Kontrollen für KI-Systeme nach Risikoklasse: Ein pragmatischer Leitfaden für Schweizer KMU

Vielleicht kennen Sie das: Die IT hat längst einen Spamfilter installiert, im Marketing experimentiert jemand mit ChatGPT, und aus dem HR kommt der Vorschlag, die Vorsortierung von Bewerbungen künftig mit einem «intelligenten» Tool durchzuführen. Was vor zwei Jahren noch Zukunftsmusik war, ist heute Alltag – oft schneller, als Richtlinien hinterherkommen. 

Und dann die Frage in der Geschäftsleitung: Ist das alles eigentlich erlaubt? Wer haftet, wenn etwas schiefgeht? Brauchen wir für den Spamfilter dieselben Kontrollen wie für das Recruiting-Tool? 

Die kurze Antwort: Nein. Die etwas längere: Es kommt darauf an – und genau das macht die Sache unübersichtlich. Denn während ein falsch sortierter Spam-Ordner höchstens ärgerlich ist, kann eine diskriminierende Bewerberauswahl rechtliche und reputationsbezogene Folgen haben, die ein KMU ernsthaft treffen. 

Die gute Nachricht: Nicht jede KI erfordert denselben Kontrollaufwand. Je nach Risikoklasse genügen unterschiedlich aufwendige Massnahmen, um rechtlich, ethisch und operativ auf der sicheren Seite zu bleiben. Dieser Leitfaden zeigt, welche das sind – pragmatisch, umsetzbar und auf die Realität von Schweizer KMU zugeschnitten. 

Hinweis zum regulatorischen Umfeld 

In der Schweiz existiert derzeit keine spezifische KI-Verordnung. Die folgenden Erläuterungen orientieren sich an europäischen Best Practices, konkret an der EU-KI-Verordnung (KI-VO), und bilden einen freiwilligen Mindeststandard für einen verantwortungsvollen KI-Einsatz. 

Dieser Leitfaden beschreibt eine bewusst konservative Referenzarchitektur für den verantwortungsvollen Einsatz von KI. Er ist nicht als rechtlicher Massstab konzipiert. Abweichungen von den empfohlenen Massnahmen sind zulässig, sofern sie risikobasiert begründet, dokumentiert und verantwortet erfolgen. 

Der Einsatz von KI-Anwendungen kann – und soll – je nach Unternehmensgrösse, Branche und spezifischen Anforderungen angepasst werden. Die Orientierung an europäischen Best Practices bereitet zugleich proaktiv auf künftige regulatorische Entwicklungen vor. 

Die KI-VO ordnet KI-Systeme nach ihrem Risikopotenzial in vier Kategorien ein: 

• KI mit unannehmbarem Risiko – grundsätzlich verboten 

• KI mit hohem Risiko – strenge Kontrollen 

• KI mit begrenztem Risiko – Transparenzpflichten und bewusste Nutzung 

• KI mit minimalem Risiko – grundlegende Governance 

Massgeblich für die Einordnung ist nicht die Technologie selbst, sondern der konkrete Einsatzzweck und die möglichen Auswirkungen auf Betroffene. Ein Sprachmodell kann je nach Anwendung in unterschiedliche Kategorien fallen. Die nachfolgenden Abschnitte beschreiben für jede Risikostufe die erforderlichen Kontrollen – von absoluten Verboten bis hin zu minimalen Dokumentationspflichten. 

KI-Systeme mit unannehmbaren Risiken 

Die KI-VO definiert eine Kategorie von KI-Systemen mit sogenannten «unannehmbaren» Risiken, deren Einsatz innerhalb der EU grundsätzlich untersagt ist. Eine vergleichbare, verbindliche Verbotskategorie kennt die Schweiz derzeit nicht. 

