LEZZI sub white RZ
AI Technology als Microship

KI-Governance in regulierten Schweizer Unternehmen

Künstliche Intelligenz (KI) wird in regulierten Branchen wie dem Finanzwesen oder Gesundheitssektor zunehmend eingesetzt. Damit Unternehmen diese Technologien verantwortungsvoll nutzen können, braucht es klare Regeln, Strukturen und Kontrollen. Dieser Beitrag beleuchtet zentrale Anforderungen und Umsetzungsmöglichkeiten für eine wirksame KI-Governance in der Schweiz.

1. Rechtliche und regulatorische Anforderungen

1.1. Allgemeine Gesetzliche Rahmenbedingungen:

Unternehmen müssen sicherstellen, dass ihre KI-Anwendungen den bestehenden gesetzlichen Anforderungen entsprechen. Darunter fallen z.B. Datenschutzbestimmungen wie die Europäische Datenschutz-Grundverordnung (DSGVO) und Datenschutzgesetz (DSG) falls die KI-Systeme mit personenbezogenen Daten arbeiten. Der EU AI-Act (Artificial Intelligence Act) findet für Schweizer Unternehmen, die in der EU tätig sind oder deren KI-Produkte in der EU verwendet werden Anwendung.

1.2. Besondere Anforderungen für regulierte Unternehmen:

  • Finanzbranche:
    • Die FINMA (Schweizerische Finanzmarktaufsicht) stellt insbesondere in Bezug auf Risikomanagement, Transparenz und Kundenschutz klare Anforderungen an die Verwendung von KI und Algorithmen. Sie erwartet von den beaufsichtigten Finanzmarktunternehmen, dass sie sich aktiv mit den Risiken auseinandersetzen und Ihre Kontrollsysteme entsprechend ausrichten, wenn sie KI einsetzt. Dabei muss die Komplexität des Risikoprofils, die Wesentlichkeit des KI-Anwendungsbereiches sowie die Eintrittswahrscheinlichkeit der entsprechenden Risiken berücksichtigt werden.
    • Algorithmen zur Kreditvergabe müssen nachweislich fair und transparent sein, um Diskriminierung zu vermeiden
    • MiFID II stellt strenge Regeln für die Anwendung von KI auf, da diese neue Technologie oft eingesetzt wird, um die entsprechenden gesetzlichen Anforderungen zu erfüllen. Z.B. beim algorithmischen und Hochfrequenzhandel (HFT) wird KI eingesetzt, um Handelsalgorithmen zu optimieren und Marktmanipulation zu verhindern. KI-gestützte Robo-Advisors müssen sicherstellen, dass sie Kundenprofile korrekt analysieren und die Vorschriften zur Eignungsprüfung (Suitability Assessment) einhalten.
  • Gesundheitswesen:
    • Die Verwendung von KI in medizinischen Anwendungen unterliegt in der Schweiz den Vorgaben des Bundesamts für Gesundheit (BAG) und muss sowohl ethischen als auch datenschutzrechtlichen Anforderungen genügen. Dies umfasst unter anderem die Einhaltung von Anforderungen zur Datensicherheit und Vertraulichkeit sowie die Qualitätssicherung medizinischer Algorithmen. Patienten sollen über den Einsatz von KI informiert werden und verstehen, wie diese Technologien ihre Behandlung beeinflussen könnten.

