Fachbegriffe, klar erklärt

Der EU AI Act (KI-Verordnung) ist die weltweit erste umfassende gesetzliche Regulierung künstlicher Intelligenz. Er verfolgt einen risikobasierten Ansatz, der KI-Systeme je nach Gefährdungspotenzial in vier Stufen einteilt und entsprechend unterschiedliche Pflichten auferlegt. Die zentralen Vorschriften werden ab August 2026 durchgesetzt.

Ein KI-System ist nach dem EU AI Act ein maschinengestütztes System, das mit einem gewissen Grad an Autonomie betrieben wird, aus Eingaben Ausgaben wie Vorhersagen, Empfehlungen oder Entscheidungen ableitet und dabei seine Umgebung beeinflussen kann. Diese Definition orientiert sich eng an der Begriffsbestimmung der OECD.

Ein Hochrisiko-KI-System ist nach dem EU AI Act ein KI-System, das ein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte birgt. Dazu zählen unter anderem KI in der Personalauswahl, Kreditwürdigkeitsprüfung, kritischen Infrastruktur und Bildung. Solche Systeme tragen den umfangreichsten Pflichtenkatalog der Verordnung.

KI-Kompetenz nach Artikel 4 des EU AI Act ist die Pflicht von Anbietern und Betreibern, sicherzustellen, dass ihr Personal und andere mit dem Betrieb von KI-Systemen befasste Personen über ausreichende Kenntnisse und Fähigkeiten im Umgang mit KI verfügen. Sie verlangt in der Praxis ein dokumentiertes, rollenspezifisches Schulungsprogramm.

Ein GPAI-Modell (General-Purpose AI, KI-Modell mit allgemeinem Verwendungszweck) ist ein KI-Modell, das eine breite Palette unterschiedlicher Aufgaben erfüllen kann und sich in viele nachgelagerte Systeme integrieren lässt. Grosse Sprachmodelle sind das prominenteste Beispiel. Der EU AI Act enthält für GPAI-Modelle ein eigenes Pflichtenregime.

Annex III (Anhang III) des EU AI Act ist die Liste der Anwendungsbereiche, in denen KI-Systeme grundsätzlich als hochriskant gelten. Dazu zählen unter anderem Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, der Zugang zu wesentlichen Diensten, Strafverfolgung und Justiz. Die Liste ist der zentrale Massstab für die Hochrisiko-Klassifizierung.

Verbotene KI-Praktiken nach Artikel 5 des EU AI Act sind KI-Anwendungen, die als so gefährlich für Grundrechte und Sicherheit gelten, dass sie in der EU vollständig untersagt sind. Dazu zählen unter anderem manipulative Systeme, Social Scoring durch Behörden und bestimmte Formen biometrischer Überwachung. Das Verbot gilt seit Februar 2025.

Eine Konformitätsbewertung ist das Verfahren, mit dem nachgewiesen wird, dass ein Hochrisiko-KI-System die Anforderungen des EU AI Act erfüllt, bevor es auf den Markt kommt. Je nach System erfolgt sie durch interne Kontrolle des Anbieters oder unter Einbeziehung einer benannten Stelle und mündet in die CE-Kennzeichnung.

Ein Datenschutzbeauftragter (DSB) ist eine Person, die in einem Unternehmen die Einhaltung des Datenschutzrechts überwacht und berät. Nach der DSGVO ist die Bestellung eines DSB unter bestimmten Voraussetzungen Pflicht, etwa bei umfangreicher Verarbeitung besonderer Daten oder systematischer Überwachung; in der Schweiz ist sie meist freiwillig, aber empfohlen.

Privacy by Design ist der Grundsatz, Datenschutz von Anfang an in die Gestaltung von Systemen und Prozessen einzubauen, statt ihn nachträglich aufzusetzen. Die DSGVO verankert ihn als rechtliche Pflicht: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen müssen bereits bei der Konzeption berücksichtigt werden.

Betroffenenrechte sind die Rechte, die die DSGVO natürlichen Personen in Bezug auf ihre personenbezogenen Daten gewährt. Dazu zählen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch sowie Schutz vor rein automatisierten Entscheidungen. Unternehmen müssen diese Rechte in der Regel innerhalb eines Monats erfüllen.

