Die EU-Datenbank für Hochrisiko-KI ist eines der ungewohnteren Elemente der KI-Verordnung. In der DSGVO gab es kein zentrales Register, jeder Verantwortliche pflegte sein eigenes Verzeichnis. Die KI-VO geht einen anderen Weg: Sie etabliert eine zentrale, öffentlich einsehbare Datenbank für alle Hochrisiko-KI-Systeme. Wer als KMU eine solche KI in Verkehr bringt, muss vor dem Markteintritt Stammdaten eintragen. Diese Daten sind weitgehend öffentlich. Das stellt manche Anbieter vor schwierige Wettbewerbsfragen, schafft aber zugleich Transparenz für Bürger und Marktüberwachung.
Auf einen Blick: Art. 71 EU AI Act schafft eine zentrale, öffentlich einsehbare EU-Datenbank für alle Hochrisiko-KI-Systeme nach Anhang III. Art. 72 verpflichtet zur Erfassung von Marktbeobachtungs-Daten. Anbieter müssen vor dem Inverkehrbringen Stammdaten eintragen: Name des Systems, Anbieter-Kontaktdaten, Anwendungsbereich nach Anhang III, kurze Beschreibung des Zwecks, Konformitätserklärung. Bei Behörden-Nutzung ist die Datenbank-Eintragung Pflicht, in den meisten anderen Hochrisiko-Fällen ebenfalls. Technische Dokumentation bleibt vertraulich und ist nur auf Anfrage zugänglich.
Was die EU-Datenbank ist und wer sie betreibt
Die EU-Datenbank für Hochrisiko-KI ist ein zentrales digitales Register. Es wird von der Europäischen Kommission gemeinsam mit den Mitgliedstaaten aufgebaut und betrieben. Stand Mai 2026 läuft die Datenbank im Pilotbetrieb, der vollständige Produktivstart ist auf den Anhang-III-Hochrisiko-Stichtag 02.12.2027 abgestimmt.
Der Zweck ist dreifach. Erstens: Transparenz für Bürger und Betroffene. Wer wissen will, welche Hochrisiko-KI in Deutschland im Einsatz ist, kann das in der Datenbank nachsehen. Zweitens: Werkzeug für die Marktüberwachung. Die Behörden haben sofort einen Überblick über die KI-Landschaft. Drittens: Statistische Grundlage für die EU-Politik. Welche Anwendungsbereiche wachsen, wo gibt es Cluster, welche Risiken treten gehäuft auf.
Pflicht zur Eintragung vor Inverkehrbringen
Art. 49 KI-VO etabliert die Registrierungspflicht. Art. 71 schafft das System dahinter, Art. 72 ergänzt die Post-Market-Beobachtungs-Logik. Vor dem Inverkehrbringen oder der Inbetriebnahme eines Hochrisiko-KI-Systems muss der Anbieter sich und das System in der Datenbank eintragen.
Eine Ausnahme: Hochrisiko-KI-Systeme, die bereits unter andere Sektor-Gesetzgebung (Medizinprodukteverordnung, Maschinen-Verordnung) fallen, werden in deren Datenbanken eingetragen, mit Verweis auf die EU-KI-Datenbank.
Eine zweite Ausnahme: KI-Systeme der nationalen Sicherheit fallen ohnehin nicht unter die KI-VO. Sie werden nicht in der öffentlichen Datenbank eingetragen.
Welche Daten der Anbieter einträgt
Anhang VIII Teil A listet die Stammdaten, die ein Anbieter eintragen muss. Identität des Anbieters mit Namen, Anschrift, Kontaktdaten. EU-Bevollmächtigter mit Anschrift, falls Drittland-Anbieter. Trade Name oder Handelsbezeichnung des KI-Systems. Anwendungsbereich nach Anhang III mit konkreter Kategorie und Anwendungsfall. Kurze Beschreibung des Zwecks und der Funktionsweise. Verweis auf die EU-Konformitätserklärung. Status des Systems: Inverkehrbringen, Inbetriebnahme, Marktrücknahme, oder ausgesetzt.
Was nicht in die Datenbank gehört: technische Dokumentation nach Anhang IV, Trainingsdaten-Details, proprietäre Algorithmen, Geschäftsgeheimnisse. Diese Inhalte bleiben beim Anbieter und werden nur auf Anfrage der Marktüberwachung übermittelt.
Was öffentlich einsehbar wird
Die Stammdaten sind öffentlich. Jeder Bürger kann nachsehen, welcher Anbieter welche Hochrisiko-KI in welchem Anwendungsbereich auf den Markt gebracht hat. Das schafft eine neue Form der Transparenz, die in der Geschichte der Produktregulierung in Europa beispiellos ist.
