Swiss Room · Fallstudie 360°
Von der Risikoklassifizierung zur Konformität – und was das Unternehmen dabei über sich selbst gelernt hat
Was diese Fallstudie Ihnen zeigt
Wie ein Schweizer KMU mit produktiver KI-Infrastruktur den AI Act nicht als Compliance-Last, sondern als Anlass behandelt hat, seine eigenen Systeme wirklich zu verstehen. Und was dabei passiert, wenn fünf Menschen mit fundamental verschiedenen Ausgangspunkten an einem Tisch sitzen.
Diese Fallstudie beschreibt exemplarisch, wie ein Schweizer KMU mit produktiver KI-Infrastruktur die Anforderungen des EU AI Act nicht als regulatorische Last, sondern als strukturierende Kraft genutzt hat – für eine klarere Produktstrategie, bessere interne Governance und eine Sprache, die Technik, Recht, Produkt und Design erstmals gemeinsam sprechen konnten. Die Namen und Unternehmen sind fiktiv. Die Dynamiken sind es nicht.
Die ValiSense AG aus Rotkreuz ZG entwickelt KI-basierte Systeme für Predictive Maintenance in der produzierenden Industrie. Maschinendaten werden in Echtzeit ausgewertet, um Ausfallwahrscheinlichkeiten vorherzusagen und Wartungsinterventionen zu optimieren. Das Kernprodukt ist erprobt und marktvalidiert. Mehrere grosse europäische Maschinenbauer gehören zum Kundenstamm, darunter zwei, die direkt unter die EU Machinery Regulation fallen.
Intern herrschte ein Gefühl von Momentum. In der Produkt-Roadmap standen ambitionierte Pläne: KI-generierte Wartungsberichte, avatar-gestützte Bedienoberflächen, tiefere Personalisierung der Wartungsempfehlungen auf Basis von Bedienerverhalten. Das Team war motiviert. Regulierung war kein Thema, das irgendjemanden beschäftigte.
Das änderte sich an einem Dienstagmorgen im Oktober.
«Sehr geehrte Damen und Herren, gemäss unserer Lieferketten-Compliance-Policy sind wir ab dem 2. August 2026 verpflichtet, für alle KI-basierten Systeme, die in unsere Produktionsprozesse eingebunden sind, einen Nachweis über die Konformität mit dem EU AI Act vorzulegen. Für Systeme, die potenziell als Hochrisiko-KI nach Annex III einzustufen sind, benötigen wir spätestens bis 31. März 2026 Ihre Konformitätsdokumentation. Ohne diesen Nachweis können wir die Zusammenarbeit ab dem genannten Datum nicht fortführen.»
Absender: Einkaufsleiter eines bayerischen Anlagenbauers. Umsatz aus diesem Vertrag: 23 % des Jahresumsatzes der ValiSense AG.
Anna Bergmann, CEO, las die E-Mail im wöchentlichen Management-Meeting vor. Es entstand eine Pause, die länger war als üblich. Dann sagte sie: «Gut. Dann machen wir das jetzt professionell.»
Der externe KI-Governance-Berater, den ValiSense beizog, legte beim ersten Meeting einen Gap-Assessment-Bericht auf den Tisch. 54 Seiten. «Der AI Act ist kein GDPR-light», sagte er. «Er ist ein anderes Spiel mit anderen Regeln.»
Der anschliessende dreitägige Risiko-Workshop brachte Erkenntnisse, mit denen niemand gerechnet hatte:
Predictive Maintenance als Sicherheitskomponente: Das Kernsystem analysiert Maschinenzustände und empfiehlt Wartungsintervalle. Da die betreffenden Maschinen der EU Machinery Regulation unterliegen, könnte das System als Sicherheitskomponente nach Annex III Nr. 6 AI Act einzustufen sein – mit dem Erfordernis einer vollständigen technischen Dokumentation nach Annex IV und einer Konformitätsbewertung.
KI-generierte Wartungsberichte: Transparenzpflichten nach Art. 50 AI Act für synthetische Inhalte. Kennzeichnungspflicht, die im Produktdesign noch nicht berücksichtigt war.
