Compliance & Audit Readiness
Audit-ready für EU AI Act, DSG und ISO 42001.
Wir analysieren Ihr KI-Portfolio systematisch gegen die geltenden Compliance-Anforderungen, benennen Ihre Lücken konkret und erstellen die Nachweisdokumentation, die externe Prüfer sehen wollen.
unverbindlich · kostenfrei
Wir freuen uns auf Sie!
Compliance & Audit Readiness
Audit-ready für EU AI Act, DSG und ISO 42001.
Wir analysieren Ihr KI-Portfolio systematisch gegen die geltenden Compliance-Anforderungen, benennen Ihre Lücken konkret und erstellen die Nachweisdokumentation, die externe Prüfer sehen wollen.
unverbindlich · kostenfrei
Wir freuen uns auf Sie!
TL;DR
Das Wichtigste in Kürze
Der EU AI Act richtet sich nicht nur an KI-Entwickler: Auch Unternehmen, die KI einsetzen (Deployer), haben ab August 2026 konkrete Pflichten nach Art. 26.
Schweizer KMU mit EU-Kundschaft oder EU-Marktbezug fallen unter die extraterritoriale Wirkung des EU AI Act, vergleichbar mit der DSGVO.
Hinzu kommen der revDSG und – in bestimmten Branchen – ISO 42001 sowie FINMA-Anforderungen.
Die meisten KMU wissen nicht, welche ihrer KI-Systeme unter den Act fallen und welche Dokumente konkret verlangt werden.
Navigant liefert eine Gap-Analyse, eine priorisierte Compliance-Roadmap und die Kerndokumente für Audit und Kundenfragen.
Das Problem
Compliance bleibt abstrakt, bis jemand fragt
Eine Versicherung schickt einen Fragebogen zur KI-Governance. Eine Kantonalbank will wissen, welche KI-Systeme Sie in der Kundenkommunikation einsetzen und wie diese überwacht werden. Ihr grösster Grosskunde kündigt für Q3 ein Lieferanten-Assessment an. Und August 2026 rückt näher.
Das Problem ist nicht fehlendes Engagement. Es fehlt die Konkretheit: Welche Artikel des EU AI Act gelten für Sie? Welche Ihrer KI-Systeme sind als High-Risk eingestuft? Welche Dokumente brauchen Sie, und in welchem Format? Was will ein Prüfer sehen?
Solange niemand diese Fragen beantwortet hat, bleibt Compliance ein abstraktes Vorhaben. Dieser Service macht es konkret.
Wichtig zu wissen
Was bedeutet der EU AI Act für Schweizer KMU als Deployer?
Als Deployer, also als Unternehmen, das KI einsetzt aber nicht selbst entwickelt, haben Sie nach Art. 26 EU AI Act eigene Pflichten. Diese gelten unabhängig davon, was der KI-Anbieter macht.
Konkret bedeutet das: Sie müssen High-Risk-Systeme überwachen und Logs führen, Ihre Mitarbeitenden informieren und schulen, Risiken dokumentieren und bei bestimmten Systemen eine Grundrechts-Folgeabschätzung durchführen. Für High-Risk-Systeme (Annex III, etwa in den Bereichen Personalentscheidungen, Kreditvergabe, biometrische Identifikation) kommen Registrierungspflichten in der EU-Datenbank und technische Schutzanforderungen dazu. Bei Verstössen drohen Bussen bis zu 15 Millionen Euro oder 3% des weltweiten Jahresumsatzes.
Der EU AI Act gilt extraterritorial: Massgeblich ist der Ort der Wirkung, nicht der Unternehmenssitz. Ein Schweizer KMU mit EU-Kundschaft ist betroffen. Zusätzlich greifen der revDSG für alle KI-gestützten Bearbeitungen von Personendaten sowie branchenspezifische Anforderungen von FINMA oder sektorspezifischen Regulatoren.
Was wir tun
Unser Vorgehen in sechs Schritten
KI-Inventar als Basis
Compliance-Prüfung setzt voraus, dass wir wissen, welche Systeme vorhanden sind. Falls noch kein Inventar existiert, erstellen wir es als ersten Schritt. Falls bereits eines vorhanden ist, überprüfen und aktualisieren wir es. Ohne vollständiges Inventar ist jede Compliance-Analyse lückenhaft.
