KI in der Schweiz: der Regulierungsprozess und die Bedeutung von ISO-Managementsystemen

Bislang existiert in der Schweiz kein KI-Gesetz. Der Bundesrat hat jedoch erkannt, dass der technologische Fortschritt neben grossen Chancen auch neue Herausforderungen für Datenschutz, Transparenz, Rechtsstaatlichkeit und Aufsicht mit sich bringt. Deshalb hat er die Verwaltung beauftragt, eine «Auslegeordnung» zu erstellen – eine umfassende Analyse möglicher Regulierungsansätze.

Internationale Entwicklung

In der Europäischen Union gilt seit dem 1. August 2024 der «Artificial Intelligence Act» (AI Act). Dieser basiert auf sieben Grundsätzen für vertrauenswürdige KI: 

• menschliches Handeln und menschliche Aufsicht,
• technische Robustheit und Sicherheit,
• Privatsphäre und Daten-Governance,
• Transparenz,
• Vielfalt, Nichtdiskriminierung und Fairness,
• soziales und ökologisches Wohlergehen sowie
• Rechenschaftspflicht.

Global betrachtet befindet sich die KI-Regulierung in unterschiedlichen Stadien, und es werden verschiedene Regulierungsansätze verfolgt. In vielen Ländern – darunter auch in der Schweiz – steckt die KI-Regulierung noch in der Reflexions- oder Verhandlungsphase.  

Bezüglich der Frage, ob KI durch ein umfassendes, «horizontales» Gesetz oder sektoriell reguliert werden soll («vertikal»), zeigt sich kein einheitlicher Trend. Länder wie das Vereinigte Königreich und Israel bevorzugen einen sektoriellen Ansatz, da dieser als flexibler für den Umgang mit der dynamischen Entwicklung von KI-Technologien gilt. Andere Staaten – darunter Kanada, Brasilien, Südkorea sowie die EU-Mitgliedstaaten – setzen auf einen horizontalen Regulierungsansatz. Ein solcher legt allgemeine Prinzipien für den Einsatz von KI branchenübergreifend fest, um übergeordnete Herausforderungen einheitlich zu adressieren. 

Der von der EU mit dem AI-Act eingeführte risikobasierte Regulierungsansatz findet zunehmend internationale Beachtung: Die Stärke der Regulierung soll von der Grösse der (potenziellen) Risiken abhängen. Er dürfte auch in der Schweiz in die Gesetzgebungsarbeiten einfliessen.

In der Schweiz: sektorielle statt pauschaler Regeln

Am 12. Februar 2025 hat der Bundesrat entschieden, dass die Schweiz die Konvention des Europarats zu KI (an deren Entwicklung die Schweiz massgeblich beteiligt war) ratifizieren soll. Diese völkerrechtliche Vereinbarung legt ethische und rechtliche Mindeststandards für den Einsatz von KI fest. Damit positioniert sich die Schweiz international als verlässliche Partnerin für eine vertrauenswürdige KI.

Anstatt eines allgemeinen KI-Gesetzes will die Schweiz auf eine sektorielle Regulierung setzen: Bestehende Gesetze sollen gezielt angepasst und branchenspezifische Regeln entwickelt werden – etwa für das Gesundheitswesen, den Finanzsektor oder den Verkehr. Dieser Ansatz erlaubt es laut dem Bundesrat, flexibel auf Risiken und Chancen in verschiedenen Anwendungsbereichen zu reagieren, ohne die Innovationskraft der Schweizer Wirtschaft zu gefährden. Eine allgemeine, sektorübergreifende Regulierung soll sich auf zentrale, grundrechtsrelevante Bereiche beschränken, wie beispielsweise den Datenschutz.

Nächste Schritte

Das Eidgenössische Justiz- und Polizeidepartement EJPD wird mit dem Eidgenössischen Departement für Umwelt, Verkehr, Energie und Kommunikation UVEK und dem Eidgenössischen Departement für auswärtige Angelegenheiten EDA bis Ende 2026 eine Vernehmlassungsvorlage erstellen. Diese soll die KI-Konvention des Europarats umsetzen, indem sie die notwendigen gesetzlichen Massnahmen festlegt, namentlich in den Bereichen Transparenz, Datenschutz, Nichtdiskriminierung und Aufsicht.

