KI-Bestandsaufnahme für KMU
Der EU AI Act verlangt ein Inventar aller KI-Systeme, eine Risikoklassifikation und lückenlose Dokumentation. Jeder dieser Schritte setzt eines voraus: Sie müssen wissen, welche KI in Ihrem Unternehmen tatsächlich im Einsatz ist. Die meisten KMU können diese Frage nicht beantworten.
KI-Bestandsaufnahme für KMU
Der EU AI Act verlangt ein Inventar aller KI-Systeme, eine Risikoklassifikation und lückenlose Dokumentation. Jeder dieser Schritte setzt eines voraus: Sie müssen wissen, welche KI in Ihrem Unternehmen tatsächlich im Einsatz ist. Die meisten KMU können diese Frage nicht beantworten.
Das Wichtigste in Kürze
Der EU AI Act verlangt ein KI-Inventar, Risikoklassifikation und Dokumentation. All das setzt voraus, dass Sie Ihre KI-Nutzung kennen.
Über 80 Prozent der Unternehmen haben nicht autorisierte KI-Nutzung (Shadow AI) in ihren Teams. Mitarbeitende nutzen KI-Tools, ohne dass die Geschäftsleitung davon weiss.
Eine KI-Bestandsaufnahme macht sichtbar, welche Tools genutzt werden, von wem, mit welchen Daten und welchen Risiken.
Das Ergebnis ist ein dokumentiertes KI-Inventar mit Risikoklassifikation und priorisiertem Handlungsbedarf, das direkt als Grundlage für die EU-AI-Act-Compliance dient.
Für ein KMU mit 20 bis 50 Mitarbeitenden dauert die Bestandsaufnahme zwei bis vier Wochen.
Warum Sie den EU AI Act nicht umsetzen können, ohne Ihre KI-Nutzung zu kennen
Der EU AI Act arbeitet mit einem risikobasierten Ansatz. Je höher das Risiko einer KI-Anwendung, desto strenger die Pflichten. Für Unternehmen bedeutet das konkret:
KI-Inventar (Art. 6, Art. 9)
Sie müssen dokumentieren, welche KI-Systeme Sie einsetzen, was diese tun, und wie sie in Ihre Geschäftsprozesse eingebettet sind. Ohne Bestandsaufnahme gibt es kein Inventar.
Risikoklassifikation (Art. 6, Annex III)
Sie müssen jeden KI-Einsatz einer Risikostufe zuordnen: unannehmbares Risiko (verboten), hohes Risiko (strenge Pflichten), begrenztes Risiko (Transparenzpflichten) oder minimales Risiko (keine besonderen Pflichten). Das setzt voraus, dass Sie wissen, welche KI Sie nutzen und wofür.
Dokumentation und Nachvollziehbarkeit (Art. 11, Art. 12)
Für Hochrisiko-Anwendungen müssen Unternehmen technische Dokumentation führen und Logs aufbewahren. Dafür müssen Sie zuerst identifiziert haben, welche Ihrer KI-Anwendungen in diese Kategorie fallen.
Menschliche Aufsicht (Art. 14)
Sie müssen nachweisen, dass für Hochrisiko-Systeme eine menschliche Kontrolle besteht. Dafür brauchen Sie eine Rollenanalyse: Wer prüft KI-Outputs? Wer trägt die Verantwortung? Wer eskaliert bei Problemen?
Die Logik ist klar: Jede EU-AI-Act-Pflicht beginnt mit der Frage "Welche KI nutzen wir?" Wer diese Frage nicht beantworten kann, kann keinen der folgenden Schritte gehen. Die KI-Bestandsaufnahme ist deshalb keine optionale Vorbereitung, sondern der regulatorisch geforderte erste Schritt.
Was eine KI-Bestandsaufnahme ist und was sie leistet
Eine KI-Bestandsaufnahme ist die systematische Erfassung aller KI-Aktivitäten in einer Organisation. Sie dokumentiert, welche Teams welche KI-Tools für welche Aufgaben nutzen, welche Daten dabei verarbeitet werden und welche organisatorischen Voraussetzungen fehlen.
Das Ergebnis ist ein konkretes KI-Inventar: eine strukturierte Übersicht, die auf wenigen Seiten zeigt, wo Ihr Unternehmen steht. Dieses Inventar ist gleichzeitig die Basis für die EU-AI-Act-Compliance und für alle weiteren Governance-Entscheidungen, von KI-Richtlinien über Qualitätsstandards bis zur nachhaltigen Governance-Verankerung.
Für Schweizer KMU mit 10 bis 100 Mitarbeitenden ist eine externe Bestandsaufnahme besonders wertvoll, weil die KI-Nutzung hier fast immer dezentral und informell stattfindet. Es gibt selten eine IT-Abteilung, die den Überblick hat. Die Geschäftsleitung weiss oft nicht, dass einzelne Teams längst mit KI arbeiten.
