KI-Qualitätsstandards für KMU
Der EU AI Act verlangt nicht nur Transparenz über Ihre KI-Nutzung, sondern auch Qualitätssicherung: Risikomanagement, Datengovernance, menschliche Aufsicht. Für KMU heisst das nicht Konzernbürokratie, sondern klare Regeln, wann ein Mensch prüfen muss und woran er erkennt, ob ein KI-Output gut genug ist.
KI-Qualitätsstandards für KMU
Der EU AI Act verlangt nicht nur Transparenz über Ihre KI-Nutzung, sondern auch Qualitätssicherung: Risikomanagement, Datengovernance, menschliche Aufsicht. Für KMU heisst das nicht Konzernbürokratie, sondern klare Regeln, wann ein Mensch prüfen muss und woran er erkennt, ob ein KI-Output gut genug ist.
Das Wichtigste in Kürze
Der EU AI Act verlangt Qualitätsmanagement, Datengovernance und menschliche Aufsicht für KI-Systeme. Das gilt auch für KMU.
Operative Qualitätsstandards übersetzen diese regulatorischen Anforderungen in alltagstaugliche Regeln: Wer prüft was, wann und wie.
Navigant definiert vier Bausteine: Output-Bewertungskriterien, Datenklassifikation, Eskalationslogik und Dokumentationspflichten.
Die Standards basieren auf der KI-Bestandsaufnahme und bilden die operative Grundlage für Ihre KI-Richtlinien.
Das Ziel: Mitarbeitende arbeiten sicherer und schneller, weil die Unsicherheit wegfällt.
Was der EU AI Act konkret an Qualitätssicherung verlangt
Der EU AI Act definiert mehrere Qualitätsanforderungen, die für KMU relevant sind, sobald sie KI-Systeme mit erhöhtem oder hohem Risiko einsetzen:
Risikomanagementsystem (Art. 9)
Unternehmen müssen ein System etablieren, das Risiken der KI-Nutzung identifiziert, bewertet und mit geeigneten Massnahmen adressiert. Für ein KMU heisst das nicht, ein eigenes Risk-Management-Department aufzubauen. Es heisst: Für jeden KI-Einsatz muss klar sein, welche Risiken bestehen und wie sie kontrolliert werden.
Datengovernance (Art. 10)
Die Daten, die in KI-Systeme fliessen, müssen bestimmten Qualitätskriterien genügen. Und es muss geregelt sein, welche Daten in welche Tools eingegeben werden dürfen. Das betrifft direkt die tägliche Arbeit: Welche Kundendaten dürfen in ChatGPT? Welche internen Dokumente in Copilot? Welche Finanzdaten in ein Analyse-Tool?
Menschliche Aufsicht (Art. 14)
Für Hochrisiko-KI-Systeme muss nachweisbar sein, dass ein Mensch die KI-Ergebnisse überwacht und bei Bedarf eingreifen kann. Das klingt abstrakt, meint aber etwas sehr Konkretes: Wer prüft den KI-Output, bevor er an einen Kunden geht? Und woran erkennt diese Person, ob der Output korrekt ist?
Genauigkeit und Robustheit (Art. 15)
KI-Systeme müssen ein angemessenes Mass an Genauigkeit erreichen. Für KMU bedeutet das: Es braucht Kriterien, anhand derer Mitarbeitende beurteilen können, ob ein KI-Output gut genug ist oder nicht.
Alle diese Anforderungen haben eines gemeinsam: Sie verlangen keine perfekte Technologie, sondern klare organisatorische Regeln. Und genau das sind operative Qualitätsstandards.
Warum "gesunder Menschenverstand" nicht ausreicht
Viele Geschäftsleitungen gehen davon aus, dass ihre Mitarbeitenden KI-Outputs schon kritisch prüfen werden. "Die Leute sind ja nicht dumm", ist ein Satz, den wir oft hören. Und er stimmt. Aber er übersieht drei Probleme:
KI-Fehler sind oft nicht offensichtlich
Eine Halluzination sieht aus wie ein korrekter Text. Falsche Zahlen stehen in grammatisch einwandfreien Sätzen. Eine KI-generierte Analyse klingt überzeugend, auch wenn die Grundannahmen falsch sind. Ohne definierte Prüfkriterien erkennen Mitarbeitende diese Fehler nicht zuverlässig.