Rechtliche Einordnung
Jedes System wird geprüft: Fällt es unter den EU AI Act? Welche Risikostufe? Welche Artikel sind anwendbar? Sind Sie Provider, Deployer oder beides? Gerade bei SaaS-Produkten mit eingebetteten KI-Funktionen ist die Rollenzuweisung nicht immer offensichtlich.
Gap-Analyse
Wo haben Sie heute Lücken? Fehlende Dokumentation, keine Überwachungsprozesse, unklare Verantwortlichkeiten, unzureichende Vendor-Verträge. Alles wird konkret benannt: kein allgemeines Compliance-Rauschen, sondern eine Lücke pro System mit Handlungsbedarf.
Compliance-Roadmap
Priorisierte Liste: Was muss sofort, was bis wann, wer ist zuständig. Realistisch geplant für ein KMU ohne eigene Legal- oder Compliance-Abteilung. Die Roadmap unterscheidet zwischen Muss-Massnahmen (August 2026) und empfohlenen Massnahmen für Audit-Readiness.
Dokumentations-Aufbau
Wir erstellen die Kerndokumente gemeinsam mit Ihnen: Compliance-Nachweise, Überwachungsprotokolle für High-Risk-Systeme, Vendor-Questionnaire-Vorlage für Grosskunden, technische und organisatorische Massnahmen (TOM) für KI-relevante Prozesse.
Review und Übergabe
Finales Review aller Dokumente, Beantwortung offener Fragen, Übergabe an Ihr Team mit kurzer Einführung. Ihr Team kann den Prozess danach selbstständig weiterführen.
Deliverables
Was Sie bekommen
EU AI Act Gap-Analyse
Jedes Ihrer KI-Systeme eingeordnet nach Risikostufe und Deployer-Pflichten.
Compliance-Roadmap
Konkrete Massnahmen, Verantwortlichkeiten und Zeitplan bis August 2026.
Nachweisdokumentation
Für High-Risk-Systeme Überwachungsprotokoll, technische Massnahmen, Transparenzpflichten.
Vendor-Questionnaire-Vorlagen
Wenn Grosskunden nach Ihrer KI-Governance fragen, haben Sie eine strukturierte Antwort bereit.
Audit-Checkliste
Was externe Prüfer sehen wollen, in welchem Format und mit welcher Tiefe.
Wo stehen Sie?
Für wen passt dieser Service?
Dieser Service ist der richtige Schritt, wenn Ihr Unternehmen Kundschaft oder Partner in der EU hat und unter die extraterritoriale Wirkung des EU AI Act fällt, Grosskunden, Banken oder Versicherungen Compliance-Fragen stellen, die Sie heute nicht vollständig beantworten können, Sie bis August 2026 nachweislich compliant sein müssen und nicht wissen, wo Sie anfangen sollen, oder Sie einen strukturierten Prozess wollen, den Sie intern weiterführen können, ohne dauerhaft externe Unterstützung zu brauchen.
Unsere Arbeiten
Ein Beispiel aus der Praxis
Zwei Kunden fragen. Gleichzeitig.
Ein Treuhandbüro mit 40 Mitarbeitenden wurde von einer Kantonalbank und einem Versicherungsunternehmen gleichzeitig nach der KI-Governance befragt. Ohne strukturierte Antwort drohte der Verlust beider Mandate. Wir erstellten in vier Wochen eine vollständige Gap-Analyse, eine Compliance-Roadmap und eine zehnseitige Nachweisdokumentation. Beide Kunden akzeptierten die Unterlagen. Drei KI-gestützte Prozesse, die zuvor auf Eis lagen, wurden danach offiziell freigegeben, weil die regulatorische Einordnung nun schriftlich vorlag.
Eckdaten
Zeitrahmen und Investition
Zeitrahmen
6 bis 8 Wochen vom Kickoff bis zur Übergabe aller Dokumente.
