eCH-0272 als Kompass für vertrauenswürdige KI

Künstliche Intelligenz (KI) verändert die grundlegende Weise, wie wir arbeiten. Davon ist nicht nur die Privatwirtschaft betroffen, sondern zunehmend auch die öffentliche Verwaltung.

Von der automatisierten Dokumentenprüfung bis zur intelligenten Entscheidungsunterstützung: KI verspricht Effizienz, Transparenz und einen verbesserten Service public. Doch die Euphorie ist gedämpft: Aktuelle Studien zeigen, dass mehr Menschen besorgt als begeistert über den zunehmenden Einsatz von KI sind (1). Gleichzeitig vertrauen sie eher ihren Regierungen oder der EU als globalen Technologiemächten wie den USA oder China, wenn es um die Regulierung von KI geht. Diese Skepsis verdeutlicht eine zentrale Herausforderung: Wie kann die öffentliche Hand in der Schweiz KI verantwortungsvoll nutzen, ohne das Vertrauen der Gesellschaft zu verlieren? Wie lässt sich Innovation fördern, ohne in blinden Fortschrittsglauben zu verfallen?

Hier setzt der neue eCH-Standard 0272 «Transparenz, Erklärbarkeit und Risiken von KI-Systemen» an. Er bietet einen praxisnahen Rahmen für den sicheren und nachvollziehbaren Einsatz von KI in der Verwaltung, von der Risikoabwägung über ethische Leitlinien bis zur organisatorischen Verankerung. Ziel ist es, durch den Ausgleich von Innovation und Compliance Vertrauen zu schaffen, Risiken zu steuern und technologische Freiräume zu sichern.

Im nachfolgenden Beitrag zeigen wir auf, wie eCH-0272 Behörden in der Praxis unterstützt, den Spagat zwischen Innovationsdruck und Regulierung zu meistern und wie so die Innovationskraft und Wettbewerbsfähigkeit der Schweiz gestärkt werden kann.

Rahmenbedingungen und gesetzliche Grundlagen

Der im April 2025 publizierte eCH-0272 Standard baut auf bestehenden Rechtsgrundlagen auf. Wer ihn verstehen will, muss seine Einbettung in Verfassung, Datenschutz- und Verwaltungsrecht kennen. Erst diese Einordnung zeigt, wie der Standard den Umgang mit KI konkretisiert. Folgende Schweizer Rechtsgrundlagen sind dabei relevant:

• Bundesverfassung (BV): Garantiert Grundrechte wie Menschenwürde, Gleichbehandlung und Privatsphäre.

• Datenschutzgesetz (DSG): Regelt den sorgfältigen Umgang mit personenbezogenen Daten.

• Urheberrechtsgesetz (URG): Schützt das geistige Eigentum eines Urhebers. Im Kontext von KI ist jedoch noch ungeklärt, wie Training und Nutzung geschützter Werke rechtlich zu beurteilen sind.

• Schweizer Strafgesetzbuch (StGB): Für KI-bedingte Schäden haften natürliche oder juristische Personen.

• Bundesgesetz über den Einsatz elektronischer Mittel zur Erfüllung von Behördenaufgaben (EMBAG): Verpflichtet Behörden, digitale Verfahren nachvollziehbar, transparent und effizient zu gestalten.

Der Standard übernimmt zudem Aspekte aus dem EU AI Act (2024) und der auch von der Schweiz ratifizierten KI-Konvention des Europarats, welche mit den obenstehenden Normen übereinstimmen. International harmoniert eCH-0272 auch mit zentralen ISO/IEC- und DIN-Normen und überträgt deren Grundsätze auf den Schweizer Verwaltungskontext.

Durch diese rechtliche Abstützung fördert der Standard die Kompatibilität mit europäischen und globalen Vorgaben, ohne nationale Eigenheiten zu vernachlässigen und bildet somit ein solides Instrument für Behörden, die KI-Projekte rechtssicher und anschlussfähig umsetzen wollen.

Es ist wichtig zu verstehen, dass sich der Standard eCH-0272 ausschliesslich auf vortrainierte und lokal betriebene KI-Systeme bezieht. Cloud-basierte und kontinuierlich trainierte GenAI-Systeme, die z. B. auf Plattformen wie OpenAI, AWS oder Google Cloud laufen, fallen nicht unter den Geltungsbereich dieses Standards, da sie zusätzliche Anforderungen an Datenschutz und Sicherheit mit sich bringen.

Lebenszyklus-Ansatz

Die Anwendung des Standards folgt einem klar strukturierten Lebenszyklusmodell, das die Entwicklung, Nutzung und Überwachung von KI-Systemen systematisch abbildet. Für jede Phase definiert eCH-0272 konkrete Anforderungen, um Risiken ganzheitlich zu bewerten und zu minimieren.