Das unsichtbare Problem: Shadow AI
Aktuelle Studien zeigen: In über 80 Prozent der Unternehmen nutzen Mitarbeitende KI-Tools ohne Wissen der IT oder Geschäftsleitung. Dieses Phänomen heisst Shadow AI. Mitarbeitende geben Kundendaten in ChatGPT ein, laden vertrauliche Dokumente in Claude hoch oder nutzen Copilot-Funktionen, die niemand freigeschaltet hat.
Das ist kein böser Wille. Die Tools sind einfach verfügbar, sie funktionieren gut, und es gibt keine Regeln. Genau deshalb ist Shadow AI so verbreitet. Und genau deshalb ist eine reine Selbstauskunft nicht ausreichend. Mitarbeitende vergessen Tools, die sie nur gelegentlich nutzen. Manche melden nichts, weil sie unsicher sind, ob die Nutzung erlaubt war. Andere erkennen gar nicht, dass eine Funktion in ihrer Software KI-basiert ist (z. B. eingebettete Copilot-Funktionen in Microsoft 365, KI-gestützte Vorschläge in CRM-Systemen oder automatische Zusammenfassungen in Meeting-Tools).
Für die EU-AI-Act-Compliance ist Shadow AI ein besonderes Risiko: Wenn KI-Systeme laufen, die Sie gar nicht kennen, können Sie sie weder klassifizieren noch dokumentieren noch überwachen. Sie sind dann nicht nur nicht compliant, sondern wissen es nicht einmal.
Wir kennen unser Unternehmen. Reicht das nicht?
Das ist die häufigste Reaktion, wenn wir über KI-Bestandsaufnahmen sprechen. Und sie ist nachvollziehbar. Aber die Erfahrung zeigt ein anderes Bild.
Ein Beispiel: Ein Dienstleistungsunternehmen im Grossraum Zürich, 45 Mitarbeitende, kein interner IT-Leiter. Die Geschäftsleitung war überzeugt, dass KI nur punktuell genutzt wird, hauptsächlich für Recherchen und Textbausteine. Die Bestandsaufnahme ergab: 11 verschiedene KI-Tools im Einsatz, in 6 Abteilungen. Drei davon verarbeiteten regelmässig Kundendaten. Sieben waren nicht freigegeben. Die Geschäftsleitung wusste von zwei.
Das ist kein Extremfall, sondern der Normalfall. Und der Grund ist einfach: Ohne Struktur, in der Mitarbeitende melden, was sie nutzen, ohne Methodik, die auch verdeckte Nutzung aufdeckt, und ohne Fachwissen, das die regulatorische Relevanz einschätzen kann, bleibt das Bild unvollständig.
Die EU-AI-Act-Risikoklassifikation verlangt zudem Fachwissen, das in einem KMU typischerweise nicht vorhanden ist: Welcher KI-Einsatz fällt unter Hochrisiko? Wo gelten Transparenzpflichten? Welche eingebetteten KI-Funktionen in bestehender Software sind überhaupt relevant? Diese Einordnung korrekt vorzunehmen, braucht Erfahrung mit dem Regulierungstext und mit der Praxis in vergleichbaren Unternehmen.
Was Sie nach einer Bestandsaufnahme konkret in der Hand haben
Ein vollständiges KI-Inventar
Eine dokumentierte Übersicht aller KI-Tools und Anwendungsfälle in Ihrem Unternehmen. Für jedes Tool ist erfasst: Wer nutzt es, wofür, mit welchen Daten, seit wann, mit welcher Lizenzform. Dieses Inventar erfüllt die Inventarisierungspflicht des EU AI Act.
Priorisierte Handlungsempfehlungen
Nicht alles muss sofort adressiert werden. Sie erhalten eine klare Priorisierung: Was ist vor August 2026 zwingend zu lösen? Was ist wichtig, aber nicht zeitkritisch? Und wo können Sie mit geringem Aufwand schnell Wirkung erzielen?
Eine Risikoklassifikation nach EU AI Act
Jeder identifizierte KI-Einsatz ist nach den Risikostufen des EU AI Act eingeordnet. Sie wissen, welche Anwendungen unter Hochrisiko fallen (und damit strengen Pflichten unterliegen), wo Transparenzpflichten gelten, und wo keine besonderen Massnahmen nötig sind.
Eine belastbare Grundlage für die nächsten Schritte
Die Bestandsaufnahme ist der Ausgangspunkt für KI-Richtlinien, Qualitätsstandards und nachhaltige Governance-Strukturen. Statt ins Blaue hinein Regeln aufzustellen, bauen Sie auf einem dokumentierten Fundament auf.