Für Schweizer KMU kann diese europäische Systematik gleichwohl als praxisnahe Orientierung dienen. Sie zieht «rote Linien» dort, wo erfahrungsgemäss besonders hohe Risiken für Grund- und Persönlichkeitsrechte, Datenschutz sowie arbeitsrechtliche Schutzinteressen entstehen – und wo erhebliche Reputations- und Haftungsrisiken drohen. Die nachfolgenden Ausschlusskriterien beruhen daher auf einer bewusst restriktiven, vorsorglichen Auslegung. Das Ziel besteht nicht darin, EU-Recht «nachzubauen», sondern Graubereiche zu meiden, in denen typischerweise erhebliche kontextbezogene Risiken auftreten – auch ohne ausdrückliches Schweizer Verbot. 

Diese Orientierung gewinnt besondere Relevanz, sobald ein EU-Bezug besteht. Schweizer KMU können faktisch in den Anwendungsbereich europäischer Anforderungen geraten oder vertraglich daran gebunden werden – etwa wenn KI-Systeme für Personen in der EU eingesetzt werden, wenn Leistungen in die EU erbracht werden oder wenn das Unternehmen als Anbieter, Auftragsbearbeiter oder Subunternehmer Teil einer EU-Wertschöpfungskette ist. In solchen Konstellationen können die Vorgaben der KI-Verordnung mittelbar greifen: über Compliance-Klauseln, Lieferantenanforderungen, Audits oder Haftungsregelungen. Funktionen, die nach EU-Systematik als «unannehmbar» gelten, werden dann nicht nur theoretisch, sondern operativ geschäftskritisch. 

Der Red-Line-Check (Best Practice) 

Zur strukturierten Risikosteuerung empfiehlt sich ein standardisierter Red-Line-Check als Pflichtschritt: 

• Durchführung vor Beschaffung neuer KI-Tools, vor Implementierung, nach Anbieter-Updates/Funktionserweiterungen sowie im jährlichen Review bestehender Systeme. 

• Eine klar benannte Stelle (z. B. Compliance, Datenschutz oder IT-Leitung) trägt die Prozessverantwortung. 

• Jeder Check wird protokolliert; ohne dokumentierte Freigabe geht kein KI-Tool in den Betrieb. 

Der Red-Line-Check dient der präventiven Governance: Er schafft nachvollziehbare Entscheidungen, reduziert Haftungs- und Reputationsrisiken und unterstützt – bei EU-Schnittstellen – auch die Anschlussfähigkeit an europäische Partneranforderungen. 

Vorsorgliche Ausschlusskriterien 

Die nachfolgenden Ausschlusskriterien definieren KI-Funktionen und Einsatzszenarien, die unabhängig von der Risikokategorie vorsorglich nicht eingesetzt werden sollen. Wie bereits erläutert, orientieren sie sich am Schutzziel der KI-VO sowie an datenschutz- und arbeitsrechtlichen Grundprinzipien und dienen dazu, unvertretbare Risiken frühzeitig auszuschliessen, bevor eine vertiefte Risikobewertung oder Kontrollzuordnung erfolgt. 

Biometrische Analyse und Emotionserkennung 

• Funktionen zur Analyse biometrischer Daten (z. B. Gesichtserkennung, Stimmmuster) oder zur Ableitung von Emotionen/mentalen Zuständen sind auszuschliessen. Dies umfasst auch «versteckte» Features wie «Engagement Score», «Speaker Sentiment» o. ä. 

Social Scoring 

• Die Aggregation von Verhaltens-, Leistungs- oder Nutzungsdaten zu Rankings, Scores oder Risikoeinstufungen (z. B. «Risk Rating», «Productivity Index») ist auszuschliessen. 

Manipulative Funktionen / Verhaltensbeeinflussung 

• Verdeckte Ranking- oder Empfehlungssteuerung, adaptive Verhaltensbeeinflussung sowie psychologisch steuernde Mechanismen ohne transparente Aufklärung sind auszuschliessen. 