Zugleich unterscheidet der Standard zwischen verschiedenen Stakeholdern, von Entwickelnden und Anbietenden bis zu Nutzenden, Aufsichtsstellen und Auditoren, und weist ihnen klare Aufgaben, Kompetenzen und Verantwortlichkeiten (AKV) zu. So stellt eCH-0272 sicher, dass alle Akteure entlang des KI-Lebenszyklus eingebunden sind und die Verantwortung transparent wahrgenommen wird.

Schutz- und Akzeptanzziele

Das strukturierte Zusammenspiel von Lebenszyklus und Stakeholdern schafft die Grundlage für den verantwortungsvollen Einsatz von KI. Das inhaltliche Zentrum des Standards bilden aber die Schutz- und Akzeptanzziele. Sie bündeln die Risiken, Auswirkungen und Vertrauensfaktoren beim Einsatz von KI-Systemen. Basierend auf diesen werden die konkreten Anforderungen und Massnahmen definiert, die eine systematische und nachvollziehbare Steuerung über den gesamten Lebenszyklus hinweg ermöglichen.

Schutzziele

Zielen darauf ab, Sicherheit, Datenschutz und individuelle Rechte zu gewährleisten, indem sie Risiken wie Datenschutzverletzungen, Diskriminierung oder Fehlentscheidungen minimieren. Sie umfassen:

Akzeptanzziele

Zielen darauf ab, Vertrauen und gesellschaftliche Akzeptanz von KI-Systemen zu fördern, indem sie Transparenz, Erklärbarkeit und eine positive Wahrnehmung stärken:

Zusammenspiel der Ziele und des Lebenszyklus

Der praxisrelevante Teil für die öffentliche Verwaltung bildet die Anforderungen an KI-Systeme. Der Standard definiert 27 Anforderungen (A1 bis A27) entlang den Schutz- und Akzeptanzzielen, verteilt über die unterschiedlichen Lebenszyklusphasen. Jede Anforderung wird hinsichtlich der Verbindlichkeit der Umsetzung (zwingend, empfohlen, optional) und Risikoklassifikation (hoch, mittel, tief) bewertet und ist je nach Typ und Nutzungskontext des betroffenen KI-Systems umzusetzen.

Der vollständige Anforderungskatalog wird im Folgenden nicht detailliert ausgeführt. Die untenstehende Tabelle dient aber als Hilfsmittel zur vereinfachten Orientierung aus Anwendersicht. Welche Anforderungen sind bei welcher Art von KI-Systemen vorrangig umzusetzen und auf welche Schutz- und Akzeptanzziele beziehen sich diese?

Bei einer kantonalen Verwaltung soll ein lokal betriebener, vortrainierter Textassistent mit generativer KI eingesetzt werden, welcher Mitarbeitende bei der Erstellung von standardisierten Schreiben unterstützt. Dieser Assistent soll Entwürfe für Rückmeldungen an Bürgerinnen und Bürger generieren, etwa bei Rückfragen zu Baubewilligungen, Fristverlängerungen oder allgemeinen Informationsanfragen.

Das System wird dem Nutzungskontext «Bürgerinteraktion» zugeordnet und weist dadurch die Risikoklasse «Mittel» auf. Eine Mehrzahl von Anforderungen müssen entlang dessen Lebenszyklus gem. eCH0272 abgedeckt werden.

• Beispiel einer Anforderung an das Schutzziel «Grundrechte»: Die Anforderung A6 hält fest, dass die Persönlichkeitsrechte von Einzelpersonen nicht verletzt werden dürfen. Entsprechend werden zwingende Massnahmen notwendig, wie das Einrichten von technischen und organisatorischen Kontrollprozessen, das Durchführen von Folgeabschätzungen sowie regelmässige Audits.

• Beispiel einer Anforderung an das Akzeptanzziel «Erklärbarkeit»: Die Anforderung A23 definiert, dass die Entscheidungen der KI optional visuell dargestellt werden können, um die Erklärbarkeit der Resultate zu erhöhen. Als Massnahmen werden der Einsatz eines integrierten Visualisierungstools (z. B. zur Entscheidungsoffenlegung mit Heatmaps) sowie die Etablierung von Schnittstellen zu bestehenden Visualisierungsbibliotheken aufgelistet.

Durch die Umsetzung dieser und weiterer definierter Anforderungen werden Transparenz und Erklärbarkeit des Systems nachhaltig gestärkt und potenzielle Risiken wirksam reduziert. Die Mitarbeitenden profitieren vom KI-Textassistenten, indem sie deutlich weniger Zeit für Routineaufgaben aufwenden müssen. Gleichzeitig verkürzen sich die Reaktionszeiten für Bürgerinnen und Bürger spürbar. eCH-0272 unterstützt somit nicht nur den verantwortungsvollen Einsatz von KI, sondern verbessert auch die Schnittstelle zwischen Verwaltung und Bevölkerung.

