KI-Compliance Monitoring: Warum einmalige Inventarisierung nicht reicht
Ihr KI-Inventar ist fertig – und jetzt? Der AI Act verlangt laufende Überwachung, nicht nur einmalige Erfassung. Dieser Artikel liefert die 4 Bausteine eines pragmatischen KI-Monitoring-Systems: Status-Tracking, Prüfzyklen nach Risikoklasse, ein Incident-Log mit 8 Pflichtfeldern, ein Management-Dashboard mit 5 Kennzahlen und konkrete Trigger-Ereignisse für Ad-hoc-Prüfungen.
Inhaltsverzeichnis
Inventarisiert ist nicht gleich compliant – warum Monitoring Pflicht ist
Das KI-Inventar steht. Die Risikoklassen sind zugeordnet. Die KI-Richtlinie ist verabschiedet. Und jetzt? Viele Unternehmen behandeln die KI-Compliance wie ein Projekt: einmal aufsetzen, abhaken, fertig. Das ist ein Fehler – und zwar einer mit regulatorischen Konsequenzen.
Der AI Act verlangt von Deployern eine laufende Überwachung ihrer KI-Systeme. Art. 26 Abs. 5 ist unmissverständlich: Betreiber überwachen den Betrieb des Hochrisiko-KI-Systems auf Grundlage der Gebrauchsanweisung. Wer Grund zu der Annahme hat, dass das System ein Risiko darstellt, muss den Anbieter und die Marktüberwachungsbehörde unverzüglich informieren – und die Nutzung aussetzen.
Das gilt nicht nur für Hochrisiko-Systeme. Auch KI mit begrenztem Risiko verändert sich: Provider liefern Updates, Mitarbeitende nutzen neue Tools, Geschäftsprozesse verschieben sich. Wer sein Inventar als Momentaufnahme behandelt, hat nach sechs Monaten ein veraltetes Dokument – und im Ernstfall keine Nachweisgrundlage.
KI-Compliance ist kein Projekt, sondern ein Betriebsprozess. Das Inventar ist der Anfang – nicht das Ende.
Dieser Artikel zeigt Ihnen, wie Sie ein pragmatisches Monitoring-System aufbauen: mit vier Bausteinen, konkreten Prüfzyklen nach Risikoklasse und einem Deployer-tauglichen Incident-Log.
Was sich nach der Ersterfassung ändert
Ihr KI-Inventar bildet den Stand zum Zeitpunkt der Erstellung ab. Aber KI-Landschaften sind dynamisch. Innerhalb weniger Monate können sich mehrere Dimensionen gleichzeitig verschieben:
5 typische Veränderungen, die Ihr Inventar veralten lassen
Veränderung | Beispiel | Compliance-Relevanz |
|---|---|---|
Neue KI-Tools | Fachabteilung testet neues Analyse-Tool ohne Freigabe | Schatten-KI, keine Risikoklassifizierung |
Provider-Updates | Microsoft integriert Copilot in weitere 365-Module | Funktionsumfang und Datenflüsse ändern sich |
Risikoklassen-Shift | Recruiting-Tool erhält KI-gestützte Vorauswahl per Update | Wechsel von begrenztem zu hohem Risiko |
Mitarbeiterfluktuation | KI-Verantwortlicher verlässt das Unternehmen | Verantwortlichkeiten im Inventar nicht mehr aktuell |
Regulatorische Updates | Omnibus-Paket verschiebt Fristen, neue Guidance | Pflichten und Zeitpläne müssen angepasst werden |
Praxis-Hinweis: Der häufigste Auslöser für veraltete Inventare ist die Schatten-KI. Fachabteilungen testen und nutzen KI-Tools ohne Freigabe durch den Genehmigungsprozess der KI-Richtlinie. Ein funktionierendes Monitoring fängt genau das auf.
