ChatGPT, Copilot, Claude — fast jedes Schweizer Unternehmen nutzt inzwischen irgendeinen KI-Dienst. Und fast keines hat schriftlich festgehalten, was dabei erlaubt ist. Das ist kein Vorwurf, sondern ein strukturelles Problem: Die Tools kamen schneller als die Regeln.

Seit September 2023 gilt das revidierte Schweizer Datenschutzgesetz (nDSG). Wer KI-Tools einsetzt und dabei Personendaten verarbeitet — auch nur im Prompt — operiert in einem rechtlich relevanten Bereich. Und wer Kunden in der EU hat, muss zusätzlich den Rahmen des EU AI Acts im Blick behalten.

Kernthese: KI-Governance ist kein IT-Projekt. Es ist eine Führungsaufgabe — und sie lässt sich auch für KMU ohne eigene Rechtsabteilung pragmatisch umsetzen.

1. Was bedeutet KI-Governance konkret für ein KMU?

Governance klingt nach Konzern. Ist es aber nicht. Im KMU-Kontext meint KI-Governance schlicht: Wer darf was mit welchen Daten tun — und das ist schriftlich geregelt.

Konkret geht es um drei Fragen:

  • Welche KI-Tools sind im Unternehmen zugelassen?
  • Welche Daten dürfen in diese Tools eingegeben werden?
  • Wer trägt Verantwortung wenn etwas schiefläuft?

Ohne Antworten auf diese drei Fragen passieren die typischen Fehler: Ein Mitarbeitender kopiert eine Kundenliste in ChatGPT, weil es schneller geht. Ein Prompt enthält unbeabsichtigt die AHV-Nummer eines Angestellten. Sensible interne Dokumente landen im Training-Feedback eines externen Anbieters.

Keiner dieser Fehler ist böswillig. Aber alle sind vermeidbar — mit ein bisschen Struktur.

2. DSG-Anforderungen beim Einsatz von ChatGPT & Co.

Das nDSG (in Kraft seit 1. September 2023) verpflichtet Unternehmen dazu, Personendaten nur zweckgebunden zu bearbeiten und sie vor unbefugtem Zugriff zu schützen. Beim Einsatz von KI-Diensten entstehen daraus konkrete Fragen:

DSG-Anforderung Was das beim KI-Einsatz bedeutet
Zweckbindung Daten nur für den angegebenen Zweck verwenden – kein "quick check" mit Kundendaten in einem öffentlichen Tool
Datensparsamkeit Nur Daten eingeben, die für die Aufgabe tatsächlich nötig sind
Informationspflicht Betroffene Personen müssen wissen, wenn ihre Daten durch KI verarbeitet werden
Auftragsbearbeitung KI-Anbieter sind in der Regel Auftragsbearbeiter – ein entsprechender Vertrag (DPA) ist Pflicht
Datentransfer ins Ausland Server in den USA, UK oder EU unterliegen unterschiedlichen Schutzlevels – prüfen!
Wichtig: Die DSGVO (EU) gilt nicht direkt für Schweizer Unternehmen ohne EU-Kundenbezug. Das nDSG ist das massgebliche Schweizer Recht. Beide Gesetze ähneln sich, aber Formulierungen und Bußgeldsystematik unterscheiden sich.

Was gilt für den EU AI Act?

Der EU AI Act gilt extraterritorial: Schweizer Unternehmen, die KI-Systeme anbieten oder nutzen, um Personen in der EU zu beeinflussen, können in den Geltungsbereich fallen. Für die meisten KMU, die KI-Tools intern nutzen, ist das Risiko überschaubar — aber es lohnt sich, den Einsatz von Hochrisiko-KI (z.B. in Recruiting, Kreditentscheiden, Sicherheitsbereichen) separat zu prüfen.

3. Was darf in den Prompt — was nicht?

Das ist die Frage, die Mitarbeitende täglich beschäftigt, aber selten klar beantwortet wird.

Unbedenklich

  • Anonymisierte oder fiktive Beispieldaten
  • Öffentlich zugängliche Informationen
  • Interne Texte ohne Personenbezug (Prozessbeschreibungen, Produktbeschreibungen)
  • Eigene Gedanken, Entwürfe, Brainstormings

Mit Vorsicht

  • Namen von Kunden oder Mitarbeitenden (wenn nicht nötig: weglassen oder anonymisieren)
  • Interne Strategiedokumente (Vertraulichkeit prüfen)
  • Vertragsdetails (Anbieter-AGB sorgfältig lesen)

Nicht in externe KI-Tools

  • AHV-Nummern, Lohndaten, Krankenakten
  • Vollständige Kundendossiers mit persönlichen Angaben
  • Passwörter, API-Schlüssel, Zugangsdaten
  • Als vertraulich eingestufte Geschäftsinformationen (ohne geprüfte Datenschutzvereinbarung mit dem Anbieter)
Praktische Regel: Würden Sie diese Information auch einem externen Berater auf einem öffentlichen Laptop zeigen? Wenn nein — gehört sie nicht in einen externen KI-Dienst ohne geprüfte DPA.

