Blauer Hintergrund für die Wissensseite von Navigant über AI Governance

Compliance & Audit Readiness

Audit-ready für EU AI Act, DSG und ISO 42001.

Ihr Team nutzt KI bereits. Die Frage ist, ob unkontrollierte Datenflüsse, ungeklärte Haftung und fehlende Dokumentation ein stilles Risiko aufgebaut haben. Und ob Sie das nachweisen können, wenn der EU AI Act, das revDSG oder ein Grosskunde es verlangt.

Erstgespräch buchen

unverbindlich · kostenfrei

Pascal Beck und Marco von Euw, Gründer Navigant

Wir freuen uns auf Sie!

Compliance & Audit Readiness

Audit-ready für EU AI Act, DSG und ISO 42001.

Ihr Team nutzt KI bereits. Die Frage ist, ob unkontrollierte Datenflüsse, ungeklärte Haftung und fehlende Dokumentation ein stilles Risiko aufgebaut haben. Und ob Sie das nachweisen können, wenn der EU AI Act, das revDSG oder ein Grosskunde es verlangt.

Erstgespräch buchen

unverbindlich · kostenfrei

Pascal Beck und Marco von Euw, Gründer Navigant

Wir freuen uns auf Sie!

  • EU AI Act · DSG · ISO 42001

  • MLaw UZH, juristische Kompetenz inhouse

  • Frameworks aus Enterprise-Implementierungen

  • Kein Dauermandat

  • EU AI Act · DSG · ISO 42001

  • MLaw UZH, juristische Kompetenz inhouse

  • Frameworks aus Enterprise-Implementierungen

  • Kein Dauermandat

Für wen ist das?

Zwei Ausgangssituationen

Vom EU AI Act betroffen

Ihr KMU hat EU-Bezug

Sie haben Kunden, Partner oder Datenflüsse in der EU. Der EU AI Act gilt für Sie, auch ohne Sitz in der EU. Die meisten wissen noch nicht, was das für sie konkret bedeutet.

  • EU-Kundschaft oder EU-Marktbezug

  • Lieferant von EU-regulierten Unternehmen

  • KI-Outputs werden in der EU genutzt

  • Grosskunden verlangen Compliance-Nachweis

Rein Schweizer Bezug

Ihr KMU ist rein Schweizer-fokussiert

Kein EU-Bezug, also kein EU AI Act. Aber das revDSG gilt für jede KI-gestützte Bearbeitung von Personendaten. Kunden fragen trotzdem.

  • Banken oder Versicherungen fragen nach KI-Governance

  • Verwaltungsrat will Antworten zu KI-Haftung

  • Eigener Anspruch an verantwortungsvollen KI-Einsatz

  • Datenschutz bei KI-gestützten Prozessen unklar

Warum jetzt handeln?

Ihr Team nutzt KI bereits. Wissen Sie, was dabei passiert?

Laufendes Risiko

Ihr Team entscheidet selbst

In der Mehrheit der Schweizer KMU entscheiden Mitarbeitende selbst, welches KI-Tool sie wofür nutzen und welche Daten sie eingeben, ohne die Konsequenzen zu kennen.

AXA, 2025.

Datenschutz-Haftung ist ungeklärt

Das DSG gilt bereits für jede KI-gestützte Bearbeitung von Personendaten. Wer in Ihrem Unternehmen haftet, wenn ein KI-Tool Kundendaten unkorrekt verarbeitet oder in ein fremdes Trainingsmodell einfliesst, ist in den meisten KMU nicht definiert.

KI-Potenzial bleibt ungenutzt

Kontrollverlust bremst den Ausbau

Viele KMU wollen KI weiter ausbauen, trauen sich aber nicht, weil unklar ist, was dabei passiert. Governance schafft den Rahmen, den Ihr Team braucht, um KI kontrolliert auszubauen. Kein Hemmschuh, sondern die Voraussetzung dafür.

Nur 8% haben dokumentierte AI Governance

Wer nachweisbar kontrolliert mit KI umgeht, gewinnt Enterprise-Aufträge und besteht Lieferanten-Assessments. 92% der KMU tun es noch nicht. Das ist ein handfester Vorsprung für die, die jetzt handeln.

BACS, 2025.

EU-Konnex: Fristen und Pflichten

EU AI Act: August 2026

Schweizer KMU mit EU-Kundschaft, EU-Partnern oder EU-Datenflüssen fallen unter den EU AI Act, extraterritorial wie die DSGVO. Ab August 2026 gelten vollständige Dokumentations-, Überwachungs- und Registrierungspflichten für Hochrisiko-Systeme. Welche Ihrer Tools betroffen sind, wissen die meisten noch nicht.

Kunden und Partner verlangen Nachweise

Ein Lieferanten-Assessment, ein Compliance-Fragebogen einer Kantonalbank, eine Due-Diligence-Anfrage eines Grossunternehmens. Das lässt sich nachholen. Aber wer vorbereitet ist, verliert keine Zeit und keinen Auftrag, während der andere nachbessert.

