Kolumne: Wenn KI vergessene Daten sichtbar macht
Michèle Balthasar über verantwortungsvolles Datenmanagement.
Artikel erschienen in Swiss IT Magazine 2026/06
Artikel erschienen in Swiss IT Magazine 2026/06
KI-Tools wie Microsoft 365 Copilot und Co. versprechen einen spürbaren Effizienzgewinn im Arbeitsalltag, was sie für Unternehmen attraktiv macht. Der Einsatz solcher Tools ist deshalb längst kein Zukunftsthema mehr; im Fokus steht heute ihre konkrete Einführung. Die organisatorische und rechtliche Diskussion dreht sich dabei häufig um die KI-Funktion selbst: Welche Abläufe können optimiert werden? Welche Daten werden bearbeitet und wo? Welche Zusicherungen verspricht der Anbieter vertraglich und werden die Daten für das Training verwendet? Diese Fragen sind berechtigt, reichen aber nicht aus.
Viele Schweizer KMU haben ihre Datenablage in der Cloud über Jahre pragmatisch aufgebaut: Microsoft 365 mit Teams, Sharepoint Online, Onedrive for Business, externe Dokumentenmanagementsysteme und gemeinsame Datenablagen. Das funktioniert im Alltag, führt aber mit der Zeit oft zu ausgedehnten Zugriffsrechten, unklaren Zuständigkeiten und fehlenden Löschregeln. Solange Mitarbeitende Informationen manuell suchen müssen, bleiben diese Schwächen meist unsichtbar. Mit KI-Tools wie Copilot und Co. werden allerdings Daten sichtbar. Auch solche, auf die man eigentlich nicht zugreifen darf und die eigentlich gelöscht sein sollten. Dabei greifen solche Systeme nur auf Informationen zu, auf die der jeweilige Nutzer bereits Zugriff hat. Aber genau darin liegt das Problem. Was früher nur mit grossem Aufwand auffindbar war, kann durch KI rasch gefunden werden.
Viele Schweizer KMU haben ihre Datenablage in der Cloud über Jahre pragmatisch aufgebaut: Microsoft 365 mit Teams, Sharepoint Online, Onedrive for Business, externe Dokumentenmanagementsysteme und gemeinsame Datenablagen. Das funktioniert im Alltag, führt aber mit der Zeit oft zu ausgedehnten Zugriffsrechten, unklaren Zuständigkeiten und fehlenden Löschregeln. Solange Mitarbeitende Informationen manuell suchen müssen, bleiben diese Schwächen meist unsichtbar. Mit KI-Tools wie Copilot und Co. werden allerdings Daten sichtbar. Auch solche, auf die man eigentlich nicht zugreifen darf und die eigentlich gelöscht sein sollten. Dabei greifen solche Systeme nur auf Informationen zu, auf die der jeweilige Nutzer bereits Zugriff hat. Aber genau darin liegt das Problem. Was früher nur mit grossem Aufwand auffindbar war, kann durch KI rasch gefunden werden.
Wer das Datenmanagement verantwortungsvoll betreiben will, muss wissen, welche Daten vorhanden sind, wie diese klassifiziert sind, wer darauf zugreifen kann, welche Daten besonders schützenswert sind und wie lange die Daten aufbewahrt werden dürfen. Weiter muss sichergestellt werden, dass die Daten danach auch gelöscht werden. Das Datenmanagement in der Cloud primär als Frage der Provider-Verträge, der Kostenoptimierung oder der technischen Aktivierung neuer Funktionen zu verstehen, greift somit zu kurz.
Das gilt besonders in regulierten Bereichen. Bei Behörden, Betreibern kritischer Infrastrukturen sowie anderen stark regulierten Unternehmen genügt eine punktuelle Vertrags- oder Technikprüfung nicht. Die Einführung setzt eine klare Data Governance voraus – insbesondere Vorgaben zu Datenklassifizierung, Berechtigungsmanagement, Informationssicherheit, Datenschutz, Aufbewahrung, Löschung sowie klaren Zuständigkeiten für die Einhaltung regulatorischer Anforderungen.
Für die Einführung solcher Tools spricht deshalb vieles gegen einen unkontrollierten, flächendeckenden Rollout. Angezeigt ist ein begrenzter Pilotbetrieb mit klar definierten Nutzergruppen, zulässigen Anwendungsfällen und ausgeschlossenen Datenkategorien. Sensible Bereiche wie HR, Rechtsdienst, GL, Finanzen oder besonders vertrauliche Projekte sollten nicht vor dem erfolgreichen Abschluss des Pilotprojektes einbezogen werden. Ebenso braucht es eine Protokollierung der Zugriffe, klare Verantwortlichkeiten und eine technische Möglichkeit, den Einsatz bei Bedarf auf gewisse Bereiche einzuschränken oder gar ganz zu stoppen.
Cloud-Governance beginnt deshalb nicht beim nächsten Tool-Rollout. Sie beginnt bei der Datenarchitektur: klare Zuständigkeiten, Berechtigungsmanagement, Datenklassifikation, Datenbereinigung, Aufbewahrungsfristen und Löschvorgaben. Die eigentliche Frage lautet damit nicht: Können wir Copilot und Co. einführen? Sondern: Ist unsere Daten- und Dokumentenablage bereit dafür, durch solche Tools sichtbar gemacht zu werden?
Das gilt besonders in regulierten Bereichen. Bei Behörden, Betreibern kritischer Infrastrukturen sowie anderen stark regulierten Unternehmen genügt eine punktuelle Vertrags- oder Technikprüfung nicht. Die Einführung setzt eine klare Data Governance voraus – insbesondere Vorgaben zu Datenklassifizierung, Berechtigungsmanagement, Informationssicherheit, Datenschutz, Aufbewahrung, Löschung sowie klaren Zuständigkeiten für die Einhaltung regulatorischer Anforderungen.
Für die Einführung solcher Tools spricht deshalb vieles gegen einen unkontrollierten, flächendeckenden Rollout. Angezeigt ist ein begrenzter Pilotbetrieb mit klar definierten Nutzergruppen, zulässigen Anwendungsfällen und ausgeschlossenen Datenkategorien. Sensible Bereiche wie HR, Rechtsdienst, GL, Finanzen oder besonders vertrauliche Projekte sollten nicht vor dem erfolgreichen Abschluss des Pilotprojektes einbezogen werden. Ebenso braucht es eine Protokollierung der Zugriffe, klare Verantwortlichkeiten und eine technische Möglichkeit, den Einsatz bei Bedarf auf gewisse Bereiche einzuschränken oder gar ganz zu stoppen.
Cloud-Governance beginnt deshalb nicht beim nächsten Tool-Rollout. Sie beginnt bei der Datenarchitektur: klare Zuständigkeiten, Berechtigungsmanagement, Datenklassifikation, Datenbereinigung, Aufbewahrungsfristen und Löschvorgaben. Die eigentliche Frage lautet damit nicht: Können wir Copilot und Co. einführen? Sondern: Ist unsere Daten- und Dokumentenablage bereit dafür, durch solche Tools sichtbar gemacht zu werden?
Michèle Balthasar
Michèle Balthasar, Rechtsanwältin, Gründerin und Managing Partnerin von Balthasar Legal mit Standorten in Zürich und Luzern, berät kleine, mittlere und international tätige Unternehmen in den Bereichen Datenschutz, Governance, IT- und Energierecht. In ihrer Kolumne im «Swiss IT Magazine» beleuchtet sie aktuelle Fragestellungen im Spannungsfeld von Digitalisierung, Regulierung und Unternehmenspraxis.
Artikel kommentieren
