AI
AI Automation Hub
Cluster8 Min. Lesezeit1’578 Woerter
Central Entity: AI Automation

AI Governance: Frameworks, Standards und Schweizer Anforderungen

KI-Systeme treffen zunehmend Entscheidungen, die Menschen direkt betreffen – von Kreditprüfungen über Bewerbungsscreenings bis zu Kundenservice-Priorisierungen. Ohne klaren Governance-Rahmen entstehen Risiken: Diskriminierung, Datenschutzverletzungen, fehlende Nachvollziehbarkeit. Diese Seite zeigt dir, welche internationalen Standards und Schweizer Anforderungen gelten und wie du ein pragmatisches AI Governance Framework für dein Unternehmen aufbaust.

Was ist AI Governance?

AI Governance umfasst alle Richtlinien, Prozesse, Kontrollen und Verantwortlichkeiten, die sicherstellen, dass KI-Systeme verantwortungsvoll, ethisch und rechtskonform eingesetzt werden. Im Kern beantwortet AI Governance vier Fragen:

  1. Wer entscheidet über den Einsatz von KI und trägt die Verantwortung?
  2. Was darf die KI entscheiden – und was nicht?
  3. Wie wird sichergestellt, dass KI fair, transparent und datenschutzkonform arbeitet?
  4. Wann und wie werden KI-Systeme überprüft und angepasst?
AI Governance ist keine einmalige Checkliste, sondern ein lebendiges System, das mit der KI-Nutzung im Unternehmen wächst. Für Schweizer KMU, die zunehmend KI-Automatisierung einsetzen, wird ein strukturiertes Governance-Modell zur geschäftskritischen Notwendigkeit.

Internationale Standards und Frameworks

ISO 42001: AI Management System

ISO 42001 ist der erste internationale Standard für KI-Managementsysteme, veröffentlicht im Dezember 2023. Er bietet einen zertifizierbaren Rahmen für Organisationen, die KI entwickeln, bereitstellen oder nutzen.

Kernelemente von ISO 42001:

  • Kontext der Organisation: KI-relevante interne und externe Faktoren identifizieren
  • Führung und Engagement: Top-Management-Verantwortung für KI-Governance
  • Planung: Risiken und Chancen des KI-Einsatzes systematisch bewerten
  • Unterstützung: Kompetenzen, Bewusstsein und Kommunikation sicherstellen
  • Betrieb: KI-Lebenszyklus von Entwicklung bis Stilllegung managen
  • Leistungsbewertung: Monitoring, Messung, Analyse und Audit
  • Verbesserung: Nichtkonformitäten behandeln und kontinuierlich optimieren
Für Schweizer KMU ist eine Vollzertifizierung nach ISO 42001 oft nicht notwendig. Aber die Struktur bietet eine ausgezeichnete Orientierung für den Aufbau eines eigenen Governance-Frameworks.

NIST AI Risk Management Framework (AI RMF)

Das NIST AI RMF des US-amerikanischen National Institute of Standards and Technology ist ein freiwilliges Framework mit vier Kernfunktionen:

1. Govern (Steuern)
Organisatorische Strukturen, Richtlinien und Prozesse für KI-Risikomanagement etablieren. Dies umfasst Rollen, Verantwortlichkeiten und eine klare KI-Strategie.

2. Map (Erfassen)
KI-Systeme und ihre Kontexte systematisch erfassen. Welche KI wird eingesetzt? Für welche Zwecke? Welche Daten werden verwendet? Wer ist betroffen?

3. Measure (Messen)
Risiken quantifizieren und überwachen. Dazu gehören Fairness-Metriken, Genauigkeitsmessungen, Bias-Erkennung und Performance-Monitoring.

4. Manage (Managen)
Identifizierte Risiken mit konkreten Massnahmen adressieren. Risiken akzeptieren, mitigieren, transferieren oder vermeiden.

Das NIST AI RMF ist besonders wertvoll, weil es technologie-agnostisch und skalierbar ist. KMU können es auf ihre Bedürfnisse anpassen, ohne einen überdimensionierten Apparat aufzubauen.

EU AI Act: Risikobasierte Regulierung

Der EU AI Act ist die weltweit erste umfassende KI-Regulierung und tritt schrittweise in Kraft. Auch wenn die Schweiz nicht EU-Mitglied ist, hat der EU AI Act erhebliche Auswirkungen auf Schweizer Unternehmen.