Ohne Regeln entsteht Beliebigkeit
Wenn nicht festgelegt ist, wann ein Review nötig ist, entscheidet jede Person selbst. Manche prüfen alles dreimal. Andere prüfen nie. Das Ergebnis ist eine inkonsistente Qualität, die Sie weder steuern noch nachweisen können.
Der EU AI Act verlangt Nachweise, nicht Absichten
Unsere Leute passen schon auf" ist keine Compliance-Antwort. Was ein Auditor oder Regulierer sehen will, ist ein dokumentierter Prozess: Welche Prüfkriterien gelten? Wer prüft? Wie wird die Prüfung dokumentiert?
Ein Beispiel aus der Praxis: Ein Beratungsunternehmen im Grossraum Zürich nutzte KI, um Marktanalysen für Kunden zu erstellen. Die Outputs gingen direkt an den Kunden, ohne standardisiertes Review. In einem Fall enthielt eine Analyse erfundene Quellenangaben. Der Kunde entdeckte das. Es war kein Drama, aber es kostete Vertrauen. Mit einem definierten Review-Prozess wäre der Fehler intern aufgefallen.
Was Sie mit operativen Qualitätsstandards konkret in der Hand haben
Ein massgeschneidertes Bewertungsraster
Für jeden KI-Anwendungsfall in Ihrem Unternehmen ist definiert, welche Qualitätskriterien gelten. Ein interner Newsletter-Entwurf hat andere Anforderungen als eine Kundenofferte oder eine regulatorisch relevante Analyse. Das Raster ist so gestaltet, dass Mitarbeitende es im Alltag in weniger als einer Minute anwenden können.
Dokumentationsvorlagen
Schlanke Vorlagen, mit denen Review-Entscheidungen festgehalten werden können, ohne dass Mitarbeitende Formulare ausfüllen müssen. Gerade genug Dokumentation, um die EU-AI-Act-Anforderungen zu erfüllen. Nicht mehr.
Eine praxistaugliche Datenklassifikation
Eine klare Tabelle, die für jede Datenkategorie (öffentlich, intern, vertraulich, personenbezogen) definiert, welche KI-Tools erlaubt sind. Keine juristische Abhandlung, sondern eine Referenz, die am Arbeitsplatz hängen kann.
Audit-Readiness
Wenn ein Kunde, ein Regulierer oder ein Auditor fragt, wie Sie die Qualität Ihrer KI-Nutzung sicherstellen, können Sie das dokumentiert beantworten.
Definierte Eskalationswege
Wer wird informiert, wenn ein KI-Output fehlerhaft ist? Was passiert bei wiederholten Qualitätsproblemen mit einem bestimmten Tool? Einfache Regeln, die zur Grösse Ihres KMU passen.
Wie Navigant Qualitätsstandards für Ihr KMU entwickelt
Unsere Arbeit an Qualitätsstandards baut idealerweise auf der KI-Bestandsaufnahme auf. Denn sinnvolle Standards lassen sich nur definieren, wenn klar ist, welche KI-Anwendungen im Unternehmen tatsächlich existieren. Die Standards bündeln mehrere Leistungsbereiche:
Baustein 1
Output-Bewertungskriterien nach Risikostufe
Nicht jeder KI-Output braucht das gleiche Mass an Prüfung. Wir definieren Bewertungskriterien entlang der Risikostufen, die sich aus der Bestandsaufnahme ergeben:
Geringes Risiko (z.B. interne Entwürfe, Brainstorming, Recherche-Zusammenfassungen): Keine formale Prüfung nötig. Mitarbeitende sollen KI produktiv nutzen können, ohne bei jedem Arbeitsschritt einen Freigabeprozess zu durchlaufen.
Mittleres Risiko (z.B. Kundenkommunikation, Marketingtexte, Präsentationen): Stichprobenartige Prüfung oder Vier-Augen-Prinzip. Klare Prüfpunkte: Fakten korrekt? Tonalität angemessen? Keine vertraulichen Informationen enthalten?
