KI-Richtlinien für KMU
EU AI Act, DSG, DSGVO: Die regulatorischen Anforderungen an den KI-Einsatz sind für ein Schweizer KMU kaum zu überblicken. Gleichzeitig treffen Ihre Mitarbeitenden täglich Entscheidungen mit KI, die regulatorische Konsequenzen haben können. Was fehlt, sind klare Spielregeln, die alle verstehen.
KI-Richtlinien für KMU
EU AI Act, DSG, DSGVO: Die regulatorischen Anforderungen an den KI-Einsatz sind für ein Schweizer KMU kaum zu überblicken. Gleichzeitig treffen Ihre Mitarbeitenden täglich Entscheidungen mit KI, die regulatorische Konsequenzen haben können. Was fehlt, sind klare Spielregeln, die alle verstehen.
Das Wichtigste in Kürze
Der EU AI Act, das revDSG und die DSGVO stellen Anforderungen an die KI-Nutzung, die Unternehmen aktiv umsetzen müssen, nicht passiv abwarten können.
Eine KI-Richtlinie übersetzt diese Anforderungen in verständliche interne Regeln: Was ist erlaubt, was nicht, wer entscheidet, wie wird eskaliert.
Navigant arbeitet mit einem Ampel-System (grün, gelb, rot) für KI-Tools, das Mitarbeitende ohne juristische Vorkenntnisse anwenden können.
Die Richtlinie umfasst Freigabeprozesse für neue Tools, eine Verantwortungsmatrix und Schulungskonzepte.
Ohne KI-Richtlinie entsteht Shadow AI: unkontrollierte Nutzung, die Risiken erzeugt, die niemand überblickt.
Was der EU AI Act an internen Regeln verlangt
Der EU AI Act schreibt nicht wörtlich vor, dass Unternehmen eine "KI-Richtlinie" haben müssen. Aber er verlangt eine Reihe von Massnahmen, die ohne interne Regeln nicht umsetzbar sind:
Transparenz (Art. 13)
Personen, die von KI-Entscheidungen betroffen sind, müssen darüber informiert werden. Dafür muss intern geregelt sein, wann und wie diese Information erfolgt. Eine KI-Richtlinie definiert, in welchen Fällen Transparenzpflichten gelten und wer dafür zuständig ist.
Menschliche Aufsicht (Art. 14)
Für Hochrisiko-Systeme muss gewährleistet sein, dass Menschen die KI überwachen und bei Bedarf eingreifen können. Dafür brauchen Sie definierte Rollen: Wer prüft? Wer gibt frei? Wer eskaliert?
Risikomanagementsystem (Art. 9)
Sie müssen ein System haben, das KI-Risiken identifiziert und adressiert. Das setzt voraus, dass es Regeln gibt, wie neue KI-Anwendungen bewertet und freigegeben werden.
Registrierungspflicht (Art. 49)
Bestimmte KI-Systeme müssen in einer EU-Datenbank registriert werden. Dafür muss intern bekannt sein, welche Systeme betroffen sind und wer die Registrierung verantwortet.
Zusätzlich stellen das revDSG und die DSGVO eigene Anforderungen: Datenschutz-Folgenabschätzungen bei bestimmten KI-Anwendungen, Informationspflichten gegenüber betroffenen Personen, Recht auf Erklärung bei automatisierten Entscheidungen.
All das ergibt ein dichtes Netz an Pflichten, das kein Mitarbeitender ohne klare interne Richtlinien navigieren kann. Und kein KMU-Geschäftsführer, wenn wir ehrlich sind, auch nicht.
Was passiert ohne KI-Richtlinien?
Die Alternative zu klaren Regeln ist nicht "keine Regeln", sondern Wildwuchs. Ohne KI-Richtlinie passiert Folgendes:
Shadow AI breitet sich aus
Mitarbeitende nutzen KI-Tools auf eigene Faust, weil es keine Vorgaben gibt. Sie greifen zu dem, was verfügbar ist, und geben dabei Daten ein, die nicht in externe Tools gehören. Aktuelle Studien zeigen, dass über 60 Prozent der Wissensarbeiter KI-Tools ohne Freigabe nutzen. In einem KMU ohne Richtlinie ist die Quote oft noch höher.
Unsicherheit lähmt
Gleichzeitig gibt es Mitarbeitende, die aus Angst vor Fehlern gar keine KI nutzen, obwohl sie produktiv wäre. Beide Extreme, Wildwuchs und Blockade, kosten Ihr Unternehmen Produktivität.