Wo steht Ihr Unternehmen?

Wir zeigen Ihnen in 30 Minuten, wo die grössten Risiken liegen und was Sie tun müssen: ob EU AI Act, DSG oder beides.

Erstgespräch buchen

Erstgespräch buchen

unverbindlich · kostenfrei

Pascal Beck und Marco von Euw, Gründer Navigant

Wir freuen uns auf Sie!

Was Sie bekommen

Fünf Deliverables. Auskunftsfähig ab Tag der Übergabe.

Vollständig dokumentiert: für externe Prüfer, für Grosskunden-Assessments, für regulatorische Anfragen.

EU AI Act Gap-Analyse

Jedes Ihrer KI-Systeme eingeordnet nach Risikostufe und Deployer-Pflichten.

Compliance-Roadmap

Konkrete Massnahmen, Verantwortlichkeiten und Zeitplan bis August 2026.

Nachweisdokumentation

Für High-Risk-Systeme Überwachungsprotokoll, technische Massnahmen, Transparenzpflichten.

Vendor-Questionnaire-Vorlagen

Wenn Grosskunden nach Ihrer KI-Governance fragen, haben Sie eine strukturierte Antwort bereit.

Audit-Checkliste

Was externe Prüfer sehen wollen, in welchem Format und mit welcher Tiefe.

Unser Vorgehen

Sechs Schritte. 6 bis 8 Wochen.

KI-Inventar als Basis

Alle KI-Systeme erfassen. Falls kein Inventar vorhanden, wird es im ersten Schritt erstellt.

Rechtliche Einordnung

Für jedes System klären: Welche Vorschriften greifen? EU AI Act, DSG, ISO 42001, branchenspezifische Anforderungen?

Gap-Analyse

Lücken pro System konkret benennen: fehlende Dokumentation, unklare Verantwortlichkeiten, unzureichende Verträge.

Compliance-Roadmap

Priorisieren: Was muss sofort, was bis August 2026, was ist empfohlen? Wer ist jeweils zuständig?

Dokumentations-Aufbau

Nachweise erstellen: Überwachungsprotokolle, technische Massnahmen, Vendor-Questionnaires, TOM für KI-Prozesse.

Review und Übergabe

Finales Review, offene Fragen klären, Dokumentation und Roadmap übergeben.

Regulatorische Grundlagen

Wir arbeiten mit den Standards, die zählen.

Die Standards kommen aus echten EU AI Act-Implementierungen bei Unternehmen ab 200 Mitarbeitenden. Wir haben sie für KMU ohne eigene Compliance-Abteilung aufbereitet.

EU AI Act

EU AI Act: Deployer-Pflichten ab 2026

  • Gilt für KMU mit EU-Kundschaft oder EU-Marktbezug (extraterritorial)

  • Deployer-Pflichten nach Art. 26: Überwachung, Schulung, Dokumentation

  • High-Risk-Systeme (Annex III): Registrierungspflicht, technische Schutzanforderungen

  • Bussen bis 15 Mio. EUR oder 3% des weltweiten Jahresumsatzes

  • Frist für High-Risk-Systeme: August 2026

Unterschied Provider vs. Deployer: Die meisten KMU sind Deployer. Ihre Pflichten gelten unabhängig davon, was der KI-Anbieter macht.

DSG

Schweizer Datenschutzgesetz: für alle KMU

  • Gilt für jede KI-gestützte Bearbeitung von Personendaten, unabhängig vom EU-Bezug

  • Zweckbindung und Nachvollziehbarkeit bei automatisierten Entscheidungen

  • Informationspflicht gegenüber betroffenen Personen

  • Datenschutz-Folgeabschätzung bei hohem Risiko

  • Branchenspezifisch: FINMA-Anforderungen für regulierte Unternehmen

Das DSG greift unabhängig vom EU AI Act-Status: Kein Schweizer KMU, das Personendaten KI-gestützt verarbeitet, ist davon ausgenommen.

ISO 42001

ISO 42001: Internationaler Standard für AI Management

  • Erster internationaler Standard für AI Management Systems

  • Definiert Anforderungen an Steuerung, Risikobewertung, Rollen und Monitoring

  • Formelle Zertifizierung für die meisten KMU überdimensioniert

  • Kernelemente als bewährtes Gerüst für AI Governance nutzbar

  • Grosskunden verlangen zunehmend ISO-Konformität bei Lieferanten

Unsere Gap-Analyse berücksichtigt EU AI Act und ISO 42001 gleichermassen. Sie sehen in einem Schritt, wo Sie bei beiden Standards stehen.

Unsere Arbeiten

Ein Beispiel aus der Praxis

Zwei Kunden fragen. Gleichzeitig.