Vertraulich bleibt die technische Tiefe. Wer wissen will, wie ein Algorithmus genau funktioniert, welche Trainingsdaten verwendet wurden oder welche Genauigkeits-Metriken erreicht wurden, bekommt das nicht aus der Datenbank. Diese Daten liegen beim Anbieter und sind nur für die Marktüberwachung im Streitfall zugänglich.
Der private Bereich für Behörden
Ein Teilbereich der Datenbank ist nicht öffentlich, sondern nur für Behörden zugänglich. Hier landen Hochrisiko-KI-Systeme aus den Bereichen Strafverfolgung, Migration, Asyl und Grenzkontrollen. Diese Eintragungen sind notwendig für die Aufsicht, dürfen aber aus Sicherheits- und Ermittlungsgründen nicht öffentlich werden.
Behörden müssen sich für den Zugriff authentifizieren. Die Zugriffe werden protokolliert und sind Teil der Marktüberwachungs-Dokumentation.
Praktischer Eintragungs-Ablauf
Der Eintragungs-Prozess läuft über das EU-Konformitätsbewertungs-Portal. Stand Mai 2026 ist das Portal im Aufbau, Pilot-Anbieter testen es seit Mitte 2025.
Vier Schritte. Erstens: Anbieter-Registrierung mit Unternehmensdaten und Berechtigung. Zweitens: Anlage eines neuen KI-System-Datensatzes mit Anhang-VIII-Daten. Drittens: Hochladen der EU-Konformitätserklärung als PDF, signiert vom Anbieter. Viertens: Status setzen (Inverkehrbringen) und Datenbank-Eintrag finalisieren.
Bearbeitungszeit aktuell: zwei bis fünf Werktage für die Validierung durch die Datenbank-Administration. Nach Validierung ist der Eintrag öffentlich sichtbar.
Aktualisierungs-Pflicht des Anbieters
Der Anbieter muss seine Daten aktuell halten. Bei substanzieller Modifikation des KI-Systems, Wechsel des EU-Bevollmächtigten, Marktrücknahme oder Aussetzung muss der Eintrag in der Datenbank entsprechend angepasst werden.
Pflichten zur Aktualisierung sind in Art. 49 Abs. 1 verankert. Wer die Aktualisierung verschleppt, riskiert Bußgelder nach Art. 99 und Probleme bei der Marktüberwachungs-Prüfung.
Art. 72 Post-Market-Beobachtung
Art. 72 verlängert die Datenbank-Logik in die Post-Market-Phase. Marktüberwachungs-Behörden müssen schwerwiegende Vorfälle, Beschwerden nach Art. 85, Korrekturmaßnahmen und Marktrücknahmen in der Datenbank erfassen.
Für den Anbieter heißt das: jede Meldung nach Art. 73 (schwerwiegende Vorfälle binnen 15 Tagen) landet nicht nur bei der nationalen Behörde, sondern wird auch in der zentralen Datenbank dokumentiert. Über die Zeit entsteht eine Vorfall-Historie pro KI-System, die für die Marktüberwachung wichtige Mustererkennung erlaubt.
Drei Praxis-Beispiele
Eine HR-Tech-Plattform aus Stuttgart bringt eine KI-gestützte Recruiting-Software in Verkehr. Anwendungsbereich Anhang III Nr. 4 lit. a, Personalauswahl. Eintragung mit Firmenname, Plattform-Bezeichnung, kurzer Beschreibung der KI-gestützten Vorauswahl-Logik, EU-Konformitätserklärung als PDF. Status: Inverkehrbringen. Eintrag ist nach drei Werktagen öffentlich.
Eine Bank-Tochter in Frankfurt nutzt eine KI für Kreditwürdigkeitsprüfung im Mittelstandsbereich. Anwendungsbereich Anhang III Nr. 5 lit. b. Eintragung mit Anbieter (die Bank-Tochter selbst, weil sie das System selbst entwickelt hat), Trade Name, Beschreibung. Konformitätserklärung verweist auf interne Konformitätsbewertung nach Anhang VI. Eintrag öffentlich.
Eine Sicherheitsbehörde nutzt eine KI für Migrationskontrolle. Eintragung erfolgt in den nicht-öffentlichen Bereich der Datenbank. Aufsicht durch die zuständige Behörde, kein öffentlicher Zugriff auf die Stammdaten.
