Lukas Huber
Founder & AI Strategist
Schweizer KMU stehen vor der Herausforderung der KI-Governance & Compliance. Erfahren Sie praxisnahe Einblicke für rechtliche und ethische Rahmenbedingungen.
Jedes Schweizer KMU kennt den Druck: Effizienz steigern, wettbewerbsfähig bleiben, innovative Wege finden. Viele sehen in Künstlicher Intelligenz (KI) das nächste grosse Versprechen. Doch die Euphorie verdeckt oft eine zentrale Herausforderung, die weit über technische Fragen hinausgeht: die KI-Governance und Compliance.
Die Realität ist ernüchternd: Nur ein Bruchteil der Schweizer KMU hat sich bisher ernsthaft mit den rechtlichen und ethischen Rahmenbedingungen für den Einsatz von KI auseinandergesetzt. Das ist riskant. Denn während die KI-Systeme in den Betrieben ankommen, wachsen auch die Erwartungen der Aufsichtsbehörden und der Gesellschaft an einen verantwortungsvollen Umgang – nicht erst morgen, sondern heute.
Ein Beispiel aus der Praxis zeigt die Dringlichkeit: Eine Schweizer Treuhandgesellschaft, die KI-Tools zur automatisierten Belegverarbeitung testete, musste das Projekt stoppen, weil grundlegende Fragen des Datenschutzes und der Haftung ungeklärt blieben. Die Geschäftsleitung hatte die Komplexität der Governance unterschätzt. Solche Erfahrungen kosten nicht nur Geld, sondern auch Vertrauen und wertvolle Zeit, die ein KMU nicht im Überfluss hat.
📊 Fakten auf einen Blick:
- Fakt: 99.7% der Unternehmen in der Schweiz sind KMU (weniger als 250 Mitarbeiter). (Quelle: KMU.admin.ch, 2026)
- Fakt: KMU in der Schweiz sind für zwei Drittel der Arbeitsplätze und über 60% der Wertschöpfung verantwortlich. (Quelle: Swisspeers Blog, 2026)
Wie können Schweizer KMU die neuen KI-Governance-Anforderungen des revDSG und des EU AI Acts erfüllen?
Die Einhaltung der Anforderungen erfordert einen strukturierten Ansatz, der über reine Technologiethemen hinausgeht. Governance und Compliance sind keine optionalen Anhängsel, sondern fundamentale Säulen für jeden sicheren und verantwortungsvollen KI-Einsatz. Governance bedeutet dabei, das System zu entwerfen: Rollen, Richtlinien und Prozesse festzulegen. Compliance hingegen überprüft die Einhaltung dieser Vorgaben durch Monitoring, Audits und Korrekturmassnahmen.
Für Schweizer KMU sind primär zwei externe Bedingungen relevant: das revidierte Schweizer Datenschutzgesetz (revDSG) und der EU AI Act. Obwohl das revDSG bereits in Kraft ist, wird seine volle Tragweite im Kontext von KI oft unterschätzt. Es fordert einen transparenten und verhältnismässigen Umgang mit Personendaten, was bei vielen KI-Anwendungen, die auf Daten trainiert werden oder diese verarbeiten, direkt zum Tragen kommt. Konzepte wie "Privacy by Design" und die Durchführung von Datenschutz-Folgeabschätzungen (DSFA) sind hier keine Kür, sondern Pflicht.
Der EU AI Act ist zwar ein Gesetz der Europäischen Union, hat aber erhebliche Auswirkungen auf Schweizer Unternehmen, die KI-Systeme in die EU exportieren, in der EU betreiben oder deren Systeme auf EU-Bürger abzielen. Der Act verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems für Grundrechte oder Sicherheit, desto strenger die Anforderungen. Für Schweizer KMU bedeutet dies, dass sie ihre KI-Anwendungen auf potenzielle Risiken hin bewerten und die entsprechenden Compliance-Massnahmen ergreifen müssen. Dies kann von der Dokumentationspflicht bis hin zu Konformitätsbewertungsverfahren reichen.
