← Journal

    Quellenlage

    KI-Inventar und Risikoeinstufung: Den Überblick über alle KI-Anwendungen im Unternehmen gewinnen

    Abderrahmen Beltaief · 07. Jänner 2026 · 6 Min.

    Fragt man in einem Unternehmen, welche KI-Anwendungen im Einsatz sind, kommt meist eine kurze Liste: der Chatbot-Assistent, vielleicht ein Übersetzungstool. Die tatsächliche Zahl liegt fast immer deutlich darüber. KI steckt inzwischen in der Bürosoftware, im CRM, im Ticketsystem, in der Bildbearbeitung und in Dutzenden Browser-Erweiterungen, die einzelne Mitarbeiter installiert haben. Wer den Bestand nicht kennt, kann ihn weder steuern noch verantworten.

    Ein KI-Inventar ist deshalb der erste konkrete Schritt jeder KI-Governance. Es klingt nach Verwaltungsaufwand, ist aber in Wahrheit eine überschaubare Übung mit hohem Erkenntniswert: Schon die erste Erhebung fördert regelmäßig Anwendungen zutage, von denen weder IT noch Geschäftsführung wussten. Und mit Blick auf die europäische KI-Regulierung, die Pflichten nach Risiko der Anwendung abstuft, ist das Inventar ohnehin die Grundlage, um überhaupt beurteilen zu können, welche Anforderungen das eigene Unternehmen treffen.

    Ohne Inventar keine Governance

    Jede Richtlinie, jede Schulung und jeder Freigabeprozess setzt voraus, dass man weiß, worüber man spricht. Eine Nutzungsrichtlinie für KI-Tools läuft ins Leere, wenn die Hälfte der tatsächlich genutzten Tools niemandem bekannt ist. Eine Risikobetrachtung bleibt Theorie, wenn sie nur die offiziell eingekauften Systeme umfasst.

    Das Inventar erfüllt dabei drei Funktionen zugleich. Es schafft Transparenz über den Ist-Zustand, es liefert die Bewertungsgrundlage für die Risikoeinstufung, und es dient als lebendes Register, gegen das neue Anschaffungen und entdeckte Alt-Anwendungen laufend abgeglichen werden. Wichtig ist die Erwartungshaltung: Die erste Version wird unvollständig sein, und das ist in Ordnung. Ein Inventar mit achtzig Prozent Abdeckung, das gepflegt wird, ist wertvoller als ein perfektes Verzeichnis, das nach dem Projektende veraltet.

    Welche Angaben pro Anwendung erfasst werden

    Weniger ist hier mehr. Wer pro Anwendung dreißig Felder verlangt, bekommt nach zwei Wochen keine Meldungen mehr. Bewährt hat sich ein schlanker Kern:

    • Name und Zweck: Was macht die Anwendung, und für welchen Geschäftsprozess wird sie genutzt.
    • Anbieter und Betriebsmodell: Cloud-Dienst, lokal installiert oder eingebettetes Feature einer größeren Software.
    • Verarbeitete Daten: Werden personenbezogene Daten, Kundendaten oder interne Unterlagen eingegeben oder verarbeitet.
    • Nutzerkreis: Einzelne Personen, eine Abteilung oder das ganze Unternehmen.
    • Verantwortliche Person: Wer kennt die Anwendung fachlich und kann Fragen beantworten.
    • Vertragsstatus: Gibt es einen Unternehmensvertrag, eine Vereinbarung zur Datenverarbeitung, oder läuft die Nutzung über private Konten.

    Diese sechs Punkte lassen sich pro Anwendung in wenigen Minuten beantworten. Alles Weitere, etwa detaillierte technische Angaben, wird nur für die Anwendungen nacherhoben, die sich in der Risikoeinstufung als relevant erweisen.

    Eingebettete KI-Features finden

    Die eigentliche Schwierigkeit liegt nicht bei den offensichtlichen Tools, sondern bei den eingebetteten KI-Funktionen in Standardsoftware. Textvorschläge im Mailprogramm, automatische Zusammenfassungen im Videokonferenz-Tool, Priorisierungslogik im Ticketsystem: Diese Funktionen werden oft per Update aktiviert, ohne dass jemand bewusst eine Entscheidung getroffen hat.

