein Register so gebaut sein, dass es nicht gegen Wachstum verliert.
Das Prinzip, das funktioniert: Register als „Entscheidungsspur“
Ein KI-Register, das Audit und Betrieb gleichzeitig bedient, ist keine Datenbank über KI. Es ist eine Datenbank über Entscheidungen. Konkret heißt das: Jede Anwendung hat eine nachvollziehbare Einordnung (Kontext, Wirkung, Risikostufe), eine klare Verantwortlichkeit, eine Freigabe- und Änderungslogik und eine Evidenzspur. Das Register hält nicht jeden technischen Detailwert, aber es hält die Punkte, die im Zweifel erklären, warum Sie so handeln, wie Sie handeln.
Wenn Sie diese Idee ernst nehmen, verändert sich automatisch, welche Felder Sie priorisieren. Statt „Welches Modell genau?“ wird wichtiger: „Wofür wird es genutzt, und was passiert, wenn es irrt?“ Statt „Welche KI-Technik?“ wird wichtiger: „Welche Abhängigkeiten haben wir, intern und extern?“ Statt „Wer nutzt es?“ wird wichtiger: „Wer trägt Verantwortung, wer entscheidet bei Konflikten?“
Die Felder, die in der Praxis wirklich tragen
Ein praxistaugliches Register muss nicht groß sein. Viele Organisationen kommen mit einem Kernsatz an Feldern aus, der sich später bei Bedarf erweitern lässt. Wichtig ist, dass dieser Kern in der Sprache des Betriebs geschrieben ist. Ein Register ist dann gut, wenn Fachbereich, IT, Risk und Revision es gleichermaßen verstehen.
- Anwendung & Zweck: Name und ein Satz, was die KI im Prozess macht.
- Owner: fachlicher Owner und technischer Owner (wer verantwortet Nutzen vs. Betrieb).
- Einsatzkontext: betroffene Prozesse, Nutzergruppen, ob Entscheidungen beeinflusst werden.
- Datenblick: grobe Datenarten (sensibel/ personenbezogen/ geschäftskritisch), Quellen (intern/extern).
- Abhängigkeiten: Anbieter/Service, Unterauftragnehmer soweit bekannt, kritische Schnittstellen.
- Risikostufe + Begründung: nicht nur das Label, sondern der Grund in 3–5 Sätzen.
- Mindestkontrollen: welche Anforderungen gelten daraus abgeleitet (z. B. Testnachweis, Monitoring, Transparenzhinweis).
- Freigabe: wer hat die Nutzung freigegeben, wann, unter welchen Bedingungen.
- Änderungslogik: was gilt als „wesentliche Änderung“ und wann ist Re-Freigabe nötig.
- Evidenzlink: wo liegt die „Akte“ (Steckbrief, Tests, Betriebsanker, Entscheidungen).
Diese Liste ist bewusst knapp. Sie soll sicherstellen, dass Sie eine vollständige Steuerungsspur haben, ohne dass das Register zum Roman wird. Wenn Sie später für einzelne Anwendungen mehr Tiefe brauchen, können Sie das in der Akte hinterlegen – das Register bleibt die Schaltzentrale.
Der Unterschied zwischen Register und Akte
Ein häufiges Problem ist, dass Register zu viel enthalten sollen. Das macht sie schwer pflegbar. In der Praxis funktioniert eine klare Trennung sehr gut: Das Register enthält die Steuerungs- und Entscheidungsdaten, die Akte enthält die Details und Nachweise. Die Akte ist dann der Ort, an dem Dinge wie Testprotokolle, Monitoring-Definitionen, Incident-Regeln, Anbieterinformationen oder interne Freigaben liegen. Das Register verweist nur eindeutig darauf.
Der Vorteil ist enorm: Sie können das Register schlank halten und trotzdem auditfähig sein, weil Sie die Evidenz an einem festen Ort bündeln. Und Sie verhindern, dass Teams bei jeder kleinen Änderung am Modell gleich zehn Registerfelder anfassen müssen.
Was das Register „lebendig“ hält
Ein Register wird lebendig, wenn es einen Trigger gibt, der Aktualisierung erzwingt – ohne dass es zum Bürokratiemonster wird. In der Praxis ist die wichtigste Stellschraube die Definition von „wesentlichen Änderungen“. Wenn Sie diese Trigger sauber festlegen (z. B. neue Datenquelle, neuer Zweck, neue Nutzergruppe, neues Modell oder deutlich verändertes Verhalten, Integration in kritische Prozesse, neue Anbieterabhängigkeit), dann hat das Register eine natürliche Kopplung an Change- und Beschaffungsprozesse. Genau dann skaliert es.
Der zweite Hebel ist, dass das Register in realen Entscheidungen verwendet wird. Wenn Projekte, Einkauf und IT bei Freigaben oder bei Anbieterwechseln regelmäßig ins Register schauen müssen, wird es automatisch gepflegt. Wenn es nur „für Compliance“ existiert, verliert es.
Warum Prüfer Register lieben – wenn es richtig gebaut ist
In Prüfungen geht es selten darum, dass Sie „alle Details“ parat haben. Es geht darum, dass Sie zeigen können, dass Sie systematisch steuern. Ein gutes Register macht genau das sichtbar: Es zeigt, dass Sie wissen, was Sie haben, dass Sie Risiken begründet einordnen, dass Verantwortlichkeiten klar sind, dass Änderungen nicht unbemerkt passieren und dass Nachweise auffindbar sind. Genau deshalb ist ein Register, das Betrieb und Audit gleichzeitig bedient, nicht „Compliance-Last“, sondern ein Stabilitätsgewinn.
Wenn Sie am Ende eines Gesprächs nicht erklären müssen, warum das Register veraltet ist, sondern stattdessen innerhalb von Minuten zeigen können, welche Anwendung wie geführt wird und wo die Evidenz liegt, verändert sich die Dynamik sofort. Aus „Kontrolle“ wird „Vertrauen“. Und das ist in regulierten Kontexten ein echter Vorteil.