Die 4 Bausteine eines KI-Monitoring-Systems
Ein wirksames Monitoring muss nicht komplex sein. Für die meisten KMU reichen vier Bausteine, die sich in bestehende Compliance-Prozesse integrieren lassen:
Baustein | Zweck | Frequenz |
|---|---|---|
1. Status-Tracking | Aktualität des KI-Inventars sicherstellen | Quartalsweise |
2. Prüfzyklen | Systematische Überprüfung je Risikoklasse | Nach Risikoklasse gestaffelt |
3. Incident-Log | Vorfälle und Auffälligkeiten dokumentieren | Anlassbezogen, laufend |
4. Änderungs-Log | Neue Tools, Updates, Rollenänderungen erfassen | Laufend + quartalsweise Konsolidierung |
Baustein 1: Status-Tracking
Jedes KI-System im Inventar bekommt einen Status: aktiv, in Prüfung, deaktiviert oder abgelöst. Einmal pro Quartal gleichen Sie das Inventar mit der Realität ab: Wird das System noch genutzt? Hat sich der Einsatzzweck verändert? Stimmen die Verantwortlichkeiten noch?
Das klingt banal – aber ohne diesen Schritt wächst die Lücke zwischen Dokumentation und Wirklichkeit schneller, als die meisten erwarten.
Baustein 2: Prüfzyklen nach Risikoklasse
Nicht jedes KI-System braucht die gleiche Aufmerksamkeit. Die Prüftiefe und -frequenz richtet sich nach der Risikoklassifizierung:
Risikoklasse | Prüffrequenz | Prüftiefe | Beispiel |
|---|---|---|---|
Hochrisiko | Quartalsweise | Vollprüfung: Dokumentation, Datenflüsse, Bias-Indikatoren, Human Oversight, Logs | Personio mit KI-Vorauswahl |
Begrenztes Risiko | Halbjährlich | Stichprobe: Kennzeichnung, Nutzung gemäß Richtlinie, Provider-Updates | ChatGPT, DeepL, Copilot |
Minimales Risiko | Jährlich | Status-Check: Noch in Nutzung? Einsatzzweck unverändert? | Spamfilter, Autovervollständigung |
Empfehlung: Beginnen Sie mit den Hochrisiko-Systemen. Wenn Sie nur drei KI-Systeme quartalsweise prüfen, haben Sie 80 % Ihres regulatorischen Risikos abgedeckt. Perfektion bei minimalen Systemen ist Ressourcenverschwendung.
Baustein 3: KI-Incident-Log
Der AI Act spricht in Art. 26 Abs. 5 von „schwerwiegenden Vorfällen", die unverzüglich gemeldet werden müssen. Aber was ist ein Vorfall? Für die meisten KMU fehlt eine klare Definition. Hier ist eine pragmatische Abgrenzung:
Ein KI-Vorfall liegt vor, wenn:
Ein KI-System eine falsche oder diskriminierende Entscheidung trifft, die Personen betrifft (z. B. Bewerbungsabsage ohne sachlichen Grund)
Ein System außerhalb des vorgesehenen Zwecks eingesetzt wird (z. B. ChatGPT für Personalentscheidungen)
Ein Datenschutzverstoß durch KI-Nutzung entsteht (z. B. personenbezogene Daten in einem externen KI-Tool verarbeitet)
Ein Provider-Update die Funktionsweise wesentlich verändert, ohne dass dies geprüft wurde
Mitarbeitende die KI-Richtlinie wiederholt verletzen (z. B. nicht genehmigte Tools nutzen)
8 Felder für Ihr Incident-Log
Feld | Inhalt |
|---|---|
Datum | Wann wurde der Vorfall festgestellt? |
KI-System | Welches System ist betroffen? (Referenz zum Inventar) |
Beschreibung | Was ist passiert? |
Schwere | Niedrig / Mittel / Hoch / Schwerwiegend |
Betroffene | Wer ist betroffen? (Mitarbeitende, Kunden, Dritte) |
Sofortmaßnahme | Was wurde unmittelbar getan? |
Meldepflicht | Meldung an Anbieter / Behörde erforderlich? (Ja/Nein) |
Follow-up | Welche Korrekturmaßnahme wird umgesetzt? Bis wann? |
Art. 26 Abs. 5 AI Act: Bei schwerwiegenden Vorfällen müssen Deployer unverzüglich den Anbieter und die Marktüberwachungsbehörde informieren. In Deutschland ist die Bundesnetzagentur (BNetzA) die zuständige Behörde. Die Protokolle des KI-Systems müssen mindestens 6 Monate aufbewahrt werden.