| Anforderung | Relevanz für Schweizer KMU | Konkrete Massnahmen |
|---|---|---|
| Revidiertes Schweizer Datenschutzgesetz (revDSG) | Gilt für alle KI-Anwendungen, die Personendaten verarbeiten. Fokus auf Transparenz, Zweckbindung und Datenminimierung. |
|
| EU AI Act | Betrifft KMU, die KI-Systeme in der EU anbieten, nutzen oder deren Output sich auf Personen in der EU auswirkt (z.B. durch Dienstleistungen). Risikobasierter Ansatz. |
|
| ISO/IEC 42001 (AIMS) | Internationaler Standard für ein KI-Managementsystem. Bietet einen Rahmen für Governance und Compliance. Freiwillig, aber stark empfohlen. |
|
💡 Empfehlung: Proaktive Risikoanalyse
Warten Sie nicht, bis ein Problem auftritt. Führen Sie frühzeitig eine Risikoanalyse für Ihre KI-Anwendungen durch. Identifizieren Sie, welche Daten verarbeitet werden, welche Entscheidungen die KI trifft und welche potenziellen Auswirkungen dies auf Personen oder Ihr Geschäft hat. Dies hilft Ihnen, die Anforderungen des revDSG und des EU AI Act (falls zutreffend) gezielt anzugehen und unnötige Kosten oder Reputationsschäden zu vermeiden.
Welche konkreten Schritte muss ein Schweizer KMU unternehmen, um die ISO/IEC 42001 für KI-Governance zu implementieren?
Die Implementierung der ISO/IEC 42001 bietet einen klaren Fahrplan für ein robustes KI-Managementsystem (AIMS). Dieser internationale Standard ist zwar nicht obligatorisch, aber er liefert eine ausgezeichnete Struktur, um Governance und Compliance systematisch anzugehen. Als Lukas Huber, Gründer von schnellstart.ai, habe ich in meiner Praxis immer wieder gesehen, wie KMU von einem solchen Rahmen profitieren. Es geht nicht darum, ein riesiges Bürokratiemonster zu schaffen, sondern um eine praktikable Struktur, die Sicherheit und Vertrauen schafft.
Der erste Schritt ist eine Bestandsaufnahme: Wo stehen Sie mit Ihren aktuellen KI-Initiativen? Gibt es bereits Richtlinien oder Prozesse? Oftmals existieren in KMU einzelne Elemente unkoordiniert. Eine Gap-Analyse zeigt auf, welche Bereiche gemäss ISO 42001 noch aufgebaut oder verbessert werden müssen.
Danach folgt die Entwicklung von spezifischen KI-Richtlinien. Dazu gehören Ethik-Richtlinien, die den fairen und nicht-diskriminierenden Einsatz von KI sicherstellen, Datenschutz-Richtlinien, die den Umgang mit sensiblen Daten regeln, sowie Incident- und Change-Policies für den Betrieb und die Weiterentwicklung der KI-Systeme. Diese Dokumente bilden das Rückgrat Ihrer KI-Governance. Sie müssen konkret und verständlich formuliert sein, damit sie im Alltag auch gelebt werden können.
💡 Tipp: Fokus auf Pragmatismus
Als KMU müssen Sie keine komplexen Konzepte überstürzen. Beginnen Sie mit einem überschaubaren KI-Projekt. Dokumentieren Sie die dabei gewonnenen Erkenntnisse und passen Sie Ihre Governance-Struktur iterativ an. Ein "KI-Governance-PolicyAllgemeinMuster.pdf" kann ein guter Startpunkt sein, muss aber auf Ihre spezifische Situation zugeschnitten werden. Das Ziel ist, dass die Governance Ihre Geschäftstätigkeit unterstützt, nicht behindert.
Ein kritischer Punkt ist die klare Zuweisung von Rollen und Verantwortlichkeiten. Wer ist für die Datenqualität verantwortlich? Wer genehmigt neue KI-Modelle? Wer überwacht die Performance? Ein RACI-Modell (Responsible, Accountable, Consulted, Informed) kann hier Klarheit schaffen. Es ist entscheidend, dass diese Rollen operativ zugeordnet und die entsprechenden Kompetenzen vorhanden sind. Ohne diese klare Zuweisung verläuft jede Governance-Initiative im Sande.
