GRC & Compliance
8. Juli 20268 July 2026
3 Min. Lesezeit3 min read
KI-Compliance 2026: Warum ein KI-Register jetzt Pflicht istAI Compliance 2026: Why an AI Register Is Now Mandatory
Ein Schweizer Finanzdienstleister nutzt KI-gestützte Kreditprüfung, automatisierte Kundenberatung und Fraud-Detection. Alles läuft, bis ein deutscher Geschäftskunde fragt: "Können Sie Ihre EU AI Act-Konformität nachweisen?" Die Antwort des IT-Leiters: "Welche KI-Systeme haben wir eigentlich genau im Einsatz?" Niemand im Unternehmen hat den Überblick. Es gibt kein zentrales Register, keine Risikobewertung, keine dokumentierte Datenschutz-Prüfung. Das Unternehmen hat innoviert - aber ohne Governance.
Die unterschätzte Realität: Jeder KI-Use-Case ist reguliert
Der EU AI Act gilt seit Februar 2025 stufenweise. Für Hochrisiko-Systeme sind die Anforderungen bereits scharf: Risiko-Management, Daten-Governance, technische Dokumentation, Logging, menschliche Aufsicht. Für Schweizer Unternehmen mit EU-Tochtergesellschaften oder EU-Kunden ist das keine theoretische Übung, sondern geschäftskritisch. Dazu kommt: DSGVO bzw. das Schweizer DSG verlangen ohnehin Datenschutz-Folgenabschätzungen bei automatisierten Entscheidungen.
Was viele nicht sehen: Mit jedem neuen KI-System - Chatbot, Empfehlungsalgorithmus, automatisierte Vertragsanalyse - geraten Sie automatisch in den Anwendungsbereich. Die Frage ist nicht "ob", sondern "wie hoch" das Risiko ist und welche Pflichten daraus folgen.
Das KI-Register: Von "nice to have" zu "must have"
Ein zentrales KI-Register ist der Ausgangspunkt jeder Compliance-Strategie. Es listet alle KI-Systeme, ihre Zwecke, genutzten Daten, Anbieter und vor allem: ihre Risikoeinstufung.
Verbotene Praktiken: Social Scoring, biometrische Echtzeit-Identifikation im öffentlichen Raum, manipulative Subliminal-Techniken. Diese dürfen gar nicht eingesetzt werden.
Hochrisiko-Systeme: Kreditwürdigkeit, Personalauswahl, Zugang zu Bildung/Gesundheit, Strafverfolgung. Hier greifen alle Anforderungen: Risiko-Management, technische Dokumentation, Qualitätssicherung, Logging, menschliche Aufsicht.
Limitiertes Risiko: Chatbots, Deepfakes. Transparenzpflicht: Nutzer müssen wissen, dass sie mit KI interagieren.
Minimales Risiko: Spam-Filter, Empfehlungssysteme ohne Profiling. Kaum Auflagen, aber Dokumentation trotzdem sinnvoll.
Was Sie in den nächsten 4 Wochen tun sollten
Woche 1 - Inventur: Erstellen Sie eine Liste aller KI-Systeme im Unternehmen. Nicht nur offensichtliche (Chatbots), sondern auch versteckte (Excel-Makros mit Predictive Analytics, eingebettete Algorithmen in Software). Fragen Sie alle Abteilungen.
Woche 2 - Klassifizierung: Stufen Sie jedes System nach AI-Act-Kategorien ein. Nutzen Sie die offizielle Checkliste der EU-Kommission oder ein strukturiertes Assessment-Tool.
Woche 3 - Datenschutz-Check: Für jedes System: Welche personenbezogenen Daten werden verarbeitet? Gibt es eine Rechtsgrundlage? Ist eine DPIA nötig? Sind Betroffenenrechte technisch umsetzbar?
Woche 4 - Governance aufsetzen: Definieren Sie Rollen, Prozesse und Mindestanforderungen. Legen Sie fest, wer künftig neue KI-Systeme genehmigt und wie der Compliance-Check abläuft.
Fazit: Compliance als Enabler, nicht als Bremse
KI-Compliance ist kein Bremsklotz, sondern die Voraussetzung für skalierbaren, vertrauenswürdigen KI-Einsatz. Wer heute ein sauberes KI-Register führt, Risiken dokumentiert und Governance etabliert, wird 2027 nicht von Aufsichtsbehörden oder Kunden ausgebremst. Wer wartet, riskiert teure Nachbesserungen, Projektsstopps oder Bussgeld-Verfahren.
A Swiss financial services provider uses AI-supported credit assessment, automated customer advisory, and fraud detection. Everything runs smoothly, until a German business client asks: "Can you demonstrate your EU AI Act compliance?" The IT manager's answer: "Which AI systems do we actually have in use?" Nobody in the company has an overview. There is no central register, no risk assessment, no documented data protection review. The company has innovated - but without governance.
The Underestimated Reality: Every AI Use Case Is Regulated
The EU AI Act has applied in stages since February 2025. For high-risk systems, the requirements are already in force: risk management, data governance, technical documentation, logging, human oversight. For Swiss companies with EU subsidiaries or EU customers, this is not a theoretical exercise but business-critical. In addition: the GDPR and the Swiss FADP already require data protection impact assessments for automated decisions.
What many fail to see: with every new AI system - chatbot, recommendation algorithm, automated contract analysis - you automatically fall within the scope. The question is not "whether" but "how high" the risk is and which obligations follow from it.
The AI Register: From "Nice to Have" to "Must Have"
A central AI register is the starting point of every compliance strategy. It lists all AI systems, their purposes, the data used, providers and above all: their risk classification.
Prohibited practices: Social scoring, real-time biometric identification in public spaces, manipulative subliminal techniques. These may not be used at all.
High-risk systems: Creditworthiness, recruitment, access to education/healthcare, law enforcement. Here all requirements apply: risk management, technical documentation, quality assurance, logging, human oversight.
Limited risk: Chatbots, deepfakes. Transparency obligation: users must know that they are interacting with AI.
Minimal risk: Spam filters, recommendation systems without profiling. Hardly any requirements, but documentation is still advisable.
What You Should Do in the Next 4 Weeks
Week 1 - Inventory: Create a list of all AI systems in the company. Not only the obvious ones (chatbots), but also hidden ones (Excel macros with predictive analytics, embedded algorithms in software). Ask all departments.
Week 2 - Classification: Classify each system according to the AI Act categories. Use the official checklist of the EU Commission or a structured assessment tool.
Week 3 - Data protection check: For each system: Which personal data is processed? Is there a legal basis? Is a DPIA required? Can data subject rights be implemented technically?
Week 4 - Set up governance: Define roles, processes and minimum requirements. Determine who approves new AI systems in the future and how the compliance check is carried out.
Conclusion: Compliance as an Enabler, Not a Brake
AI compliance is not a brake block, but the prerequisite for scalable, trustworthy AI deployment. Those who maintain a clean AI register today, document risks and establish governance will not be slowed down by supervisory authorities or customers in 2027. Those who wait risk costly rework, project stops or fine proceedings.