FAQ Zertifizierung

Systeme wie Chatbots, Scoring-Modelle oder Empfehlungssysteme wirken direkt auf Betroffene – oft ohne deren Wissen oder Kontrolle.

CertifAI® bringt:

• Vertrauen und Transparenz für Nutzer, Organisationen und Behörden.
• Eine Möglichkeit für Anbieter, Konformität mit dem AI Act zu dokumentieren – bevor die Marktaufsicht aktiv wird.
• Einen nachhaltigen Mechanismus zur Weiterentwicklung, da Rezertifizierung und Monitoring Teil des Systems sind.

Der Kontrollkatalog beinhaltet auch Human Oversight Mechanismen, Stakeholder-Kommunikation, Nachvollziehbarkeit von Entscheidungen, und konkrete Schulungspflichten – das sind Alleinstellungsmerkmale im Vergleich zu abstrakten Managementsystemnormen
Die Fähigkeit zur dynamischen Rezertifizierung durch Post-Market-Monitoring (KPIs, Feedback-Schleifen) ist ein weiteres, starkes Argument.

In der Schweiz gibt es bis heute keine Digitalisierungsnorm für das Gesundheitswesen. Das krm hat mit CertiHealth^® ein vertrauenswürdiges Label erstellt und bietet damit Anbietern wie auch Anwendern einen verlässlichen und soliden Standard für die Ordnungsmässigkeit der Digitalisierung im Gesundheitswesen.

Grundsätzlich gilt in der Schweiz die Geschäftsbücherverordnung als Massstab für die Digitalisierung von Daten und für die Gewährleistung von deren Integrität und Sicherheit. Die darin festgehaltenen Grundprinzipien können ohne weiteres auch auf Gesundheitsdaten angewandt werden. Folglich basiert der Prüfkatalog auf diesen Grundlagen. Hinzu kommen spezifische Anforderungen, welche sich aus nationalen und internationalen Gesetzen und Standards ableiten lassen. Interessanterweise kennt die Schweiz keine gesetzlichen Vorgaben für diese Prozesse. Aus diesem Grund haben wir unseren Best-Practice Katalog mit Kontrollen aus diesen Quellen ergänzt:

• ePDG (Gesetz zum elektronischen Patientendossier und Verordnungen (ePDV); Schwerpunkt bilden die Sicherheitsanforderungen.
• Datenschutzgesetz (DSG), hier insbesondere die Bestimmungen zu Privacy by Design und Privacy by Default; Datenschutz-Folgenabschätzung
• Medizinprodukteverordnung (MepV) sowie EU-Normen[1]
• EU AI Act, insbesondere für den Einsatz von Verfahren mit KI-Unterstützung
• TR Resiscan (BSI, DE)
• Semantik (optional): Berücksichtigung von ePD Standards wie Snomed CT (Optional) oder patientenfokussierten Verfahren wie COBEDIAS®

[1] Wir prüfen nicht die Medizinprodukte selbst, sondern ggf. deren Einsatz in einem Digitalisierungsprozess

Die Prüfung von eingesetzten Medizinprodukten ist nicht Teil unseres Verfahrens, denn deren Zulassung ist länderspezifisch geregelt und hat andere Lebenszyklen als der Prozess, in welchem sie verwendet werden. Wir prüfen ggf., ob die notwendigen Prüfzertifikate für die eingesetzten Produkte vorliegen.  Dabei richten wir uns nach den Vorgaben der Swissmedic.

Wir haben es mit Gesundheitsdaten zu tun. Dies bedeutet, dass sie nicht nur im Sinne des Datenschutzes, sondern generell als besonders schützenswert gelten. Somit sind die Anforderungen an die Kontrollsysteme in der Regel wesentlich höher, als dies z.B. bei einem normalen Scanning von Buchhaltungsbelegen der Fall wäre. Dies hat Auswirkungen auf die Gestaltung unseres Body of Knowledge (Link), d.h. dem anwendbaren Prüfkatalog.