Schliesslich müssen Kontrollen implementiert und Nachweise gesammelt werden. Dies umfasst technische Kontrollen zur Sicherstellung der Datenintegrität und Modellsicherheit, aber auch organisatorische Kontrollen wie regelmässige Schulungen der Mitarbeitenden. Messen Sie regelmässig KPIs (Key Performance Indicators) der KI-Systeme und führen Sie interne Audits durch. Nur so können Sie die Wirksamkeit Ihrer Governance überprüfen und kontinuierlich verbessern. Denken Sie daran: Governance ist kein einmaliges Projekt, sondern ein fortlaufender Prozess.
🚀 Praxis-Beispiel: Der regionale Bauzulieferer
Ein Schweizer Bauzulieferer mit 80 Mitarbeitenden setzte eine KI zur Optimierung seiner Lagerbestände ein. Um die ISO/IEC 42001 schrittweise zu erfüllen, wurde ein kleiner "KI-Verantwortlicher" (Teilzeitrolle) ernannt, der die Datenherkunft und Modell-Updates dokumentierte. Es wurde eine einfache "KI-Ethik-Checkliste" erstellt, um sicherzustellen, dass die Bestellvorschläge keine Diskriminierung von Lieferanten verursachen. Monatliche, kurze Reviews mit der Geschäftsleitung dienten als Audit. Dies zeigte, dass auch mit begrenzten Ressourcen ein sinnvoller Start möglich ist.
Warum ist die Integration von Rollen, Prozessen und Kontrollen entscheidend für die Compliance im KI-Einsatz von Schweizer Unternehmen?
Die fragmentierte Betrachtung von Rollen, Prozessen und Kontrollen führt unweigerlich zu Compliance-Lücken und erhöht das Risiko für Ihr Unternehmen. Wer KI nur als Technologieprojekt betrachtet, übersieht die organisatorischen und menschlichen Faktoren, die für den Erfolg und die Sicherheit entscheidend sind. Ein KI-Modell ist niemals losgelöst vom Kontext, in dem es entwickelt und eingesetzt wird. Es agiert innerhalb eines Systems, das von Menschen entworfen, überwacht und bei Bedarf korrigiert werden muss.
Stellen Sie sich vor, ein Schweizer Dienstleistungs-KMU nutzt eine KI für die Personalauswahl. Wenn die Verantwortlichkeiten für die Überprüfung der Fairness des Algorithmus nicht klar definiert sind (Rolle), keine Prozesse existieren, die eine regelmässige Bias-Prüfung vorschreiben (Prozess), und keine technischen Kontrollen implementiert sind, die auffällige Muster erkennen (Kontrolle), dann ist die Tür für Diskriminierung weit offen. Solche Vorfälle können nicht nur rechtliche Konsequenzen nach sich ziehen, sondern auch den Ruf des Unternehmens nachhaltig schädigen.
Die Integration bedeutet, dass diese drei Elemente – Rollen, Prozesse, Kontrollen – nicht isoliert betrachtet, sondern als eng verzahntes System konzipiert werden. Eine gut formulierte Richtlinie (Prozess) ist wertlos, wenn niemand die Verantwortung für ihre Umsetzung trägt (Rolle) oder wenn es keine Möglichkeit gibt, ihre Einhaltung zu überprüfen (Kontrolle). Dies ist der Kern des "Block 3 Analyse"-Ansatzes, den ich in meiner Arbeit anwende: Sind Policies, Rollen, Prozesse, Kontrollen, KPIs und Audits tatsächlich integriert und aufeinander abgestimmt?
Ein konkretes Beispiel für mangelnde Integration sind oft die Risikobetrachtungen. Technische Risiken (Modellfehler, Datenlecks) werden vielleicht adressiert, aber organisatorische Risiken (fehlende Schulung, unklare Weisungen) oder ethische Risiken (Bias, mangelnde Transparenz) bleiben unbeachtet. Dabei sind gerade letztere für die Reputation und Haftung eines KMU von grösster Bedeutung. Transparenz und Erklärbarkeit sind hier keine abstrakten Konzepte, sondern müssen in konkreten "Model Cards" oder mittels SHAP-Werten nachweisbar gemacht werden.