Analyse privater Kommunikation 

• Die automatisierte Analyse persönlicher E-Mails, Chat-Inhalte oder anderer privater Kommunikation durch KI ist auszuschliessen (insbesondere, wenn Zweck, Umfang und Transparenz nicht sauber abgesichert sind). 

Verdeckte Verhaltenserfassung 

• Echtzeit-Aktivitätstracking, lückenlose Protokollierung von Arbeitsabläufen oder automatische Verhaltensanalysen ohne Wissen der Betroffenen sind auszuschliessen. 

Intransparente Black-Box-Systeme in sensiblen Bereichen 

• KI-Systeme in sensiblen Bereichen (z. B. HR, Leistungsbeurteilung, Compliance), bei denen der Anbieter keine ausreichende Transparenz zu Zweck, Funktionsprinzip und Entscheidungslogik bietet, sind auszuschliessen. 

Wichtiger Umsetzungshinweis 

Kritische Funktionen sind bei vielen Anbietern standardmässig aktiviert. Vor jeder Freigabe muss daher geprüft werden, ob verbotene oder ausgeschlossene Features tatsächlich deaktiviert oder technisch unterbunden sind. Erst nach dieser Bereinigung lässt sich das System einem erneuten Red-Line-Check unterziehen. 

Einordnung für Schweizer KMU 

Wie bereits erwähnt, stellen diese Ausschlusskriterien kein Schweizer Rechtsverbot dar, sondern dienen als vorsorgliche Leitplanke: Sie ermöglichen es, besonders risikoreiche KI-Funktionen in diesem Kontext konsequent auszuschliessen, Graubereiche zu vermeiden und bei Schnittstellen zur EU die kommerzielle wie vertragliche Anschlussfähigkeit zu wahren. 

Hochrisiko-KI-Systeme 

Die Kategorie der Hochrisiko-KI-Systeme aus der KI-VO dient auch hier als Orientierungsrahmen für Schweizer KMU, um angemessene interne Kontrollen für KI-Systeme mit erheblichem Einfluss auf Menschen zu etablieren. Es geht nicht um eine formale Rechtsübernahme, sondern um eine praxisnahe Risikodifferenzierung. 

Im Mittelpunkt steht hierbei nicht die Frage, ob eine KI formal autonom entscheidet, sondern ob ihre Ausgaben den Entscheidungsprozess tatsächlich beeinflussen. Dies ist insbesondere dann der Fall, wenn KI-Systeme Entscheidungen vorbereiten, vorstrukturieren oder faktisch vorwegnehmen («präjudizieren») – etwa im Recruiting, bei Bonitäts-, Risiko- oder Compliance-Bewertungen, im Sanktions- oder Fraud-Screening. 

Auch empfehlende Systeme können eine entscheidungsähnliche Wirkung entfalten: dann nämlich, wenn ihre Ergebnisse regelmässig übernommen werden, zeitlichen Druck erzeugen oder als objektiv wahrgenommene Vorselektion dienen. Genau hier greifen die verschärften Kontrollen dieser Risikokategorie. 

Für Schweizer KMU ist diese Einordnung besonders relevant, da sie KI-Systeme betrifft, 

• die in der Schweiz typischerweise produktiv genutzt werden, und 

• bei denen der regulatorische Fokus auf dem Umgang mit spezifischen Risiken liegt – nicht auf einem Einsatzverbot. 

Die nachfolgenden Kontrollen sind daher bewusst praxistauglicher ausgestaltet als die formalen Vorgaben der KI-VO, ohne deren Schutzziel zu relativieren. Sie ermöglichen es, KI-Systeme weiterhin «sicher» und «sauber« einzusetzen und zugleich dort gezielt Kontrolle, Transparenz und Verantwortlichkeit sicherzustellen, wo reale Auswirkungen auf Personen entstehen. 

Basis-Kontrollen für KI-Systeme mit entscheidungsrelevantem Einfluss 

Menschliche Kontrolle (Human Oversight) 

• KI-Ausgaben mit Personenbezug dienen ausschliesslich als Entscheidungsvorschläge. 

