KI-Register mit Excel erstellen: Anleitung, Vorlage und smarte Alternative

Ein KI-Register ist ein strukturiertes Verzeichnis aller im Unternehmen eingesetzten KI-Anwendungen - auch als KI-Inventar oder KI-Anwendungsverzeichnis bezeichnet. Es schafft Transparenz über alle KI-Assets, deren Zweckbestimmung, Verantwortlichkeiten und Risiken und bildet damit die zentrale Grundlage für die Einhaltung der EU-KI-Verordnung (KI-VO). Ohne ein sauber geführtes KI-Register lassen sich weder interne Audits noch externe Compliance-Prüfungen zuverlässig durchführen. In Zeiten steigender Anforderungen an ethische und rechtliche Standards für KI ist es deshalb entscheidend, den Überblick über sämtliche eingesetzten KI-Systeme zu behalten.

Ein KI-Register lässt sich mit Excel aufbauen, indem Sie strukturierte Tabellen für Asset-Beschreibung, Verantwortlichkeiten, KI-Rolle, Risikoklasse und Risikobewertung anlegen. Excel eignet sich besonders für eine erste Bestandsaufnahme, sobald jedoch mehrere Fachbereiche beteiligt sind, sich Einträge regelmäßig ändern oder Verknüpfungen zu anderen datenrechtlichen Dokumentationen notwendig werden, nimmt der manuelle Aufwand schnell zu. Durch strukturierte Tabellen lassen sich alle relevanten Informationen zu den KI-Anwendungen dokumentieren und nachverfolgen.

Im Folgenden erläutern wir, welche Informationen in das Excel-KI-Register aufgenommen werden sollten.

Zu jeder KI-Anwendung sollten Sie die grundlegende Beschreibung und die verantwortliche Abteilung festhalten. Hierbei ist auch der jeweilige Ansprechpartner zu nennen, der für die KI-Anwendung verantwortlich ist. Nutzen Sie dafür Spalten in Excel, um KI-Assets und deren Verantwortlichkeiten klar strukturiert darzustellen.

Dafür erstellen Sie die folgenden Spalten im Excel-Dokument: 

• Bezeichnung des KI-Assets
• Beschreibung des KI-Assets
• Verantwortliche Abteilung
• Ansprechpartner:in
• Risiko-Owner

Als nächstes muss für ein KI-Asset die Zweckbestimmung bzw. der „Use Case" beschrieben werden. Dabei geht es um spezifische Anwendungsmöglichkeiten von Künstlicher Intelligenz, bei der eine KI-Technologie eingesetzt wird, um ein konkretes Problem zu lösen oder einen bestimmten Mehrwert in einem bestimmten Geschäftsprozess oder Kontext zu schaffen. Es kann durchaus vorkommen, dass ein KI-Asset mehrere unterschiedliche Use Cases hat.

Außerdem sollte die Use Case spezifische Verantwortlichkeit im Unternehmen dokumentiert werden.

Legen Sie dafür die folgenden Spalten im Excel-Dokument an: 

• Zweckbestimmung (KI Use Case)
• Verantwortliche Abteilung
• Ansprechpartner

Als nächstes ist es wichtig festzuhalten, welche Rolle Ihr Unternehmen - unter Berücksichtigung der Vorgaben der KI-Verordnung (KI-VO) in Artikel 3 - einnimmt. Ebenso sollten Sie Ihrem Use Cases eine KI-Risikoklasse zuweisen. 

Dazu erstellen Sie weitere Spalten in Ihrer Tabelle mit folgenden Angaben:

• KI-Rolle: Auswahlfeld mit folgenden möglichen Angaben
  • Anbieter
  • Betreiber
  • Bevollmächtigter Vertreter
  • Importeur
  • Händler

• KI-Risikoklasse: Auswahlfeld mit folgenden möglichen Angaben
  • Minimal (Art. 69 KI-VO - keine zwingenden Pflichten) 
  • Eingeschränkt (Art. 50 KI-VO - Transparenzpflichten) 
  • Hoch (Art. 6, 7 + Annex III KI-VO - umfangreiche Dokumentations- und Konformitätspflichten) 
  • Inakzeptabel (Art. 5 KI-VO - verboten)

Eine vollständige Übersicht der Pflichten je Risikoklasse mit Checkliste finden Sie im Beitrag zu den Pflichten der KI-VO je Risikoklasse.

Eine detaillierte Risikoabschätzung kann als Bestandteil des KI-Registers verstanden werden. Da dafür sowohl eine tiefe technische als auch eine rechtliche Analyse notwendig ist, empfiehlt es sich, diesen Schritt erst nach Vervollständigung des initialen KI-Registers durchzuführen.