Eine organisatorische Lückenanalyse
Wo fehlen Verantwortlichkeiten? Wo gibt es keinen Review-Prozess? Wo ist nicht geregelt, wer KI-Outputs prüft, bevor sie an Kunden gehen? Die Analyse zeigt die organisatorischen Lücken, die Sie schliessen müssen, nicht nur die technischen.
Wie eine KI-Bestandsaufnahme mit Navigant abläuft
Unsere Bestandsaufnahme bündelt mehrere Leistungsbereiche zu einem integrierten Prozess. Wir erstellen nicht einfach eine Tool-Liste, sondern ein vollständiges Lagebild, das direkt als Compliance-Grundlage dient.
Schritt 1
Scoping mit der Geschäftsleitung (Tag 1)
In einem halbtägigen Workshop klären wir den Rahmen: Welche Abteilungen sind betroffen? Gibt es EU-Kunden, EU-Bezug oder branchenspezifische Regulierung (z. B. FINMA)? Gibt es bereits bekannte KI-Nutzung? Gibt es konkrete Fristen oder Anlässe?
Sie investieren einen halben Tag. Wir bereiten alles Weitere vor.
Schritt 2
Systematische Erfassung der KI-Nutzung (Woche 1-2)
Wir führen strukturierte Gespräche mit Schlüsselpersonen aus den relevanten Abteilungen. Keine Fragebögen per Mail, sondern geführte Interviews, die auch verdeckte Nutzung sichtbar machen. Dabei erfassen wir:
Welche KI-Tools im Einsatz sind, offiziell und inoffiziell (Shadow AI)
Für welche Aufgaben und Prozesse sie genutzt werden
Welche Daten dabei verarbeitet werden (Kundendaten, Personendaten, Finanzdaten, interne Daten)
Wie häufig und wie kritisch die Nutzung ist
Ob Outputs direkt an Kunden gehen oder intern weiterverarbeitet werden
Wichtig: Wir führen keine technische Überwachung durch. Unser Ansatz basiert auf Vertrauen und Methodik. Mitarbeitende sprechen offen, weil die Gespräche vertraulich sind und weil es nicht um Schuldzuweisungen geht, sondern um Klarheit.
Schritt 3
Risikoklassifikation und Rollenanalyse (Woche 2-3)
Auf Basis der Erfassung nehmen wir zwei Dinge vor, die ein KMU intern kaum leisten kann:
Risikoklassifikation nach EU AI Act:
Wir ordnen jeden identifizierten KI-Einsatz in die Risikostufen des EU AI Act ein. Dabei berücksichtigen wir nicht nur den offensichtlichen Zweck, sondern auch die Art der verarbeiteten Daten, den Grad der Automatisierung und die Auswirkungen auf Betroffene. Ein KI-gestütztes Scoring von Bewerbungen ist zum Beispiel anders zu bewerten als ein KI-generierter Entwurf für einen Social-Media-Post.
Organisatorische Rollenanalyse:
Wer entscheidet, ob ein neues KI-Tool eingesetzt werden darf? Wer prüft KI-Outputs, bevor sie an Kunden gehen? Wer ist verantwortlich, wenn ein KI-Output fehlerhaft ist? Wo gibt es definierte Eskalationswege, und wo fehlen sie?
In den meisten KMU ist die Antwort auf die meisten dieser Fragen: "Das ist nicht geregelt." Genau diese Lücken zu identifizieren ist der Kern der Bestandsaufnahme.
Schritt 4
Ergebnisbericht und Übergabe (Woche 3-4)
Sie erhalten den dokumentierten Bericht in einem persönlichen Übergabegespräch. Kein 80-Seiten-Dokument, sondern ein praxistauglicher Bericht mit:
Einer Management Summary auf einer Seite
Dem vollständigen KI-Inventar (EU-AI-Act-konform strukturiert)
Der Risikoklassifikation pro Use Case
Der organisatorischen Lückenanalyse
Priorisierten Handlungsempfehlungen mit Zeithorizont
Im Übergabegespräch besprechen wir die Ergebnisse und zeigen auf, welche nächsten Schritte sinnvoll sind. Typischerweise sind das die Erstellung von KI-Richtlinien und die Definition von Qualitätsstandards. Für die langfristige Pflege und Weiterentwicklung empfehlen wir unser Retainer-Modell.
Welche Navigant-Leistungen fliessen in die Bestandsaufnahme ein?
Die KI-Bestandsaufnahme ist kein einzelnes Produkt, sondern bündelt mehrere Navigant-Leistungen zu einem integrierten Ergebnis:
KI-Readiness Assessment
Bewertung der organisatorischen Reife.
Datenklassifikation
Einordnung der verarbeiteten Datentypen.
Rollen- und Verantwortung-sanalyse
Klärung organisatorischer Zuständigkeiten.
Shadow-AI-Analyse
Identifikation nicht autorisierter KI-Nutzung.
