KI-Register Pflicht nach EU AI Act

Inhalt in Kürze

• Ab August 2026 müssen Hochrisiko-KI-Systeme gemäß Artikel 49 des EU AI Act (Verordnung 2024/1689) in der EU-Datenbank registriert werden — Bußgelder bis 15 Mio. Euro bei Verstößen.
• Auch KMU sind betroffen: Die KI-Register-Pflicht gilt unabhängig von der Unternehmensgröße — entscheidend ist der Einsatzzweck der KI-Systeme, nicht die Technologie.
• KI steckt in mehr Tools als erwartet: CRM mit Lead-Scoring, HR-Software mit Bewerbungsfilter, automatisierte Buchhaltung — ohne systematische Bestandsaufnahme übersehen Sie registrierungspflichtige KI-Systeme.
• Das KI-Register verknüpft sich mit der DSGVO: Jedes KI-System, das personenbezogene Daten verarbeitet, braucht einen Eintrag im Verarbeitungsverzeichnis nach Artikel 30 DSGVO — Dokumentation aus einer Hand.

Was ist das KI-Register nach dem EU AI Act?

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von künstlicher Intelligenz. Ein zentrales Element ist die Registrierungspflicht für Hochrisiko-KI-Systeme und deren Registrierung vor dem Inverkehrbringen in einer EU-weiten Datenbank. Für Hamburger Unternehmen bedeutet das: Ab August 2026 müssen Sie wissen, welche KI-Systeme Sie einsetzen, wie diese eingestuft sind und welche Dokumentation erforderlich ist.

Das KI-Register ist dabei mehr als eine formale Pflicht. Es ist das zentrale Instrument, mit dem Sie als Unternehmen den Überblick über Ihre KI-Landschaft behalten und die Einhaltung der AI-Act-Anforderungen nachweisen.

Wer ist betroffen?

Die Registrierungspflicht gilt für:

• Anbieter von KI-Systemen, die diese in der EU auf den Markt bringen oder in Betrieb nehmen — insbesondere Anbieter von KI-Systemen mit Hochrisiko-Einstufung müssen eine Registrierung vor dem Inverkehrbringen durchführen
• Betreiber von Hochrisiko-KI-Systemen, die künstliche Intelligenz im Geschäftsbetrieb einsetzen
• Importeure und Händler von KI-Systemen

Für die meisten Hamburger Unternehmen ist die Rolle als Betreiber relevant. Sie kaufen oder lizenzieren KI-Systeme und setzen sie intern ein. Auch als Betreiber haben Sie Registrierungs- und Dokumentationspflichten. Der Einsatz von KI ohne ordnungsgemäße Einstufung und Dokumentation kann erhebliche Bußgelder nach sich ziehen.

Was ist Hochrisiko-KI? Risiko und Einstufung nach EU AI Act Anhang III

Der EU AI Act definiert Hochrisiko-KI-Systeme in Anhang III der Verordnung. Die wichtigsten Kategorien für Hamburger Unternehmen:

KI im Personalwesen

• Bewerbermanagementsysteme mit KI-gestützter Vorauswahl
• KI für Leistungsbewertungen und Beförderungsentscheidungen
• Automatisierte Arbeitszeiterfassung und Verhaltensanalyse
• KI-gestützte Kündigungsprognosen

KI in Finanzdienstleistungen

• Kreditwürdigkeitsprüfung und Scoring
• Versicherungsrisikobewertung
• Automatisierte Anlageentscheidungen
• Betrugserkennung (sofern Entscheidungen direkt wirken)

KI in kritischen Infrastrukturen

• Energieversorgung und Netzsteuerung
• Wasserversorgung
• Verkehrssteuerung (relevant für den Hamburger Hafen und die Logistikbranche)

KI in der Bildung

• Automatisierte Prüfungsbewertung
• KI-gestützte Zulassungsentscheidungen

Wichtig: Nicht jedes KI-Tool ist Hochrisiko. ChatGPT, Microsoft Copilot oder DeepL sind in der Regel keine Hochrisiko-Systeme – es sei denn, sie werden für Hochrisiko-Zwecke eingesetzt (z. B. automatisierte Personalentscheidungen mit ChatGPT). Die Einstufung hängt vom konkreten Einsatzzweck ab, nicht von der Technologie. Ein System, das zunächst als risikoarm eingestuft wurde, kann bei geändertem Einsatz von KI als Hochrisiko neu eingestuft werden.

