← TwoEighty Studios

KI-Verzeichnis: Vorlage und Pflichten nach dem Digital Omnibus

14. Juli 2026 · Ben Touati

Der Digital Omnibus hat die Fristen der KI-Verordnung neu geordnet, und ab August fragt erstmals eine deutsche Aufsicht nach. Was Unternehmen jetzt dokumentieren müssen und wie ein KI-Verzeichnis aufgebaut ist.

Ab dem 2. August 2026 hat Deutschland erstmals eine zuständige KI-Aufsicht: Die Bundesnetzagentur nimmt die Marktüberwachung für die EU-KI-Verordnung auf. Die erste Frage jeder Prüfung wird dieselbe sein, die Kunden und Versicherer heute schon stellen: Welche KI-Systeme setzen Sie ein, und wo ist das dokumentiert? In den meisten kleinen und mittleren Unternehmen gibt es auf diese Frage keine belastbare Antwort. Das Werkzeug, das sie beantwortet, heißt KI-Verzeichnis.

Was ein KI-Verzeichnis ist

Ein KI-Verzeichnis ist die strukturierte Bestandsaufnahme aller KI-Systeme eines Unternehmens: mit Zweck und Risikoeinstufung jedes Systems, dazu Verantwortliche und Nachweise. Es ist für die KI-Verordnung, was das Verarbeitungsverzeichnis für die DSGVO ist: das zentrale Dokument, an dem sich Sorgfalt ablesen lässt.

Die Verordnung schreibt ein solches Verzeichnis als eigenes Dokument nirgends wörtlich vor. Sie verlangt etwas Unbequemeres: Pflichten, die sich ohne dieses Verzeichnis kaum erfüllen lassen. Wer KI-Kompetenz fördern soll (Art. 4), muss wissen, wer welche Systeme nutzt. Wer Hochrisiko-Systeme betreibt, muss sie als solche erkannt haben. Und die Antwort für die Aufsicht muss schriftlich vorliegen, bevor die Frage kommt.

Warum der Arbeitsplatz der kritische Ort ist

Die KI-Verordnung wird für die meisten Unternehmen nicht im Produkt konkret, sondern im Personalbüro. Anhang III Nr. 4 stuft KI im Beschäftigungskontext als Hochrisiko ein: Bewerbungsauswahl und Entscheidungen über Beförderung oder Kündigung ebenso wie Aufgabenzuweisung und Leistungsüberwachung. Diese Pflichten greifen nach dem Digital Omnibus am 2. Dezember 2027, und das Datum verführt zu einem teuren Fehlschluss.

Denn das Datum gilt nur für einen Teil der Rechtslage. Der Beschäftigtendatenschutz nach DSGVO läuft weiter, als wäre die KI-Verordnung nie geschrieben worden. § 87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat nach ständiger Rechtsprechung ein Mitbestimmungsrecht bei jeder technischen Einrichtung, die zur Leistungs- oder Verhaltensüberwachung geeignet ist; viele KI-Tools sind das, oft ungewollt. Und ein Verbot greift aus der Verordnung selbst schon heute: Emotionserkennung am Arbeitsplatz, untersagt seit Februar 2025 und bewehrt mit der obersten Bußgeldklasse. Ein KI-Tool ohne Beteiligung des Gremiums einzuführen schafft damit einen anfechtbaren Zustand.

Die Fristen nach dem Digital Omnibus

Das Europäische Parlament hat den Digital Omnibus am 16. Juni angenommen, der Rat am 29. Juni 2026. Die Stichtage der KI-Verordnung sind damit neu geordnet. Fast alle Ratgeber, die vor Juni 2026 erschienen sind, nennen inzwischen veraltete Fristen. Der aktuelle Fahrplan:

Was in das Verzeichnis gehört

Für jedes System ein Erfassungsbogen mit denselben Feldern, damit die Einträge vergleichbar bleiben:

Der erste Schritt: die Schatten-KI finden

Die Inventur beginnt bei dem, was ohne Beschluss im Haus ist: das Übersetzungstool im Support und das Analyse-Feature, das ein Software-Anbieter per Update eingeschaltet hat. Dazu das KI-Konto, das sich jemand im Team privat angelegt hat und beruflich nutzt. Diese Systeme fehlen in jeder offiziellen Liste und tauchen in jeder Prüfung auf. Wer sie zuerst selbst findet, dokumentiert aus einer Position der Stärke.

Das Arbeitsbuch „Das KI-Verzeichnis" führt durch genau diese Inventur: Erfassungsbögen für bis zu 20 KI-Systeme und geführte Risiko-Checklisten, dazu ein Schulungsregister nach Art. 4 und die Protokolle für den laufenden Betrieb bis 2028. Es erscheint Ende Juli 2026 als A4-Arbeitsbuch.

Für Kanzleien und Beratungen gibt es das Verzeichnis als White-Label-Lizenz im eigenen Branding.