Risikoklassifikation

Der EU AI Act klassifiziert KI-Systeme in vier Risikoklassen:

RisikoklasseBeispieleAnforderungen
Unannehmbares RisikoSocial Scoring, manipulative KIVerboten
Hohes RisikoKreditscoring, HR-Screening, medizinische DiagnostikStrenge Pflichten: Risikomanagement, Datenqualität, Transparenz, menschliche Aufsicht
Begrenztes RisikoChatbots, DeepfakesTransparenzpflichten
Minimales RisikoSpamfilter, Spiele-KIKeine spezifischen Pflichten

Relevanz für die Schweiz

Schweizer Unternehmen sind vom EU AI Act betroffen, wenn sie:

  • KI-Systeme in der EU anbieten oder einsetzen
  • KI-Systeme entwickeln, deren Output in der EU genutzt wird
  • Geschäftsbeziehungen mit EU-Unternehmen pflegen, die KI-Compliance fordern
Darüber hinaus ist zu erwarten, dass die Schweiz ähnliche Regulierungen einführen wird, um die Äquivalenz mit dem EU-Recht zu wahren. Die Vorbereitung auf den EU AI Act ist daher auch für rein inlandorientierte Schweizer KMU sinnvoll.

Schweizer Perspektive: nDSG und EDÖB

Neues Datenschutzgesetz (nDSG)

Das revidierte Schweizer Datenschutzgesetz (nDSG), in Kraft seit dem 1. September 2023, enthält mehrere Bestimmungen, die direkt relevant für KI-Governance sind:

Automatisierte Einzelentscheidungen (Art. 21 nDSG)
Wenn eine Entscheidung ausschliesslich auf automatisierter Verarbeitung beruht und erhebliche Auswirkungen auf die betroffene Person hat, muss das Unternehmen:

  • Die betroffene Person über die automatisierte Entscheidung informieren
  • Auf Verlangen den Standpunkt der betroffenen Person anhören
  • Die Entscheidung durch eine natürliche Person überprüfen lassen

Datenschutz-Folgenabschätzung (DSFA)
Bei KI-Systemen, die ein hohes Risiko für die Persönlichkeit oder die Grundrechte darstellen, ist eine DSFA erforderlich. Dies betrifft insbesondere:
  • Profiling mit hohem Risiko
  • Umfangreiche Verarbeitung besonders schützenswerter Personendaten
  • Systematische Überwachung öffentlicher Bereiche

Transparenzpflichten
Betroffene Personen müssen über die Verarbeitung ihrer Daten informiert werden – auch wenn KI-Systeme involviert sind. Dies umfasst den Zweck der Verarbeitung, die Kategorien der Empfänger und bei automatisierten Entscheidungen die Logik der Verarbeitung.

EDÖB-Empfehlungen

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat Empfehlungen für den Einsatz von KI herausgegeben, die über die gesetzlichen Mindestanforderungen hinausgehen:

  • Zweckbindung: KI-Systeme nur für den definierten Zweck einsetzen
  • Datenminimierung: Nur die notwendigen Daten verarbeiten
  • Transparenz: Erklärbarkeit von KI-Entscheidungen sicherstellen
  • Nichtdiskriminierung: Regelmässige Bias-Überprüfung durchführen
  • Menschliche Kontrolle: Bei kritischen Entscheidungen immer menschliche Aufsicht gewährleisten
Mehr Details zur Datenschutz-Compliance bei KI-Automatisierung findest du unter Datenschutzgesetz und AI.

AI Governance Framework für KMU: Pragmatische Implementierung

Ein KMU benötigt kein Enterprise-Governance-System. Aber es braucht Struktur. Das folgende Framework ist skalierbar und pragmatisch:

Ebene 1: AI Policy (Grundlage)

Ein schriftliches Dokument, das die Grundprinzipien des KI-Einsatzes im Unternehmen festlegt:

  • Zweck und Scope: Für welche Anwendungen wird KI eingesetzt?
  • Ethische Grundsätze: Fairness, Transparenz, Datenschutz, menschliche Aufsicht
  • Verantwortlichkeiten: Wer genehmigt KI-Projekte? Wer überwacht?
  • Rote Linien: Welche KI-Anwendungen sind ausgeschlossen?
  • Incident Management: Was passiert bei KI-Fehlentscheidungen?