Dokumentation gemäß Artikel des AI Acts: Was im KI-Register erfasst werden muss

Für jedes Hochrisiko-KI-System müssen Sie folgende Informationen gemäß den Artikeln der KI-Verordnung erfassen und pflegen:

Systemidentifikation

• Name und Version des KI-Systems
• Anbieter (Hersteller) mit Kontaktdaten
• Art des Systems (z. B. Machine Learning, regelbasiert, hybrid)
• Technische Spezifikationen und Schnittstellen

Einsatzbeschreibung

• Konkreter Einsatzzweck in Ihrem Unternehmen
• Betroffene Geschäftsprozesse
• Abteilungen, die das System nutzen
• Automatisierungsgrad (Entscheidungsunterstützung vs. vollautomatisierte Entscheidung)

Risikoklassifizierung

• Zuordnung zur Risikokategorie nach Anhang III und Einstufung des Systems
• Begründung der Einstufung als Hochrisiko-KI oder begrenztes Risiko
• Ergebnis der Conformity Assessment (Konformitätsbewertung)

Datenschutz und Daten

• Verarbeitete Datenkategorien (insbesondere personenbezogene Daten)
• Betroffene Personengruppen
• Datenquellen und -qualität
• Bezug zum Verarbeitungsverzeichnis nach Art. 30 DSGVO

Schutzmaßnahmen

• Technische Maßnahmen (Zugangskontrollen, Verschlüsselung, Monitoring)
• Organisatorische Maßnahmen (Schulungen, Verantwortlichkeiten, Prozesse)
• Menschliche Aufsicht (wer prüft KI-Entscheidungen?)
• Notfallprozess bei Fehlfunktionen

Verantwortlichkeiten

• Verantwortlicher Ansprechpartner im Unternehmen
• Einbindung des Datenschutzbeauftragten
• Berichtswege und Eskalation

Wie Sie ein KI-Inventar aufbauen

Der erste Schritt zum KI-Register ist eine vollständige Bestandsaufnahme aller KI-Systeme in Ihrem Unternehmen. Das klingt einfacher als es ist – KI steckt heute in vielen Anwendungen, ohne dass es auf den ersten Blick sichtbar ist.

Schritt 1: Abteilungen befragen

Befragen Sie systematisch alle Abteilungen: Welche Software wird eingesetzt? Welche davon nutzt KI-Funktionen? Denken Sie auch an:

• CRM-Systeme mit KI-gestützter Lead-Bewertung
• Marketing-Tools mit automatisierter Segmentierung
• HR-Software mit automatisierten Vorschlägen
• Buchhaltungssoftware mit automatischer Kategorisierung
• Chatbots im Kundenservice

Schritt 2: IT-Systeme analysieren

Ihre IT-Abteilung sollte alle lizenzierten SaaS-Dienste und On-Premise-Anwendungen prüfen. Viele Hersteller integrieren KI-Funktionen in bestehende Produkte – oft per Update, ohne dass der Einsatz bewusst entschieden wurde.

Schritt 3: Risikoklassifizierung durchführen

Für jedes identifizierte KI-System prüfen Sie anhand der Anhänge des AI Act, ob es sich um ein Hochrisiko-System handelt. Entscheidend ist der Einsatzzweck, nicht die Technologie selbst.

Schritt 4: Dokumentation anlegen

Für alle Hochrisiko-Systeme erstellen Sie die vollständige Dokumentation. Für Nicht-Hochrisiko-Systeme empfiehlt sich trotzdem eine Basisdokumentation – auch mit Blick auf die DSGVO.

Anhang III: Die Risikokategorien für KI-Systeme im Detail

Der EU AI Act definiert in Anhang III der Verordnung acht Bereiche, in denen KI-Systeme als Hochrisiko eingestuft werden. Für jede Kategorie gelten strenge Anforderungen an Dokumentation, Überwachung und menschliche Aufsicht. Die Einstufung eines KI-Systems als Hochrisiko hängt nicht von der verwendeten Technologie ab, sondern vom konkreten Einsatzzweck — ein KI-System, das im Kundensupport eingesetzt wird, hat ein anderes Risiko als dasselbe System bei Personalentscheidungen.