Ja – gewollt. Unser Katalog integriert Anforderungen aus:

• ISO/IEC 27701 → Datenschutzmaßnahmen
• ISO 27001 → Sicherheitsmassnahmen
• EU AI Act → Hochrisiko-Kategorisierung und Transparenzpflichten
• CH-GeBüV → Aufbewahrungspflichten
• Datenschutzrecht (DSG/DSGVO)

Zertifizierte Systeme können daraus Mehrwert für andere Audits und Nachweise ziehen.

Die CE-Kennzeichnung ist zwingend für Hochrisiko-KI-Systeme nach AI Act – aber sie prüft nur Mindestanforderungen. Sie wird oft durch Anbieter selbst erklärt.

CertifAI®:

• ergänzt die CE-Anforderungen mit einem erweiterten Prüfrahmen (Fairness, Stakeholderkommunikation, Logging),
• unterstützt bei der Erfüllung der Konformitätsbewertungsverfahren,
• bietet eine unabhängige, rechtssichere Aussenperspektive, welche die Glaubwürdigkeit gegenüber Behörden und Partnern stärkt.

CertifAI® prüft auch Anforderungen, die über das CE hinausgehen, z. B. Datenprovenienz, Reproduzierbarkeit, robustes Logging, Bias-Minderung, Rückfallmechanismen (Fallbacks)
CertifAI® nutzt unabhängige, dokumentierte Bewertungsverfahren nutzt – keine CE-Eigenzertifizierung.

• Wir bieten eine produkt-/systembezogene Zertifizierung mit Sicht auf die Auswirkungen für Anbieter und Nutzer.
• Unser Kontrollkatalog ist detailliert, technisch und rechtlich verankert – inklusive AI Act, DSGVO, CH-DSG GeBÜv.
• Wir prüfen mit technischen Mitteln: z. B. auf Prompt Injection, Datenherkunft, Robustheit, Bias, Logging.
• Unsere Zertifizierungslevels sind praxisnah gestaffelt (Management → Anwendung → High Risk → kundenspezifisch).

• Rechtssicher zertifizierend – mit externen Fachexperten und dokumentierter Entscheidmethodik.
• Regulatorisch fundiert – mit Anbindung an das AI-Ökosystem (DSG, AI Risk Class etc.).
• Automatisierungsmöglichkeiten der Bewertung mittels Benchmarks und automatisierter Testskripte.

ISO/IEC 23894 ist ein Leitfaden für organisationsweites Risikomanagement. Er bietet gute Prinzipien, ist aber nicht prüfbar oder zertifizierbar. Zudem fehlt ein operativer Bezug zu konkreten Anwendungen.

CertifAI® operationalisiert Risikomanagement:
Wir prüfen, ob Risiken wie Bias, Erklärbarkeitslücken, Datenlecks oder Manipulationen in einem konkreten System identifiziert, adressiert und technisch abgesichert wurden. Unsere Prüfmethoden umfassen z. B. Stress-Tests, technische Evaluationen, Transparenz-Checks und dokumentierte Eingriffsmechanismen.

ISO 38507:
Diese Norm richtet sich an Verwaltungsräte und das Top-Management. Sie legt Verantwortlichkeiten fest, enthält aber keine konkreten Prüfkriterien. Sie ist nützlich für Governance, aber nicht ausreichend für die Systembewertung.

CertifAI® setzt Governance um:
Unser Katalog beinhaltet Governance-Kontrollen wie Verantwortung, Auditierung, Logging und Nachvollziehbarkeit – konkret, überprüfbar und auf ein spezifisches System bezogen. CertifAI® prüft Spezialanforderungen für High-Risk-Systeme (EU AI Act Annex III) direkt – inkl. Sonderlogging, Registrierung, Annotator Oversight.

Der technische Risikobezug in CertifAI® ist durch Kontrollpunkte wie „Bias Detection“, „Stress-Testing“, „Adversarial Attacks“ und „Datenklassifikation“ sehr konkret.