Ebene 2: Risiko-Assessment (Bewertung)

Jedes KI-System wird vor dem Einsatz bewertet:

BewertungskriteriumNiedrig (1)Mittel (3)Hoch (5)
Auswirkung auf PersonenKeine direkte AuswirkungIndirekte AuswirkungDirekte erhebliche Auswirkung
DatentypAnonymisiertPseudonymisiertPersonenbezogen/sensitiv
AutonomiegradVorschlag mit ÜberprüfungTeilautomatisiertVollautomatisch
ReversibilitätLeicht umkehrbarTeilweise umkehrbarIrreversibel
Regulatorische RelevanzKeine spezifischeBranchenspezifischHochreguliert
Systeme mit einem Score über 15 erfordern eine vertiefte Prüfung und zusätzliche Kontrollen.

Ebene 3: Operative Kontrollen (Betrieb)

  • Logging und Monitoring: Alle KI-Entscheidungen protokollieren
  • Bias-Monitoring: Regelmässige Überprüfung auf diskriminierende Muster
  • Performance-Tracking: Genauigkeit und Zuverlässigkeit messen
  • Human-in-the-Loop: Bei kritischen Entscheidungen menschliche Überprüfung
  • Feedback-Schleifen: Betroffene können Entscheidungen anfechten

Ebene 4: Audit und Review (Überprüfung)

Mindestens jährlich sollte ein AI Audit durchgeführt werden:

Vertiefen Sie Ihr Wissen:
>
- AI Automation Implementierung
  • Compliance-Check: Einhaltung von nDSG, Branchenregulierung und interner Policy
  • Fairness-Audit: Statistische Analyse auf Diskriminierungsmuster
  • Transparenz-Check: Können Entscheidungen erklärt werden?
  • Datenqualitäts-Audit: Sind die Trainingsdaten aktuell und repräsentativ?
  • Security-Audit: Ist das KI-System gegen Manipulation geschützt?
    • Detaillierte Informationen zur Implementierung von Datenschutz bei AI Automation findest du unter AI Automation Implementierung: Datenschutz.

    AI Audit: Vertrauen schaffen durch Überprüfung

    Ein AI Audit ist die systematische Überprüfung eines KI-Systems auf Compliance, Fairness, Transparenz und Sicherheit. Für Schweizer KMU empfiehlt sich ein dreistufiger Ansatz:

    Stufe 1: Selbstbewertung (intern, quartalsweise)

    • Checkliste basierend auf der AI Policy
    • Metriken-Review (Genauigkeit, Fehlerquoten, Bias-Indikatoren)
    • Incident-Review: Gab es Beschwerden oder Fehlentscheidungen?

    Stufe 2: Peer Review (intern, halbjährlich)
    • Überprüfung durch eine unabhängige interne Stelle (z. B. Compliance, Revision)
    • Dokumentations-Check: Ist alles nachvollziehbar dokumentiert?
    • Stichproben-Überprüfung von KI-Entscheidungen

    Stufe 3: Externer Audit (jährlich oder bei Hochrisiko-Systemen)
    • Unabhängige Prüfung durch externe Spezialisten
    • Technische Tiefenprüfung: Modellanalyse, Datenqualität, Robustheit
    • Compliance-Prüfung gegen relevante Standards und Gesetze
    • Ergebnis: Audit-Bericht mit Empfehlungen

    Kosten für einen externen AI Audit in der Schweiz:
    • Einfaches System (Chatbot, Klassifikation): CHF 5'000–15'000
    • Mittlere Komplexität (Scoring, Prognose): CHF 15'000–40'000
    • Hochrisiko-System (automatisierte Entscheidungen): CHF 40'000–100'000

    Roadmap: AI Governance in 90 Tagen aufbauen

    Für KMU, die schnell starten möchten:

    Woche 1–2: Bestandsaufnahme

    • Alle KI-Systeme inventarisieren (inkl. eingebettete KI in SaaS-Tools)
    • Datenflüsse dokumentieren
    • Verantwortlichkeiten klären

    Woche 3–4: AI Policy erstellen
    • Grundprinzipien definieren
    • Risiko-Assessment-Prozess festlegen
    • Rote Linien definieren

    Woche 5–8: Operative Kontrollen einführen
    • Logging und Monitoring implementieren
    • Transparenz-Dokumentation erstellen
    • Feedback-Kanal für Betroffene einrichten

    Woche 9–12: Audit-Prozess etablieren
    • Audit-Checkliste erstellen
    • Ersten Selbst-Audit durchführen
    • Verbesserungsmassnahmen umsetzen

    Gesamtaufwand: 40–80 Personenstunden, verteilt auf 3 Monate.

    FAQ: Häufig gestellte Fragen zu AI Governance

    Braucht mein KMU wirklich AI Governance?