Für weiterführende Informationen zu den technischen Möglichkeiten, Dokumente intern nutzbar zu machen, ohne sie extern zu senden, lohnt sich ein Blick auf das Thema Datenschutz bei KI-Modellen.

4. Einfaches Governance-Framework in 4 Schritten

Das folgende Framework ist bewusst schlank gehalten. Es funktioniert ohne Compliance-Team, ohne teure Beratung und ohne monatelange Projekte.

Schritt 1

Tool-Inventar erstellen

Welche KI-Tools werden im Unternehmen aktuell genutzt? Nicht nur offizielle – auch inoffizielle. ChatGPT Free, Copilot im Browser, Grammarly, Notion AI. Eine einfache Liste reicht. Ziel: Klarheit schaffen, nicht Verbote aussprechen.

Schritt 2

Datenkategorien definieren

Teilen Sie Ihre Unternehmensdaten in drei Kategorien: Offen (darf in externe KI), Intern (nur mit DPA), Vertraulich (nicht in externe KI). Dieses Schema ist einfach zu kommunizieren und zu merken.

Schritt 3

Richtlinie schreiben (1–2 Seiten)

Keine 40-seitige Policy. Ein kurzes Dokument mit: zugelassene Tools, Datenkategorien, Meldepflicht bei Verstössen, Ansprechperson. Mitarbeitende müssen es lesen und bestätigen können — in 5 Minuten, nicht in einer Stunde.

Schritt 4

Jährlicher Review-Zyklus

KI-Landschaft und Rechtslage ändern sich schnell. Planen Sie einmal jährlich eine kurze Überprüfung: Sind die zugelassenen Tools noch aktuell? Hat sich die DSG-Auslegung geändert? Gibt es neue EDÖB-Empfehlungen? 2 Stunden pro Jahr genügen.

5. Checkliste: Ist euer KI-Einsatz DSG-konform?

Die folgende Checkliste gibt einen schnellen ersten Überblick. Sie ersetzt keine juristische Beratung, hilft aber, die offensichtlichsten Lücken zu erkennen.

  • Wir wissen, welche KI-Tools im Unternehmen genutzt werden (inkl. inoffizieller).
  • Mit zentralen KI-Anbietern besteht ein Auftragsbearbeitungsvertrag (DPA).
  • Mitarbeitende wissen, welche Datenkategorien sie nicht in externe KI-Tools eingeben dürfen.
  • Personendaten (Name, AHV, Lohn, Gesundheit) werden nicht in externe Modelle eingegeben.
  • Kunden werden informiert, wenn ihre Daten durch KI verarbeitet werden.
  • Es gibt eine Ansprechperson bei Datenschutzfragen rund um KI-Nutzung.
  • Die KI-Nutzungsrichtlinie wurde von Mitarbeitenden gelesen und bestätigt.
  • Der Serverstandort der eingesetzten KI-Dienste ist bekannt und dokumentiert.
  • Ein jährlicher Review der Richtlinie ist im Kalender eingetragen.
Gut zu wissen: Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) veröffentlicht regelmässig Empfehlungen zum KI-Einsatz. Diese sind nicht verbindlich, aber ein nützlicher Massstab — und sie signalisieren, wie der Beauftragte im Zweifelsfall argumentieren würde.

Fazit

KI-Governance klingt nach mehr Bürokratie. In der Praxis ist es das Gegenteil: Wer klare Regeln hat, muss keine Einzelfallentscheidungen mehr treffen. Mitarbeitende arbeiten sicherer, weil sie wissen, was erlaubt ist. Das Management schläft ruhiger, weil es nicht auf Verstösse wartet.

Der Aufwand für eine einfache KI-Governance ist überschaubar — ein halber Tag Vorbereitung, ein kurzes Dokument, ein jährliches Update. Die Alternative ist strukturelle Unklarheit, die irgendwann zum Problem wird.

Wenn Sie einen strukturierten Einstieg suchen, ist das KI-Effizienz-Audit ein sinnvoller erster Schritt, um gleichzeitig zu verstehen, wo KI im Unternehmen tatsächlich eingesetzt wird — und wo Governance ansetzen muss.