Avatar-gestützte UX: Potenzielle Fragen zu biometrischer Kategorisierung. Die Funktion stand auf der Roadmap – und landete nach dem Workshop im Wartebereich für eine separate rechtliche Einordnung.
Explainability-Lücke: Die Modelle lieferten Prognosen. Warum sie zu diesen Prognosen kamen, war für keine externe Person nachvollziehbar. Für eine Hochrisiko-Einstufung wäre das ein Problem.
Regulatorischer Kontext
Der EU AI Act unterscheidet vier Risikoklassen. Hochrisiko-KI nach Annex III unterliegt spezifischen Pflichten: Risikomanagementsystem, technische Dokumentation nach Annex IV, Transparenz, menschliche Aufsicht und Konformitätsbewertung. Bei KI-Systemen, die Sicherheitskomponenten in Produkten darstellen, die unter EU-Produktrecht (wie die Machinery Regulation) fallen, ist zu prüfen, ob eine externe Konformitätsbewertung durch eine notifizierte Stelle erforderlich ist – oder ob eine interne Bewertung nach Art. 43 Abs. 2 genügt. Diese Frage ist für jedes System individuell zu beurteilen.
ValiSense entschied sich gegen einen isolierten Compliance-Pfad. Statt ein Konformitätsdokument zu produzieren und in der Schublade zu verstauen, wurde ein AI-Governance-Rahmen entwickelt, der Teil der Produktarbeit wurde – nicht neben ihr.
Vier Monate intensiver Workshops, Iterationen und manchmal unangenehmer Klarheit über die eigenen Systeme führten zu konkreten Ergebnissen:
Risikoklassifizierung
12 KI-Use-Cases
3 als potenziell Hochrisiko eingestuft und vollständig dokumentiert, 5 im Beobachtungsbereich (Gelb), 4 als Minimal Risk klassifiziert (Grün)
Technische Dokumentation
38 Seiten
Vollständige technische Dokumentation nach Annex IV AI Act für die drei Hochrisiko-Systeme: Modellarchitektur, Datenherkunft, Risikoanalyse, Testprotokoll, Monitoring-Konzept
Innovation Sandbox
Definierter Testrahmen
Neue KI-Features durchlaufen einen strukturierten Klassifizierungsprozess, bevor sie in die Entwicklung gehen. Kein Feature mehr «ohne Risikoklasse»
AI-Act-Dashboard
Interne Übersicht
Alle 12 KI-Systeme mit Klassifizierungsstatus, Dokumentationsstand, Owner und nächstem Review-Datum auf einem geteilten Board sichtbar
Training
68 Mitarbeitende
Einheitliches 90-Minuten-Modul für alle: Was ist der AI Act, was bedeutet er für meine Rolle, was tue ich wenn ich unsicher bin?
Geschäftsergebnis
+2 Neukunden
Vertragsverlängerung mit dem Bestandskunden auf 5 Jahre. Zwei neue europäische Maschinenbauer haben ValiSense explizit wegen der nachgewiesenen AI-Act-Konformität kontaktiert
Der AI Act hat uns nicht gezwungen, Compliance zu machen. Er hat uns gezwungen zu wissen, was unsere Systeme wirklich tun. Das ist etwas anderes. Und es hat uns besser gemacht.
Dieselbe Regulierung, dasselbe Unternehmen, derselbe Zeitraum – erlebt durch fünf Menschen mit fundamental verschiedenen Ausgangspunkten. Was jede Person gesehen hat, hängt davon ab, von wo aus sie geschaut hat.
Als die E-Mail des Anlagenbauers ankam, war mein erster Impuls, sie an Legal weiterzuleiten und das Thema zu delegieren. Ich habe es nicht getan. Irgendwas an dem Ton der E-Mail – dieser ruhigen Selbstverständlichkeit, mit der ein Drittel unseres Jahresumsatzes plötzlich unter Vorbehalt stand – sagte mir, dass das kein Delegations-Thema ist.