Eine Einwilligung ist nach der DSGVO eine freiwillige, spezifische, informierte und unmissverständliche Willensbekundung, mit der eine Person der Verarbeitung ihrer Daten zustimmt. Sie ist eine von sechs Rechtsgrundlagen, muss aktiv erteilt werden, ist jederzeit widerrufbar und vom Unternehmen nachweisbar zu dokumentieren.

Besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO sind besonders sensible Daten wie Gesundheitsdaten, biometrische Daten, Daten zur ethnischen Herkunft, politischen Meinung, religiösen Überzeugung oder sexuellen Orientierung. Ihre Verarbeitung ist grundsätzlich verboten und nur unter engen Ausnahmen zulässig.

Die DSGVO (Datenschutz-Grundverordnung) ist das EU-weite Gesetz zum Schutz personenbezogener Daten. Sie gilt seit Mai 2018, verpflichtet Unternehmen zu Transparenz, Datenminimierung und Sicherheit, gewährt betroffenen Personen weitreichende Rechte und sieht bei Verstössen Bussgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor.

Das revDSG ist das revidierte Schweizer Datenschutzgesetz, das seit dem 1. September 2023 gilt. Es modernisiert den Schweizer Datenschutz und nähert ihn der EU-DSGVO an, behält aber eigene Besonderheiten. Es stärkt die Rechte betroffener Personen und führt Pflichten wie Privacy by Design, Meldepflichten bei Datenpannen und Bearbeitungsverzeichnisse ein.

Ein AVV (Auftragsverarbeitungsvertrag) ist ein nach Artikel 28 DSGVO vorgeschriebener Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter, der personenbezogene Daten in dessen Auftrag verarbeitet. Er regelt Gegenstand, Dauer, Zweck und Pflichten der Verarbeitung und stellt sicher, dass der Datenschutz auch beim Dienstleister gewahrt bleibt.

Eine Datenschutz-Folgenabschätzung (DSFA, englisch DPIA) ist ein nach Artikel 35 DSGVO vorgeschriebenes Verfahren, mit dem die Risiken einer Datenverarbeitung für die Rechte und Freiheiten betroffener Personen vorab bewertet und gemindert werden. Sie ist erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko mit sich bringt.

Ein MVP (Minimum Viable Product, minimal funktionsfähiges Produkt) ist die einfachste Version eines Produkts, die genug Wert liefert, um echte Nutzer zu gewinnen und aus ihrem Verhalten zu lernen. Es dient dazu, eine Produktidee mit minimalem Aufwand am Markt zu validieren, bevor grosse Ressourcen investiert werden.

Next.js ist ein quelloffenes Framework für die Entwicklung von Webanwendungen auf Basis von React. Es bietet serverseitiges Rendering, statische Generierung, Routing und eine integrierte API-Schicht und gilt als eine der beliebtesten Grundlagen für moderne, schnelle und suchmaschinenfreundliche Webanwendungen.

Supabase ist eine quelloffene Backend-Plattform, die eine PostgreSQL-Datenbank, Authentifizierung, Dateispeicher und Echtzeit-Funktionen als fertige Bausteine bereitstellt. Sie gilt als Open-Source-Alternative zu Firebase und ermöglicht es, das Backend einer Anwendung schnell und mit starkem Datenschutz aufzubauen.

Eine PWA (Progressive Web App) ist eine Webanwendung, die sich wie eine native App verhält: Sie lässt sich auf dem Startbildschirm installieren, funktioniert teilweise offline und kann Benachrichtigungen senden — läuft aber im Browser und braucht keinen App-Store. PWAs verbinden die Reichweite des Webs mit der Bedienung einer App.

Datenresidenz bezeichnet den geografischen Ort, an dem Daten gespeichert und verarbeitet werden. Im DACH-Raum ist sie eine zentrale Frage des Datenschutzes: Wo Daten liegen, entscheidet über die Anwendbarkeit von DSGVO und revDSG und zunehmend über die Wettbewerbsfähigkeit im B2B-Geschäft.