2. Relevante Grundsätze

Im Zusammenhang mit der Verwendung von KI-Systemen in (regulierten) Unternehmen sind folgende Grundsätze einzuhalten:

  • Fairness: KI-Systeme müssen so ausgestaltet sein, dass sie keine diskriminierenden Auswirkungen auf Kundinnen, Mitarbeitende oder Patientinnen haben.
  • Erklärbarkeit/Nachvollziehbarkeit: Entscheidungen der KI müssen für alle Beteiligten nachvollziehbar und dokumentiert sein. Besonders in regulierten Bereichen ist es zentral, dass das Verhalten des Systems unter verschiedenen Bedingungen verstanden wird.
  • Transparenz/Zustimmung: Betroffene Personen sollen wissen, wann und wie KI zum Einsatz kommt. Wenn möglich, sollten sie ihre Zustimmung geben könne n.
  • Datenqualität: Die verwendeten Daten müssen korrekt, vollständig und aktuell sein. Der Zugang zu relevanten Daten muss jederzeit gewährleistet sein.
  • Datensicherheit: Der Umgang mit grossen Datenmengen verlangt hohe Sicherheitsstandards. Dazu zählen etwa Zugriffsbeschränkungen, Verschlüsselung und die Anonymisierung von Trainingsdaten
  •  

3. Risiko-Management und Kontrolle

Die Einführung von KI-Systemen muss von einem Risiko-Management-Prozess begleitet werden, um mögliche rechtliche, betriebliche oder sicherheitsrelevante Risiken zu identifizieren und zu minimieren. Dazu gehören:

  • die Evaluierung von möglichen Schäden, die durch fehlerhafte KI-Entscheidungen oder Sicherheitslücken entstehen könnten
  • die Implementierung von Notfallplänen
  • die Implementierung einer Risiko-Klassifizierung und daraus folgende Massnahmen zur Minimierung der Risiken
  • eine angemessene Dokumentation wie z.B. das Führen eins KI-Inventars welche eine detaillierte Übersicht über die verwendeten KI-Systeme darstellt
  • das Einführen von Kontrollmechanismen, welche sicherstellen, dass KI-Systeme kontinuierlich überwacht und gegebenenfalls angepasst werden. Dazu gehören das regelmässige Überprüfen des gesamten Modellentwicklungsprozesses durch unabhängige, qualifizierte interne und externe Stellen. So können Modellrisiken identifiziert und unerwünschte Effekte vermieden werden.

4. Klare Governance-Strukturen

  1. Verantwortlichkeiten festlegen: Eine klare Verantwortlichkeit für die KI-Governance ist essenziell. Unternehmen sollten spezifische Rollen und Verantwortlichkeiten definieren, wie z. B. einen Chief AI Officer oder einen KI-Governance-Ausschuss, der die Einhaltung der Governance-Richtlinien überwacht.
  2. Interdisziplinäre Zusammenarbeit: KI-Governance erfordert die Zusammenarbeit von verschiedenen Bereichen des Unternehmens wie Legal, Compliance, IT, Datenmanagement und Ethik. Dies stellt sicher, dass alle Bereiche und Perspektiven angemessen berücksichtigt werden.

5. Kontinuierliche Schulung und Weiterbildung

  • Schulung der Mitarbeiter: Unternehmen müssen sicherstellen, dass ihre Mitarbeiter ausreichend geschult sind, um KI-Technologien zu verstehen und verantwortungsbewusst zu nutzen. Dazu gehören sowohl technische Schulungen als auch Schulungen zu ethischen und rechtlichen Aspekten der KI-Nutzung.
  • Risiko Sensibilisierung: Mitarbeiter sollten sich der möglichen Risiken und Herausforderungen bewusst sein, die mit dem Einsatz von KI verbunden sind, insbesondere in Bezug auf ethische Dilemmata und regulatorische Anforderungen.

6. Technologische und organisatorische Anpassung

Es muss sichergestellt werden, dass das KI-Modell robust, korrekt und stabil ist. KI-Systeme müssen kontinuierlich gewartet, aktualisiert und weiterentwickelt werden, um sicherzustellen, dass die neuesten Technologien und rechtlichen Anforderungen implementiert werden. Das KI-System muss in der Lage sein, auf solche Änderungen schnell zu reagieren.