«Ich wollte verstehen, was unsere KI eigentlich tut. Nicht aus regulatorischen Gründen. Sondern weil mir klar wurde, dass ich es nicht wusste.»Der Risiko-Workshop in der dritten Woche war der härteste Tag. Wir haben die Liste unserer Systeme durchgegangen, und bei jedem einzelnen fragte Timo: Was tut dieses System genau? Wie trifft es seine Empfehlungen? Was passiert, wenn es sich irrt? Bei drei von zwölf Systemen konnten wir keine präzise Antwort geben.
Das war kein Compliance-Problem. Das war ein Produktproblem. Und als CEO ist das meine Verantwortung. Der AI Act hat es sichtbar gemacht – das war sein grösster Dienst an uns.
Mein erster Instinkt war: 180 Seiten technische Dokumentation, vollständige Risikoanalyse für alle zwölf Systeme, externe Rechtsberatung für jeden Interpretationsspielraum. Das ist, wie Legal typischerweise auf regulatorische Risiken reagiert – mit Vollständigkeit als Schutzwall.
«Ich wollte am Anfang so viel Dokumentation wie möglich. Am Ende hatten wir 38 Seiten. Sie waren besser.»Was mich überraschte: Der AI Act erfordert keine lückenlosen Dokumente für jedes System. Er erfordert präzise, substanzielle Dokumentation für die Systeme, die wirklich Hochrisiko darstellen – und eine vertretbare Klassifikationsbegründung für den Rest. Das war ein intellektuell anspruchsvollerer Ansatz als ein Vollständigkeits-Cover.
Der grösste Lernmoment: Ich hatte bisher primär die Dokumente geprüft. Jetzt musste ich die Systeme verstehen, die dahinterstehen. Das war unbequem und notwendig zugleich. Ich sitze seither in Product-Reviews, die ich vorher nicht besucht hätte.
Als ich den Gap-Assessment fertig hatte, überlegte ich kurz, ob ich den Umfang kleinreden sollte. Bei einem KMU mit 68 Mitarbeitenden ist ein 54-seitiger Bericht eine schwere Vorlage. Ich entschied mich dagegen.
«Mein Job ist nicht, Unternehmen zu beruhigen. Mein Job ist, ihnen zu zeigen, was ist – und dann gemeinsam zu entscheiden, was das bedeutet.»Was mich bei ValiSense überrascht hat: Sobald die erste Schockstarre vorbei war, war die Reaktion aussergewöhnlich konstruktiv. Anna stellte keine Fragen über Kosten und Timelines. Sie fragte: «Was muss ich wissen, um das zu verstehen?» Das ist selten.
Die härteste Konversation war mit Sarah über das Predictive-Maintenance-Kernsystem. Ich musste ihr erklären, dass ein Modell, dessen Entscheidungslogik nicht nachvollziehbar ist, unabhängig von seiner Performance ein regulatorisches Problem darstellt. Das war keine theoretische Diskussion – das war ihr Werk der letzten drei Jahre.
Nach dem ersten Workshop wollte ich kündigen. Das ist kein Witz. Ich hatte das Gefühl, dass alles, woran ich drei Jahre gearbeitet hatte, plötzlich unter Verdacht stand. Das Modell funktionierte. Die Kunden waren zufrieden. Und jetzt sassen wir da und diskutierten, ob es «erklärbar» genug sei.
«Erklärbarkeit ist kein Feind der Performance. Das musste ich lernen. Es hat mich einen Monat gekostet, es wirklich zu glauben.»Was mich schliesslich überzeugte, war eine konkrete Übung: Timo bat mich, einem Maschinenbediener zu erklären, warum das System empfahl, eine bestimmte Achse in 72 Stunden zu wechseln. Ich konnte es nicht. Ich wusste, dass das Modell recht hatte – aber ich konnte es nicht erklären.
