AI Act: 62% der Unternehmen ohne KI-Inventar

62% der Unternehmen wissen nicht, was sie einsetzen

Laut einem 2026 von SoftwareSeni zusammengestellten EY-Bericht führen nur 38% der Organisationen ein vollständiges Inventar ihrer in der Produktion befindlichen KI-Anwendungen. Die restlichen 62% navigieren ohne klaren Überblick.

Das ist kein administratives Detail. Der AI Act — der für Hochrisiko-Systeme am 2. August 2026 in voller Geltung tritt — setzt das Inventar als absolute Grundvoraussetzung. Kein Inventar bedeutet keine Klassifizierung. Keine Klassifizierung bedeutet keine Dokumentation.

Keine Dokumentation bedeutet keine Compliance. Die Kette ist linear und unerbittlich.

Im Klartext: Ein Unternehmen, das nicht weiß, was es einsetzt, kann das Gesetz nicht einhalten. Selbst wenn es wollte.

Das Inventar: Basisschicht, die niemand aufbaut

Der AI Act verpflichtet Betreiber dazu, jedes eingesetzte KI-System zu identifizieren, zu klassifizieren und zu dokumentieren — insbesondere solche, die sensible Bereiche berühren: Personalwesen, Kreditvergabe, Gesundheit, Bildung, kritische Infrastruktur. Das sind die in Anhang III aufgeführten Systeme mit den strengsten Anforderungen.

Doch bevor man klassifizieren kann, muss man auflisten. Und bereits das Auflisten ist das erste Problem.

Man stelle sich ein Lager vor, durch das nie jemand vollständig gegangen ist. Man weiß ungefähr, was hineingekommen ist, aber nicht mehr, was noch dort ist, in welchem Zustand und seit wann. Genau das ist die Situation der meisten großen Organisationen mit ihren KI-Tools: Systeme kommen, andere werden getestet und vergessen, Teams deployen ohne Einbindung der IT.

Die appliedAI-Studie zu 106 Enterprise-KI-Systemen veranschaulicht das Problem: 18% sind eindeutig Hochrisiko, 42% eindeutig niedrig Risiko, und 40% lassen sich nicht eindeutig klassifizieren. Selbst mit einem vorhandenen Inventar bleibt die Klassifizierung für einen großen Teil der Systeme unklar.

Shadow AI untergräbt die Inventarisierung

Der eigentliche blinde Fleck ist Shadow AI.

Laut dem Work Trend Index 2025 von Microsoft nutzen 71% der Mitarbeitenden nicht genehmigte KI-Tools bei der Arbeit. Diese Tools tauchen in keinem offiziellen Inventar auf. Ein Unternehmen, das glaubt, 5 KI-Systeme zu verwalten, hat möglicherweise 50.

Eine EY-Erhebung von 2026 bestätigt: 52% der KI-Initiativen auf Abteilungsebene funktionieren ohne formale IT-Genehmigung. Die Hälfte der operativen Deployments ist für Compliance-Teams per Definition unsichtbar.

Deloitte stellt fest, dass nur 21% der Unternehmen über ein reifes Governance-Modell für ihre KI-Agenten verfügen, während 75% planen, in den nächsten zwei Jahren mehr davon einzusetzen. Gebaut wird schneller als gesteuert. Unter dem AI Act wird diese Lücke zur direkten finanziellen Exposition.

Die DSGVO-Parallele: Unternehmen zögern, Sanktionen kommen später

Diesen Film haben wir schon gesehen.

Im Mai 2018 trat die DSGVO nach zwei Jahren Übergangsfrist in Kraft. In den Wochen vor der Deadline liefen Kanzleien auf Hochtouren, eilig eingestellte Datenschutzbeauftragte standen Schlange. Viele Unternehmen waren nicht bereit, ein Teil gab es zu und setzte darauf, dass die Durchsetzung langsam sein würde.

Kurzfristig lagen sie richtig. Die DSGVO-Durchsetzung brauchte Zeit. Aber sie kam: Die Bußgelder in der gesamten EU belaufen sich inzwischen kumulativ auf Milliarden Euro.

Der AI Act folgt demselben Muster: Ankündigung 2024, zwei Jahre Frist, Deadline August 2026 — und dieselben Signale einer oberflächlichen Compliance. Richtlinien auf Papier, aber kein echtes Inventar.

Der Unterschied liegt in der Höhe der Bußgelder. Die DSGVO deckelt bei 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes. Der AI Act geht auf 35 Millionen oder 7%. Verarbeitet ein KI-System zudem personenbezogene Daten — was häufig der Fall ist — addieren sich beide Regime. Die kombinierte Höchstgrenze kann 55 Millionen Euro für einen einzigen Verstoß erreichen.

Asymmetrische Durchsetzung: eine trügerische Beruhigung

Ein weiteres Signal, das zu Fehlschlüssen verleiten kann: Stand März 2026 haben nur 8 der 27 EU-Mitgliedstaaten einen nationalen Ansprechpartner für die AI-Act-Anwendung benannt — sieben Monate nach der dafür vorgesehenen gesetzlichen Frist.

Man darf bezweifeln, ob die Durchsetzung wirklich einheitlich sein wird. Die ehrliche Antwort: wahrscheinlich nicht, zumindest anfangs nicht.

Aber "sie setzen noch nicht durch" ist keine Compliance-Strategie. Es ist eine Wette. Unternehmen, die auf die Langsamkeit der DSGVO-Behörden gesetzt haben, lagen manchmal zwei oder drei Jahre lang richtig. Manche zahlen heute Bußgelder mit Zinsen.

Die Frage lautet nicht: "Werden wir erwischt?" Sondern: "Wollen wir dieses Risiko mit einer dokumentierten Non-Compliance eingehen?"

Wo anfangen: die ersten 3 Schritte eines KI-Inventars

Wenn die eigene Organisation noch kein KI-Inventar hat, lässt sich jetzt handeln, ohne auf ein formelles Compliance-Projekt zu warten.

Schritt 1: Aktive Tools erfassen. Jede Abteilung sollte alle genutzten KI-Tools auflisten, genehmigt oder nicht. Eine Woche Zeit und eine Garantie geben: Ziel ist das Inventar, nicht die Sanktion. Das Volumen wird wahrscheinlich überraschen.

Schritt 2: Nach Einsatzbereich priorisieren. Systeme, die HR, Kreditentscheidungen, Gesundheit oder die Bewertung von Personen berühren, fallen unter Anhang III. Sie kommen als erste in die Dokumentationswarteschlange.

Schritt 3: Uneindeutige Systeme identifizieren. Bei Tools, bei denen niemand sicher ist, wie sie zu klassifizieren sind, sollte die Unsicherheit dokumentiert werden. Eine Liste nicht klassifizierter Systeme mit Begründung ist bereits der Beginn eines Gutgläubigkeitsnachweises.

Das ist keine vollständige Compliance. Es ist Triage. Aber es ist der einzige Weg, einen blinden Fleck in ein handhabbares Problem zu verwandeln.

Der AI Act hat das Problem der KI-Governance nicht erfunden. Er hat ihm lediglich eine Frist und einen Preis gegeben.