Künstliche Intelligenz (KI) verändert den Kundendialog grundlegend. Chatbots beantworten Anfragen rund um die Uhr, digitale Assistenten unterstützen Service-Teams und generative KI erstellt personalisierte Antworten in Sekunden. Unternehmen profitieren von schnelleren Prozessen und besserer Skalierbarkeit.
Gleichzeitig steigen die Anforderungen an Datenschutz, Compliance und Governance. Wo KI mit Kunden interagiert, verarbeitet sie Daten – und birgt neue Risiken. Unternehmen müssen Kundendaten schützen, Entscheidungen nachvollziehbar machen und regulatorische Vorgaben einhalten. Andernfalls drohen rechtliche Konsequenzen und Vertrauensverluste.
Vom Dialog zur Datenverarbeitung
Moderne KI-Systeme verarbeiten weit mehr als klassische Stammdaten. Sie nutzen Informationen aus Kundeninteraktionen, um Anfragen besser zu verstehen und passende Antworten bereitzustellen.
Unternehmen automatisieren heute nicht nur die Kommunikation, sondern erfassen, speichern und analysieren zugleich grosse Mengen an Gesprächsdaten. Dadurch stellt sich die Frage, welche Daten tatsächlich benötigt werden und zu welchem Zweck ihre Verarbeitung zulässig ist.
Die Grundsätze von Zweckbindung und Datenminimierung gewinnen im Zeitalter generativer KI weiter an Bedeutung. Unternehmen sollten daher bereits vor der Einführung von KI-Systemen klären, welche Daten verarbeitet werden, wie lange sie gespeichert bleiben, wer intern wie extern Zugriff darauf hat und wie die Datenhoheit gewährleistet wird.
Erfolgsfaktor Transparenz
Eine zentrale Anforderung an KI-gestützte Kundeninteraktionen ist Transparenz. Kundinnen und Kunden müssen erkennen können, wann sie mit einer KI kommunizieren und welche Rolle automatisierte Systeme bei Entscheidungen spielen.
Transparenz ist jedoch nicht nur regulatorisch relevant, sondern zunehmend ein Wettbewerbsfaktor. Nutzer bewerten KI-Anwendungen positiver, wenn offen kommuniziert wird, wie Daten verarbeitet werden und welche Funktionen automatisiert sind. Unternehmen müssen verständlich erklären:
- welche Daten verarbeitet werden,
- zu welchem Zweck dies geschieht,
- ob Inhalte gespeichert werden,
- ob Daten für Analysen oder Modellverbesserungen genutzt werden,
- und welche Rechte Betroffene besitzen.
Offenheit schafft Vertrauen – eine wesentliche Voraussetzung für akzeptierte KI-gestützte Interaktionen.
Unterschätztes Risiko Trainingsdaten
Besondere Aufmerksamkeit verdienen Trainings- und Optimierungsprozesse. Viele Unternehmen konzentrieren sich auf den Betrieb eines Chatbots oder Assistenten, während Herkunft und Verwendung der Trainingsdaten häufig weniger im Fokus sind. Besonders beachtenswert ist dies bei cloudbasierten generativen KI-Systemen. Gerade hier können Compliance-Risiken entstehen. Besonders dann, wenn Unternehmen nicht mehr vollständig nachvollziehen können, wie und zu welchem Zweck ihre Daten weiterverarbeitet werden. Werden personenbezogene Daten ohne Rechtsgrundlage für Trainingszwecke verwendet oder gelangen vertrauliche Informationen in externe Modelle, drohen rechtliche und organisatorische Probleme.
Empfehlenswert ist eine klare Trennung zwischen operativen Kundendaten und Trainingsdaten. Wo möglich sollten Daten anonymisiert oder mindestens pseudonymisiert werden. Zudem muss dokumentiert werden, welche Datensätze für welche Zwecke genutzt werden.
Bei cloudbasierten KI-Diensten ist zudem zu prüfen, ob eingegebene Informationen zur Verbesserung der Modelle des Anbieters verwendet werden. Viele Organisationen haben dafür interne Richtlinien etabliert.
Regulatorisher Kompass – digitale Pflichten
Die digitale Welt wird immer strenger geregelt. Unternehmen müssen handeln, um handlungsfähig und compliant zu bleiben. Die fünf zentralen EU- und Schweizer Vorgaben:
EU AI Act (Künstliche Intelligenz)
Regel: Pflichten je nach Risiko der KI-Systeme (z. B. Dokumentation).
Fokus: Trifft alle Firmen, die KI einsetzen – unabhängig von der Grösse.
NIS2-Richtlinie (Cybersicherheit)
Regel: Strenges Risikomanagement und sofortige Meldepflicht bei Cyberangriffen.
Fokus: Gilt für kritische und wichtige Sektoren (Energie, Transport, IT).
Cyber Resilience Act / CRA (Produktsicherheit)
Regel: Sicherheit muss schon bei der Entwicklung eingebaut werden (Updates über Lebenszyklus).
Fokus: Betrifft alle Hersteller von Produkten mit digitalen Bauteilen.
DORA (Finanzsektor)
Regel: Systematische Cyber-Tests und extrem strenge Überwachung von IT-Drittanbietern.
Fokus: Verpflichtend für Banken, Versicherungen und Finanzdienstleister.
DSGVO / DSG (Datenschutz)
Regel: Rechtskonformer Umgang mit Personendaten über Verzeichnisse und Prüfungen.