    Ja, sobald KI-Systeme Entscheidungen treffen oder vorbereiten, die Menschen betreffen. Das gilt auch für vermeintlich einfache Anwendungen wie E-Mail-Klassifikation oder Kundensegmentierung. Das Schweizer Datenschutzgesetz (nDSG) verpflichtet Unternehmen zudem zur Transparenz bei automatisierten Einzelentscheidungen. Ein pragmatisches Governance-Framework schützt dein Unternehmen vor rechtlichen Risiken und schafft Vertrauen bei Kunden und Mitarbeitenden.

    Wie unterscheiden sich ISO 42001 und NIST AI RMF?

    ISO 42001 ist ein zertifizierbarer Management-System-Standard – vergleichbar mit ISO 27001 für Informationssicherheit. Er definiert Anforderungen an ein KI-Managementsystem. Das NIST AI RMF ist ein freiwilliges Risikomanagement-Framework, das flexibler und pragmatischer einsetzbar ist. Für Schweizer KMU empfiehlt sich oft eine Kombination: Die Struktur von ISO 42001 als Orientierung, die praktischen Werkzeuge des NIST AI RMF für die Umsetzung.

    Ist der EU AI Act für Schweizer Unternehmen verbindlich?

    Direkt verbindlich ist der EU AI Act nur für Unternehmen, die KI-Systeme im EU-Markt anbieten oder nutzen. Indirekt hat er jedoch erhebliche Auswirkungen: Schweizer Zulieferer von EU-Unternehmen müssen Compliance nachweisen, und die Schweiz wird voraussichtlich ähnliche Regulierungen einführen. Eine proaktive Vorbereitung auf die Anforderungen des EU AI Act ist daher für alle Schweizer KMU empfehlenswert.

    Was kostet AI Governance für ein KMU?

    Die Grundlagen (AI Policy, Risiko-Assessment-Prozess, einfaches Monitoring) lassen sich mit 40–80 Personenstunden intern aufbauen. Externe Unterstützung für die initiale Erstellung kostet CHF 5'000–15'000. Ein jährlicher externer Audit liegt je nach Komplexität bei CHF 5'000–40'000. Die Investition steht in keinem Verhältnis zu den potenziellen Kosten einer Datenschutzverletzung oder eines Diskriminierungsfalls.

    Weiterführende Themen

    Erdinc AI

    Bereit fuer Ihre AI Automation Reise?

    Von der Strategie bis zur Implementierung — Erdinc AI ist Ihr Partner fuer semantisch optimierte AI-Loesungen in der Schweiz.

    Kostenlose BeratungServices ansehen
    OE

    Oezden Erdinc

    AI Architect for the Semantic Web

    Spezialisiert auf Topical Authority, Semantic SEO und AI Automation. Hilft Schweizer KMU, das volle Potenzial von kuenstlicher Intelligenz zu nutzen.

    Mehr ueber den Autor

    Verwandte Artikel

    Cluster5 Min. Lesezeit

    Agentic Workflows: Autonome Prozesssteuerung

    Agentic Workflows repraesentieren die naechste Stufe der Prozessautomatisierung. Statt starrer "Wenn-Dann"-Regeln steuern KI-Agenten komplette Geschaeftspr

    Agentic Workflows
    Cluster5 Min. Lesezeit

    AI Agent Frameworks: LangChain, CrewAI &

    Die Wahl des richtigen Frameworks ist eine der wichtigsten Entscheidungen bei der Entwicklung von [AI Agents](/ai-agents-guide). Dieser Vergleich analysier

    AI Agent Frameworks
    Cluster10 Min. Lesezeit

    AI Agent Plattformen — Autonome KI-Agenten

    AI Agents sind ein neues Paradigma in AI Automation. Während traditionelle Workflows wie Make oder n8n vordefinierte Schritte ausführen ("wenn X, dann Y"),

    AI Automation
    Cluster9 Min. Lesezeit

    Was sind AI Agents? Autonome Intelligenz für

    Für Jahrzehnte war Automation gleichbedeutend mit "befolge die Regeln". Eine Maschine führt Schritt 1, dann 2, dann 3 aus. Aber was passiert, wenn Schritt

    AI Automation
    Cluster13 Min. Lesezeit

    AI Automation Beratung

    Die Entscheidung, mit AI Automation zu starten, ist eine strategische Entscheidung. Die Ausführung ist eine technische und organisatorische Herausforderung

    AI Automation
    Pillar8 Min. Lesezeit

    AI Agents: Der komplette Guide fuer

    AI Agents repraesentieren einen fundamentalen Paradigmenwechsel in der Unternehmensautomatisierung. Waehrend traditionelle Automation starre Regeln befolgt

    AI Agents