Kolumne: Warum KI gute Governance braucht
Michèle Balthasar über die Notwendigkeit klarer KI-Leitlinien
Artikel erschienen in Swiss IT Magazine 2025/11
Artikel erschienen in Swiss IT Magazine 2025/11
Der Einsatz von Künstlicher Intelligenz ist in vielen Unternehmen längst Alltag. Neben vom Unternehmen ausdrücklich freigegebenen Tools verwenden Mitarbeitende teilweise unautorisierte KI-Anwendungen. Sie sind bequem und schnell – bleiben aber oft unsichtbar für IT und Compliance. Die Folge ist eine sogenannte Schatten-KI, im Englischen «Shadow AI».
Die Vorteile sind offensichtlich. Die KI erstellt Zusammenfassungen, analysiert Daten und liefert Entwürfe in Sekundenschnelle. Mitarbeitende gewinnen Zeit und Effizienz. Doch genau hier beginnen die Risiken für Unternehmen: Daten verlassen kontrollierte Umgebungen und Speicherorte; die weitergehende Nutzung der Eingaben (z.B. zum Training der KI selber) bleibt häufig unklar. Das führt zu rechtlichen Unsicherheiten und birgt Haftungs- und Reputationsrisiken.
Die KI zu verbieten ist keine Option. Verbote verlagern nur die Nutzung in die Schatten. Vielmehr müssen folgende Fragen gestellt werden: Was gilt in solchen Fällen – und wer haftet? Wie ist der Einsatz von KI unternehmensintern zu regeln? Gibt es bereits rechtliche Vorgaben, die es zu beachten gilt?
In der Schweiz verfolgt der Bundesrat einen risikobasierten, sektoriellen Ansatz zur KI. Statt einer umfassenden Gesetzgebung wie der KI-Verordnung der EU sollen bestehende Gesetze gezielt ergänzt werden. Eine Vorlage wird Ende 2026 erwartet. Für Unternehmen heisst das allerdings nicht abwarten, sondern handeln – und bereits heute eine rechts- und datenschutzkonforme KI-Governance aufbauen.
Die Vorteile sind offensichtlich. Die KI erstellt Zusammenfassungen, analysiert Daten und liefert Entwürfe in Sekundenschnelle. Mitarbeitende gewinnen Zeit und Effizienz. Doch genau hier beginnen die Risiken für Unternehmen: Daten verlassen kontrollierte Umgebungen und Speicherorte; die weitergehende Nutzung der Eingaben (z.B. zum Training der KI selber) bleibt häufig unklar. Das führt zu rechtlichen Unsicherheiten und birgt Haftungs- und Reputationsrisiken.
Die KI zu verbieten ist keine Option. Verbote verlagern nur die Nutzung in die Schatten. Vielmehr müssen folgende Fragen gestellt werden: Was gilt in solchen Fällen – und wer haftet? Wie ist der Einsatz von KI unternehmensintern zu regeln? Gibt es bereits rechtliche Vorgaben, die es zu beachten gilt?
In der Schweiz verfolgt der Bundesrat einen risikobasierten, sektoriellen Ansatz zur KI. Statt einer umfassenden Gesetzgebung wie der KI-Verordnung der EU sollen bestehende Gesetze gezielt ergänzt werden. Eine Vorlage wird Ende 2026 erwartet. Für Unternehmen heisst das allerdings nicht abwarten, sondern handeln – und bereits heute eine rechts- und datenschutzkonforme KI-Governance aufbauen.
Die rechtlichen Rahmenbedingungen sind vielfältig. Das Datenschutzgesetz (DSG) verpflichtet zu Transparenz, Zweckbindung und Datensicherheit. Bei automatisierten Einzelentscheidungen braucht es nachvollziehbare Informationen und eine wirksame menschliche Überprüfung. Das Gesetz gegen den unlauteren Wettbewerb (UWG) setzt Grenzen gegen den Einsatz von täuschenden KI-Outputs, das Urheberrechtsgesetz (URG) wirft Fragen zu Trainingsdaten, Bearbeitungsrechten und Schutzfähigkeit der Ergebnisse auf. Die KI-Verordnung der EU bringt zusätzliche Leitplanken für die Risikobewertung, Datenqualität und menschliche Eingriffsmöglichkeiten – den «Human in the Loop». Denn KI kann berechnen, aber nicht bewerten.