Gemäß Artikel 6 der KI-Verordnung müssen Anbieter und Betreiber für jedes als Hochrisiko eingestufte KI-System ein Risikomanagementsystem einrichten. Dieses System muss den gesamten Lebenszyklus des KI-Systems abdecken — vom Inverkehrbringen über den operativen Einsatz bis zur Außerbetriebnahme. Die Dokumentation muss sicherstellen, dass die Einhaltung aller Artikel der Verordnung nachgewiesen werden kann. Für KI-Systemen mit begrenztem Risiko gelten vor allem Transparenzpflichten: Nutzer müssen informiert werden, dass sie mit einem KI-System interagieren.

Der Zeitplan: Was bis August 2026 passieren muss

• Jetzt: Bestandsaufnahme starten, KI-Inventar erstellen
• Q2 2026: Risikoklassifizierung abschließen, Dokumentation vervollständigen
• Q3 2026: Registrierung in der EU-Datenbank durchführen
• Laufend: KI-Register aktuell halten, neue Systeme vor Einsatz bewerten

Die Erfahrung zeigt: Die Bestandsaufnahme und Risikoklassifizierung dauert länger als erwartet. Beginnen Sie frühzeitig.

Wie Hugo DSB Ihnen hilft — Einhaltung der KI-Verordnung sicherstellen

Die Pflege eines KI-Registers ist eine dauerhafte Aufgabe. Die Schulung der Mitarbeitenden im Umgang mit KI-Systemen ist gemäß Artikel 4 der KI-Verordnung Pflicht — wir übernehmen die Konzeption und Durchführung. Hugo DSB bietet Ihnen die Plattform und die persönliche Beratung durch Nils, um Ihr KI-Register aufzubauen und aktuell zu halten:

• Strukturierte Erfassung aller KI-Systeme
• Unterstützung bei der Risikoklassifizierung
• Verknüpfung mit dem Verarbeitungsverzeichnis (Art. 30 DSGVO)
• Laufende Überwachung und Erinnerungen bei Aktualisierungsbedarf
• Vorbereitung auf die EU-Datenbankregistrierung

Wann tritt der EU-KI-Act in Kraft? Die Fristen im Überblick

Der EU AI Act ist seit dem 1. August 2024 in Kraft getreten. Die Pflichten gelten gestaffelt:

• Seit Februar 2025: Verbotene KI-Praktiken gemäß Artikel 5 (Social Scoring, manipulative KI, Emotionserkennung am Arbeitsplatz)
• Seit August 2025: Transparenzpflichten für KI-Systeme mit allgemeinem Verwendungszweck und KI mit systemischem Risiko (General Purpose AI)
• Ab August 2026: Vollständige Anforderungen für Hochrisiko-KI — inklusive Registrierungspflicht gemäß Artikel 49, Konformitätsbewertung und Pflicht zur menschlichen Aufsicht
• Ab dem 2. August 2027: Pflichten für Hochrisiko-KI gemäß Artikel 50, die in Anhang I gelistet sind

Die KI-Verordnung gilt unmittelbar in allen EU-Mitgliedstaaten — eine nationale Umsetzung ist nicht erforderlich.

Welche Pflichten haben Unternehmen laut EU AI Act?

Die Pflichten hängen von der Rolle und der Risikoklasse ab:

Für Betreiber (Deployers) von Hochrisiko-KI:

• Registrierung in der EU-Datenbank gemäß Artikel 49
• Dokumentation aller KI-Systeme mit Einsatzzweck, Risikoklasse und Schutzmaßnahmen
• Menschliche Aufsicht sicherstellen — KI-Entscheidungen müssen überprüfbar sein
• Einhaltung der Transparenzpflichten gegenüber betroffenen Personen
• DSFA nach Art. 35 DSGVO für KI-Systeme, die personenbezogene Daten verarbeiten

Für alle KI-Nutzer:

• Artikel 4: KI-Kompetenz: Schulung aller Mitarbeitenden, die KI-Systeme einsetzen — sichergestellt durch regelmäßige Fortbildungen
• Kennzeichnungspflicht: KI-generierte Inhalte müssen als solche erkennbar sein

Chancen und Risiken von KI: Verantwortungsvoller Einsatz

Der EU AI Act verbietet KI nicht — er schafft einen Rahmen für den verantwortungsvollen Einsatz. Für Hamburger Unternehmen bedeutet das: Die Nutzung von KI-Systemen für Produktivitätsgewinne ist ausdrücklich erwünscht. Aber die Dokumentation, Transparenz und menschliche Aufsicht müssen gewährleistet sein.

