Bernd Burgdorf über AI Compliance: Von Regulierung zu technischer Umsetzung
Was Schweizer Unternehmen jetzt tun müssen, um KI sicher, rechtskonform und wettbewerbsfähig einzusetzen
Noch nie zuvor ist eine Technologie so schnell in Unternehmen, Verwaltungen, Kanzleien, Kreativprozesse, Forschung und alltägliche Arbeitsabläufe eingedrungen wie Künstliche Intelligenz.
Was vor wenigen Jahren noch als experimentelles Werkzeug für Early Adopters galt, ist heute bereits operative Realität: Mitarbeitende nutzen ChatGPT, Copilot, Claude, Perplexity, Midjourney, Runway, interne KI-Assistenten, Recherche-Tools, Coding-Agenten, Meeting-Zusammenfassungen oder automatisierte Dokumentenanalysen. Oft geschieht dies produktiv, kreativ und mit grossem Nutzen. Aber ebenso oft geschieht es ohne klare Richtlinien, ohne Inventar, ohne technische Kontrolle, ohne Datenklassifizierung und ohne nachvollziehbare Governance.
Genau hier beginnt AI Compliance.
Denn die zentrale Frage lautet nicht mehr, ob Unternehmen KI einsetzen. Die entscheidende Frage lautet:
Welche Daten verarbeitet Ihr Unternehmen bereits heute mit KI – und wissen Sie, wo, wie, durch wen und mit welchem Risiko?
Die neue Realität: KI ist bereits Teil Ihres Unternehmens
Viele Organisationen behandeln AI Compliance noch immer wie ein zukünftiges Regulierungsprojekt. Das ist gefährlich. In der Praxis ist KI längst nicht mehr nur ein strategisches Thema der Geschäftsleitung oder ein Innovationsprojekt der IT-Abteilung. KI ist bereits Teil der täglichen Arbeitsrealität.
Sie wird genutzt, um Verträge zusammenzufassen, Kundendaten zu analysieren, Marketingtexte zu generieren, Präsentationen zu erstellen, Code zu schreiben, Rechtsfragen vorzubereiten, Bewerbungen zu bewerten, Support-Prozesse zu beschleunigen oder interne Wissensdatenbanken abzufragen.
Das Problem ist dabei nicht die Nutzung von KI an sich. Das Problem ist die unkontrollierte Nutzung.
Schatten-KI entsteht dort, wo Mitarbeitende KI-Tools einsetzen, ohne dass das Unternehmen weiss, welche Plattformen genutzt werden, welche Daten eingegeben werden, ob personenbezogene oder vertrauliche Informationen verarbeitet werden, ob die Ergebnisse überprüft werden und ob die Nutzung dokumentiert ist.
In dieser Phase entsteht das grösste Risiko nicht durch Regulierung, sondern durch fehlende Transparenz.
Die Schweiz hat kein eigenes AI-Gesetz – aber sie ist nicht regulierungsfrei
Ein häufiges Missverständnis lautet: Die Schweiz habe kein KI-Gesetz, also bestehe aktuell auch kein konkreter Handlungsbedarf.
Das ist falsch.
Die Schweiz hat derzeit zwar kein umfassendes, eigenständiges KI-Gesetz nach dem Vorbild des EU AI Act. Der Bundesrat hat sich jedoch für einen Ansatz entschieden, der auf der Ratifikation der KI-Konvention des Europarats, gezielten Anpassungen im Schweizer Recht und sektorspezifischer Regulierung basiert. Ein Entwurf zur Umsetzung soll bis Ende 2026 in die Vernehmlassung gehen; im Fokus stehen insbesondere Transparenz, Datenschutz, Nichtdiskriminierung und Aufsicht.
Gleichzeitig gilt bereits heute: Bestehende Schweizer Gesetze sind auf KI-Anwendungen anwendbar. Dazu gehören insbesondere das revidierte Datenschutzgesetz, das Obligationenrecht, das UWG, das Urheberrecht, Berufsgeheimnisse und branchenspezifische Pflichten. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte weist ausdrücklich darauf hin, dass das seit 1. September 2023 geltende Datenschutzgesetz direkt auf KI-gestützte Datenbearbeitungen anwendbar ist. Hersteller, Anbieter und Nutzer von KI-Systemen müssen Zweck, Funktionsweise und Datenquellen KI-basierter Bearbeitungen transparent machen; bei hohen Risiken kann eine Datenschutz-Folgenabschätzung erforderlich sein.
Das bedeutet:
Schweizer Unternehmen befinden sich nicht in einem rechtsfreien Experimentierraum. Sie bewegen sich in einem bestehenden Rechtsrahmen, der durch KI plötzlich viel stärker technisch operationalisiert werden muss.