Baustein 4: Änderungs-Log
Der Änderungs-Log erfasst alles, was sich zwischen zwei Prüfzyklen verändert hat: neue Tools, deaktivierte Systeme, Provider-Updates, Rollenänderungen, neue Einsatzzwecke. Jede Änderung wird mit Datum, betroffener Person und Bewertung dokumentiert.
Der Änderungs-Log ist das Bindeglied zwischen Inventar und Prüfzyklus: Was sich ändert, wird erfasst – und fließt in die nächste Prüfung ein.
Praxis-Beispiel: Ihr Unternehmen nutzt Microsoft 365 mit Copilot. Microsoft kündigt ein Update an, das Copilot-Funktionen in Outlook und Teams erweitert. Der Änderungs-Log erfasst: Datum, betroffenes System (Copilot), Art der Änderung (Funktionserweiterung), potenzieller Risikoklassen-Impact (prüfen, ob neue Datenflüsse entstehen) und Verantwortlichen für die Bewertung. Im nächsten Prüfzyklus wird gezielt geprüft, ob die Erweiterung die bisherige Klassifizierung verändert.
Vergessen Sie nicht die Schnittstelle zur DSGVO: Wenn ein KI-System neue personenbezogene Daten verarbeitet, löst das nicht nur eine KI-Compliance-Prüfung aus, sondern potenziell auch eine Anpassung der bestehenden Datenschutz-Folgenabschätzung.
Vorfälle und Auffälligkeiten dokumentieren – was ein KI-Incident-Log leistet
Die meisten Unternehmen haben Incident-Management-Prozesse für IT-Sicherheit oder Datenschutz. Ein KI-Incident-Log funktioniert nach dem gleichen Prinzip – mit einem entscheidenden Unterschied: KI-Vorfälle sind oft nicht technisch sichtbar.
Ein Spamfilter, der plötzlich legitime E-Mails blockiert, fällt auf. Ein Recruiting-Tool, das systematisch Bewerber mit bestimmten Merkmalen benachteiligt, fällt erst auf, wenn jemand hinschaut. Deshalb braucht KI-Compliance ein eigenes Meldesystem – idealerweise mit einer niedrigschwelligen Meldeoption für alle Mitarbeitenden.
3 Maßnahmen, die Vorfälle sichtbar machen:
Melde-Kanal einrichten: E-Mail-Alias oder Formular, über das Mitarbeitende KI-Auffälligkeiten melden können – ohne Hürde, ohne Schuldzuweisung.
Regelmäßige Stichproben: Bei Hochrisiko-Systemen quartalsweise Outputs prüfen – z. B. Auswertung der letzten 50 Entscheidungen eines KI-gestützten Scoring-Systems.
Provider-Kommunikation: Aktiv bei Anbietern nach Updates, bekannten Problemen und Änderungen fragen – nicht warten, bis es im Changelog steht.
Entscheidend ist die Verknüpfung mit der KI-Richtlinie: Der Incident-Prozess sollte dort als eigenständiger Abschnitt verankert sein. Mitarbeitende müssen wissen, an wen sie sich wenden, was als Vorfall zählt und dass eine Meldung keine negativen Konsequenzen für sie hat. Ohne diese Klarheit bleibt das schönste Incident-Log leer.
Für die Bewertung der Schwere hat sich ein Vierstufenmodell bewährt:
Niedrig: Abweichung vom vorgesehenen Einsatzzweck ohne Personenbezug. Beispiel: Mitarbeitender nutzt DeepL für interne Übersetzung statt des genehmigten Tools.
Mittel: Regelverstoß mit begrenztem Personenbezug, aber ohne Schaden. Beispiel: Personenbezogene Daten in ChatGPT eingegeben, aber keine sensiblen Kategorien.
Hoch: Verstoß mit potenziellem Schaden für betroffene Personen. Beispiel: KI-gestütztes Scoring-Tool liefert erkennbar verzerrte Ergebnisse über mehrere Wochen.
Schwerwiegend: Meldepflicht nach Art. 26 Abs. 5. Beispiel: Hochrisiko-System trifft diskriminierende Entscheidungen, die Personen direkt betreffen.
Management Reporting: KI-Compliance auf die Vorstandsagenda bringen
Monitoring ohne Reporting ist Datensammlung ohne Wirkung. Die Geschäftsführung muss wissen, wie es um die KI-Compliance steht – nicht im Detail, sondern auf einen Blick. Ein kompaktes KI-Compliance-Dashboard liefert genau das.