Das KI-Register ist dabei das zentrale Instrument: Es gibt Ihnen den Überblick über alle KI-Systeme, deren Risikoklasse und die getroffenen Maßnahmen. In Kombination mit dem Verarbeitungsverzeichnis nach DSGVO Art. 30 entsteht eine vollständige Compliance-Dokumentation.

KI-Modelle mit allgemeinem Verwendungszweck: General Purpose AI

Neben Hochrisiko-KI reguliert der EU AI Act auch KI-Modelle mit allgemeinem Verwendungszweck (General Purpose AI / GPAI). Anbieter von KI-Modellen für allgemeine Zwecke — wie OpenAI (ChatGPT), Google (Gemini) oder Anthropic (Claude) — unterliegen seit August 2025 eigenen Transparenzpflichten. KI-Modelle für allgemeine Zwecke mit systemischem Risiko haben zusätzliche Anforderungen.

Für Betreiber bedeutet das: Wenn Sie KI mit allgemeinem Verwendungszweck einsetzen, müssen Sie die vom Anbieter bereitgestellte technische Dokumentation für Anbieter und Betreiber kennen und verwenden. Die Einhaltung der Vorschriften obliegt sowohl dem Anbieter als auch dem Betreiber von KI-Systemen.

Gemäß Artikel 53 Absatz 1 Buchstabe a müssen Anbieter solcher Systeme technische Dokumentation bereitstellen. Bei KI-Modellen mit systemischem Risiko gelten verschärfte Anforderungen an die Transparenz und Sicherheitsbewertung. Als Betreiber müssen Sie sicherstellen, dass Ihre Nutzung von KI-Modellen mit den bereitgestellten Informationen übereinstimmt.

Artikel 4 der KI-Verordnung: KI-Kompetenz und Schulung als Pflicht

Artikel 4 EU AI Act (KI-Kompetenz) ist bereits seit Februar 2025 in Kraft und betrifft alle Unternehmen, die künstliche Intelligenz einsetzen — unabhängig von der Risikoklasse. Anbieter von KI-Systemen und Betreiber von KI-Systemen müssen gleichermaßen sicherstellen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen.

Was bedeutet das konkret? Alle Personen, die mit KI-Systemen interagieren oder diese überwachen, benötigen Schulungen zum Umgang mit KI. Die Schulung muss den konkreten Einsatzzweck abdecken und regelmäßig aktualisiert werden. Ein Verstoß gegen Artikel 4 EU AI Act kann mit Bußgeldern nach Artikel 99 geahndet werden.

Unsere Datenschutzschulungen umfassen bereits ein KI-Modul, das die Anforderungen des Artikel 4 der KI-Verordnung abdeckt — für alle Mitarbeitenden, die mit KI-Systemen interagieren.

Wie verknüpfen sich KI-Register und DSGVO?

Jede natürliche oder juristische Person, die KI-Systeme mit personenbezogenen Daten betreibt, muss sowohl die Anforderungen des EU AI Acts als auch der DSGVO erfüllen. In der Praxis bedeutet das:

• Jedes KI-System im KI-Register, das personenbezogene Daten verarbeitet, braucht einen Eintrag im Verarbeitungsverzeichnis nach Art. 30 DSGVO
• Für Hochrisiko-KI ist zusätzlich eine DSFA nach Art. 35 DSGVO durchzuführen
• Der Datenschutzbeauftragte muss in die Bewertung und Überwachung von KI-Systemen einbezogen werden

Chancen und Risiken von KI: Verantwortungsvoller Einsatz

Der EU AI Act verbietet KI nicht — er schafft einen Rahmen für den verantwortungsvollen Einsatz. Seit dem 2. Februar 2025 gelten bereits die Verbote bestimmter KI-Praktiken: KI zur Erkennung von Emotionen am Arbeitsplatz, Social Scoring und manipulative KI-Systeme sind untersagt. Für Hamburger Unternehmen bedeutet das: Die Nutzung von KI für Produktivitätsgewinne ist ausdrücklich erwünscht. Aber die Dokumentation, Transparenz und menschliche Aufsicht müssen gewährleistet sein.