Der EU AI Act wirkt auch auf Schweizer Unternehmen
Parallel dazu entsteht mit dem EU AI Act ein zweiter regulatorischer Raum, der für Schweizer Unternehmen sehr relevant sein kann. Die EU beschreibt den AI Act als das weltweit erste umfassende gesetzliche Rahmenwerk für Künstliche Intelligenz. Er ist am 1. August 2024 in Kraft getreten und wird schrittweise anwendbar. Verbote bestimmter KI-Praktiken und Pflichten zur AI Literacy gelten seit dem 2. Februar 2025; Governance-Regeln und Pflichten für General-Purpose-AI-Modelle gelten seit dem 2. August 2025.
Für Schweizer Unternehmen ist entscheidend: Der EU AI Act kann auch dann relevant werden, wenn ein Unternehmen seinen Sitz nicht in der EU hat, aber KI-Systeme, Produkte, Dienstleistungen oder Outputs in den EU-Markt bringt oder dort Wirkung entfaltet. Praktisch betrifft dies etwa Unternehmen mit EU-Kunden, EU-Nutzern, EU-Partnern, Plattformvertrieb, Cloud-Infrastrukturen, grenzüberschreitenden Services oder eingebetteten KI-Funktionen in digitalen Produkten.
Nach der politischen Einigung zum sogenannten AI Omnibus vom 7. Mai 2026 ist die Umsetzung bestimmter Hochrisiko-Regeln neu gestaffelt: Für bestimmte eigenständige Hochrisiko-Systeme sollen die Regeln ab 2. Dezember 2027 gelten, für KI-Systeme, die in regulierte Produkte eingebettet sind, ab 2. August 2028. Gleichzeitig bleiben andere Pflichten, etwa Transparenz- und Governance-Anforderungen, weiterhin operativ relevant.
Die Sanktionen zeigen, dass es sich nicht um symbolische Regulierung handelt. Verstösse gegen verbotene KI-Praktiken können nach dem EU AI Act mit Geldbussen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden; andere Verstösse können bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes erreichen.
AI Compliance ist kein Dokument – sondern ein System
Viele Unternehmen beginnen Compliance-Projekte mit Policies, PowerPoint-Folien und Schulungen. Das ist sinnvoll, aber nicht ausreichend.
AI Compliance entsteht nicht dadurch, dass ein Unternehmen eine KI-Richtlinie schreibt. Sie entsteht erst dann, wenn Governance, Prozesse, Technik, Datenflüsse, Verantwortlichkeiten, Monitoring und Nachweise zusammenwirken.
Oder anders formuliert:
Compliance ist kein PDF. Compliance ist ein Betriebsmodell.
Ein Unternehmen muss beantworten können:
- Welche KI-Systeme werden eingesetzt?
- Welche Daten fliessen hinein?
- Welche Modelle oder Anbieter werden genutzt?
- Welche Outputs entstehen?
- Wer prüft diese Outputs?
- Welche Entscheidungen werden daraus abgeleitet?
- Welche Risiken entstehen entlang des Prozesses?
- Welche Nachweise werden gespeichert?
- Wer trägt Verantwortung?
Genau deshalb muss AI Compliance technisch gedacht werden: als durchgängige Kontrollarchitektur vom menschlichen Input bis zur geschäftlichen Wirkung.
Das AI Compliance Signal Flow Model: Von der Eingabe bis zur Wirkung
Jede KI-Nutzung folgt einem Signalfluss.
Am Anfang steht ein Mensch: eine Frage, ein Prompt, ein Dokument, ein Datensatz, eine Aufgabe. Danach folgt die Datenebene: Sammlung, Speicherung, Vorbereitung, Klassifizierung. Anschliessend arbeitet das KI-System: Modell, Algorithmus, Training, Inferenz, Kontextverarbeitung. Daraus entsteht ein Output: Text, Empfehlung, Analyse, Entscheidungsvorlage oder automatisierte Aktion. Dieser Output fliesst wiederum in eine menschliche oder organisatorische Entscheidung ein – und erzeugt schliesslich eine geschäftliche Wirkung.
Dieser Signalfluss ist entscheidend, weil Risiken nicht nur im Modell entstehen. Risiken entstehen in jedem Schritt.
Datenschutzrisiken entstehen bei der Eingabe und Datenverarbeitung.
Urheberrechtsrisiken entstehen bei Trainingsdaten, Quellen und Output-Nutzung.
Bias- und Fairness-Risiken entstehen bei Datensätzen, Klassifikationen und Entscheidungsvorschlägen.
Haftungsrisiken entstehen, wenn KI-Ergebnisse ungeprüft übernommen werden.
