KI-Inventar & Shadow AI
Volle Sicht auf alle KI-Systeme in Ihrem Unternehmen.
Wir erfassen systematisch, welche KI-Anwendungen in Ihrem Unternehmen wirklich im Einsatz sind, kartieren Datenflüsse und bewerten jedes System nach EU AI Act, revDSG und operativem Risiko.
unverbindlich · kostenfrei
Wir freuen uns auf Sie!
KI-Inventar & Shadow AI
Volle Sicht auf alle KI-Systeme in Ihrem Unternehmen.
Wir erfassen systematisch, welche KI-Anwendungen in Ihrem Unternehmen wirklich im Einsatz sind, kartieren Datenflüsse und bewerten jedes System nach EU AI Act, revDSG und operativem Risiko.
unverbindlich · kostenfrei
Wir freuen uns auf Sie!
TL;DR
Das Wichtigste in Kürze
Die meisten KMU kennen einen Bruchteil ihrer tatsächlichen KI-Systemlandschaft.
Shadow AI ist kein Ausnahmefall: Über 80% der Mitarbeitenden nutzen KI-Tools, nur 37% der Unternehmen haben Governance-Richtlinien dafür (IBM, 2025).
Das EU AI Act verpflichtet Unternehmen ab August 2026 zur vollständigen Dokumentation aller eingesetzten KI-Systeme.
Ohne Inventar ist weder Governance noch Compliance möglich: Man kann nicht steuern, was man nicht sieht.
Navigant liefert ein auditfähiges KI-Register, Datenfluss-Diagramme, eine Risiko-Heatmap und priorisierte Handlungsempfehlungen.
Das Problem
Ihr KMU setzt mehr KI ein, als Sie ahnen.
Die Geschäftsleitung hat drei KI-Tools genehmigt. Das Marketing nutzt fünf weitere. Ein Mitarbeitender im Vertrieb hat eine Browser-Extension installiert, die E-Mails mitliest. Das ERP hat seit dem letzten Update eine eingebettete KI-Funktion, die automatisch Risikobewertungen generiert. Und ChatGPT läuft auf mehreren Geräten mit Firmendaten, ohne dass je eine formelle Entscheidung getroffen wurde.
Das ist kein Ausnahmefall. Das ist der Normalzustand in KMU, die KI einsetzen.
Ohne vollständige Übersicht ist jede Governance-Massnahme hinfällig. Sie können keine Richtlinien für Tools schreiben, die Sie nicht kennen. Sie können keine Risiken managen, die Sie nicht sehen. Und bei einem Kundenaudit oder Datenschutzvorfall können Sie die Kontrolle nicht nachweisen, wenn Sie sie nicht hatten.
Das Risiko
Was ist Shadow AI, und warum ist es ein regulatorisches Risiko?
Shadow AI bezeichnet den Einsatz von KI-Tools, Modellen oder Diensten innerhalb eines Unternehmens ausserhalb formeller Genehmigungsprozesse. Mitarbeitende nutzen diese Werkzeuge nicht aus böser Absicht, sondern weil sie produktiver sein wollen und der offizielle Weg zu langsam oder unklar ist.
Das Risiko ist dennoch real: Shadow AI-Vorfälle verursachen laut IBM im Schnitt 670'000 USD Mehrkosten bei Datenpannen. Tools können Kundendaten in Trainingsdatensätzen verarbeiten, proprietäre Informationen an Server in Drittstaaten übermitteln oder Outputs generieren, die in regulierten Entscheidungsprozessen unkontrolliert einfliessen.
Hinzu kommt das regulatorische Risiko: Das EU AI Act (vollständig wirksam ab August 2026) schreibt Unternehmen, die KI einsetzen, ein vollständiges Register aller KI-Systeme vor, inklusive Risikoklassifizierung, Datenflüssen und internen Verantwortlichkeiten. Für Hochrisiko-Systeme (Annex III, etwa im Bereich Personalentscheidungen oder Kreditvergabe) drohen bei Verstössen Bussen bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes. Für Schweizer Unternehmen gilt zusätzlich der revDSG: Jede KI-gestützte Bearbeitung von Personendaten muss nachvollziehbar und zweckgebunden sein.