5 Kennzahlen für Ihr KI-Compliance-Dashboard
Kennzahl | Was sie zeigt | Zielwert |
|---|---|---|
KI-Systeme gesamt | Anzahl aktiver Systeme im Inventar | Vollständig erfasst |
Hochrisiko-Anteil | Anteil der Hochrisiko-Systeme am Gesamtbestand | Bekannt und dokumentiert |
Prüfstatus | Anteil der Systeme mit aktueller Prüfung (Ampel: grün/gelb/rot) | 100 % grün |
Offene Incidents | Anzahl ungelöster KI-Vorfälle | 0 |
Überfällige Maßnahmen | Korrekturmaßnahmen, deren Frist überschritten ist | 0 |
Frequenz: Quartalsweise reicht für die meisten KMU. Das Dashboard kann Teil des bestehenden Compliance-Berichts sein – ein separater Report ist nicht nötig. Wichtig ist, dass KI-Compliance als eigener Punkt auf der Agenda steht, nicht unter „Sonstiges" verschwindet.
Die Geschäftsführung trägt die Verantwortung für die Einhaltung des AI Act. Ein regelmäßiges Reporting schafft Transparenz und dokumentiert gleichzeitig, dass die Leitungsebene ihre Aufsichtspflicht wahrnimmt – ein zentraler Nachweis bei Behördenanfragen.
Was tun, wenn das Dashboard Rot zeigt?
Wenn ein oder mehrere Systeme im Status „rot" stehen – also überfällige Prüfungen oder offene Incidents haben –, ist ein klarer Eskalationspfad nötig:
Sofort: System auf „in Prüfung" setzen und Nutzung einschränken, bis der Sachverhalt geklärt ist.
Innerhalb von 5 Arbeitstagen: Root-Cause-Analyse durchführen. Liegt ein regulatorischer Verstoß vor oder handelt es sich um ein Prozessversäumnis?
Innerhalb von 20 Arbeitstagen: Korrekturmaßnahme dokumentieren, umsetzen und Wirksamkeit prüfen.
Dieser Dreischritt stellt sicher, dass ein gelbes oder rotes Signal im Dashboard nicht wochenlang ignoriert wird. Die Fristen sind Richtwerte – passen Sie sie an Ihre Unternehmensgröße an.
Wie oft prüfen? Empfehlungen für Prüfzyklen nach Risikoklasse
Die richtige Prüffrequenz hängt von drei Faktoren ab: der Risikoklasse, der Dynamik des Systems und der Anzahl betroffener Personen. Hier ist ein Rahmen, den Sie auf Ihr Unternehmen anpassen können:
Regelprüfungen
Hochrisiko-Systeme: Quartalsweise Vollprüfung. Dokumentation, Datenflüsse, Bias-Indikatoren, Logs, Human-Oversight-Prozess.
Begrenztes Risiko: Halbjährliche Stichprobe. Kennzeichnung korrekt? Nutzung gemäß KI-Richtlinie? Provider-Updates geprüft?
Minimales Risiko: Jährlicher Status-Check. Noch aktiv? Einsatzzweck unverändert?
Trigger-Ereignisse für anlassbezogene Prüfungen
Neben den Regelprüfungen gibt es Ereignisse, die eine sofortige Ad-hoc-Prüfung auslösen sollten:
Trigger | Aktion |
|---|---|
Provider kündigt Major Update an | Funktionsumfang prüfen, ggf. Risikoklasse neu bewerten |
Neues KI-Tool wird eingeführt | Genehmigungsprozess gemäß KI-Richtlinie durchlaufen |
KI-Vorfall gemeldet | Incident-Log befüllen, Sofortmaßnahme einleiten |
Regulatorisches Update (z. B. neue Guidance) | Betroffene Systeme identifizieren, Dokumentation anpassen |
Organisationsänderung (Fusion, neue Abteilung) | KI-Inventar auf neue Bereiche erweitern |
Mitarbeitende melden Auffälligkeit | Sachverhalt prüfen, ggf. Incident-Log-Eintrag |
Tipp: Integrieren Sie die Trigger-Ereignisse in Ihre KI-Richtlinie. Wenn Mitarbeitende wissen, welche Situationen eine Meldung erfordern, funktioniert das Monitoring von der Basis aus – nicht nur top-down.