Transparenzrisiken entstehen, wenn nicht klar ist, ob Menschen mit einem Menschen oder einer Maschine interagieren.
Sicherheitsrisiken entstehen, wenn sensible Daten in unkontrollierte Systeme fliessen oder KI-Agenten Zugriff auf interne Tools erhalten.
Technische AI Compliance muss daher jeden Schritt dieses Signalflusses begleiten.
Das bedeutet konkret: Unternehmen benötigen ein AI-Inventar, Datenklassifizierung, Rollen- und Rechtekonzepte, Protokollierung, Prompt- und Output-Governance, Human-Review-Prozesse, Modell- und Anbieterprüfung, Risikobewertung, Monitoring, Audit-Trails und klare Eskalationsmechanismen.
Die technische Umsetzung beginnt mit einem AI-Inventar
Der erste operative Schritt ist nicht die perfekte Policy. Der erste Schritt ist Transparenz.
Unternehmen müssen wissen, welche KI-Systeme bereits genutzt werden. Dazu gehören nicht nur offiziell lizenzierte Enterprise-Tools, sondern auch informelle Nutzungen in Teams, Marketing, HR, Legal, Sales, Finance, IT oder Produktentwicklung.
Ein AI-Inventar sollte mindestens erfassen:
- Name des Tools oder Systems
- Verantwortliche Abteilung
- Zweck und Use Case
- verarbeitete Datenarten
- personenbezogene oder vertrauliche Daten
- Anbieter und Hosting-Ort
- Schnittstellen zu anderen Systemen
- Risikokategorie
- menschliche Prüfpflichten
- Dokumentations- und Aufbewahrungsanforderungen
- Status der Freigabe
Ohne Inventar bleibt AI Governance blind.
Danach folgt die Risikoklassifizierung
Nicht jeder KI-Use-Case ist gleich riskant. Ein internes Tool zur Formulierung allgemeiner Marketingideen ist anders zu bewerten als ein System, das Bewerbungen vorsortiert, medizinische Empfehlungen vorbereitet, Bonitätsentscheidungen unterstützt oder rechtliche Analysen für Mandanten erzeugt.
Der EU AI Act folgt einem risikobasierten Ansatz. Bestimmte Praktiken sind verboten, andere gelten als hochriskant, wieder andere unterliegen Transparenzpflichten oder nur geringen Anforderungen. Für Unternehmen bedeutet das: Jeder relevante Use Case muss klassifiziert werden – nicht nur technisch, sondern auch rechtlich, organisatorisch und reputationsbezogen.
In der Schweiz ist diese Logik ebenfalls sinnvoll, auch wenn sie nicht eins zu eins aus einem eigenständigen Schweizer KI-Gesetz folgt. Denn Datenschutz, Haftung, Sorgfaltspflichten, Berufsgeheimnisse, Urheberrecht und vertragliche Verpflichtungen verlangen ohnehin eine risikoadäquate Kontrolle.
Governance: Wer entscheidet eigentlich über KI?
Erfolgreiche KI-Transformation beginnt nicht mit Technologie. Sie beginnt mit Governance.
Ein AI Governance Framework sollte fünf Ebenen abdecken:
1. Strategie und Ziele
Welche KI-Nutzung ist erwünscht? Welche Geschäftswerte sollen entstehen? Welche Use Cases haben Priorität? Welche Risiken akzeptiert das Unternehmen – und welche nicht?
2. Governance und Organisation
Wer ist verantwortlich? Wer entscheidet über Freigaben? Wer prüft Risiken? Wer ist Ansprechpartner für Datenschutz, Recht, IT-Security, Fachbereiche und Geschäftsleitung?
3. Prozesse und Workflows
Wie werden KI-Use-Cases beantragt, geprüft, dokumentiert, getestet, freigegeben, überwacht und bei Bedarf gestoppt?
4. Technologie und Infrastruktur
Welche Plattformen dürfen genutzt werden? Welche Datenräume sind zulässig? Welche Zugriffskontrollen, Logs, Schnittstellen und Sicherheitsmechanismen sind erforderlich?
5. Monitoring und Kontrolle
Welche KPIs werden gemessen? Welche Audits finden statt? Wie werden Fehler, Beschwerden, Halluzinationen, Bias-Fälle oder Sicherheitsvorfälle dokumentiert und verbessert?
Diese Logik entspricht auch modernen Managementsystem-Ansätzen. ISO/IEC 42001 wird von ISO als weltweit erster Standard für AI Management Systems beschrieben und bietet Unternehmen einen strukturierten Ansatz, um Risiken und Chancen von KI zu managen und Innovation mit Governance zu verbinden.
AI Policy: Was ist erlaubt, was verboten, wer entscheidet?
