Kurz vorweg: KI-Governance ist 2026 keine optionale Pflicht-Übung mehr. Drei Treiber: revDSG (Folgenabschätzung), EU AI Act (Pflichten ab August 2026 für Hochrisiko, schon jetzt für verbotene Praktiken), Versicherer/Auditoren (Fragebögen). Die gute Nachricht: für 80% der Schweizer KMU reicht ein schlankes Governance-Set aus KI-Richtlinie, KI-Inventar, Klassifikations-Matrix, Lieferanten-Check und Schulung – in 8 Wochen umsetzbar. Erst Hochrisiko-Anwendungen (Recruiting-Auto-Screening, Scoring) oder ISO-42001-Ambitionen erfordern den grossen Apparat.
Regulatorischer Rahmen 2026
revDSG (Schweiz)
Seit 2023 in Kraft. Folgenabschätzung bei hohem Risiko (Art. 22 DSG), Bearbeitungsverzeichnis (Art. 12), Transparenz, ZDP für Cloud-Anbieter. KI mit Personendaten fällt typisch unter „hohes Risiko".
EU AI Act
Risikobasierter Ansatz. Verbotene Praktiken: sofort. Hochrisiko: ab 2.8.2026. GPAI (General Purpose AI): seit 2.8.2025. Gilt für Schweizer Anbieter mit EU-Nutzung.
EDÖB-Wegleitung KI
EDÖB hat 2024 erste Wegleitung publiziert. Erwartet 2026: spezifische Empfehlungen zu generativer KI, Personalauswahl-KI, KI in Health/Finance.
ISO/IEC 42001:2023
KI-Management-System-Standard. Zertifizierbar. Aufbau: Kontext, Führung, Planung, Support, Betrieb, Bewertung, Verbesserung. Pendant zu ISO 27001 für KI.
NIST AI RMF
US-Rahmen für KI-Risiko-Management, weltweit akzeptiert. Vier Funktionen: Govern, Map, Measure, Manage. Pragmatisch für KMU als Bewertungsraster.
Branchen-Aufsicht
FINMA (Banken, Versicherer), Swissmedic (MedTech), BAFU (ESG), BAG (Health). Sektorspezifische Anforderungen an KI-Einsatz.
Die sieben Bausteine einer KI-Governance
KI-Richtlinie
Verbindliches Regelwerk: was darf in welche KI eingegeben werden, welche Tools sind zugelassen, wer entscheidet, was passiert bei Verstössen. 5–10 Seiten, alltagstauglich, regelmässig aktualisiert.
KI-Inventar
Liste aller im Unternehmen genutzten KI-Systeme – inkl. Schatten-KI. Felder: Tool, Anbieter, Datenstandort, Use Case, Daten-Klasse, Risikoklasse, Owner, Review-Datum. Pflicht für EU AI Act und revDSG.
Risiko-Klassifikation
Pro Use Case: minimales Risiko / begrenzt / hoch / verboten. EU AI Act-Mapping (Annex I/III), revDSG-Folgenabschätzung-Trigger, Versicherungs-Fragebogen-Mapping.
Lieferanten-Check
Vendor-Assessment für KI-Anbieter: Trainingsdaten-Herkunft, Datenstandort, Customer-Data-Verwendung, DPA, ZDP, EU-Repräsentant, ISO 42001 oder SOC 2. Standard-Fragebogen, jährliches Update.
Folgenabschätzung (DSFA/DPIA)
Für KI mit Personendaten und höherem Risiko: Datenschutz-Folgenabschätzung nach Art. 22 revDSG / Art. 35 DSGVO. Template, EDÖB-Kontakt-Schwelle, freiwillige Konsultation.
Schulung & Awareness
Onboarding-Modul (30 Min.), jährliche Auffrischung, monatliche Use-Case-News. Spezialschulung für Hochrisiko-Einsatzfelder (HR, Finance, Legal).
Monitoring & Audit
KI-Logs sammeln (welche Tools, welche Datenklassen), Quartals-Review, jährliches Audit. Bei Hochrisiko-Systemen: kontinuierliches Monitoring von Bias, Drift, Performance.
8-Wochen-Roadmap KI-Governance
Woche 1 – KI-Discovery
Mitarbeiter-Survey, Browser-/Endpoint-Analyse (Defender for Cloud Apps, Netskope), Lieferanten-Liste auf KI-Funktionen prüfen. Schatten-KI ans Licht.
Woche 2 – Klassifikation
Pro Use Case: EU-AI-Act-Risikoklasse, revDSG-Datenklasse. Hochrisiko-Use-Cases (HR, Scoring, Health) markieren und prioritär behandeln.
Woche 3 – KI-Richtlinie
Richtlinie schreiben: Whitelist, Verbote, Datenklassen, Output-Pflichten, Transparenz, Meldewesen. Geschäftsleitung beschliesst, kommuniziert über alle Kanäle.