Ein Treuhandbüro mit 40 Mitarbeitenden wurde von einer Kantonalbank und einem Versicherungsunternehmen gleichzeitig nach der KI-Governance befragt. Ohne strukturierte Antwort drohte der Verlust beider Mandate. Wir erstellten in vier Wochen eine vollständige Gap-Analyse, eine Compliance-Roadmap und eine zehnseitige Nachweisdokumentation. Beide Kunden akzeptierten die Unterlagen. Drei KI-gestützte Prozesse, die zuvor auf Eis lagen, wurden danach offiziell freigegeben, weil die regulatorische Einordnung nun schriftlich vorlag.

Zeitrahmen & Investition

Transparent und professionell.

Nach dem Erstgespräch machen wir ein Angebot, das auf Ihr tatsächliches Risikoprofil und die Anzahl Ihrer KI-Systeme zugeschnitten ist.

Einstieg

Gap-Analyse & Roadmap

ab CHF 8'000

für KMU bis 50 MA

3-5 Wochen

Vollständige Gap-Analyse aller KI-Systeme

Priorisierte Compliance-Roadmap

Klärung Betroffenheit EU AI Act und Relevanz DSG/DSGVO

Audit-Checkliste und Vendor-Questionnaire-Vorlage

Erstgespräch buchen

Vollständige Compliance-Begleitung

Gap-Analyse + Dokumentations-Aufbau

ab CHF 15'000

ab CHF 15'000

je nach Scope

6-12 Wochen

Alles aus Gap-Analyse & Roadmap

Vollständige Nachweisdokumentation

Überwachungsprotokolle für High-Risk-Systeme

Technische Massnahmen und TOM für KI-Prozesse

Bereit für Audit am Tag der Übergabe

Erstgespräch buchen

Häufig gestellte Fragen

Gilt der EU AI Act wirklich für ein Schweizer KMU?

Ja, wenn Sie EU-Kundschaft haben, EU-Daten verarbeiten oder in Lieferketten von Unternehmen mit EU-Marktbezug tätig sind. Die extraterritoriale Wirkung ist mit der DSGVO vergleichbar: Der Standort Schweiz schützt nicht vor den Pflichten. Im Erstgespräch klären wir Ihre konkrete Betroffenheit in 30 Minuten.

Was ist der Unterschied zwischen Provider und Deployer?

Provider entwickeln und vertreiben KI-Systeme. Deployer setzen fremde KI-Systeme im eigenen Betrieb ein. Die meisten KMU sind Deployer. Als Deployer haben Sie nach Art. 26 EU AI Act eigene Pflichten, unabhängig davon, was der Provider macht. Bei bestimmten SaaS-Konfigurationen können Sie gleichzeitig Provider-Pflichten tragen.

Wir sind sehr klein. Lohnt sich das für uns?

Wenn ein Grosskunde nach Ihrer KI-Governance fragt und Sie keine Antwort haben, verlieren Sie den Auftrag. Das betrifft ein 15-Personen-Unternehmen genauso wie ein 150-Personen-Unternehmen. Wir passen Scope und Tiefe an Ihre Grösse und Ihr tatsächliches Risikoprofil an.

Müssen wir für diesen Service bereits ein KI-Inventar haben?

Nein. Falls kein Inventar vorhanden ist, erstellen wir es als Schritt 1. Es ist die notwendige Grundlage für jede Compliance-Analyse. Wer bereits ein Inventar hat, spart in dieser Phase Zeit und Kosten.

Welche Dokumente verlangt ein Prüfer konkret?

Das hängt von den eingesetzten Systemen und ihrer Risikostufe ab. Für Limited-Risk-Systeme genügen oft Transparenzhinweise und eine interne Nutzungsrichtlinie. Für High-Risk-Systeme brauchen Sie technische Dokumentation, Risikomanagementsystem-Nachweise, Überwachungsprotokolle und in bestimmten Fällen eine Grundrechts-Folgeabschätzung. Wir erstellen eine systemspezifische Dokumentationsliste als Teil der Gap-Analyse.

Ist dieser Service auch ohne Rechtsanwalt möglich?

Ja. Für die grosse Mehrheit der KMU ist keine anwaltliche Begleitung nötig. Navigant kombiniert juristisches Know-how (MLaw UZH) mit Praxiserfahrung in der KI-Governance-Implementierung. In besonders regulierten Branchen (Finanz, Gesundheit) oder bei unklaren rechtlichen Grenzfragen empfehlen wir eine ergänzende juristische Prüfung einzelner Punkte.

Brauchen wir als KMU eine ISO 42001 Zertifizierung?

Für die meisten KMU ist eine formelle ISO 42001 Zertifizierung nicht notwendig. Der Standard ist umfangreich und auf grössere Organisationen ausgelegt. Was jedoch sinnvoll ist: die Kernelemente von ISO 42001 (Risikomanagement, Rollenklarheit, dokumentierte Prozesse) als Orientierung für Ihr eigenes AI Governance Framework zu nutzen. Wenn Grosskunden oder regulierte Branchen ISO-Konformität verlangen, zeigen wir Ihnen, welche Elemente Sie priorisieren sollten und welche Sie weglassen können.