Sie können Compliance-Fragen nicht beantworten
Wenn ein Grosskunde, ein Auditor oder ein Regulierer fragt, wie Sie die KI-Nutzung steuern, brauchen Sie eine dokumentierte Antwort. "Wir vertrauen unseren Leuten" ist keine Compliance-Antwort.
Vorfälle eskalieren unnötig
Ohne definierte Eskalationswege wird aus einem kleinen Fehler (z. B. falsche Zahlen in einer KI-generierten Analyse) ein grosses Problem, weil niemand weiss, wer informiert werden muss und wie korrigiert wird.
Wie praxistaugliche KI-Richtlinien konkret aussehen
Eine gute KI-Richtlinie ist kurz, verständlich und anwendbar. Für ein KMU mit 20 bis 50 Mitarbeitenden reichen typischerweise 8 bis 15 Seiten. Navigant entwickelt KI-Richtlinien, die regulatorisch belastbar und im Alltag nutzbar sind. Dazu bündeln wir mehrere Leistungsbereiche:
Baustein 1
Ampel-System für KI-Tools
Das Ampel-System ist der Kern jeder Navigant-Richtlinie. Es regelt für jedes KI-Tool im Unternehmen klar und visuell:
Grün: Freigegebene Tools für definierte Anwendungsfälle. Mitarbeitende können sie nutzen, ohne vorher eine Freigabe einzuholen. Beispiel: ChatGPT Enterprise für interne Brainstormings mit öffentlich verfügbaren Informationen.
Gelb: Tools mit Einschränkungen. Bestimmte Datentypen dürfen nicht eingegeben werden, oder der Output muss vor der Weitergabe an Kunden geprüft werden. Beispiel: Copilot in Microsoft 365 für Kundenpräsentationen, aber mit Review-Pflicht für extern gehende Dokumente.
Rot: Nicht freigegebene Tools. Die Nutzung ist nicht erlaubt, bis eine Prüfung erfolgt ist. Beispiel: Kostenlose KI-Bildgeneratoren ohne klare Lizenz- und Datenschutzbedingungen.
Mitarbeitende müssen keine juristischen Texte lesen. Sie schauen auf die Ampel und wissen, was gilt. Das ist die Stärke des Systems: Es reduziert komplexe Regulierung auf eine Entscheidung, die in Sekunden getroffen werden kann.
Baustein 2
Freigabeprozess für neue KI-Tools und Use Cases
KI-Tools entwickeln sich rasant, und damit auch ihre Use Cases. Monatlich kommen neue Anwendungen auf den Markt, und Mitarbeitende wollen sie ausprobieren. Statt das zu verbieten (was erfahrungsgemäss zu Shadow AI führt), definieren wir einen schlanken Freigabeprozess:
Jeder Mitarbeitende kann ein neues Tool vorschlagen.
Die Prüfung erfolgt anhand eines kurzen Bewertungsbogens (Datensicherheit, Anbieter, Datenresidenz, Kosten, Nutzen).
Die Geschäftsleitung oder eine benannte Person entscheidet innerhalb einer definierten Frist (z. B. fünf Arbeitstage).
Das Tool wird in die Ampelliste aufgenommen.
So bleibt Ihr Unternehmen innovationsfähig und gleichzeitig compliant. Und Mitarbeitende haben einen klaren Kanal, statt Tools heimlich zu nutzen.
Baustein 3
Verantwortungsmatrix
Der EU AI Act verlangt klare Zuständigkeiten. Wir erstellen eine Verantwortungsmatrix, die für Ihr KMU passt:
Wer verabschiedet die KI-Richtlinie (typischerweise die Geschäftsleitung)
Wer überwacht die Einhaltung (eine benannte Person oder ein kleines Team)
Wer bewertet und gibt neue KI-Tools frei
Wer ist Ansprechperson für Mitarbeitende bei Unsicherheiten
Wer eskaliert bei Vorfällen
In einem KMU mit 30 Mitarbeitenden sind das vielleicht zwei bis drei Personen. Es braucht kein Governance-Board. Es braucht klare Zuständigkeiten.
Baustein 4
Schulung und Kommunikation
Eine Richtlinie, die niemand kennt, ist wertlos. Der EU AI Act verlangt in Art. 4, dass Unternehmen sicherstellen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen. Wir unterstützen bei der internen Kommunikation und bieten KI-Schulungen an:
Einführungsschulung für alle Mitarbeitenden: Was steht in der Richtlinie? Was bedeutet das für meinen Alltag? Wie funktioniert das Ampel-System?
Vertiefung für Führungskräfte: Welche regulatorischen Anforderungen stehen dahinter? Welche Entscheidungen müssen auf GL-Ebene getroffen werden?