ISO/IEC 42001 ist eine Managementsystemnorm, die auf Organisationsebene Prozesse und Strukturen bewertet – vergleichbar mit ISO 27001. Sie prüft nicht konkrete KI-Systeme, sondern die Fähigkeit einer Organisation, KI sicher zu managen.

CertifAI® geht darüber hinaus: Wir zertifizieren konkrete KI-Anwendungen aus Sicht der betroffenen Person (z. B. Nutzer einer App) und prüfen, ob und wie eine spezifische Lösung Datenschutz, Fairness, Sicherheit und Nachvollziehbarkeit konkret umsetzt.
Zudem integrieren wir Anforderungen aus dem AI Act und Schweizer Datenschutzrecht, inklusive DPIA, Datenklassifikation und menschenzentrierter Kontrolle sowie den Anforderungen an die rechtskonforme Datenhaltung (nach Geschäftsbücherverordnung, GeBüV). Hinzu kommen weitere Prüfinhalte wie: Erklärbarkeit, Incident Response und Logging Mechanismen.

Ja, wir kennen die grossen Herausforderungen bei den Löschungen auch in regulierten Branchen, z.B. Banken.

NEIN, denn die Ordnungsmässigkeitsanforderungen verlangen nach korekten Daten. Nicht löschbare Archive enthalten immer fehlerhafte Daten, die gelöscht werden müssten. Richtig brisant wurde das Thema allerdings erst mit der DSGVO, denn die Löschfähigkeit ist beim Datenschutz eine Schlüsselkompetenz.

Die Datenschutz-Konformität ist ein weites Feld. Wir spezialisieren uns auf die „schwierigen“ Themen rund um den Datenschutz. Dazu gehören typischerweise die Frage nach dem Integritätsschutz und der Löschfähigkeit von Anwendungen sowie der „Privacy by Design“ und „Privacy by Default“ Fähigkeiten. Diese Themen werden im Rahmen der Vorabklärungen angesprochen. Der Kunde entscheidet, ob eine Datenschutzprüfung stattfinden soll.

Mit der GeBüV (Geschäftsbücherverordnung) Zertifizierung erhalten Sie eine Bescheinigung dass die untersuchte Digitalisierungslösung die anwendbaren Rechtsnormen erfüllt.

Die neutrale Bescheinigung vermittelt Vertrauen und gibt Gewissheit, dass die Lösung den Gesetzesvorschriften entspricht. Sie erhöht den Beweiswert elektronischer Beweismittel, da die Verfahren ausreichend dokumentiert sind und den Ordnungsmässigkeitsanforderungen genügen. Sie reduziert den Aufwand bei einer allfälligen Prüfung durch die Revisionsstelle. Richtig teuer kann es werden, wenn Sie elektronische Rechnungen bei der Vorsteuer in Abzug bringen wollen und diese nicht beweiskräftig abgesichert hatten.

Nebst der GeBüV werden andere, relevante Quellen einbezogen sowie der Erfahrungsschatz des KRM. Diese Grundlagen werden im KRM BOK (Body of Knowledge) erfasst und dienen als Referenz für die Prüfung und Zertifizierung.

Nein, wir stimmen mit dem Kunden ab, welches System oder Verfahren untersucht und geprüft werden soll. Im Zertifikat werden Untersuchungsumfang und Beurteilungsgrundlagen erwähnt.

Die Schweiz kennt in diesem Bereich keine offizielle Zertifizierung. Das hängt damit zusammen, dass in einem Rechtsfall der Richter nach den Grundsätzen der freien Beweiswürdigung agiert. Die Glaubwürdigkeit und die Sorgfalt einer Partei steigen jedoch wesentlich, wenn eine unabhängig Überprüfung durch einen neutralen Gutachter vorgelegt wird. Das KRM verfügt auf Grund seiner Erfahrung und Beteiligung bei der Gesetzgebung über die grösste Erfahrung bei der Beurteilung von Digitalisierungslösungen.