Die FINMA beurteilt diesbezüglich ob die beaufsichtigten Unternehmen Tests zur Überprüfung der Datenqualität sowie zur Funktionsfähigkeit der KI-Systeme durchführt. Unternehmen sollen ihre KI-Systeme auf Genauigkeit, Robustheit und Stabilität (sowie gegebenenfalls Bias) prüfen. Weiter sollen Schwellenwerte oder andere Validierungsmittel definiert werden, um die Korrektheit und Qualität des Outputs sicherzustellen.

7. Outsourcing

Wird das KI-System durch beauftragte Dritte erbracht, muss sichergestellt werden, dass zusätzliche Tests, Kontrollen und Vertragsklauseln welche die Verantwortlichkeit und Haftbarkeit regeln implementiert sind. Die Beauftragten müssen ebenfalls über nötige Fähigkeiten und Erfahrungen verfügen.

8. Zwei Praxisbeispiele

8.1. KI in der Vermögensverwaltung

Ein Schweizer Vermögensverwalter setzt einen KI-gestützten Robo-Advisor zur digitalen Vermögensverwaltung ein. Die Anwendung analysiert auf Basis eines strukturierten Fragebogens Informationen zu finanzieller Situation, Anlagezielen und Risikofähigkeit der Kundinnen und Kunden. Daraus werden automatisierte Anlagevorschläge erstellt, die regelmässig an Marktveränderungen angepasst werden.

Gemäss den FINMA-Vorgaben – insbesondere zur Eignungs- (Suitability) und Angemessenheitsprüfung (Appropriateness) – muss sichergestellt sein, dass die vorgeschlagene Anlagestrategie mit dem Risikoprofil der Kundschaft übereinstimmt. Dafür wurden Kontrollmechanismen eingeführt, welche bei Abweichungen eine manuelle Prüfung durch qualifizierte Fachpersonen auslösen.

Zur Erklärbarkeit der Entscheidungen werden die Empfehlungen der KI systematisch dokumentiert. Ein Modulsystem legt die zentralen Einflussfaktoren offen (z. B. Risikokategorie, Anlagehorizont, Liquiditätspräferenzen), sodass sowohl Kundschaft als auch interne Prüfer die Resultate nachvollziehen können.

Das Modell unterliegt einem kontinuierlichen Monitoring und wird vierteljährlich durch ein internes Validierungsteam geprüft – mit Fokus auf Datenqualität, Performance und potenzielle Verzerrungen (Bias). Zudem werden regelmässige Schulungen durchgeführt, um sicherzustellen, dass die digitale Anlageberatung den aufsichtsrechtlichen Sorgfaltspflichten entspricht.

Die Outsourcing-Vorgaben der FINMA werden erfüllt: Mit externen Technologiepartnern bestehen vertragliche Regelungen zu Datenschutz, Kontrollrechten und Haftung. Damit wird nicht nur die Einhaltung regulatorischer Anforderungen sichergestellt, sondern auch Vertrauen in den KI-gestützten Beratungsprozess geschaffen.

8.2. KI im Gesundheitswesen

Ein führendes Schweizer Spital setzt KI zur Unterstützung der radiologischen Befundung ein. Die Anwendung analysiert automatisiert Röntgen- und MRT-Bilder und priorisiert potenzielle Auffälligkeiten für die ärztliche Nachkontrolle – mit dem Ziel, die Diagnostik zu beschleunigen und die Qualität zu erhöhen.
Vor dem Einsatz wurde die Lösung von einem interdisziplinären Team aus Radiologie, Datenschutz, IT-Sicherheit und Ethik geprüft. Dabei wurde sichergestellt, dass die Trainingsdaten anonymisiert und frei von Bias waren.
Die behandelnden Ärztinnen und Ärzte behalten stets die finale Entscheidungshoheit. Die KI dient ausschliesslich als unterstützendes Instrument. Patientinnen und Patienten werden transparent über den KI-Einsatz informiert und können nachvollziehen, wie die Einschätzungen zustande kommen.
Die Leistung der KI wird laufend überwacht. Das Spital hat klare Schwellenwerte für Sensitivität und Spezifität definiert, die im Rahmen eines kontinuierlichen Qualitätsmonitorings überprüft werden. Bei Auffälligkeiten erfolgt eine erneute Validierung durch das interne KI-Kompetenzteam – um Robustheit, Verlässlichkeit und ethische Vertretbarkeit im klinischen Alltag sicherzustellen.