Das Obligationenrecht enthält Bestimmungen zu Haftung und Verantwortlichkeit: Nach Art. 716a OR gehört die Oberaufsicht über das Risikomanagement zu den unübertragbaren Aufgaben des Verwaltungsrats. Dazu zählen neben Informationssicherheit und Datenschutz auch Risiken aus dem KI-Einsatz. Zwar können diese Aufgaben delegiert werden, die Oberaufsicht jedoch bleibt. Eine strukturierte KI-Governance ist daher unverzichtbar, um Prozesse sichtbar zu machen und klare Zuständigkeiten zu schaffen.
In der Praxis empfiehlt sich ein überlegtes Vorgehen: Es gilt alle KI-Anwendungen zu inventarisieren. Welche Tools werden mit welchen Daten und zu welchen Zwecken genutzt? Risiken hinsichtlich Datenschutz, Diskriminierung, Reputationsschäden et cetera müssen bewertet werden. Im Rahmen eines Freigabeprozesses ist in Kategorien festzulegen, welche und wie die KI-Tools unternehmensintern eingesetzt werden dürfen: Zum Beispiel KI-Tools, welche erlaubt, verboten oder nur mit bestimmten Einschränkungen erlaubt sind. Die Mitarbeitenden müssen über diese Kategorien informiert und betreffend den Einsatz von KI geschult werden. Insbesondere muss klar kommuniziert werden, welche Daten zur Eingabe verwendet werden dürfen, und dass die Ergebnisse stets zu kontrollieren sind.
So wird eine gute KI-Governance zur gelebten Praxis – sie schafft Verlässlichkeit und damit Vertrauen in Systeme und Entscheidungen.
Das Obligationenrecht enthält Bestimmungen zu Haftung und Verantwortlichkeit: Nach Art. 716a OR gehört die Oberaufsicht über das Risikomanagement zu den unübertragbaren Aufgaben des Verwaltungsrats. Dazu zählen neben Informationssicherheit und Datenschutz auch Risiken aus dem KI-Einsatz. Zwar können diese Aufgaben delegiert werden, die Oberaufsicht jedoch bleibt. Eine strukturierte KI-Governance ist daher unverzichtbar, um Prozesse sichtbar zu machen und klare Zuständigkeiten zu schaffen.
In der Praxis empfiehlt sich ein überlegtes Vorgehen: Es gilt alle KI-Anwendungen zu inventarisieren. Welche Tools werden mit welchen Daten und zu welchen Zwecken genutzt? Risiken hinsichtlich Datenschutz, Diskriminierung, Reputationsschäden et cetera müssen bewertet werden. Im Rahmen eines Freigabeprozesses ist in Kategorien festzulegen, welche und wie die KI-Tools unternehmensintern eingesetzt werden dürfen: Zum Beispiel KI-Tools, welche erlaubt, verboten oder nur mit bestimmten Einschränkungen erlaubt sind. Die Mitarbeitenden müssen über diese Kategorien informiert und betreffend den Einsatz von KI geschult werden. Insbesondere muss klar kommuniziert werden, welche Daten zur Eingabe verwendet werden dürfen, und dass die Ergebnisse stets zu kontrollieren sind.
So wird eine gute KI-Governance zur gelebten Praxis – sie schafft Verlässlichkeit und damit Vertrauen in Systeme und Entscheidungen.
Michèle Balthasar, Rechtsanwältin, Gründerin und Managing Partnerin von Balthasar Legal mit Standorten in Zürich und Luzern, berät kleine, mittlere und international tätige Unternehmen in den Bereichen Datenschutz, Governance, IT- und Energierecht. In ihrer Kolumne im «Swiss IT Magazine» beleuchtet sie aktuelle Fragestellungen im Spannungsfeld von Digitalisierung, Regulierung und Unternehmenspraxis.
Artikel kommentieren