SaaS (Software as a Service) ist ein Modell, bei dem Software als webbasierter Dienst über das Internet bereitgestellt und meist im Abonnement bezahlt wird, statt sie zu kaufen und lokal zu installieren. Betrieb, Wartung und Updates übernimmt der Anbieter, der Zugriff erfolgt über den Browser.

Multi-Tenancy (Mandantenfähigkeit) ist eine Software-Architektur, bei der eine einzige Instanz einer Anwendung mehrere Kunden (Mandanten) gleichzeitig bedient, wobei die Daten jedes Mandanten strikt von denen der anderen getrennt bleiben. Sie ist das architektonische Fundament fast jedes SaaS-Produkts.

Row-Level-Security (RLS) ist ein Sicherheitsmechanismus von Datenbanken, der den Zugriff auf einzelne Datenzeilen anhand von Regeln steuert. In SaaS-Anwendungen sorgt RLS dafür, dass jeder Nutzer und jeder Mandant nur die Daten sehen und ändern kann, die ihm gehören — durchgesetzt direkt von der Datenbank.

MRR (Monthly Recurring Revenue, monatlich wiederkehrender Umsatz) ist die normalisierte Summe aller planbaren, wiederkehrenden Abonnement-Einnahmen eines SaaS pro Monat. Sie ist die wichtigste Wachstumskennzahl im SaaS, weil sie die stabile, vorhersehbare Erlösbasis abbildet — unabhängig von einmaligen Zahlungen.

Churn (Abwanderungsrate) ist der Anteil der Kunden oder des wiederkehrenden Umsatzes, der in einem bestimmten Zeitraum verloren geht. Sie ist die wichtigste Warnkennzahl im SaaS, denn hohe Abwanderung untergräbt Wachstum: Ein SaaS mit hoher Churn füllt ein leckes Fass und muss ständig neue Kunden gewinnen, nur um die Position zu halten.

Net Revenue Retention (NRR, Netto-Umsatzbindung) misst, wie sich der wiederkehrende Umsatz einer bestehenden Kundengruppe über einen Zeitraum entwickelt — inklusive Upgrades, Downgrades und Kündigungen, aber ohne Neukunden. Ein Wert über 100 Prozent bedeutet, dass die Bestandskunden netto wachsen, selbst wenn kein einziger neuer Kunde hinzukommt.

CAC (Customer Acquisition Cost, Kundenakquisitionskosten) sind die durchschnittlichen Gesamtkosten, die anfallen, um einen neuen Kunden zu gewinnen — inklusive Marketing- und Vertriebsausgaben. Der CAC zeigt, wie teuer Wachstum ist, und wird typischerweise ins Verhältnis zum Kundenwert gesetzt, um die Wirtschaftlichkeit eines SaaS zu beurteilen.

LTV (Customer Lifetime Value, Kundenlebenswert) ist der gesamte Umsatz oder Gewinn, den ein Kunde über die gesamte Dauer seiner Geschäftsbeziehung im Durchschnitt einbringt. Der LTV zeigt, wie wertvoll ein Kunde wirklich ist, und wird ins Verhältnis zu den Akquisitionskosten gesetzt, um die Wirtschaftlichkeit eines SaaS zu beurteilen.

Ein LLM (Large Language Model, grosses Sprachmodell) ist ein KI-Modell, das auf riesigen Textmengen trainiert wurde, um menschliche Sprache zu verstehen und zu erzeugen. LLMs bilden die Grundlage moderner Chatbots, Textgeneratoren und vieler KI-Funktionen in Software und können vielfältige sprachbezogene Aufgaben erfüllen.

RAG (Retrieval-Augmented Generation) ist eine Technik, die ein Sprachmodell mit einer externen Wissensquelle verbindet: Vor der Antwort werden relevante Informationen aus einer Datenbank abgerufen und dem Modell als Kontext mitgegeben. RAG macht KI-Antworten faktentreuer, aktueller und auf eigene Daten beziehbar — und reduziert Halluzinationen.