• Automatisierte Entscheidungsfunktionen sind deaktiviert. 

• Anwendung des Vier-Augen-Prinzips bei allen entscheidungsrelevanten Bewertungen. 

• Jede Prüfung wird protokolliert (prüfende Person, Zeitpunkt, Übernahme oder Abweichung). 

Nachvollziehbarkeit 

• Dokumentation der wesentlichen Einflussfaktoren, Datenarten und Modellgrenzen. 

• Vertragliche Verpflichtung von Anbietern zur Offenlegung zentraler Funktionsprinzipien. 

• Prüfende Personen erhalten ausreichende Informationen zur kritischen Einordnung der Ergebnisse. 

Fehlertests und Bias-Prüfung 

• Regelmässige Tests mit realistischen und bewusst gestörten Eingaben. 

• Obligatorische Bias-Analysen (z. B. Geschlecht, Alter, Herkunft, Sprache). 

• Nutzung von Confidence-Scores oder Unsicherheitsindikatoren, wo verfügbar. 

• Dokumentation der Ergebnisse in einem Validierungsprotokoll. 

Protokollierung 

• Einheitliches Logging von Eingangsdaten, Modellversion, KI-Output und menschlicher Entscheidung. 

• Aufbewahrung gemäss rechtlichen und organisatorischen Anforderungen. 

• Sicherstellung der technischen Integrität (Zugriffskontrollen, Zeitstempel). 

Änderungsmanagement 

• Auditfähiger Freigabeprozess für Änderungen an Modell, Datenbasis oder Konfiguration. 

• Vollständiges Change-Log inkl. Verantwortlichkeiten und Testergebnissen. 

• Anbieter-Updates lösen eine erneute Prüfung aus. 

Lieferantenmanagement 

• Vertragliche Anforderungen an Transparenz, Sicherheit und Änderungsinformationen. 

• Auditmöglichkeiten oder anerkannte Zertifikate (z. B. ISO 27001, SOC 2). 

• Regelmässige Reviews, mindestens jährlich oder anlassbezogen. 

Schulung 

• Schulungen zu Fehlmustern, Bias-Risiken, Modellgrenzen und Eskalationswegen. 

• Verpflichtend vor Erstnutzung, danach jährliche Auffrischung. 

• Vollständige Dokumentation aller Kompetenznachweise. 

Zusätzliche Anforderungen bei ausgeprägter Hochrisiko-Wirkung 

Erreichen KI-Systeme eine ausgeprägt entscheidungsvorprägende oder faktisch mitentscheidende Wirkung, greifen zusätzliche Anforderungen. 

• Ein strukturiertes Dateninventar dokumentiert Datenquellen, Datentypen, Schutzbedarf, bekannte Verzerrungsrisiken sowie Aktualität und Validierungszyklen. Vor jedem Update ist die Datenqualität zu prüfen; externe Anbieter sind zur Offenlegung relevanter Informationen zu verpflichten. 

• Die menschliche Kontrolle wird weiter verschärft: Keine Entscheidung erfolgt ohne dokumentierte Prüfung durch Personen mit nachgewiesener Kompetenz. Diese müssen in der Lage sein, begründet vom KI-Vorschlag abzuweichen. Jede Entscheidung wird kommentiert, und klare Eskalationsregeln definieren den Umgang mit Unsicherheiten oder Grenzfällen. 

• Die Fehlererkennung umfasst eigene Testdatensätze mit Grenzfällen und Störszenarien, vertiefte Bias- und Stabilitätsanalysen sowie die systematische Erfassung erkannter Fehlentscheidungen zur Trendanalyse. Jeder Testzyklus wird vollständig dokumentiert – in einer dem Systemrisiko angemessenen Detailtiefe. 