Was wir tun
Unser Vorgehen in vier Schritten
Discovery
Wir erfassen KI-Nutzung aus mehreren Quellen gleichzeitig: strukturierte Befragung aller Mitarbeitenden (kommuniziert als Transparenz-Initiative, nicht als Kontrolle), Auswertung von SaaS-Abonnements, Lizenzlisten und Einkaufsdaten, Analyse von Browser-Extensions und Drittanbieter-Integrationen sowie gezielte Sichtung von Vendor-Verträgen auf eingebettete KI-Funktionen. Viele Tools, die Mitarbeitende als reine Software betrachten, enthalten heute KI-Komponenten, die aktiviert sind und Daten verarbeiten, ohne dass jemand im Unternehmen das bewusst entschieden hat.
Dokumentation
Für jedes identifizierte System erstellen wir einen standardisierten Datensatz: Tool-Name und Anbieter, Einsatzzweck und beteiligte Abteilungen, verarbeitete Datentypen (intern, personenbezogen, vertraulich), Datenresidenz und Drittland-Transfers, zuständige Person (Owner) sowie Genehmigungsstatus (offiziell sanktioniert, geduldet, unbekannt).
Datenfluss-Mapping
Wir visualisieren, welche Daten in welche Tools fliessen und wo sie nach der Verarbeitung bleiben. Zentrale Fragen: Werden Eingabedaten für das Training des Modells genutzt? In welchem Land werden die Daten gespeichert? Gibt es vertraglich nicht ausgeschlossene Drittzugriffe durch den Anbieter? Dieses Mapping ist die Grundlage für spätere Datenschutz-Folgeabschätzungen und EU AI Act-Konformitätsprüfungen.
Risikobewertung und Klassifizierung
Jedes System wird nach drei Dimensionen bewertet: erstens nach EU AI Act-Risikokategorien (verboten, hochriskant, begrenzt riskant, minimales Risiko), zweitens nach Datensensitivität (öffentlich, intern, vertraulich, streng vertraulich), und drittens nach operativem Risiko (Entscheidungsrelevanz, Fehleranfälligkeit, menschliche Überwachung). Das Ergebnis ist eine Risiko-Heatmap: übersichtlich, kommunizierbar und auditfähig.
Deliverables
Was Sie bekommen
KI-Register
Vollständige Übersicht aller identifizierten KI-Systeme mit Tool-Name, Zweck, Abteilung, verarbeiteten Daten und Verantwortlichkeit. Format: Excel oder Airtable, anpassbar an Ihre internen Systeme.
Datenfluss-Diagramme
Visuelle Darstellung der relevanten Datenflüsse zwischen Abteilungen und externen KI-Diensten.
Risiko-Heatmap
Priorisierte Klassifizierung aller Systeme nach Dringlichkeit und regulatorischem Risiko.
Shadow-AI-Report
Nicht genehmigte Tools mit Status-Empfehlung (genehmigen, ersetzen, sperren).
Gap Analyse
Was fehlt noch für eine funktionierende KI-Governance?
Management-Briefing
Kompakte Zusammenfassung für Geschäftsleitung und Verwaltungsrat, ohne technische Vorkenntnisse verständlich.
Wo stehen Sie?
Für wen passt dieser Service?
Dieser Service ist der richtige Einstieg, wenn Ihr Unternehmen noch keinen strukturierten Überblick über seine KI-Systemlandschaft hat, sich auf ein Grosskunden-Audit oder eine Lieferantenbewertung vorbereitet, die EU AI Act-Anforderungen operationalisieren will, eine KI-Richtlinie oder ein Governance-Framework aufbauen möchte und dafür die Grundlage braucht, oder bei einem Datenschutzvorfall nachweisen muss, dass die Kontrolle vorhanden war.
Unsere Arbeiten
Ein Beispiel aus der Praxis
Fünf vermutet. Zwölf gefunden.
Ein Online-Händler mit 35 Mitarbeitenden schätzte, rund fünf KI-Systeme im Einsatz zu haben. Wir fanden zwölf. Darunter ein Pricing-Plugin, das Produktpreise automatisch anpasste, ohne dass jemand die Outputs kontrollierte. Und drei Tools, die Kundendaten ohne vertragliche Grundlage an US-Server übermittelten. Die Bestandesaufnahme brachte Transparenz, ein Konsolidierungsplan reduzierte die Lizenzkosten um CHF 8'000 pro Jahr, und die Compliance-Lücken wurden geschlossen, bevor ein Kunde nachfragte.