Investition
Gap-Analyse mit Roadmap ab CHF 8'000 für KMU bis 50 Mitarbeitende. Vollständige Compliance-Begleitung inklusive Dokumentations-Aufbau: CHF 15'000 bis CHF 25'000, abhängig von Anzahl KI-Systeme und regulatorischem Expositionsgrad. Nach dem Erstgespräch machen wir ein konkretes Angebot.
Compliance ist keine Option, sie ist eine Frist
Der EU AI Act hat konkrete Daten: August 2025 für GPAI-Pflichten, August 2026 für High-Risk-Systeme. Wer jetzt mit der Gap-Analyse beginnt, hat genug Zeit für eine geordnete Umsetzung. Wer wartet, gerät in Zeitdruck, gerade dann, wenn Grosskunden-Audits parallel laufen.
unverbindlich · kostenfrei
Wir freuen uns auf Sie!
Compliance ist keine Option, sie ist eine Frist
Der EU AI Act hat konkrete Daten: August 2025 für GPAI-Pflichten, August 2026 für High-Risk-Systeme. Wer jetzt mit der Gap-Analyse beginnt, hat genug Zeit für eine geordnete Umsetzung. Wer wartet, gerät in Zeitdruck, gerade dann, wenn Grosskunden-Audits parallel laufen.
unverbindlich · kostenfrei
Wir freuen uns auf Sie!
Häufig gestellte Fragen
Gilt der EU AI Act wirklich für ein Schweizer KMU?
Ja, wenn Sie EU-Kundschaft haben, EU-Daten verarbeiten oder in Lieferketten von Unternehmen mit EU-Marktbezug tätig sind. Die extraterritoriale Wirkung ist mit der DSGVO vergleichbar: Der Standort Schweiz schützt nicht vor den Pflichten. Im Erstgespräch klären wir Ihre konkrete Betroffenheit in 30 Minuten.
Was ist der Unterschied zwischen Provider und Deployer?
Provider entwickeln und vertreiben KI-Systeme. Deployer setzen fremde KI-Systeme im eigenen Betrieb ein. Die meisten KMU sind Deployer. Als Deployer haben Sie nach Art. 26 EU AI Act eigene Pflichten, unabhängig davon, was der Provider macht. Bei bestimmten SaaS-Konfigurationen können Sie gleichzeitig Provider-Pflichten tragen.
Wir sind sehr klein. Lohnt sich das für uns?
Wenn ein Grosskunde nach Ihrer KI-Governance fragt und Sie keine Antwort haben, verlieren Sie den Auftrag. Das betrifft ein 15-Personen-Unternehmen genauso wie ein 150-Personen-Unternehmen. Wir passen Scope und Tiefe an Ihre Grösse und Ihr tatsächliches Risikoprofil an.
Müssen wir für diesen Service bereits ein KI-Inventar haben?
Nein. Falls kein Inventar vorhanden ist, erstellen wir es als Schritt 1. Es ist die notwendige Grundlage für jede Compliance-Analyse. Wer bereits ein Inventar hat, spart in dieser Phase Zeit und Kosten.
Welche Dokumente verlangt ein Prüfer konkret?
Das hängt von den eingesetzten Systemen und ihrer Risikostufe ab. Für Limited-Risk-Systeme genügen oft Transparenzhinweise und eine interne Nutzungsrichtlinie. Für High-Risk-Systeme brauchen Sie technische Dokumentation, Risikomanagementsystem-Nachweise, Überwachungsprotokolle und in bestimmten Fällen eine Grundrechts-Folgeabschätzung. Wir erstellen eine systemspezifische Dokumentationsliste als Teil der Gap-Analyse.
Ist dieser Service auch ohne Rechtsanwalt möglich?
Ja. Für die grosse Mehrheit der KMU ist keine anwaltliche Begleitung nötig. Navigant kombiniert juristisches Know-how (MLaw UZH) mit Praxiserfahrung in der KI-Governance-Implementierung. In besonders regulierten Branchen (Finanz, Gesundheit) oder bei unklaren rechtlichen Grenzfragen empfehlen wir eine ergänzende juristische Prüfung einzelner Punkte.