9. Fazit

Für regulierte Unternehmen ist eine durchdachte KI-Governance unerlässlich, um den Einsatz von KI mit rechtlichen, ethischen und betriebswirtschaftlichen Anforderungen in Einklang zu bringen. Grundlage dafür bildet eine fundierte IST-Analyse: Sie umfasst die Erhebung des aktuellen KI-Stands im Unternehmen, die Prüfung relevanter Regulierungen (z. B. DSG, EU AI Act, DSGVO), die Bewertung bestehender Governance-Strukturen sowie die Identifikation von Lücken und Risiken. Daraus lassen sich gezielte Massnahmen zur Risikominimierung ableiten.
Für eine wirksame Umsetzung braucht es die enge Zusammenarbeit aller relevanten Bereiche – von Legal über Compliance bis IT – sowie ein laufendes Monitoring der Risiken und regulatorischen Entwicklungen.

10. Unterstützung durch LezziLegal

Wir begleiten Sie bei der Entwicklung und Umsetzung einer rechtssicheren und praxistauglichen KI-Governance – zielgerichtet, effizient und mit langjähriger Erfahrung:

  • IST-Analyse: Wir analysieren den aktuellen Stand Ihrer KI-Anwendungen und zeigen auf, wo regulatorischer Handlungsbedarf besteht.
  • Projektbegleitung: Von der Konzeption bis zur Umsetzung stehen wir Ihnen als externe Rechtsberater zur Seite – mit Fokus auf Datenschutz, Governance und Compliance.
  • Schulungen: Wir sensibilisieren Ihre Mitarbeitenden für rechtliche, ethische und technische Anforderungen im Umgang mit KI-Systemen – verständlich und praxisnah.
  • Behördenkontakt: Wir unterstützen Sie in der Kommunikation mit Aufsichts- und Fachstellen.
  • Auditvorbereitung: Ob interne Prüfung oder externer Audit – wir bereiten Sie fundiert vor und begleiten Sie bei Bedarf durch das Verfahren.

Wenn Sie tiefer in einzelne Themen einsteigen möchten, empfehlen wir folgende Beiträge auf unserem Blog:

Entschlüsselung des AI-Gesetzes: Was ist es und wie wirkt es sich auf Sie aus?

Share:

LinkedIn
Das könnte Sie interessieren

Zusammenhängende Posts

AI Technology als Microship

KI-Governance in regulierten Schweizer Unternehmen

Künstliche Intelligenz (KI) wird in regulierten Branchen wie dem Finanzwesen oder Gesundheitssektor zunehmend eingesetzt. Damit Unternehmen diese Technologien verantwortungsvoll nutzen können, braucht es klare Regeln,

Datachain in the internet

Meldepflicht für Cyberangriffe

Am 7. März 2025 hat der Bundesrat beschlossen, die Meldepflicht für Cyberangriffe auf Betreiberinnen und Betreiber kritischer Infrastrukturen per 1. April 2025 in Kraft zu

LEZZI sub white RZ

LezziLegal ist Ihre Boutique-Kanzlei für Datenschutz, IT-Recht, Technologie und Regulatory. Massgeschneiderte Lösungen für die digitale Welt in Ihrem Unternehmen.

Tätigkeitsbereiche

Awards

LezziLegal ist eine der Top-Kanzleien im Technologie- und Telekommunikationsrecht 2024.

News

Kontakt

Folge uns

Linkedin

2025

LezziLegal

©All Rights Reserved