Die oben beschriebenen Hilfsmittel, einerseits der Anforderungskatalog und andererseits die Tabelle als Umsetzungshilfe für Anwender:innen, bieten eine vereinfachte Orientierung und unterstützt die einfache sowie rasche Umsetzung des Standards. Dennoch werden Behörden dabei vor Herausforderungen gestellt. Was kann unternommen werden, um diese zu bewältigen?

Von Stolperfallen zu Erfolgspfaden – was eCH-0272 in der Praxis verlangt

KI-Governance klingt oft nach Papier und Paragrafen, doch die eigentliche Herausforderung liegt im Alltag. Viele Organisationen unterschätzen die Komplexität und behandeln den Standard wie ein reines Compliance-Checklistenprojekt. Dabei geht es um weit mehr: Um klare Verantwortlichkeiten, gelebte Prozesse und das richtige Mass an Kontextsensitivität.

Denn was bei einem einfachen Statistikmodell funktioniert, greift bei KI-Systemen deutlich zu kurz. Hinzu kommt, dass gerade kleinere Behörden schnell in die Ressourcenfalle geraten, wenn Dokumentations-, Risiko- und Evaluationspflichten unterschätzt werden.

Wer den eCH-0272 erfolgreich umsetzen will, muss früh starten. Governance beginnt im Design, nicht erst im Betrieb. Der Lebenszyklus-Ansatz des Standards liefert dabei den roten Faden, von der Planung über den Betrieb bis zur Ausserbetriebnahme.

Ebenso zentral sind klare Rollen und Zuständigkeiten, ein risikobasiertes Vorgehen und eine kompromisslose Haltung zur Erklärbarkeit. Denn Nachvollziehbarkeit schafft Vertrauen, intern wie extern, und ist letztlich die Währung der modernen Verwaltung.

Chancen, Nutzen und Grenzen – was der Standard wirklich bringt

Richtig angewendet, verschafft eCH-0272 der öffentlichen Verwaltung einen echten Vertrauensvorsprung. Er stärkt Transparenz, Nachvollziehbarkeit und Rechtskonformität und macht öffentliche Institutionen zu verlässlichen Akteuren im Umgang mit KI.

Einheitliche Kriterien für Risiko, Transparenz und Erklärbarkeit schaffen Rechts- und Planungssicherheit. Innovation wird dadurch nicht gebremst, sondern gezielt ermöglicht. Behörden, die nach diesem Standard arbeiten, senden zudem ein starkes Signal für Fairness, digitale Souveränität und verantwortungsvolle Technologiegestaltung.

Doch auch der Standard hat Grenzen. eCH-0272 ist bewusst ein konzeptioneller, kein technischer Leitfaden. Er sagt, was zu tun ist, nicht wie. Die Umsetzung verlangt daher Interpretationsspielraum, Fachwissen und interdisziplinäre Zusammenarbeit. Zudem bleibt die Abgrenzung zu Cloud- und generativer KI noch unscharf, und der technologische Wandel überholt oft die Regulierungszyklen. Wer hier bestehen will, muss den Standard dynamisch denken: Als lernendes System, genau wie die KI selbst.

Der Standard eCH-0272 ist eine Chance, den Einsatz von Künstlicher Intelligenz in der öffentlichen Verwaltung strategisch, verantwortungsvoll und zukunftssicher zu gestalten. Wer ihn konsequent anwendet, schafft Vertrauen, fördert Akzeptanz und legt die Basis für nachhaltige digitale Innovation.

Wir können Sie dabei als Brückenbauerin zwischen Regulierung, Technologie und Verwaltungspraxis zielführend unterstützen. Wir helfen Behörden und öffentlichen Organisationen dabei, die Anforderungen des eCH-0272 pragmatisch und wirksam umzusetzen, von der Risikoanalyse über die Governance-Struktur bis zur operativen Umsetzung in Projekten.

Unsere Erfahrung zeigt: KI-Governance funktioniert dann, wenn sie gelebt und nicht nur dokumentiert wird. Darum begleiten wir Verwaltungen nicht nur bei der Auslegung des Standards, sondern auch bei der Entwicklung passender Prozesse, Kompetenzen und Tools.

Nutzen Sie die Chance und gestalten Sie Ihre KI-Vorhaben aktiv nach eCH-0272. Ob in einem Workshop, einer Standortanalyse oder einem Pilotprojekt:  wir zeigen Ihnen, wie sich rechtliche Vorgaben, technische Innovation und organisatorische Realität in Einklang bringen lassen.

eCH

Der Verein eCH fördert, entwickelt und verabschiedet Standards im Bereich E-Government. Für eine effiziente elektronische Zusammenarbeit zwischen Behörden, Unternehmen und Privaten. Mitglieder von eCH sind der Bund, alle Kantone, diverse Gemeinden, rund 120 Unternehmen sowie verschiedene Hochschulen, Verbände und Privatpersonen.

Weitere Informationen: https://www.ech.ch/