Das war der Moment, in dem ich verstand, dass Explainability nicht Regulierung ist. Es ist Produktqualität. Die Konsequenz: Wir haben das Modell nicht geändert – aber wir haben eine Erklärungsschicht gebaut, die zeigt, welche Sensordaten welchen Anteil an der Prognose hatten. Die Kunden lieben sie.
Als die Avatar-Pläne auf der Risiko-Ampel auf Rot sprangen, war ich beleidigt. Ich hatte sechs Monate an diesem Konzept gearbeitet. Ein Avatar, der Bediener durch Wartungsprozesse führt – kontextsensitiv, freundlich, effizient. Und jetzt: Rot.
«Ich verstand nicht, was ein Avatar mit Biometrie zu tun hat. Bis Timo mir zeigte, was biometrische Kategorisierung nach dem AI Act bedeutet. Dann verstand ich es sofort – und wollte trotzdem, dass er Unrecht hat.»Der Prozess, das Avatar-Konzept auf Gelb zu bringen – also in einen Bereich, der mit definierten Schutzmassnahmen umsetzbar ist – war das anspruchsvollste Design-Projekt, das ich je gemacht habe. Nicht weil es technisch schwierig war, sondern weil jede Entscheidung begründet sein musste. Warum dieses Aussehen? Warum diese Stimme? Was passiert mit den Interaktionsdaten?
Das Ergebnis ist ein besseres Produkt. Nicht trotz der Einschränkungen – wegen ihnen. Ich wäre nie auf diese Tiefe des Denkens gekommen, wenn mir jemand einfach «mach einen Avatar» gesagt hätte.
Learning 1
KI-Governance ist Produktarbeit – keine Bürokratie
38 Seiten Dokumentation, die erklären, was ein System tut, warum es das tut, welche Daten es verwendet und was bei einem Fehler passiert, sind kein Compliance-Overhead. Sie sind der Beweis, dass ein Team sein Produkt versteht. Unternehmen, die das begreifen, schreiben bessere Systeme.
Learning 2
Risikoklassifizierung ist Steuerung, keine Bremse
Die Frage «Hochrisiko oder nicht?» zwingt Teams zu einer Klarheit über ihre eigenen Systeme, die vorher fehlte. Die Risiko-Ampel hat nicht verhindert, dass ValiSense KI-Systeme entwickelt. Sie hat verhindert, dass Systeme entwickelt werden, die niemand wirklich versteht.
Learning 3
Eine gemeinsame Sprache ist der grösste Hebel
Vor dem Prozess sprachen Technik, Legal, Produkt und Design verschiedene Sprachen. Die Risiko-Ampel und das AI-Act-Dashboard waren nicht primär Compliance-Instrumente – sie waren das erste geteilte Werkzeug, das alle fünf Funktionen gemeinsam nutzten. Das hat die Zusammenarbeit dauerhaft verändert.
Learning 4
Der AI Act wirkt über den Markt – nicht über die Aufsicht
ValiSense hatte keinen Kontakt zur Aufsichtsbehörde. Der Druck kam vom Kunden. Das ist kein Einzelfall – es ist die Mechanik, über die EU-Regulierung faktisch auf Schweizer KMU wirkt. Wer wartet, bis die Aufsicht anklopft, hat das Spielfeld falsch gelesen.
Learning 5
Konformität ist ein Marktöffner
Zwei neue Grosskunden haben ValiSense explizit wegen der nachgewiesenen AI-Act-Konformität kontaktiert. Beide hatten zuvor andere Anbieter evaluiert, die keine Konformitätsdokumentation vorlegen konnten. Regulierung als Selektionsmechanismus – zugunsten der Vorbereiteten.
Der AI Act ist kein Bremsklotz. Er ist ein Reifegrad-Modell – und für Unternehmen, die ihn verstehen, ein Wettbewerbsvorteil.
Hinweis
Diese Fallstudie ist ein fiktives Beispiel. Namen und Unternehmen sind erfunden. Die beschriebenen regulatorischen Anforderungen und Dynamiken basieren auf den geltenden Anforderungen des EU AI Act (EU) 2024/1689. Sie ersetzen keine individuelle rechtliche Beratung.