Von der Überwachung zum Audit
Monitoring und Audit sind nicht dasselbe – aber sie gehören zusammen. Das Monitoring liefert die Daten, der Audit bewertet sie systematisch.
Dimension | Monitoring | Audit |
|---|---|---|
Zweck | Laufende Überwachung, Frühwarnung | Systematische Bewertung, Lückenanalyse |
Frequenz | Laufend + quartalsweise Konsolidierung | Jährlich oder anlassbezogen |
Ergebnis | Statusberichte, Incident-Logs, Änderungs-Logs | Compliance-Bewertung, Maßnahmenplan |
Verantwortlich | Operativ: KI-Verantwortlicher / Compliance | Übergeordnet: Interne Revision oder externer Prüfer |
Das Monitoring füllt die Wissenslücke zwischen zwei Audits. Ohne laufende Überwachung ist jeder Audit eine Momentaufnahme – und jede Momentaufnahme ist veraltet, sobald sie fertig ist.
Ihr KI-Monitoring in den AI-Act-Gesamtkontext einordnen
Das Monitoring ist der fünfte Baustein in der 5-Phasen-Umsetzungslogik des AI Act. Es baut auf allen vorherigen Schritten auf und sichert deren Ergebnisse langfristig ab:
Phase | Dokument | Bezug zum Monitoring |
|---|---|---|
1. Bestandsaufnahme | Grundlage: Was überwacht wird | |
2. Klassifizierung | Bestimmt Prüffrequenz und -tiefe | |
3. Governance | Regelt Genehmigung, Meldepflichten, Trigger | |
3. Dokumentation | Wird durch Monitoring aktuell gehalten | |
3. Folgenabschätzung | Monitoring prüft, ob Risikobewertung noch stimmt | |
4. Schulung | Geschulte Mitarbeitende melden Auffälligkeiten | |
5. Monitoring | Dieser Artikel | – |
5. Audit | Monitoring liefert die Datengrundlage |
3 nächste Schritte
Prüfzyklen festlegen: Ordnen Sie jedem KI-System im Inventar eine Prüffrequenz zu – basierend auf der Risikoklasse. Beginnen Sie mit den Hochrisiko-Systemen.
Incident-Log einrichten: Erstellen Sie ein einfaches Log mit den 8 Feldern aus diesem Artikel. Ein Excel-Sheet reicht für den Anfang – Hauptsache, der Prozess existiert.
Ersten Monitoring-Bericht erstellen: Nutzen Sie die 5 Kennzahlen für ein kompaktes Dashboard und legen Sie es der Geschäftsführung im nächsten Quartalsbericht vor.
Das KI-Compliance Monitoring & Reporting Kit enthält alle vier Bausteine als fertige Vorlagen: Status-Tracker, Prüfzyklen-Matrix, Incident-Log und Management-Dashboard – vorausgefüllt mit Beispieldaten, sofort einsetzbar. Zum Monitoring Kit →
Alle 9 Dokumente für Ihre KI-Compliance – vom Inventar bis zum Audit – gibt es im AI Act Aufbau-Bundle. Über 35 % Ersparnis gegenüber Einzelkauf. Zum Bundle →
Passende Produkte zum Thema
EU AI Act Aufbau-Bundle
Komplettpaket zur Umsetzung des EU AI Act – von der KI-Inventarisierung bis zum Management Report. 9 aufeinander abgestimmte Dokumente in 5 Phasen. Stichtag 2. August 2026.
EU AI Act: KI-Inventar & Risikoklassifizierung
Excel-Tool zur Erfassung aller KI-Systeme im Unternehmen mit automatischer Risikoklassen-Zuordnung, Fristen-Tracker und Dashboard-Übersicht. Der erste Schritt zur AI-Act-Compliance.
EU AI Act: KI-Compliance Monitoring & Reporting Kit
Laufende KI-Compliance überwachen und berichten: Excel-Dashboard mit Ampelsystem, Vorfälle-Log, Änderungs-Tracking. Plus fertige Management-Report-Präsentation für den Vorstand.
Marvin Zimbelmann
Head of Governance, Risk & Compliance · MBA-Dozent · Podcast-Host
Auf LinkedIn vernetzen →