Die Experten des KRM beschäftigen sich seit mehr als 25 Jahre mit den Themen elektronische Datenhaltung, Aufbewahrung, Informationssicherheit, Datenschutz und Vertragsrecht. Experten des KRM waren als Industrieexperten am Erstellen der GeBüV beteiligt und verfassen seit Jahren Gutachten zur GeBüV und verwandten Verfahren.

Das KRM hat keinerlei Bindungen zu Anbietern oder zu Parteien, welche unsere Neutralität beeinträchtigen würden. Das KRM bietet nur produktneutrale Beratungen an und Experten des KRM werden auch als neutrale Gutachter eingesetzt.

Ja, natürlich prüfen wir die uns vorgelegten Systeme nach bestem Wissen und Gewissen. Bei Unterschreiten der minimalen Sorgfaltshöhe verweigern wir die Ausstellung eines Zertifikats.

Wir bieten eine Wiederholungsprüfung an, welche normalerweise innerhalb von 2 Jahren nach der Erstprüfung erfolgen sollte. In der Regel gelten Zertifikate zwei Jahre, wobei dies natürlich immer davon abhängt, ob das geprüfte System wesentlich verändert wurde.

Bei der Erstzertifizierung werden alle notwendigen Parameter erfasst und dokumentiert. Wir führen die überprüften System in einer Datenbank zusammen mit dem verwendeten BOK (Body of Knowledge). Dies ermöglicht uns eine effiziente Re-Zertifizierung und auch jederzeitige Auskunft darüber, was geprüft wurde.

Der Preis hängt von drei Hauptfaktoren ab: 1. Der Komplexität des untersuchten Systems, 2. der Anzahl von Aussenpartnern(-systemen/-verträgen 3. den zu prüfenden Gesetzen und Normen (z.B. nur national, international, Branchennormen) Hinzu kommt die Berücksichtigung der speziellen Risikosituation. Diese drückt sich meist in den zu befolgenden Gesetzen und Normen ab, kann jedoch auch einmal bewusst nach oben angepasst werden (Erhöhung der Sorgfalt) Gerne erstellen wir eine individuelle Offerte für die Erstellung.

Nein, natürlich verwenden wir in unserem BOK (Body of Knowledge) alle relevanten Gesetzestexte und anderen Vorgaben, die relevant sind. Im Umfeld der Digitalisierung sind dies v.a. die Datenschutzbestimmungen, handelsrechtliche Vorgaben sowie spezialgesetzliche Vorgaben (z.B. Steuerrecht) oder spezialgesetzliche Aufbewahrungsvorschriften (z.B. Anlagenbau, Pharma, Finanzindustrie).

Nein, denn dieser Begriff existiert in der Schweiz nicht! Kein Berater, keine Revisionsstelle und keine Zertifizierungsinstanz kann eine solche Aussage machen oder eine entsprechende Absicherung geben (zB via Konventionalstrafe). Kein Hersteller würde eine solche Garantie unterschreiben. In der Schweiz gilt als Massstab die sogenannte „Ordnungsmässigkeit“, d.h. die für den konkret zu prüfenden Sachverhalt notwendige Sorgfalt und damit verbundenen Verfahren und Techniken. Diese Ordnungsmässigkeit entwickelt sich und enthält nebst den zwingenden Gesetzesvorschriften auch die gelebte Praxis bzw. die Anforderungshöhe. Eine Bank muss wesentlich höhere Anforderungen erfüllen als der kleine Handwerksbetrieb, deshalb wird bei der Überprüfung auch nicht derselbe Massstab angewendet. Wir kennen die Anforderungen und informieren Sie, wenn die von Ihnen gewählte Sorgfalt nicht der branchenüblichen entspricht. In solchen Fällen verzichten wir auf das Ausstellen eines Zertifikats.

Sie erhalten eine Bescheinigung, in welcher der Prüfungsumfang sowie das Prüfresultat festgehalten sind. Zudem wird Ihnen ein personalisiertes Zertifikat ausgestellt, welches sie auf Produkten oder Dokumenten, Websites etc. anbringen können. Diese Bescheinigung basiert auf einem umfassenden Bericht, in welchem die Ergebnisse der Untersuchung dokumentiert sind. Hier wird auch festgehalten, wenn z.B. bestimmte Teile des Verfahrens nicht zertifiziert werden konnten (Gap – Analyse). Dies könnte dann später nach-geholt werden (→ Re-Zertifizierung).