    Drei Wege haben sich für die Erhebung bewährt. Erstens die Anbieterdurchsicht: Man geht die Liste der lizenzierten Software durch und prüft bei jedem Produkt die Dokumentation auf KI-Funktionen und deren Standardeinstellungen. Zweitens die Befragung der Fachbereiche: kurze, konkrete Fragen an jede Abteilung, welche Werkzeuge im Alltag genutzt werden, ausdrücklich auch inoffizielle. Damit ehrliche Antworten kommen, muss klar sein, dass es um Überblick geht und nicht um Sanktionen. Drittens der technische Blick: Auswertungen aus dem Netzwerk oder der Browser-Verwaltung zeigen, welche Dienste tatsächlich aufgerufen werden. Dieser Weg braucht Abstimmung mit Datenschutz und gegebenenfalls Belegschaftsvertretung, liefert aber das realistischste Bild.

    Risikoeinstufung mit Augenmaß

    Nicht jede Anwendung verdient dieselbe Aufmerksamkeit. Eine grobe Einstufung in drei Klassen reicht für den Anfang völlig aus:

    StufeTypische MerkmaleKonsequenz
    NiedrigKeine sensiblen Daten, keine automatisierten Entscheidungen, unterstützende FunktionFreigabe mit Basisregeln
    MittelInterne oder Kundendaten, Ergebnisse fließen in Arbeitsprodukte einVertrags- und Einstellungsprüfung, klare Nutzungsregeln
    HochPersonenbezogene Bewertungen, Wirkung auf Kunden oder Mitarbeiter, wenig menschliche KontrolleEinzelfallprüfung vor weiterer Nutzung

    Die Leitfragen dahinter sind einfach: Welche Daten gehen hinein, wer ist von den Ergebnissen betroffen, wie stark verlässt sich der Prozess auf die Ausgabe, und gibt es eine menschliche Kontrolle vor der Wirkung nach außen. Anwendungen, die Entscheidungen über Menschen vorbereiten oder treffen, etwa im Personalbereich, gehören grundsätzlich in die höchste Stufe und damit auf den Prüftisch. Diese interne Grobeinstufung ersetzt keine rechtliche Bewertung nach den einschlägigen Vorschriften, sie sorgt aber dafür, dass die knappe Prüfkapazität dort landet, wo das Risiko sitzt.

    Vom Inventar zum Fahrplan

    Der eigentliche Wert entsteht, wenn aus dem Verzeichnis Entscheidungen werden. Die Einstufung liefert eine natürliche Priorisierung: Hochrisiko-Anwendungen werden zuerst geprüft, bei mittlerem Risiko werden Verträge und Anbieter-Einstellungen nachgezogen, niedrig eingestufte Anwendungen bekommen eine schnelle formale Freigabe. So entsteht aus dem Inventar ein Compliance-Fahrplan mit klarer Reihenfolge statt einer diffusen Großbaustelle.

    Damit das Inventar aktuell bleibt, braucht es zwei Mechanismen: einen einfachen Meldeweg für neue Tools, idealerweise verbunden mit einem schnellen Freigabeprozess, und einen festen Rhythmus, etwa halbjährlich, in dem der Bestand durchgesehen und mit der tatsächlichen Nutzung abgeglichen wird. Ein Inventar, das nur einmal erstellt wurde, ist nach einem Jahr wieder Makulatur.

    Fazit

    Ein KI-Inventar ist keine bürokratische Pflichtübung, sondern die Voraussetzung für jede fundierte Entscheidung über KI im Unternehmen. Der pragmatische Weg: mit einem schlanken Erfassungsraster starten, eingebettete Funktionen über Anbieterdurchsicht und Fachbereichsbefragung aufspüren, grob in drei Risikostufen einteilen und die Prüfarbeit von oben nach unten priorisieren. Wer diesen Bestand einmal aufgebaut hat und aktuell hält, verwandelt die abstrakte Frage nach KI-Compliance in eine sortierte Arbeitsliste. Das ist der Unterschied zwischen Bauchgefühl und Überblick.

    Sprechen wir über Ihr Vorhaben.

    Unverbindliches Erstgespräch. Wir melden uns zeitnah bei Ihnen.

    Erstgespräch anfragen →