KI-Verzeichnis: Vorlage und Pflichten nach dem Digital Omnibus
14. Juli 2026 · Ben Touati
Der Digital Omnibus hat die Fristen der KI-Verordnung neu geordnet, und ab August fragt erstmals eine deutsche Aufsicht nach. Was Unternehmen jetzt dokumentieren müssen und wie ein KI-Verzeichnis aufgebaut ist.
Ab dem 2. August 2026 hat Deutschland erstmals eine zuständige KI-Aufsicht: Die Bundesnetzagentur nimmt die Marktüberwachung für die EU-KI-Verordnung auf. Die erste Frage jeder Prüfung wird dieselbe sein, die Kunden und Versicherer heute schon stellen: Welche KI-Systeme setzen Sie ein, und wo ist das dokumentiert? In den meisten kleinen und mittleren Unternehmen gibt es auf diese Frage keine belastbare Antwort. Das Werkzeug, das sie beantwortet, heißt KI-Verzeichnis.
Was ein KI-Verzeichnis ist
Ein KI-Verzeichnis ist die strukturierte Bestandsaufnahme aller KI-Systeme eines Unternehmens: mit Zweck und Risikoeinstufung jedes Systems, dazu Verantwortliche und Nachweise. Es ist für die KI-Verordnung, was das Verarbeitungsverzeichnis für die DSGVO ist: das zentrale Dokument, an dem sich Sorgfalt ablesen lässt.
Die Verordnung schreibt ein solches Verzeichnis als eigenes Dokument nirgends wörtlich vor. Sie verlangt etwas Unbequemeres: Pflichten, die sich ohne dieses Verzeichnis kaum erfüllen lassen. Wer KI-Kompetenz fördern soll (Art. 4), muss wissen, wer welche Systeme nutzt. Wer Hochrisiko-Systeme betreibt, muss sie als solche erkannt haben. Und die Antwort für die Aufsicht muss schriftlich vorliegen, bevor die Frage kommt.
Warum der Arbeitsplatz der kritische Ort ist
Die KI-Verordnung wird für die meisten Unternehmen nicht im Produkt konkret, sondern im Personalbüro. Anhang III Nr. 4 stuft KI im Beschäftigungskontext als Hochrisiko ein: Bewerbungsauswahl und Entscheidungen über Beförderung oder Kündigung ebenso wie Aufgabenzuweisung und Leistungsüberwachung. Diese Pflichten greifen nach dem Digital Omnibus am 2. Dezember 2027, und das Datum verführt zu einem teuren Fehlschluss.
Denn das Datum gilt nur für einen Teil der Rechtslage. Der Beschäftigtendatenschutz nach DSGVO läuft weiter, als wäre die KI-Verordnung nie geschrieben worden. § 87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat nach ständiger Rechtsprechung ein Mitbestimmungsrecht bei jeder technischen Einrichtung, die zur Leistungs- oder Verhaltensüberwachung geeignet ist; viele KI-Tools sind das, oft ungewollt. Und ein Verbot greift aus der Verordnung selbst schon heute: Emotionserkennung am Arbeitsplatz, untersagt seit Februar 2025 und bewehrt mit der obersten Bußgeldklasse. Ein KI-Tool ohne Beteiligung des Gremiums einzuführen schafft damit einen anfechtbaren Zustand.
Die Fristen nach dem Digital Omnibus
Das Europäische Parlament hat den Digital Omnibus am 16. Juni angenommen, der Rat am 29. Juni 2026. Die Stichtage der KI-Verordnung sind damit neu geordnet. Fast alle Ratgeber, die vor Juni 2026 erschienen sind, nennen inzwischen veraltete Fristen. Der aktuelle Fahrplan:
- Seit 2. Februar 2025: Die Verbote des Art. 5 gelten, darunter Emotionserkennung am Arbeitsplatz. Ebenso die KI-Kompetenzpflicht des Art. 4, durch den Omnibus abgeschwächt zu einem Förderauftrag, aber weiterhin verbindlich.
- 2. August 2026: Die nationale Aufsicht startet. Ab diesem Tag kann die Frage nach dem Verzeichnis amtlich gestellt werden.
- 2. Dezember 2027: Die Hochrisiko-Pflichten nach Anhang III greifen, einschließlich des gesamten Beschäftigungskontexts.
- Bis 2028: Laufender Betrieb. Änderungen an Systemen und neue Vorfälle gehören fortlaufend dokumentiert, ebenso jeder Anbieterwechsel.
Was in das Verzeichnis gehört
Für jedes System ein Erfassungsbogen mit denselben Feldern, damit die Einträge vergleichbar bleiben:
- System und Anbieter, dazu Version und Einsatzbeginn
- Zweck und Einsatzbereich im Unternehmen
- Risikoeinstufung: verbotene Praxis, Hochrisiko nach Anhang III, Transparenzpflicht nach Art. 50 oder minimales Risiko, jeweils mit der geltenden Frist
- Verarbeitete Datenarten und Rechtsgrundlage, bei Beschäftigtendaten einschließlich der Mitbestimmungsfrage
- Verantwortliche Person im Haus
- Schulungsnachweise nach Art. 4, mit Teilnehmerlisten statt Zertifikats-Sammelei
- Vorfälle und Änderungen, dazu der Schriftverkehr mit Anbietern
Der erste Schritt: die Schatten-KI finden
Die Inventur beginnt bei dem, was ohne Beschluss im Haus ist: das Übersetzungstool im Support und das Analyse-Feature, das ein Software-Anbieter per Update eingeschaltet hat. Dazu das KI-Konto, das sich jemand im Team privat angelegt hat und beruflich nutzt. Diese Systeme fehlen in jeder offiziellen Liste und tauchen in jeder Prüfung auf. Wer sie zuerst selbst findet, dokumentiert aus einer Position der Stärke.
Das Arbeitsbuch „Das KI-Verzeichnis" führt durch genau diese Inventur: Erfassungsbögen für bis zu 20 KI-Systeme und geführte Risiko-Checklisten, dazu ein Schulungsregister nach Art. 4 und die Protokolle für den laufenden Betrieb bis 2028. Es erscheint Ende Juli 2026 als A4-Arbeitsbuch.
Für Kanzleien und Beratungen gibt es das Verzeichnis als White-Label-Lizenz im eigenen Branding.