• Die Dokumentation erfolgt auf drei Ebenen: Dateninventar, Entscheidungs-Log und Change-Log. Aufbewahrung, Zugriffsschutz und Manipulationssicherheit sind gewährleistet; regelmässige Stichproben-Audits sichern die Qualität. 

• Besondere Bedeutung kommt dem verschärften Lieferantenmanagement zu. In der Praxis zeigt sich häufig, dass Anbieter die geforderte Transparenz nur eingeschränkt liefern. Diese Situation ist nicht als Ausnahme, sondern als zentrales Risiko zu verstehen. Fehlende Offenlegung stellt daher eine bewusste Risikoentscheidung dar, die aktiv zu adressieren und zu dokumentieren ist. Mögliche Massnahmen sind funktionale Tests, Nutzungseinschränkungen, zusätzliche menschliche Kontrollen oder eine formalisierte Risikoakzeptanz. Reicht dies nicht aus, ist der Einsatz alternativer Lösungen zu prüfen. Ziel ist nicht formale Vollständigkeit, sondern ein nachvollziehbarer und verantwortbarer Umgang mit Transparenzdefiziten. 

• Schliesslich gelten verschärfte Schulungsanforderungen. Einsatz und Überwachung solcher Systeme sind ausschliesslich geschulten Personen erlaubt. Spezifische Trainings zu Hochrisiko-Fehlmustern, Eskalation und Entscheidungsverantwortung sind obligatorisch, ergänzt durch einen Kompetenznachweis vor Erstnutzung und jährliche Rezertifizierungen. Auch hier sind vereinfachte Formate zulässig, sofern Kompetenz und Verantwortlichkeit klar belegt sind. 

Fazit: Der Leitfaden verfolgt für diese Kategorie eine klare Haltung: Hochrisiko-KI ist nicht per se zu vermeiden, wohl aber bewusst, kontrolliert und verantwortungsvoll zu steuern. Der damit verbundene Dokumentations- und Schulungsaufwand ist hoch, aber konsequent – und gerade deshalb für Schweizer KMU in skalierbarer, praxistauglicher Form umsetzbar. 

KI-Systeme mit begrenzten Risiken 

KI-Systeme mit begrenztem Risiko entsprechen der gleichnamigen Risikokategorie der KI-VO. Auch in dieser Kategorie geht es nicht um eine formale Rechtsübernahme, sondern um die strukturierte Einordnung typischer KI-Anwendungen, die im Arbeitsalltag breit eingesetzt werden. 

Tools wie Textassistenten, Chatbots oder Übersetzungshilfen unterstützen Mitarbeitende bei der täglichen Arbeit, treffen jedoch keine verbindlichen Entscheidungen und liefern keine garantierte Wahrheit. Ihr Einsatz ist grundsätzlich zulässig und weit verbreitet; relevante Risiken entstehen weniger aus der Technologie selbst als aus unkritischer oder uninformierter Nutzung. 

Im Sinne des risikobasierten Ansatzes der KI-VO liegt der Fokus bei KI-Systemen mit begrenztem Risiko daher nicht auf umfangreichen technischen Kontrollen, sondern auf Transparenz, Bewusstsein und angemessener Nutzung. Die nachfolgenden Kontrollbereiche bilden – als Orientierung – einen Mindeststandard für den verantwortungsvollen Einsatz im Arbeitsalltag, der sich angemessen zur Unternehmensgrösse und zum Nutzungskontext skalieren lässt. 