Topische Autorität (Topical Authority) ist das Mass, in dem eine Website von Suchmaschinen als massgebliche Quelle für ein ganzes Themenfeld erkannt wird. Sie entsteht durch umfassende, tief vernetzte Inhalte zu einem Thema und führt dazu, dass eine Domain für hunderte verwandter Suchanfragen rankt, nicht nur für einzelne Keywords.

Programmatisches SEO (Programmatic SEO) ist die automatisierte Erstellung vieler ähnlich strukturierter, aber inhaltlich einzigartiger Seiten aus einer Datenquelle und Vorlagen. Es eignet sich, um systematisch grosse Mengen an Longtail-Suchanfragen abzudecken — etwa Seiten für jede Stadt, jedes Produkt oder jede Kombination zweier Begriffe.

Core Web Vitals sind eine Reihe von Kennzahlen, mit denen Google die Nutzererfahrung einer Webseite misst — insbesondere Ladegeschwindigkeit, Interaktivität und visuelle Stabilität. Sie sind ein Rankingfaktor und damit ein technisches Fundament des SEO: Eine Seite mit schlechten Core Web Vitals rankt schwerer, selbst bei gutem Inhalt.

Schema-Markup ist ein standardisiertes Vokabular strukturierter Daten, mit dem man den Inhalt einer Webseite für Suchmaschinen maschinenlesbar auszeichnet. Es hilft Suchmaschinen, den Inhalt präzise zu verstehen, und kann zu angereicherten Suchergebnissen wie Sternebewertungen, FAQ-Auszügen oder Veranstaltungsdaten führen.

E-E-A-T steht für Experience, Expertise, Authoritativeness und Trustworthiness — Erfahrung, Fachkompetenz, Autorität und Vertrauenswürdigkeit. Es ist ein Konzept aus Googles Qualitätsrichtlinien, das beschreibt, woran Google die Qualität und Glaubwürdigkeit von Inhalten und ihren Urhebern bemisst, besonders bei sensiblen Themen.

HERMES 2022 ist die aktuelle Version der Schweizer Projektmanagement-Methode HERMES, die ursprünglich von der Bundesverwaltung entwickelt wurde. Sie ist offener Standard, kostenlos verfügbar und im öffentlichen Sektor der Schweiz weit verbreitet. HERMES strukturiert Projekte über Phasen, Module, Rollen und Ergebnisse und ist mit agilen Vorgehen kombinierbar.

Scrum ist ein agiles Rahmenwerk für die Zusammenarbeit in Teams, das komplexe Vorhaben in kurze, feste Zeitabschnitte (Sprints) gliedert. Es definiert klare Rollen, Ereignisse und Artefakte und setzt auf iterative Lieferung, Selbstorganisation und kontinuierliche Verbesserung. Scrum ist das verbreitetste agile Rahmenwerk weltweit.

Kanban ist eine Methode zur Steuerung von Arbeit, die den Arbeitsfluss visualisiert — typischerweise über ein Board mit Spalten — und die Menge gleichzeitig laufender Aufgaben begrenzt. Ziel ist ein gleichmässiger, störungsfreier Fluss der Arbeit. Kanban ist evolutionär, lässt sich auf bestehende Prozesse aufsetzen und gut mit anderen Methoden kombinieren.

OKR (Objectives and Key Results) ist ein Rahmenwerk zur Zielsetzung, das ein qualitatives, inspirierendes Ziel (Objective) mit mehreren messbaren Ergebnissen (Key Results) verbindet, an denen sich der Fortschritt ablesen lässt. OKR schafft Fokus und Ausrichtung, indem es Ziele transparent macht und mit konkreten, messbaren Resultaten verknüpft.

PSA (Professional Services Automation) bezeichnet Software, die die Kernabläufe dienstleistungsorientierter Unternehmen integriert — Projektmanagement, Zeiterfassung, Ressourcenplanung und Abrechnung in einem System. PSA schliesst die Lücke zwischen Projektarbeit und Finanzen und hilft besonders Agenturen und Beratungen, abrechenbare Zeit nicht zu verlieren.