Eckdaten
Zeitrahmen und Investition
Zeitrahmen
2 bis 3 Wochen vom Kickoff bis zur Ergebnispräsentation. Der Aufwand auf Ihrer Seite ist bewusst gering: ein strukturierter Workshop pro Abteilung.
Investition
Ab CHF 5'000 für KMU bis 50 Mitarbeitende. Der genaue Aufwand hängt von Belegschaftsgrösse, IT-Komplexität und Ausmass der Shadow AI ab. Im Erstgespräch klären wir den konkreten Umfang.
Ihr nächster Schritt
Die EU-AI-Act-Fristen laufen. Der erste Schritt zur Compliance ist zu wissen, wo Sie stehen. In einem kostenlosen 30-Minuten-Gespräch klären wir, ob und in welchem Umfang eine Bestandsaufnahme für Ihr Unternehmen sinnvoll ist.
unverbindlich · kostenfrei
Wir freuen uns auf Sie!
Ihr nächster Schritt
Die EU-AI-Act-Fristen laufen. Der erste Schritt zur Compliance ist zu wissen, wo Sie stehen. In einem kostenlosen 30-Minuten-Gespräch klären wir, ob und in welchem Umfang eine Bestandsaufnahme für Ihr Unternehmen sinnvoll ist.
unverbindlich · kostenfrei
Wir freuen uns auf Sie!
Häufig gestellte Fragen
Was ist der Unterschied zwischen einem KI-Inventar und einem IT-Asset-Inventar?
Ein klassisches IT-Asset-Inventar erfasst Hardware und Software aus Beschaffungs- und Lizenzsicht. Ein KI-Inventar geht weiter: Es bewertet, welche Daten in welche Systeme fliessen, welche regulatorischen Pflichten damit verbunden sind, und wer intern die Verantwortung trägt. Viele KI-Funktionen sind ausserdem in bestehende Tools eingebettet und tauchen in keiner klassischen Inventarliste auf.
Muss unser Unternehmen als Schweizer KMU das EU AI Act einhalten?
Ja, wenn Sie Produkte oder Dienstleistungen an Kundschaft oder Partner im EU-Raum liefern. Das EU AI Act gilt extraterritorial: Nicht der Sitz des Unternehmens ist massgeblich, sondern der Ort der Wirkung. Viele Schweizer KMU sind betroffen, ohne es zu wissen. Unabhängig davon gilt der revDSG für alle Unternehmen, die Personendaten bearbeiten.
Was passiert mit Mitarbeitenden, die nicht genehmigte Tools gemeldet haben?
Eine Bestandesaufnahme ist keine Disziplinarmassnahme. Wer Shadow AI meldet, nutzt meistens Tools, die ihm bei der Arbeit helfen. Das Ziel ist, diese Tools entweder offiziell zu genehmigen oder gute Alternativen anzubieten. Das kommunizieren wir zu Beginn klar, denn ehrliche Meldungen sind die Grundlage einer brauchbaren Bestandesaufnahme.
Was passiert, wenn wir Shadow AI entdecken, die gegen Richtlinien verstösst?
Entdeckung ist kein Problem, sondern das Ziel. Unser Service liefert eine priorisierte Handlungsliste: Manche Tools müssen sofort gesperrt werden, andere brauchen eine angepasste Nutzungsvereinbarung, wieder andere können nach einer Risikoabwägung weiterlaufen. Das Ziel ist nicht Verbotslisten, sondern kontrollierte, dokumentierte Nutzung.
Brauchen wir danach zwingend ein grösseres Governance-Projekt?
Nein. Das Inventar ist ein eigenständiges Deliverable, das Sie auch ohne Folgeprojekt nutzen können. Viele KMU starten damit, weil sie wissen wollen, wo sie stehen, und entscheiden dann auf Basis der Ergebnisse, welche nächsten Schritte sinnvoll sind. Wir empfehlen, auf Basis des Inventars zu entscheiden, nicht umgekehrt.
Können wir das KI-Inventar nach dem Projekt selbst weiterführen?
Ja, das ist ausdrücklich das Ziel. Wir übergeben das Register in einem Format, das Ihre Teams selbst pflegen können, und schulen die zuständigen Personen. Ein KI-Inventar ist kein Einmalprojekt, sondern ein lebendes Dokument. Wir empfehlen eine quartalsweise Aktualisierung.