Grundprinzip: Keine Ausgabe ohne Prüfung 

• Verankerung der Regel «Kein KI-Output ohne menschliche Qualitätsprüfung» in internen Richtlinien 

• Der Prüfungsaufwand richtet sich nach dem Verwendungszweck, z. B. dass für interne Notizen und Ideenentwürfe (Brainstorming, Entwürfe, persönliche Zusammenfassungen) eine Plausibilitätsprüfung durch die Nutzenden genügt 

• Externe Kommunikation (E-Mails, Berichte, Präsentationen) erfordert eine Qualitätsprüfung auf Fakten, Tonalität und Branding 

• Bei Kundenberatung, Offerten oder risikorelevanten Aussagen (Zusicherungen, medizinische oder rechtliche Informationen) ist ein formeller Freigabeprozess mit Eskalationsmöglichkeit vorzugeben 

• Eine Prüf-Checkliste für alle KI-Inhalte sollte (beispielsweise) folgende Fragen umfassen: Stimmen Fakten und Quellen? Passt die Tonalität zu Unternehmen und Zielgruppe? Enthält der Text versteckte Verzerrungen oder falsche Annahmen? Als Selbstkontrollfrage dient: «Würde ich das so an Kunden senden?» 

• Bei kritischen oder zweifelhaften Inhalten erfolgt die Weiterleitung an eine definierte Stelle (z.B. Teamleitung oder Kommunikation) 

• Freigaben bei sensiblen Dokumenten werden dokumentiert 

Datenschutz bei KI-Nutzung 

• Erstellen einer Positiv-/Negativliste, die definiert, welche Inhalte in externe KI-Tools eingegeben werden dürfen 

• Erlaubt sind allgemeine Textformulierungen, abstrahierte oder fiktive Beispiele, öffentlich verfügbare Informationen und generische Fragestellungen 

• Nicht zulässig sind Kundendaten (Namen, Adressen, Kontakte), Personaldaten, Finanzinformationen sowie proprietäres Know-how und Geschäftsgeheimnisse 

• Die Faustregel lautet: Keine echten Daten – nur abstrahierte oder fiktive Beispiele 

• Die Einhaltung wird durch Stichproben oder technische Massnahmen (z.B. Browser-Extensions) überprüft 

Transparenz und Kennzeichnung 

• Bereitstellung einer zentralen Intranet-Seite «KI im Unternehmen» mit allen freigegebenen Tools, deren Risikoklasse und Nutzungsregeln 

• Sichtbare Kennzeichnung der Tools mit KI-Funktionen (z.B. Banner «Diese Antwort wurde von einer KI erzeugt») 

• Verhinderung von «Schatten-IT» über einen strukturierten Meldeweg für neue Tools (z. B. zentrale E-Mail oder Formular) 

• Externe Festlegung, in welchen Fällen eine Offenlegung gegenüber Kunden oder Partnern erforderlich ist 

• Integration implementierter Regeln in Kommunikationsrichtlinien oder Style Guides 

Effektive Nutzung (Prompting) 

• Erstellen eines praxisnahen Leitfadens mit verbindlichen Regeln für die Formulierung von Prompts 

• Empfohlen wird: präzisen Kontext geben, klare Aufgabenbeschreibungen formulieren, das gewünschte Format angeben und Ergebnisse iterativ verbessern 

• Zu vermeiden ist: vertrauliche Daten eingeben, personenbezogene Informationen eingeben, KI-Hypothesen als Fakten darstellen und ungeprüfte Ausgaben direkt verwenden 

• Für häufige Anwendungsfälle (Textüberarbeitung, Ideengenerierung, Zusammenfassungen) sollen sichere Prompt-Vorlagen bereitgestellt werden 

• Regelmäßige Aktualisierung der Vorgaben, da sich Best Practices schnell weiterentwickeln 

Kompetenzaufbau 

• Bündelung aller Schulungsmassnahmen in einem einheitlichen Kompetenzprogramm 

• Vermittlung von Grundlagen der KI-Nutzung durch Onboarding, Datenschutzregeln und Prompting-Basics für alle neuen Mitarbeitenden 

• Regelmässige Kurzschulungen oder Micro-Learning zu Halluzinationen, Fehlermustern und neuen Entwicklungen 

• Ein «AI-Literacy-Guide» kann als zentrales Schnellreferenzblatt mit allen Regeln, Dos & Don'ts und Beispielen dienen – für alle zugänglich zu halten 