Die kontinuierliche Messung von KPIs und regelmässige Audits sind das Scharnier zwischen Governance und Compliance. Sie sind der Beweis dafür, dass Ihr System nicht nur auf dem Papier existiert, sondern auch in der Praxis funktioniert. Ohne belastbare Nachweise, dass Richtlinien eingehalten und Kontrollen wirksam sind, können Sie im Ernstfall keine Compliance belegen. Das DSFA Merkblatt 1, das ich in meiner Arbeit nutze, betont genau diese Notwendigkeit der Nachvollziehbarkeit und Dokumentation. Es geht darum, eine "Evidence-basierte" Compliance zu schaffen.
⚠️ Warnung: Der Mythos der "Black Box"
Viele KMU glauben, KI sei eine undurchsichtige "Black Box", deren Entscheidungen nicht nachvollziehbar sind. Das ist ein gefährlicher Mythos. Zwar sind einige Modelle komplex, doch gibt es etablierte Methoden (z.B. SHAP-Werte, LIME), um die Erklärbarkeit zu verbessern und die wichtigsten Einflussfaktoren für KI-Entscheidungen zu identifizieren. Ihre Pflicht als Verantwortlicher ist es, diese Transparenz zu fordern und zu gewährleisten, insbesondere bei hochriskanten Anwendungen. Eine fehlende Erklärbarkeit ist keine Ausrede, sondern ein Governance-Problem.
Die Integration von Rollen, Prozessen und Kontrollen ist letztlich ein Ausdruck von Professionalität und verantwortungsvoller Unternehmensführung. Sie minimiert nicht nur rechtliche Risiken, sondern schafft auch Vertrauen bei Kunden, Mitarbeitenden und Partnern. Ein Schweizer KMU, das diese Integration ernst nimmt, positioniert sich als zukunftsfähig und zuverlässig – ein entscheidender Wettbewerbsvorteil in einer immer stärker datengesteuerten Welt.
Als Lukas Huber von schnellstart.ai habe ich die Erfahrung gemacht, dass KMU, die diese Integration von Anfang an mitdenken, deutlich weniger Rückschläge erleben. Sie können KI schneller und sicherer skalieren, da die grundlegenden Rahmenbedingungen stimmen. Es ist eine Investition, die sich langfristig auszahlt.
Die Fähigkeit, KI nicht nur technisch zu beherrschen, sondern auch ihre Governance und Compliance zu steuern, wird für Schweizer KMU zu einem entscheidenden Faktor für ihren Geschäftserfolg. Es ist der Unterschied zwischen einem kurzfristigen Hype und einer nachhaltigen Wertschöpfung.
Fazit
KI-Governance und Compliance sind keine optionalen Zusätze, sondern das Fundament für einen sicheren, verantwortungsvollen und damit letztlich erfolgreichen Einsatz von Künstlicher Intelligenz in Schweizer KMU. Das revDSG und der EU AI Act setzen klare Rahmenbedingungen, die aktiv gemanagt werden müssen. Wer jetzt handelt, schafft sich einen entscheidenden Wettbewerbsvorteil und schützt sein Unternehmen vor unnötigen Risiken.
✅ Verstehen Sie die Grundlagen: Unterscheiden Sie klar zwischen Governance (Systemdesign) und Compliance (Systemüberprüfung). Beide sind unerlässlich.
✅ Handeln Sie proaktiv: Bewerten Sie Ihre KI-Anwendungen hinsichtlich revDSG und EU AI Act Relevanz. Eine frühzeitige Risikoanalyse erspart Ihnen spätere, teure Korrekturen.
✅ Integrieren Sie systematisch: Etablieren Sie klare Rollen, definieren Sie transparente Prozesse und implementieren Sie messbare Kontrollen. Nur eine ganzheitliche Integration führt zu belastbarer Compliance.
Möchten Sie mehr darüber erfahren, wie Sie KI-Governance und Compliance in Ihrem Schweizer KMU pragmatisch umsetzen können? Kontaktieren Sie uns für ein unverbindliches Erstgespräch.
Verwandte Artikel
Newsletter
Wöchentliches Briefing zu Schweizer AI & Deep Tech.