Hohes Risiko (z.B. Finanzanalysen, regulatorisch relevante Dokumente, Angebote mit verbindlichen Zahlen): Obligatorisches Review durch eine benannte Person. Dokumentierte Freigabe vor Versand oder Veröffentlichung.
Diese Abstufung ist zentral. Ein KMU, das für jeden KI-Output den gleichen Prozess verlangt, erzeugt Frust und Umgehungsverhalten. Ein KMU, das gar nicht differenziert, erzeugt Risiken. Die richtige Balance macht den Unterschied.
Baustein 2
Datenklassifikation für KI-Nutzung
Der EU AI Act und das revidierte Schweizer Datenschutzgesetz (revDSG) verlangen, dass Unternehmen wissen, welche Daten in KI-Tools verarbeitet werden. Wir erstellen eine Datenklassifikation, die praktisch nutzbar ist (hier ein vereinfachtes Beispiel):
Öffentliche Daten (z. B. allgemein verfügbare Marktinformationen): Alle freigegebenen KI-Tools nutzbar.
Interne Daten (z. B. Meetingnotizen, interne Entwürfe): Nur Tools mit Enterprise-Lizenz und Datenschutzgarantie (kein Training mit Unternehmensdaten).
Vertrauliche Daten (z. B. Finanzdaten, Verträge, Strategiepapiere): Nur explizit freigegebene Tools mit dokumentierter Datenresidenz.
Personenbezogene Daten (z. B. Kundendaten, Mitarbeiterdaten, Bewerbungen): Strenge Einschränkung. In den meisten Fällen nicht in externe KI-Tools einzugeben. Wenn doch, nur mit dokumentierter Rechtsgrundlage und Datenschutz-Folgenabschätzung.
Die Klassifikation orientiert sich an den Anforderungen des revDSG und der DSGVO und ist so gestaltet, dass Mitarbeitende sie ohne juristische Vorkenntnisse anwenden können.
Baustein 3
Eskalationslogik
Was passiert, wenn etwas schiefgeht? Der EU AI Act verlangt, dass Unternehmen auf Qualitätsprobleme reagieren können (Art. 9 Abs. 9: "angemessene Korrekturmassnahmen"). Wir definieren dafür einfache Eskalationswege:
Stufe 1: Mitarbeitende erkennen einen fehlerhaften KI-Output. Korrektur erfolgt eigenständig. Keine weitere Eskalation nötig, wenn der Output intern bleibt.
Stufe 2: Fehlerhafter Output wurde bereits an einen Kunden oder Partner kommuniziert. Benachrichtigung der vorgesetzten Person. Gemeinsame Entscheidung über Korrekturmassnahme.
Stufe 3: Systematisches Qualitätsproblem mit einem KI-Tool oder einem Anwendungsfall. Meldung an die Geschäftsleitung. Prüfung, ob das Tool weiterhin eingesetzt werden soll. Dokumentation des Vorfalls.
Für ein KMU mit 20 bis 50 Mitarbeitenden braucht es keine komplexere Struktur. Was es braucht, ist, dass diese drei Stufen bekannt sind und dass Mitarbeitende wissen, an wen sie sich wenden.
Baustein 4
Dokumentation und Nachvollziehbarkeit
Für bestimmte Anwendungsfälle, insbesondere solche mit hohem Risiko, verlangt der EU AI Act eine nachvollziehbare Dokumentation. Wir helfen Ihnen, diese Dokumentation so schlank wie möglich zu gestalten, aber so vollständig wie nötig.
Das umfasst: schlanke Vorlagen für Review-Protokolle, eine einheitliche Struktur für die Dokumentation von KI-Entscheidungen und klare Regeln, wann Dokumentation nötig ist und wann nicht. Das Ziel ist immer: minimaler Aufwand für Ihre Mitarbeitenden bei maximaler Nachweisfähigkeit gegenüber Auditoren und Regulierern.