Für die Risikoabschätzung bzw. -bewertung bietet sich zunächst ein einfacher Prozess an, in dem zunächst mögliche Risiken identifiziert und beschrieben werden. Danach werden mitigierende Maßnahmen festgelegt und dokumentiert, um schließlich die Eintrittswahrscheinlichkeit und die Schadenshöhe des Risikos zu bewerten. 

Erstellen Sie dafür folgende Spalten in Ihrer Excel-Liste:

• Beschreibung des Risikos
• Beschreibung der mitigierenden Maßnahmen
• Eintrittswahrscheinlichkeit
• Schadenshöhe

Hinweis: Die Bewertungsskalen für die Eintrittswahrscheinlichkeit und die Schadenshöhe sind für das KI-Risikomanagement nicht vorgegeben. Eine mögliche Skala ist eine 4-stufige Einordnung in „Niedrig”, „Mittel”, „Hoch” und „Sehr Hoch”.

Bei der KI-Risikoidentifikation können Sie sich Schutzziele zunutze machen, um eine möglichst umfassende Bewertung durchzuführen. Der Einsatz von Schutzzielen ist in der Informationssicherheit schon gängige Praxis. 

Da sich aus der KI-Verordnung Schutzziele nicht abschließend ableiten lassen und der fachliche Diskurs unter Expert:innen noch im Gange ist, geben wir Ihnen eine Auswahl von möglichen Schutzzielen für Ihr KI-Anwendungsverzeichnis an die Hand. 

Erstellen Sie dafür im Excel-Dokument eine Spalte mit folgender Bezeichnung: 

• Schutzziele: 
  • Genauigkeit
  • Robustheit
  • Bias / Diskriminierung
  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit
  • Zweckbestimmtheit
  • Authentizität

Mit Excel ein KI-Register zu erstellen, ist grundsätzlich möglich – wenn auch etwas umständlich. Tatsächlich hat es drei konkrete Vorteile, ein KI-Register mit Excel zu realisieren.

1. Bekanntheit
Sie müssen sich nicht in eine neue Software einarbeiten: Vermutlich hat jede:r schon mal ein Tabellenkalkulationsprogramm wie Excel benutzt. Dementsprechend bedarf es für gewöhnlich keiner Einarbeitungszeit und Sie können mit einem KI-Register in Excel sofort loslegen.

2. Kostenersparnis
Excel ist meist in den Office-Paketen enthalten und ist in der Regel bereits vorinstalliert. Dadurch spart das Unternehmen zusätzliche Lizenzkosten.

3. Flexibilität
In der Gestaltung Ihres KI-Registers sind Sie sehr flexibel: Excel-basierte Lösungen sind nahezu universell einsetzbar und lassen sich beliebig auf ein Unternehmen abstimmen, variabel einrichten und jederzeit anpassen.

Den Vorteilen von Excel als KI-Register-Tool stehen auf der anderen Seite auch einige Nachteile gegenüber.

1. Keine Verknüpfungen

Zwar können Sie verschiedene Tabellen für unterschiedliche Datensätze anlegen. Diese miteinander zu verknüpfen, gestaltet sich oft schwierig. Dadurch machen Sie sich doppelte Arbeit. KI-Assets müssen zum Beispiel auch in Ihrer allgemeinen Asset-Liste aufscheinen. Ändert sich etwas in einer Liste, müssen Sie die andere Liste auch manuell ändern. Die gleiche Problematik ergibt sich in dem Fall, wenn eine KI auch personenbezogene Daten verarbeitet. Eine Verknüpfung mit Ihrem Verzeichnis von Verarbeitungstätigkeiten ist mit Excel kaum darstellbar. 

2. Manuelle Arbeit und Unübersichtlichkeit

Ein Excel-Dokument kann ein guter Start sein, um initial eine Übersicht über Ihre KI-Assets zu bekommen. Langfristig birgt Excel jedoch die Herausforderung, dass Sie bei jeder Änderung von Spalten und Zeilen erneut Aufwand mit der Formatierung haben werden. Bei einem KI-Anwendungsverzeichnis ist davon auszugehen, dass regelmäßig Updates geschehen. 

3. Keine Automatisierung

Sie verschenken das Potenzial von automatisierten Prozessen: Hierzu zählen beispielsweise automatische Benachrichtigungen, wenn jemand Anpassungen im Dokument vornimmt, sowie der automatisierte Eintrag von KI-Assets. 

4. Komplizierte Auswertung

Eine weitere Herausforderung ist die Auswertung: Denn ein KI-Register, das organisch in Excel wächst, lässt sich nur schwer so vereinfachen, dass Sie sofort den Überblick über Aufgaben haben. Allein ein Dashboard mit allen wichtigen Infos als Überblick lässt sich nur umständlich in Excel realisieren. Zudem kann eine Auswertung unbemerkt fehlerhaft werden, wenn sich Zeilen oder Spalten verändern. 