Das KI-Register ist dabei das zentrale Instrument: Es gibt Ihnen den Überblick über alle KI-Systeme, deren Risikoklasse und die getroffenen Maßnahmen. In Kombination mit dem Verarbeitungsverzeichnis nach DSGVO Art. 30 entsteht eine vollständige Compliance-Dokumentation.

Für den DSGVO-konformen Einsatz von ChatGPT und anderen KI-Tools beraten wir Sie unter ChatGPT DSGVO-konform. Die umfassende AI-Act-Compliance begleiten wir über unsere AI Act Beratung.

Risiken von KI und der verantwortungsvolle Umgang mit KI-Systemen

Der Umgang mit KI erfordert ein systematisches Risikomanagement. Die KI-Verordnung unterscheidet vier Risikostufen für KI-Systeme: verbotene KI-Praktiken, Hochrisiko-KI-Systeme, KI-Systeme mit begrenztem Risiko und KI mit minimalem Risiko. Die Risiken von KI reichen von diskriminierenden Entscheidungen über Manipulationsgefahren bis hin zu mangelnder Transparenz. Für jedes KI-System muss gemäß Artikel der Verordnung eine Risikobewertung durchgeführt und dokumentiert werden.

Anbieter von KI-Systemen müssen sicherstellen, dass ihre KI-Systeme den Anforderungen des EU AI Acts entsprechen, bevor sie diese in der EU in Verkehr bringen. Betreiber von KI-Systemen müssen die Einhaltung der Vorschriften überwachen und die menschliche Aufsicht sicherstellen. Die Überwachung umfasst regelmäßige Überprüfungen der KI-Systemen auf Bias, Diskriminierung und Fehlfunktionen. Mitarbeitende, die mit KI-Systemen interagieren, müssen gemäß Artikel 4 geschult werden — der verantwortungsvolle Umgang mit KI ist keine Option, sondern eine Pflicht nach der KI-Verordnung.

Muss Ihr Unternehmen in der EU ansässig sein, damit das EU-Gesetz über künstliche Intelligenz für Sie Anwendung findet?

Nein. Der EU AI Act gilt nicht nur für in der EU ansässige Unternehmen. Er betrifft jeden Anbieter von KI-Systemen, der KI-Systeme in der EU auf den Markt bringt oder in Betrieb nimmt — unabhängig vom Firmensitz. Auch Betreiber außerhalb der EU fallen unter die Verordnung, wenn die Ergebnisse ihrer KI-Systeme in der EU verwendet werden. Für Hamburger Unternehmen, die mit internationalen Partnern zusammenarbeiten, ist dies besonders relevant: Sowohl beim Inverkehrbringen als auch beim Einsatz von KI in der EU greifen die Pflichten des AI Act.

Für wen gilt das EU-AI Act?

Das EU-Gesetz über künstliche Intelligenz gilt für Anbieter von KI-Systemen, die KI in der EU auf den Markt bringen oder in Betrieb nehmen, für Betreiber von KI-Systemen mit Sitz in der EU sowie für Importeure und Händler. Die Pflichten richten sich nach der Einstufung des jeweiligen KI-Systems: Hochrisiko-KI unterliegt den strengsten Anforderungen, während für KI mit begrenztem Risiko vor allem Transparenzpflichten gelten. Auch KMU sind betroffen — entscheidend ist nicht die Unternehmensgröße, sondern der konkrete Einsatz von KI und die Einstufung des Systems nach Anhang III.

Buchen Sie ein kostenloses Erstgespräch und starten Sie jetzt mit dem Aufbau Ihres KI-Registers — bevor die Frist im August 2026 greift. Nils Oehmichen begleitet die Bestandsaufnahme persönlich in Ihrem Hamburger Unternehmen. Erreichen Sie uns auch über unser Kontaktformular oder informieren Sie sich über unsere Leistungen.