• Spezialisierte Schulungen vertiefen für Systemverantwortliche das Wissen zu Tool-Änderungen und Risikoerkennung 

• Alle Teilnahmen werden zentral erfasst 

Tool-Governance 

• Führen eines zentralen KI-Inventars aller eingesetzten Tools mit Angaben zu Tool-Name und Anbieter, Risikoklasse und zugelassener Nutzung, bearbeiteten Datenarten sowie Datum der letzten Prüfung 

• Jährliches systematisches Assessment aller Tools (Datenumfang, neue Features, Anbieter-Updates) 

• Durchführung anlassbezogener Prüfungen nach grösseren Funktionsupdates oder bei erkannten Risiken 

• Bei jeder Bewertung wird geprüft, ob das Tool in seiner Risikoklasse verbleibt oder in eine höhere Kategorie rutscht 

KI-Systeme mit minimalen Risiken 

KI-Systeme mit minimalem Risiko entsprechen der niedrigsten Risikokategorie der KI-VO. Auch in dieser Kategorie geht es nicht um regulatorische Pflichten im engeren Sinn, sondern um eine grundlegende, verhältnismässige Governance für weitgehend unkritische KI-Funktionen. 

Typische Beispiele sind Spamfilter, Autokorrekturen oder interne Suchfunktionen. Diese Systeme laufen häufig im Hintergrund und werden kaum als KI wahrgenommen, bearbeiten jedoch dennoch Daten und können bei Fehlfunktionen den Arbeitsalltag beeinträchtigen. 

Entsprechend gilt der Grundsatz: Minimales Risiko = minimaler Aufwand. Der Governance-Ansatz beschränkt sich auf das notwendige Minimum und ist bewusst leichtgewichtig ausgestaltet. Die Dokumentation pro System soll fünf bis zehn Minuten nicht überschreiten und dient primär der Transparenz und Nachvollziehbarkeit. 

Auf weitergehende Kontrollen wird verzichtet: Es sind keine Red-Line-Checks, keine menschliche Überprüfung einzelner Entscheidungen und keine Bias-Tests erforderlich. Gleichwohl bleibt eine elementare Governance verpflichtend, um Verantwortlichkeiten, Zweck und grundlegende Funktionsweise der Systeme nachvollziehbar festzuhalten. 

Damit folgt auch diese Kategorie dem risikobasierten Ansatz der KI-VO: Nicht jede KI erfordert umfangreiche Kontrolle, wohl aber eine bewusste, dokumentierte Einordnung – selbst dann, wenn das Risiko als minimal eingeschätzt wird. 

Einführungsprüfung (AI Light Assessment) 

Vor der Aktivierung jedes KI-basierten Systems sollte der zuständige Fachbereich drei Fragen beantworten: 

• Erstens, welche Daten fliessen hinein? Dabei ist zu beachten, ob Personendaten oder Inhalte gespeichert werden – auch Spamfilter lesen E-Mail-Absender und Texte. 

• Zweitens, ist das Ergebnis unkritisch? Es ist zu klären, ob Fehlverhalten eine Unannehmlichkeit oder einen Schaden bedeutet – bei Schadenspotenzial gilt eine höhere Risikostufe. 

• Drittens, ist der Hersteller vertrauenswürdig? Hier wird geprüft, ob es sich um eine etablierte oder experimentelle Lösung handelt und ob Zertifizierungen vorhanden sind. 

Die Antworten werden kurz protokolliert. Bei Unsicherheiten erfolgt Rückfrage an Compliance oder Datenschutz. Der Prozess wird in bestehende IT-Beschaffungs- oder Onboarding-Abläufe integriert. 