Eine AI Policy ist kein Selbstzweck. Sie ist die Übersetzung von Governance in Alltagshandeln.
Sie sollte klar und verständlich beantworten:
• Welche KI-Tools sind erlaubt?
• Welche Daten dürfen eingegeben werden?
• Welche Daten dürfen niemals eingegeben werden?
• Wann braucht es menschliche Prüfung?
• Wann braucht es Freigabe durch Legal, Datenschutz oder IT?
• Wie müssen KI-generierte Inhalte gekennzeichnet werden?
• Wie wird mit vertraulichen Informationen, Kundendaten, Geschäftsgeheimnissen und Personendaten umgegangen?
• Wer haftet intern für Entscheidungen auf Basis von KI-Ergebnissen?
• Wie werden Vorfälle gemeldet?
Die beste AI Policy ist nicht die längste, sondern diejenige, die tatsächlich genutzt wird.
Von Ad-hoc-Nutzung zu AI Native Enterprise
Viele Unternehmen befinden sich heute auf einer frühen Reifestufe. KI wird genutzt, aber ohne verbindliche Standards. Danach folgen erste Diskussionen, grundlegende Richtlinien, Pilotprojekte, Inventare, Risikobewertungen und definierte Prozesse. Erst später entstehen verbindliche Policies, Trainings, Monitoring, Audits und integrierte Governance.
Das Ziel ist nicht Bürokratie. Das Ziel ist Handlungsfähigkeit.
Ein AI Native Enterprise ist nicht einfach ein Unternehmen, das viele KI-Tools nutzt. Es ist ein Unternehmen, das KI strategisch, sicher, nachvollziehbar und messbar in seine Wertschöpfung integriert.
Reife entsteht dabei nicht über Nacht. Aber jeder Schritt nach vorne schafft mehr Sicherheit, mehr Effizienz und nachhaltige Wettbewerbsvorteile.
Die ersten 90 Tage: Was Unternehmen konkret tun sollten
Der Einstieg in AI Compliance muss nicht kompliziert sein. Aber er muss strukturiert sein.
In den ersten 90 Tagen sollten Unternehmen fünf Dinge tun:
Erstens: KI-Nutzung inventarisieren.
Welche Tools, Plattformen und Workflows sind bereits im Einsatz?
Zweitens: Datenflüsse verstehen.
Welche Eingaben, Datenquellen, Outputs, Entscheidungen und Auswirkungen entstehen?
Drittens: Risiken klassifizieren.
Welche Use Cases betreffen Datenschutz, vertrauliche Informationen, Kunden, Mitarbeitende, rechtliche Entscheidungen oder sensible Prozesse?
Viertens: Governance etablieren.
Wer entscheidet, wer prüft, wer dokumentiert, wer überwacht?
Fünftens: Technische Kontrollen einführen.
Dazu gehören Zugriffskontrolle, Logging, Datenklassifizierung, Freigabeprozesse, Monitoring, Audit-Trails und klare Regeln für externe Anbieter.
Damit wird AI Compliance vom abstrakten Regulierungsthema zur konkreten Management- und Engineering-Aufgabe.
Schlussgedanke: Compliance ist nicht die Bremse der Innovation
Der vielleicht wichtigste Perspektivwechsel lautet:
AI Compliance ist nicht der Gegner von Innovation. AI Compliance ist die Voraussetzung für skalierbare Innovation.
Unternehmen, die KI ohne Governance einsetzen, bewegen sich schneller – aber oft in die falsche Richtung. Unternehmen, die KI mit zu viel Bürokratie blockieren, verlieren Anschluss. Der richtige Weg liegt dazwischen: mutig, strukturiert, technisch sauber, rechtlich bewusst und strategisch geführt.
Gerade für die Schweiz liegt darin eine grosse Chance. Die Schweiz steht traditionell für Qualität, Präzision, Vertrauen, Datenschutz, Forschung, Innovation und verlässliche Institutionen. Wenn Schweizer Unternehmen diese Stärken in die technische Umsetzung von KI übertragen, kann AI Compliance zu einem echten Wettbewerbsvorteil werden.
Nicht weil Regulierung Innovation verhindert.
Sondern weil Vertrauen zur Grundlage der nächsten Innovationswelle wird.
Die Zukunft gehört nicht den Organisationen, die KI nur ausprobieren.
Sie gehört den Organisationen, die KI verantwortlich, sicher und wirksam betreiben.
Dieser Beitrag wurde uns von Bernd Burgdorf zur Verfügung gestellt.
KI-Experte Bernd Burgdorf kann für Vorträge zu Agentic AI, KI in Unternehmen, Strategien und die Zukunft der Technologie gebucht werden: +1 (704) 804 1054 oder bernd.burgdorf@premium-speakers.com