Bewährtes für Neues einsetzen: Managementsysteme für KI

Wie auch immer die Schweizer KI-Regulierung aussehen wird: Sie wird für die Wirtschaft grosse Auswirkungen haben und muss deshalb angemessen und praxistauglich sein – insbesondere auch für KMU. Eine zu komplexe oder anforderungsreiche Regulierung könnte dazu führen, dass KMU aus Furcht vor rechtlichen Risiken das Potenzial der KI nicht nutzen. 

Aus Sicht der SQS muss das Ziel deshalb sein, Rechtssicherheit und Vertrauen zu schaffen, ohne Innovationen auszubremsen und die KMU auszuschliessen. Das ist anspruchsvoll, aber durchaus machbar. Denn der Gegensatz zwischen Normierung und Innovation ist oft nur ein scheinbarer: Normen setzen klare Signale, wo Entwicklungen erwünscht sind und also der Einsatz knapper Ressourcen für Innovation sinnvoll ist (lesen Sie hierzu diesen Beitrag in unserem Buch «Räderwerke der Normalität»).

Die KI-Regulierung muss zudem international anschlussfähig sein, damit die Schweiz im globalen KI-Markt wettbewerbsfähig ist bzw. wird. Dabei sollte sich der Gesetzgeber das globale und bewährte System der ISO-Normen zunutze machen. Mit den Normen ISO/IEC 27001 und ISO/IEC 42001 gibt es bereits Instrumente, die einen wichtigen Beitrag zur Erfüllung gesetzlicher Anforderungen im Bereich der KI-Regulierung leisten können – sowohl in der Schweiz als auch international.  

Die ISO/IEC 27001 bezieht sich auf Managementsysteme für Informationssicherheit. Sie ist nicht KI-spezifisch, sondern bildet eine gute Grundlage für den Schutz von Daten und damit die Voraussetzung für den sicheren und effektiven Einsatz von KI. Denn KI-Systeme basieren auf grossen Datenmengen. Die ISO/IEC 27001 unterstützt Unternehmen dabei:

• Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicherzustellen;
• Risiken im Umgang mit sensiblen Informationen systematisch zu identifizieren und zu minimieren;
• Compliance mit Datenschutzgesetzen (z. B. DSG, DSGVO) nachzuweisen.

In der KI-Regulierung – etwa im EU AI Act – ist Datensicherheit ein zentrales Kriterium, insbesondere bei hochriskanten Anwendungen. Die ISO/IEC 27001 kann hier als Nachweis für ein robustes Sicherheitsmanagementsystem dienen.

Die ISO/IEC 42001 ist speziell für KI-Systeme entwickelt worden und soll sowohl seitens Kundinnen und Kunden als auch seitens Anwenderinnen und Anwender Vertrauen schaffen. Die Norm bietet einen strukturierten Rahmen für:

• Governance und Risikomanagement von KI-Anwendungen;
• Transparenz und Nachvollziehbarkeit von KI-Entscheidungen;
• ethische und rechtliche Konformität mit internationalen Vorgaben (z. B. EU AI Act, DSGVO);
• Dokumentation und kontinuierliche Verbesserung von KI-Prozessen.

Während ISO/IEC 27001 primär auf Informationssicherheit und Risikominimierung fokussiert, also einen präventiven Charakter hat, zielt ISO/IEC 42001 auf die Schaffung von Vertrauen durch systematische KI-Governance und ethische Compliance ab. Gemeinsam bilden die ISO 27001 und die ISO 42001 ein starkes Fundament für ethisch verantwortungsvolle und international anschlussfähige KI-Systeme.

Fazit für vertrauenswürdige KI

Während sich KI in Lichtgeschwindigkeit entwickelt, befindet sich der regulatorische Prozess in der Schweiz erst am Anfang. Aber gute Regeln brauchen auch Zeit. 
Die Schweiz verfolgt einen differenzierten und pragmatischen Ansatz: Sie will Innovation nicht durch Überregulierung bremsen, aber auch nicht unreguliert lassen. Der Erfolg dieses Modells wird davon abhängen, wie gut Politik, Wirtschaft, Wissenschaft und Gesellschaft zusammenarbeiten. Als Verein im Auftrag der Wirtschaft ist die SQS gewillt, ihre Expertise in den Bereichen der Informationssicherheit, KI und Konformitätsbewertung in den Regulierungsprozess einzubringen.