Fokus: Schützt die Privatsphäre; oft eine grosse Hürde für kleinere Firmen.
Nachvollziehbarkeit statt Black Box
KI-Systeme liefern nicht immer nachvollziehbare Ergebnisse. Generative Modelle können falsche Aussagen erzeugen, Quellen fehlerhaft interpretieren oder Informationen erfinden – ein Phänomen, das als «KI-Halluzination» bekannt ist. Im Kundendialog kann dies insbesondere bei Auskünften zu Produkten, Verträgen oder Serviceprozessen Haftungs- und Reputationsrisiken verursachen.
Unternehmen sollten kritische Prozesse daher nicht vollständig automatisieren. Bewährt haben sich Human-in-the-Loop-Ansätze, bei denen Mitarbeitende die von der KI aufbereiteten Informationen und Entscheidungen prüfen oder freigeben.
Ebenso wichtig sind Protokollierungs- und Kontrollmechanismen. Nur wenn nachvollziehbar ist, welche Informationen verarbeitet wurden und wie Antworten entstanden sind, lassen sich Fehler analysieren und Risiken wirksam steuern.
Sicherheit beginnt bei der Governance
Datenschutz und Informationssicherheit lassen sich im KI-Zeitalter nicht mehr getrennt betrachten. Je stärker KI in Geschäftsprozesse integriert wird, desto wichtiger wird ein ganzheitlicher Governance-Ansatz. Dazu gehören:
- Eine KI-Strategie und ein KI-Assetmanagement,
- klare Verantwortlichkeiten für KI-Anwendungen,
- verbindliche Richtlinien für Daten und externe KI-Modelle,
- regelmässige Risikoanalysen,
- technische Schutzmassnahmen wie Verschlüsselung und Zugriffskontrollen,
- Supply Chain Security,
- sowie kontinuierliche Schulungen.
Gerade der menschliche Faktor bleibt entscheidend. Viele Datenschutz- und sonstige Rechtsverletzungen entstehen nicht durch die Technologie selbst, sondern durch Fehlanwendungen, unzureichende Prozesse oder unklare Zuständigkeiten.
Regulatorik nimmt Fahrt auf
Parallel zur technologischen Entwicklung verschärfen sich die regulatorischen Anforderungen. Schweizer Unternehmen bewegen sich dabei häufig im Spannungsfeld zwischen EU-Regulatorik und revidiertem DSG.
Mit dem europäischen AI Act entstanden erstmals umfassende Vorgaben für den Einsatz von KI-Systemen. Der risikobasierte Ansatz definiert insbesondere für Systeme im Kundenkontakt Anforderungen an Transparenz, Dokumentation und menschliche Aufsicht.
Hinzu kommen bestehende Datenschutzgesetze sowie branchenspezifische Vorgaben etwa aus den Bereichen Finanzdienstleistungen (DORA), Gesundheitswesen oder kritische Infrastrukturen im Rahmen von NIS2. Dadurch steigen die Anforderungen an digitale Resilienz, Drittanbietersteuerung und die Einbettung von KI-Systemen in bestehende Compliance- und Risikostrukturen.
Compliance darf nicht erst nach der Einführung einer KI-Lösung berücksichtigt werden. Das Prinzip «Compliance by Design» gewinnt deshalb ähnlich an Bedeutung wie «Privacy by Design».
Digitale Souveränität gewinnt an Bedeutung
Neben regulatorischen Anforderungen rückt die Abhängigkeit von digitalen Plattformen und KI-Infrastrukturen stärker in den Fokus. Eng verbunden mit Datenschutz, Compliance und Datenhoheit ist die Frage der digitalen Souveränität.
Unternehmen möchten verstehen, von welchen Plattformen, Cloud-Diensten oder KI-Anbietern sie abhängig sind und welche Auswirkungen dies auf Datenschutz, Integrität, Verfügbarkeit, Datenhoheit und Kontrolle hat.
Neue Bewertungsansätze helfen, technologische Abhängigkeiten, Datenzugriffe und Risiken systematisch zu erfassen. Dadurch entsteht Transparenz über die digitale Handlungsfähigkeit und eine fundierte Grundlage für Technologie- und Plattformentscheidungen. Gerade im Umfeld von KI wird dies zunehmend zu einem strategischen Faktor.
KI ist ein Vertrauensprojekt
KI kann den Kundendialog effizienter und persönlicher gestalten. Gleichzeitig steigen die Anforderungen an Datenschutz, Transparenz und Governance.
Erfolgreich sind jene Unternehmen, die KI nicht nur technologisch, sondern als Vertrauensprojekt verstehen. Wer Daten verantwortungsvoll nutzt, die Datenhoheit wahrt, Prozesse nachvollziehbar gestaltet und Risiken aktiv steuert, schafft die Grundlage für eine nachhaltige und rechtskonforme Nutzung. Entscheidend ist letztlich nicht die Leistungsfähigkeit eines Modells, sondern das Vertrauen der Menschen im Kundendialog.
Der Autor
Martin Kull ist seit 2025 Vice President von
Bechtle Switzerland und verfügt über ein umfangreiches Wissen sowie langjährige Führungserfahrung in der IT- und Telekommunikationsbranche. Mit Bechtle Switzerland leitet er einen der führenden IT-Dienstleister der Schweiz, der KMU, Grossunternehmen und den öffentlichen Sektor ganzheitlich entlang des gesamten IT-Lifecycles betreut.