Wettbewerbsdenkliche Aspekte
Mittelständische Anbieter fragen sich verständlicherweise, ob die öffentliche Eintragung Wettbewerber zu sehr informiert. Drei beruhigende Punkte. Erstens: Die öffentlichen Daten sind Stammdaten, kein Verfahrenswissen. Wer den Algorithmus kopieren will, findet in der Datenbank nichts dafür Verwertbares. Zweitens: Die Transparenz gilt für alle Anbieter gleich. Wettbewerber stehen ebenfalls drin. Drittens: B2B-Kunden schätzen die Transparenz inzwischen als Vertrauenssignal. Wer eingetragen ist, signalisiert Compliance-Bereitschaft.
In der Praxis sehen wir bei unseren Teilnehmern aus dem DigiMan-Kurs, dass die anfängliche Skepsis gegenüber der Datenbank-Eintragung schnell weicht, sobald die ersten Eintragungen erfolgt sind. Der Schritt selbst dauert wenige Tage, der Wettbewerbsnachteil ist gering.
Verzahnung zu Art. 49 Registrierung
Art. 49 verpflichtet zur Eintragung, Art. 71 schafft das System, Art. 72 erweitert es um Post-Market-Beobachtung. Diese drei Artikel funktionieren als Trio und sollten gemeinsam gelesen werden. Wer nur einen davon im Blick hat, übersieht die Pflichten der anderen.
Praktisch heißt das: Anbieter eines Hochrisiko-KI-Systems brauchen einen Compliance-Plan, der die Eintragung, Aktualisierung und Vorfall-Meldung in einem Workflow abbildet. Ein dedizierter KI-Compliance-Manager im Unternehmen lohnt sich ab dem zweiten Hochrisiko-System.
Kosten der Eintragung
Die Eintragung in der EU-Datenbank ist gebührenfrei. Es entstehen indirekte Kosten für die Vorbereitung der Daten (zwei bis acht Stunden interner Aufwand pro System), für die anwaltliche Prüfung der Konformitätserklärung und für die laufende Aktualisierung.
Realistisch sind 1.500 bis 5.000 Euro einmaliger Aufwand für die erste Eintragung plus 300 bis 800 Euro jährlich für Pflege. Bei mehreren Systemen sinkt der Aufwand pro System durch Lerneffekte.
Eigene Haltung aus der Beratungspraxis
Die EU-Datenbank ist ein zweischneidiges Schwert. Transparenz für Bürger und Marktüberwachung steht gegen den natürlichen Wunsch von Anbietern, ihre Hochrisiko-KI diskret zu halten. Über die Zeit wird die Datenbank vermutlich zu einem positiven Signal werden. Wer eingetragen ist, signalisiert Seriosität. Wer es nicht ist und müsste, fällt auf. In der Beratungspraxis empfehlen wir, die Eintragung als Marketing-Argument aktiv zu nutzen, nicht als bürokratische Last zu behandeln.
Häufige Fragen
Muss ich meinen Algorithmus offenlegen? Nein. Die öffentliche Datenbank enthält nur Stammdaten zum System (Name, Anbieter, Anwendungsbereich, kurze Beschreibung, Konformitätserklärung). Der Algorithmus selbst, die Trainingsdaten und die technische Dokumentation bleiben vertraulich.
Sind Geschäftsgeheimnisse geschützt? Ja. Die KI-VO und die Datenbank-Verordnung respektieren Geschäftsgeheimnisse. Anbieter müssen sensible Inhalte nicht in der öffentlichen Datenbank veröffentlichen. Bei Behörden-Anfragen werden Geschäftsgeheimnisse vertraulich behandelt.
Was passiert, wenn ich nicht registriere? Verstöße gegen die Registrierungspflicht sind nach Art. 99 Abs. 4 mit Bußgeldern bis 7,5 Millionen Euro oder 1,5 Prozent des weltweiten Jahresumsatzes belegt. Außerdem riskierst du eine Marktrücknahme deines KI-Systems durch die Marktüberwachung.
Wie lange dauert die Eintragung? Stand Mai 2026 zwei bis fünf Werktage für die Validierung. Im vollständigen Produktivbetrieb ab Dezember 2027 wird die Validierung voraussichtlich schneller laufen.
Ist die Eintragung für KMU kostenlos? Die Eintragung selbst ist gebührenfrei. Interne Vorbereitungskosten (Personalstunden für Datenaufbereitung, anwaltliche Prüfung) fallen an. Marktüblich sind 1.500 bis 5.000 Euro einmalig.
Wer die parallel laufende Pflicht zur Registrierung nach Art. 49 nachvollziehen will, findet die Details in unserem Beitrag zur EU-Datenbank-Registrierung nach Art. 49. Die Weiterbildung zum Digitalisierungsmanager bei SkillSprinters deckt die Compliance-Architektur einschließlich Datenbank-Eintragung und Post-Market-Beobachtung als praktisches Modul ab. Für Arbeitsuchende über den Bildungsgutschein kostenfrei.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.