Laufende Updates: Wenn sich die Richtlinie ändert (neue Tools, neue Regeln), informieren wir Ihr Team gezielt.
Wie unterscheiden sich KI-Richtlinien von Qualitätsstandards?
KI-Richtlinien (diese Seite) definieren den Rahmen: Was darf genutzt werden, unter welchen Bedingungen, wer ist verantwortlich. Qualitätsstandards übersetzen diesen Rahmen in operative Prozesse: Wie wird geprüft, bewertet und dokumentiert.
Beide Ebenen gehören zusammen. Die Richtlinie legt fest, dass Kundendaten nicht in öffentliche KI-Tools eingegeben werden dürfen. Der Qualitätsstandard beschreibt, wie Mitarbeitende im konkreten Arbeitsschritt prüfen, ob ein Prompt Kundendaten enthält, und was sie tun, wenn sie unsicher sind. Die Bestandsaufnahme hat identifiziert, in welchen Prozessen Kundendaten überhaupt vorkommen. Und das Retainer-Modell stellt sicher, dass alles aktuell bleibt.
Ihr nächster Schritt
Regulierung ist komplex. Ihre KI-Richtlinie muss es nicht sein. In einem kostenlosen 30-Minuten-Gespräch klären wir, welche Anforderungen für Ihr Unternehmen gelten und wie eine praxistaugliche Richtlinie für Sie aussehen könnte.
unverbindlich · kostenfrei
Wir freuen uns auf Sie!
Ihr nächster Schritt
Regulierung ist komplex. Ihre KI-Richtlinie muss es nicht sein. In einem kostenlosen 30-Minuten-Gespräch klären wir, welche Anforderungen für Ihr Unternehmen gelten und wie eine praxistaugliche Richtlinie für Sie aussehen könnte.
unverbindlich · kostenfrei
Wir freuen uns auf Sie!
Häufig gestellte Fragen
Braucht ein KMU mit 20 Mitarbeitenden wirklich eine formale KI-Richtlinie?
Ja. Der EU AI Act macht keinen Unterschied nach Unternehmensgrösse, nur nach Risiko der KI-Anwendung. Und gerade in kleineren Organisationen, wo es keine IT-Abteilung und keine Compliance-Stelle gibt, schafft eine kompakte Richtlinie die Klarheit, die sonst fehlt. Die Richtlinie muss nicht lang sein. Für ein 20-Personen-KMU reichen oft 8 bis 10 Seiten.
Was, wenn meine Mitarbeitenden die Richtlinie ignorieren?
Das ist ein Risiko, das Sie durch Kommunikation und Schulung adressieren. Die Erfahrung zeigt: Wenn die Richtlinie verständlich ist, wenn es einen einfachen Freigabeprozess gibt und wenn die Geschäftsleitung das Thema vorlebt, ist die Akzeptanz hoch. Verbote ohne Alternative erzeugen Shadow AI. Klare Regeln mit freigegebenen Tools erzeugen Compliance.
Wie oft muss eine KI-Richtlinie aktualisiert werden?
Mindestens halbjährlich. KI-Tools und regulatorische Anforderungen entwickeln sich schnell. Im Rahmen unseres Retainer-Modells [→ Link: Pillar Page Governance verankern] übernehmen wir diese Aktualisierung für Sie, damit Sie sich auf Ihr Kerngeschäft konzentrieren können.
Gilt der EU AI Act wirklich für mein Schweizer KMU?
Wenn Sie KI-Systeme anbieten, deren Output in der EU genutzt wird, wenn Sie KI-gestützte Entscheidungen treffen, die Personen in der EU betreffen, oder wenn Sie KI-Systeme entwickeln oder vertreiben, die in der EU eingesetzt werden, dann ja [→ Link: Blogpost EU AI Act für Schweizer Unternehmen]. Das betrifft erfahrungsgemäss mehr Schweizer KMU, als man denkt, insbesondere in Dienstleistung, Beratung, IT, Treuhand und Export.
Kann ich die Richtlinie nicht selbst erstellen?
Grundsätzlich ja. Aber die korrekte Übersetzung der EU-AI-Act-Anforderungen in eine praxistaugliche Richtlinie erfordert Fachwissen an der Schnittstelle von Regulierung, Organisation und Technologie. Dazu kommt: Eine Richtlinie, die nur aus einem kopierten Template besteht, aber nicht auf Ihre tatsächliche KI-Nutzung und Ihre Organisationsstruktur zugeschnitten ist, wird im Alltag nicht funktionieren.