Sie erhalten zudem einen individualisierten Stempel (ähnlich), welchen Sie zur Vermarktung Ihres Produkts nutzen können:

Selbstverständlich prüfen wir auch Dritte, welche Leistungen erbringen (z.B. Cloud Anbieter, Rechenzentren, externe Dienstleister) sofern wir Zugriff auf deren Leistungen erhalten und uns damit eine objektive Prüfung möglich ist.

Die normale Gültigkeitsdauer beträgt zwei Jahre. Je nach Prüfumfang und –komplexität oder Änderungsintervallen kann die Gültigkeit auch reduziert sein. Bei Systemen oder Produkten gelten die Zertifizierungen für den jeweils geprüften Systemstand (Release).

Elektronische Rechnungen werden von den Behörden nur akzeptiert, wenn die Beweiskraft stimmt. D.h. der Rechnungsempfänger muss nachweisen, dass er die Anforderungen der MWST erfüllt. Das kann er mit verschiedenen Verfahren gewährleisten. Als Rechnungsempfänger können Sie mit einer Überprüfung nachweisen, dass Sie diese Anforderungen erfüllen.

PDF-Rechnungen ohne zusätzliche Absicherungsmassnahmen werden von den Behörden nicht anerkannt. Richtig teuer kann es werden, wenn Sie elektronische Rechnungen bei der Vorsteuer in Abzug bringen wollen und diese nicht beweiskräftig abgesichert hatten. Dann gelten diese Daten nämlich nicht als zulässiger Beleg für die Geltendmachung der Vorsteuer. Als Rechnungsempfänger können Sie mit einer Überprüfung nachweisen, dass Sie die Anforderungen erfüllen.

Wir zertifizieren auch Produkte auf ihre Konformität mit den relevanten Vorschriften.

Ja, weil im Gegensatz zu anderen Ländern die GeBüV konkrete Anforderungen an die technische Umsetzung enthält.

In der Regel nicht, weil die ausländischen Gutachter die GeBüV meist ignoreren, insb, die kritischen Art. 7 und 9.

Die GeBüV ist zwar eine Norm des Handelsrechts, (Obligationenrecht); doch verweisen fast alle Gesetze der Schweiz auf sie als verbindliche Norm für die Umsetzung von Speicherung und Archivierung von Daten/Dokumenten (vgl. RM Leitfaden). Besonders wichtig ist hier die ESTV (Eidg. Steuerverwaltung), welche explizit darauf hinweist, dass Belege zum Vorsteuerabzug zwingend die GeBüV erfüllen müssen.

Ja, denn Archivprodukte sind ja immer auf Langfristigkeit ausgelegt. Damit sollten auch die wesentlichen Features nicht permanent geändert werden. Die Stabilität des Produkts muss Teil der Konzeption sein. Das Zertifikat behält seinen Wert somit länger, als dies bei anderen SW-Produkten der Fall ist.

Alle Produkte, welche Daten langfristig speichern und die gesetzlichen Vorgaben einhalten müssen. Dazu gehören auch ERP Produkte oder industriespezifische Fachapplikationen.

Grundsätzlich NICHT, dafür gibt es diverse Gründe, welche wir Ihnen gerne darlegen. Ein ganz zentraler Grund ist die Ordnungsmässigkeitsvoraussetzung, dass Archivdaten immer aus sich heraus interpretierbar sein müssen „self contained“ und systemunabhängig existieren können. Aus diesen Gründen wird z.B. ein standardisisertes Archivformat empfohlen, welches eine HW und SW unabhängige Wiedergabe ermöglicht.

Wir können alle verfügbaren Technologien prüfen, vom klassischen Archiv bis zur Blockchain-basierten Cloud-Archivlösung.