EU-AI-Act-Risikoklassifikation
Zuordnung jedes Systems und jedes Use Cases zu einer Risikostufe.
Diese Bündelung ist der Grund, warum Einzelmassnahmen oft nicht reichen. Wer nur Shadow AI erhebt, versteht die regulatorischen Risiken nicht. Wer nur die Risikoklassifikation macht, kennt die tatsächliche Nutzung nicht. Wer nur Rollen klärt, weiss nicht, worum es konkret geht. Die Bestandsaufnahme verbindet all diese Perspektiven zu einem konsistenten Gesamtbild.
Ihr nächster Schritt
Die EU-AI-Act-Fristen laufen. Der erste Schritt zur Compliance ist zu wissen, wo Sie stehen. In einem kostenlosen 30-Minuten-Gespräch klären wir, ob und in welchem Umfang eine Bestandsaufnahme für Ihr Unternehmen sinnvoll ist.
unverbindlich · kostenfrei
Wir freuen uns auf Sie!
Ihr nächster Schritt
Die EU-AI-Act-Fristen laufen. Der erste Schritt zur Compliance ist zu wissen, wo Sie stehen. In einem kostenlosen 30-Minuten-Gespräch klären wir, ob und in welchem Umfang eine Bestandsaufnahme für Ihr Unternehmen sinnvoll ist.
unverbindlich · kostenfrei
Wir freuen uns auf Sie!
Häufig gestellte Fragen
Fällt mein KMU überhaupt unter den EU AI Act?
Wenn Sie Kunden in der EU haben, KI-Systeme anbieten, deren Output in der EU genutzt wird, oder KI-gestützte Entscheidungen treffen, die Personen in der EU betreffen, dann ja. Das betrifft viele Schweizer KMU, insbesondere in Dienstleistung, Treuhand, IT und Beratung. Die Bestandsaufnahme klärt auch diese Frage im Detail für Ihre spezifische Situation.
Braucht ein KMU mit 15 Mitarbeitenden das wirklich?
Gerade kleinere Unternehmen sind besonders anfällig, weil es keine dedizierte IT-Abteilung gibt, die KI-Nutzung überblickt. In einem 15-Personen-Unternehmen nutzen unter Umständen alle Mitarbeitenden KI, und niemand koordiniert das. Der EU AI Act macht dabei keinen Unterschied nach Unternehmensgrösse. Was zählt, ist das Risiko der KI-Anwendung, nicht die Grösse der Organisation.
Kann ich das nicht einfach intern lösen?
Einen ersten Überblick können Sie intern versuchen. Aber die EU-AI-Act-Risikoklassifikation erfordert Fachwissen, das in KMU typischerweise nicht vorhanden ist: Welche KI-Anwendung fällt unter welche Risikostufe? Welche eingebetteten KI-Funktionen in bestehender Software sind überhaupt regulatorisch relevant? Dazu kommt: Mitarbeitende sprechen gegenüber einer externen, neutralen Stelle erfahrungsgemäss offener über ihre tatsächliche KI-Nutzung. Wenn Sie es selbst versuchen wollen, nutzen Sie den Schnellcheck oben als Startpunkt. Wenn die Lücken grösser sind als erwartet, kontaktieren Sie uns.
Werden Mitarbeitende überwacht oder bestraft?
Nein. Die Bestandsaufnahme ist keine Kontrolle, sondern eine Standortbestimmung. Das Ziel ist nicht, Fehlverhalten aufzudecken, sondern Klarheit zu schaffen, damit das Unternehmen informierte Entscheidungen treffen kann. Wir kommunizieren das von Anfang an transparent an alle Beteiligten.
Wie lange dauert das, und was kostet es unser Team an Zeit?
Für ein KMU mit 20 bis 50 Mitarbeitenden rechnen wir mit zwei bis vier Wochen Gesamtdauer. Der Aufwand für Ihr Team: ein halber Tag für die Geschäftsleitung und je 60 bis 90 Minuten pro Schlüsselperson für die Interviews. Den Rest übernehmen wir.
Was, wenn wir herausfinden, dass wir gar nicht unter den EU AI Act fallen?
Dann haben Sie trotzdem ein dokumentiertes KI-Inventar, eine Risikoübersicht und eine klare Grundlage für interne KI-Richtlinien. Ausserdem: Das revidierte Schweizer Datenschutzgesetz (revDSG) und die DSGVO stellen eigene Anforderungen an die KI-Nutzung. Die Bestandsaufnahme ist also in jedem Fall ein Gewinn.
Kann die Bestandsaufnahme auch ohne Folgeauftrag stehen?
Selbstverständlich. Sie erhalten ein eigenständig nutzbares Ergebnis. Wenn Sie Unterstützung bei den nächsten Schritten wünschen, etwa bei KI-Richtlinien oder Qualitätsstandards, bauen wir nahtlos darauf auf.