5. Fehlende Qualitätskontrolle und Versionierung

Ein KI-Register bietet die Basis für die Einhaltung Ihrer Compliance-Vorgaben. In diesem Dokument sollte die Qualität der Dokumentation auf dem höchsten Niveau sein. Excel präsentiert Ihnen weder eine Übersicht über den Status quo, noch kontrolliert das Programm die Richtigkeit und den Umfang Ihrer Eingaben. Außerdem gestaltet es sich schwierig, Änderungen in einzelnen KI Use Cases im Detail nachzuvollziehen. 

6. Fehlende Zusammenarbeit

Keine Einzelperson kann jederzeit eine Übersicht über alle KI-Assets oder KI-Anwendungen im Unternehmen haben. Neue KI-Systeme kommen laufend auf den Markt und es bedarf den ständigen Input aus anderen Unternehmensbereichen, um hier auf dem neuesten Stand zu sein. Mit Excel machen Sie es anderen KollegInnen schwer, sich am Dokumentationsprozess zu beteiligen oder direkt im Dokument mitzuarbeiten.

Ein KI-Register entfaltet seinen größten Nutzen dann, wenn es nicht isoliert geführt wird. In der Praxis bedeutet das: KI-Assets sollten mit Verantwortlichkeiten, Risiken und der übrigen Compliance-Dokumentation verknüpft sein - zum Beispiel mit dem Verzeichnis von Verarbeitungstätigkeiten (VVT) oder dem IT Asset-Management. Ändern sich Einträge, müssen sie sonst an mehreren Stellen manuell gepflegt werden. Eine integrierte Lösung verhindert genau das und schafft statt einer einfachen Liste einen belastbaren, auditfähigen Überblick.

Um den Dokumentationsprozess zu erleichtern und eine bessere Kontrolle zu behalten, kann eine spezialisierte Softwarelösung sinnvoll sein. Solche Tools bieten klare Strukturen und Automatisierungen, die den Dokumentationsaufwand verringern und gleichzeitig die Compliance-Anforderungen sicherstellen.

Folgende Funktionen dürfen Sie von einer professionellen KI-Compliance-Software erwarten:

• vordefinierte Eingabefelder für Ihr KI-Anwendungsverzeichnis
• Vorauswahl von KI-Rollen, KI-Risikoklassen und verantwortlichen Abteilungen
• Verknüpfung von KI-Assets mit Ihrem allgemeinen Asset-Verzeichnis

• vorbereitete Fragebögen für die Identifikation von KI-Anwendungen
• Versand von Fragebögen an die Belegschaft inklusive Nachverfolgung
• Benachrichtigung, wenn Software-Tools oder Assets dokumentiert werden, die möglicherweise KI nutzen

• KI-Assets mit Geschäftsprozessen bzw. Verarbeitungstätigkeiten verknüpfen
• KI-Anwendungen basierend auf der DS-FA Schwellwertanalyse identifizieren
• Nutzung bestehender Risiko-Vorlagen für das KI-Risikomanagement

• Zuweisung von Verantwortlichkeiten je KI-Asset bzw. Use Case
• Aufgaben- und Kommentarfunktion
• Anpassbares Rollenkonzept für fachbereichsübergreifende Zusammenarbeit
• automatische Benachrichtigung per E-Mail bei Änderungen

Eine professionelle Lösung speichert dabei nicht nur einzelne Felder, sondern verknüpft KI-Assets, Verantwortlichkeiten, Risiken und bestehende Dokumentation miteinander. Wenn Fachbereiche, Datenschutz und IT gemeinsam an einem System arbeiten, lassen sich Änderungen schneller nachhalten, Zuständigkeiten klar zuordnen und Nachweise für interne und externe Audits direkt aus der Plattform erzeugen.

Ein KI-Register mit Excel bietet eine erste Übersicht und ist ein sinnvoller Einstieg, wenn Sie zunächst eine Bestandsaufnahme Ihrer KI-Anwendungen durchführen möchten. Sobald jedoch mehrere Fachbereiche beteiligt sind, Einträge regelmäßig aktualisiert werden müssen oder Audit-Fähigkeit und Verknüpfungen mit bestehender Dokumentation gefragt sind, ist eine spezialisierte KI-Compliance-Software langfristig die bessere Wahl. Sie reduziert den manuellen Aufwand, sichert die Qualität der Dokumentation und schafft die Grundlage für eine prüfungsreife KI-Compliance.

Wenn Sie sofort starten möchten: Laden Sie unsere kostenlose Excel-Vorlage herunter - sie enthält alle im Beitrag beschriebenen Spalten und vordefinierte Auswahlfelder. Wer den nächsten Schritt gehen möchte, kann die KI-Compliance-Software von caralegal kostenlos testen.