System Owner 

• Für jedes System – auch bei minimalem Risiko – wird eine verantwortliche Person benannt (System Owner) 

• Die Aufgaben umfassen Funktionsüberwachung, Update-Management, einfache Risikoprüfungen und Nachführung der Dokumentation 

• Eine Person wird als Stellvertretung für Owner-Abwesenheiten definiert 

• Bei organisatorischen Veränderungen ist zu prüfen, ob Zuständigkeiten noch stimmen 

Dokumentation 

• Für jedes System sollte ein kurzer Eintrag in einer zentralen Übersicht erstellt werden (Aufwand: fünf bis zehn Minuten) 

• Der Eintrag enthält in der Regel: 

• Zweck (Was macht das System? – ein Satz) 

• Daten (Welche Daten werden bearbeitet? Personendaten: ja/nein?) 

• Risiken (Bekannte Fehlerquellen oder Einschränkungen?) 

• Owner (Verantwortliche Person plus Stellvertretung) 

• Update-Rhythmus (Wie oft wird geprüft? z.B. quartalsweise). 

• Bei Systemen, die Personendaten bearbeiten, wäre zusätzlich das Verzeichnis der Bearbeitungstätigkeiten (DSG/DSGVO) zu ergänzen 

• Bei externen Anbietern der Auftragsbearbeitungsvertrag wäre zu prüfen und zu klären, ob Datenzugriffe von dieser Seite verhältnismässig sind 

Laufender Betrieb 

• Beim Update-Management ist zu prüfen, ob automatische Updates aktiviert sind und diese signiert/vertrauenswürdig sind 

• Nach grösseren Updates erfolgt eine kurze Funktionsprüfung 

• Die Funktionskontrolle findet periodisch (monatlich oder quartalsweise) statt und prüft, ob das System korrekt arbeitet – beispielsweise, ob legitime E-Mails fälschlicherweise als Spam markiert werden 

• Bei Bedarf werden Systemlogs auf Auffälligkeiten geprüft 

• Ein einfacher Feedback-Kanal (Ticketsystem, Chat oder E-Mail) ermöglicht Mitarbeitenden, Fehlfunktionen zu melden 

• Gemeldete Probleme werden dokumentiert; bei gehäuften Meldungen erfolgt eine Analyse durch den System Owner 

Nutzerinformation 

• Auch für unspektakuläre Hintergrundsysteme werden Mitarbeitende kurz informiert: Was leistet das System, welche Daten bearbeitet es, welche Fehler können auftreten 

• Die Grundregel lautet: «Kein Blindvertrauen in automatisierte Ergebnisse.» 

• Die Information wird ins Onboarding neuer Mitarbeitender integriert. 

• Eine Kultur, in der Auffälligkeiten aktiv gemeldet werden, ist zu fördern. 

Einheitlicher Review-Zyklus 

Zur Vereinfachung empfiehlt sich ein einheitlicher Zyklus für alle Risikostufen. Jährlich sollte ein umfassender Review aller eingesetzten KI-Systeme (einschliesslich Red-Line-Check bei relevanten Systemen, Bias-Tests und Lieferantenreview) erfolgen. 

Anlassbezogene Reviews sollten nach Anbieter-Updates, Funktionserweiterungen oder erkannten Problemen durchgeführt werden. 

Der Aufwand skaliert mit der Risikostufe: Bei minimalen Risiken genügen etwa fünf Minuten pro Quartal, bei Hochrisiko-Systemen ist ein vollständiger Audit-Zyklus erforderlich. 

Übersicht: Kontrollen nach Risikostufe 

Die folgende Tabelle zeigt beispielhaft, welche Kontrollen typischerweise den einzelnen Risikostufen zugeordnet werden können. Sie dient als Orientierungshilfe, um den risikobasierten Ansatz und die Skalierbarkeit der Kontrollen nachvollziehbar zu veranschaulichen. 

Die konkrete Ausgestaltung und Zuordnung ist stets kontextabhängig und sollte sich an Unternehmensgrösse, Einsatzszenario, Systemkomplexität und tatsächlichem Risikoprofil orientieren.