Wie Qualitätsstandards mit den anderen Governance-Bausteinen zusammenspielen
Qualitätsstandards funktionieren nicht isoliert. Sie sind ein zentraler Baustein innerhalb eines grösseren Systems:
Die KI-Bestandsaufnahme liefert die Grundlage: Welche Use Cases existieren und wie sind sie nach EU AI Act klassifiziert.
Die Qualitätsstandards (diese Seite) übersetzen die Anforderungen in den operativen Alltag: Wie wird gearbeitet, geprüft und dokumentiert.
Die KI-Richtlinien definieren den übergeordneten Rahmen: Was darf, was darf nicht, wer entscheidet.
Die nachhaltige Governance sorgt dafür, dass Standards langfristig funktionieren und an neue Anforderungen angepasst werden.
Ein konkretes Beispiel: Die KI-Richtlinie legt fest, dass Kundendaten nicht in öffentliche KI-Tools eingegeben werden dürfen. Der Qualitätsstandard beschreibt, wie Mitarbeitende prüfen, ob ein Prompt Kundendaten enthält, und was sie tun, wenn sie unsicher sind. Die Bestandsaufnahme hat identifiziert, in welchen Prozessen Kundendaten überhaupt vorkommen. Und das Retainer-Modell stellt sicher, dass die Regeln aktuell bleiben, wenn neue Tools oder Datenquellen dazukommen.
Ihr nächster Schritt
Der EU AI Act verlangt Qualitätssicherung für KI. Sie brauchen dafür kein Konzernprogramm, sondern klare, alltagstaugliche Standards, die zu Ihrer Unternehmensgrösse passen. In einem kostenlosen 30-Minuten-Gespräch klären wir, welche Qualitätsstandards für Ihre KI-Nutzung sinnvoll sind.
unverbindlich · kostenfrei
Wir freuen uns auf Sie!
Ihr nächster Schritt
Der EU AI Act verlangt Qualitätssicherung für KI. Sie brauchen dafür kein Konzernprogramm, sondern klare, alltagstaugliche Standards, die zu Ihrer Unternehmensgrösse passen. In einem kostenlosen 30-Minuten-Gespräch klären wir, welche Qualitätsstandards für Ihre KI-Nutzung sinnvoll sind.
unverbindlich · kostenfrei
Wir freuen uns auf Sie!
Häufig gestellte Fragen
Müssen wirklich alle KI-Outputs geprüft werden?
Nein. Das wäre weder praktikabel noch nötig. Das zentrale Prinzip ist die risikobasierte Abstufung: Niedrigrisiko-Outputs brauchen kein formales Review. Hochrisiko-Outputs brauchen eine dokumentierte Prüfung. Die Kunst ist, die richtige Grenze zu ziehen, und genau dabei helfen wir.
Wie aufwendig ist die Einführung?
Der initiale Aufwand liegt bei wenigen Wochen. Der grösste Hebel: Ihre Mitarbeitenden arbeiten danach schneller und sicherer, weil die Unsicherheit wegfällt. Niemand muss mehr bei jeder KI-Nutzung überlegen, ob das jetzt erlaubt ist und ob der Output geprüft werden muss. Die Regeln sind klar.
Können wir das nicht einfach im Team besprechen und informell regeln?
Informelle Absprachen funktionieren, bis sie nicht mehr funktionieren. Der EU AI Act verlangt Nachweise: dokumentierte Prozesse, nachvollziehbare Prüfungen. Ein mündliches "Wir schauen immer drüber" reicht dafür nicht. Ausserdem: Was passiert, wenn die Person, die "immer drüberschaut", das Unternehmen verlässt?
Brauche ich zuerst eine KI-Bestandsaufnahme?
Sie können Qualitätsstandards auch ohne vorherige Bestandsaufnahme entwickeln. Wir empfehlen aber, zuerst die KI-Nutzung zu erfassen, damit die Standards auf realen Anwendungsfällen basieren statt auf Annahmen.
Wie passen die Standards zu ISO 42001?
ISO 42001 definiert Anforderungen an ein KI-Managementsystem. Unsere Qualitätsstandards können als operativer Baustein eines solchen Systems dienen. Wenn Sie eine ISO-Zertifizierung anstreben, legen wir die Standards entsprechend an.