Woche 4 – Tool-Whitelist umsetzen
Zugelassene Tools mit revDSG-konformem Plan: M365 Copilot Business, ChatGPT Business/Enterprise, Claude Team, Mistral, internes Azure-OpenAI. Conditional Access für nicht-zugelassene Tools.
Woche 5 – Lieferanten-Check
Top-5-KI-Anbieter prüfen: DPA, ZDP, Customer-Data-Klausel, Trainingsdaten-Statement, EU-Repräsentant. Nachverhandlung wo nötig.
Woche 6 – DSFA für Hochrisiko
Folgenabschätzung für jeden Hochrisiko-Use-Case schreiben. Bei sehr hohem Restrisiko: EDÖB-Konsultation prüfen. Mitigation-Massnahmen umsetzen.
Woche 7 – Schulung
Onboarding-Modul produktiv schalten, alle MA durchlaufen lassen. Spezialschulung für HR, Finance, Legal mit Hochrisiko-KI. Use-Case-News-Format etablieren.
Woche 8 – Monitoring & Operate
KI-Inventar-Update-Prozess festlegen (vierteljährlich), Quartals-Audit etablieren, Reporting an Geschäftsleitung integrieren. KI-Governance-Owner benennen.
Typische Stolpersteine
- Richtlinie zu restriktiv: Mitarbeitende umgehen sie und nutzen private Accounts – Pflicht: vernünftige Whitelist statt Pauschalverbot.
- KI-Inventar nur einmal erstellt: nach 6 Monaten veraltet – Pflicht: Quartals-Review, automatische Discovery (Defender for Cloud Apps).
- Konsumer-ChatGPT in Verträgen erlaubt: Daten gehen ins Training, Geschäftsgeheimnis-Verlust – Pflicht: ChatGPT Business/Enterprise oder Azure OpenAI.
- Hochrisiko-KI ohne Human-in-the-Loop: automatisierte HR-Ablehnung, Scoring ohne menschliche Überprüfung – Pflicht: Mensch-Entscheidung sichern.
- Lieferanten-Check ignoriert: KI-Anbieter ohne DPA / ZDP – Pflicht: Vendor-Dossier mit Standard-Fragebogen.
- EU AI Act unterschätzt: Schweizer Anbieter mit EU-Nutzung sind direkt betroffen – Pflicht: Anwendbarkeits-Statement.
- Schatten-KI im Marketing: SaaS-Tools (Notion AI, Jasper, Copy.ai) speisen Customer-Daten an Drittanbieter – Pflicht: Marketing-spezifische Klauseln.
- Trainingsdaten-Herkunft ignoriert: Verwendung von OpenAI-/Anthropic-Modellen für Custom-Apps ohne Verständnis der Trainingsdaten-Lage – Pflicht: Anbieter-Statement einholen.
- KI-Output ohne Kennzeichnung: Kunden / Behörden wissen nicht, dass KI mitgeschrieben hat – Pflicht: Transparenz-Praxis definieren.
- Kein Owner für KI-Governance: ohne benannten Verantwortlichen versickert die Wirkung – Pflicht: KI-Governance-Owner mit Mandat (oft vCISO / Compliance / DPO).
Fazit: Governance ist Voraussetzung, nicht Bremse
KI-Governance 2026 ist für Schweizer KMU keine Frage des „ob", sondern des „wie schlank". Ein 8-Wochen-Roll-out aus KI-Richtlinie, Inventar, Klassifikation, Lieferanten-Check, DSFA für Hochrisiko und Schulung deckt revDSG, EU-AI-Act-Anwender-Pflichten und Cyber-Versicherungs-Anforderungen ab. Wichtig ist, dass die Whitelist mit Augenmass arbeitet: zu restriktive Richtlinien produzieren Schatten-KI, zu offene produzieren Compliance-Lücken.
Wer in regulierten Branchen (Finanz, Health, MedTech) operiert oder selbst KI-Systeme entwickelt und in der EU anbietet, geht den Weg weiter bis ISO/IEC 42001 und Konformitätsbewertung. Für die grosse Mehrheit der Schweizer KMU reicht das schlanke Set – mit einem benannten KI-Governance-Owner (oft vCISO, DPO oder Digital Lead), Quartals-Reviews und einem KI-Inventar, das tatsächlich gepflegt wird. So bleibt Innovation möglich, ohne dass jeder Copilot-Prompt zum Versicherungs-Risiko wird.
KI-Governance für Ihr KMU aufsetzen
Wir entwickeln KI-Richtlinie, Inventar und Klassifikations-Matrix, prüfen Lieferanten gegen revDSG und EU AI Act und schulen Ihre Teams – in 8 Wochen zu auditfähiger KI-Governance.
Beratung anfragen