Künstliche Intelligenz ist in den meisten KMU längst im Haus. Die Buchhaltung nutzt einen KI-Assistenten, das Marketing textet mit ChatGPT, im Kundendienst läuft ein Chatbot, und in Microsoft 365 ist Copilot einen Klick entfernt. Was fehlt, ist nicht die Technologie. Es fehlt die Antwort auf drei Fragen: Welche KI setzen wir bewusst ein? Wer ist dafür verantwortlich? Und welche Daten geben wir dabei aus der Hand?
KI-Governance ist der Rahmen, mit dem ein Unternehmen entscheidet, welche künstliche Intelligenz es einsetzt, wer dafür verantwortlich ist und wie die Risiken kontrolliert werden. Sie sorgt dafür, dass KI im Betrieb kein blinder Fleck bleibt, sondern eine bewusste Entscheidung mit klaren Zuständigkeiten.
KI-Governance regelt, welche KI ein Unternehmen nutzt, wer sie verantwortet und wie die Risiken kontrolliert werden. Für ein KMU ist das kein neues Spezialgebiet, sondern die bestehende Sicherheits- und Compliance-Führung, erweitert auf KI als neue Anlageklasse. Relevant wird sie doppelt: durch eigene Risiken wie Datenabfluss und Fehlentscheide und durch Regulierung, weil der EU AI Act auch Schweizer Firmen erreicht und die Schweiz bis Ende 2026 eine eigene Vorlage erarbeitet.
Braucht ein KMU wirklich KI-Governance?
Ja, sobald KI Entscheidungen beeinflusst oder mit Personendaten arbeitet. Das ist in fast jedem Unternehmen der Fall, oft ohne dass es jemand bewusst freigegeben hat. Der Grund sind zwei Arten von Risiko, die sich nicht wegdelegieren lassen.
Das erste ist operativ. Mitarbeitende laden Kundendaten, Verträge oder Quellcode in Werkzeuge, deren Anbieter irgendwo ausserhalb der Schweiz sitzen. Ein KI-Modell trifft eine Vorauswahl bei Bewerbungen oder Kreditentscheiden, ohne dass jemand die Kriterien kennt. Passiert ein Fehler, landet die Verantwortung beim Verwaltungsrat, nicht beim Modell. Das zweite ist regulatorisch, und es kommt näher, als viele denken.
Was gehört zu KI-Governance?
KI-Governance besteht aus wenigen, gut verständlichen Bausteinen. Es geht nicht um ein dickes Regelwerk, sondern darum, dass die folgenden Dinge existieren und gepflegt werden.
- Ein Verzeichnis, welche KI-Anwendungen im Unternehmen tatsächlich genutzt werden, offiziell wie inoffiziell.
- Eine einfache Risikoeinstufung pro Anwendung: Welche Daten fliessen hinein, welche Entscheidungen hängen daran.
- Klare Zuständigkeit, wer eine neue KI-Nutzung freigibt und wer sie verantwortet.
- Der Datenschutz nach dem revidierten Datenschutzgesetz, das automatisierte Einzelentscheide bereits heute reguliert.
- Transparenz gegenüber Kunden und Mitarbeitenden, wo KI im Spiel ist, und ein Mensch, der bei kritischen Entscheiden das letzte Wort hat.
Nichts davon verlangt eine eigene Abteilung. Es verlangt jemanden, der den Überblick behält und die Fäden zusammenhält.
Der Denkfehler: KI-Governance ist kein neues Fach, für das man eine neue Stelle oder ein neues Tool braucht. Es ist gelebte Sicherheitsführung, erweitert auf KI. Wer schon ein Risikoregister, ein Asset-Verzeichnis, Zugriffskontrollen und ein Reporting an die Geschäftsleitung führt, hat den Apparat bereits. KI ist darin eine neue Anlageklasse, kein neuer Kontinent. Mehr Kontrolle entsteht durch das Erweitern des Bestehenden, nicht durch den Kauf einer zweiten Governance-Landschaft.
Was ändert der EU AI Act für Schweizer KMU?
Der EU AI Act gilt für Schweizer Unternehmen, sobald das Ergebnis ihrer KI in der EU verwendet wird. Massgeblich ist nicht der Firmensitz, sondern wo die Wirkung ankommt (Artikel 2). Eine Schweizer Software mit KI-Funktion und EU-Kunden fällt darunter, unabhängig davon, dass die Schweiz nicht EU-Mitglied ist.
Zeitlich ist etwas Druck vom Kessel: Bestimmte KI-Praktiken sind in der EU seit Februar 2025 verboten, die Pflichten für Hochrisiko-KI wurden mit dem Digital Omnibus (vorläufige Einigung am 7. Mai 2026) auf den 2. Dezember 2027 verschoben. Aufgeschoben ist aber nicht aufgehoben. Quelle: EU AI Act Service Desk, Umsetzungsfahrplan.
Parallel bereitet die Schweiz ihre eigene Regelung vor. Der Bundesrat hat am 12. Februar 2025 entschieden, KI so zu regulieren, dass die Ratifizierung der KI-Konvention des Europarats möglich wird, mit einer Vernehmlassungsvorlage bis Ende 2026 zu Transparenz, Datenschutz, Nichtdiskriminierung und Aufsicht. Quelle: Medienmitteilung des Bundesrats. Für ein KMU heisst das: Die Grundstruktur, die man jetzt aufbaut, trägt in beide Regelwerke.
Wer wissen will, wie eine solche Führungsrolle im Mandat aussieht, findet die Grundlagen unter Was ist ein Fractional CISO. Wie ein Mandat startet, zeigt der typische Ablauf: erst Bestandsaufnahme, dann Massnahmen.
Häufige Fragen
Wer sollte KI-Governance im KMU verantworten?
Am sinnvollsten die Person oder Rolle, die bereits die Informationssicherheit führt, weil KI-Risiken denselben Werkzeugkasten brauchen: Risikoregister, Datenklassifizierung, Zugriffskontrolle, Reporting. In vielen KMU gibt es diese Rolle intern nicht in voller Tiefe. Dann übernimmt sie ein Fractional CISO im Mandat, statt dass eine neue Stelle geschaffen wird.
Reicht eine KI-Richtlinie?
Eine Richtlinie ist ein guter Anfang, aber allein wirkungslos. Ein Dokument, das niemand kennt und niemand durchsetzt, verändert kein Verhalten. Was zählt, ist die gelebte Praxis: dass neue KI-Nutzung wirklich freigegeben wird, dass das Verzeichnis aktuell bleibt und dass jemand bei kritischen Fällen eingreift. Governance ist das, was passiert, nicht das, was auf Papier steht.
Brauchen wir gleich ISO 42001?
In den meisten KMU nicht sofort. ISO 42001 ist der Standard für ein KI-Managementsystem und kann sinnvoll werden, wenn Kunden oder Aufsicht einen formalen Nachweis verlangen. Für den Anfang genügt es, KI sauber in das bestehende Sicherheits- und Compliance-System einzubetten. Den Schritt zur Zertifizierung geht man, wenn ein konkreter Grund dafür da ist, nicht auf Vorrat.