KI Governance
Sicher und verantwortlich mit KI arbeiten
Generative KI weist heute mehr Risiken auf als Chancen. Um sich von Grund auf zu schützen und dennoch souverän mit der Technologie zu arbeiten, sollten Unternehmen definieren, innerhalb welcher Regeln sie das tun wollen. Eine KI Governance definiert die Prinzipien, die für den Einsatz notwendig sind. Sie richtet sich an alle Abteilungen, die mit irgendeiner Form von KI arbeiten und sie gibt Orientierung, wo es Unsicherheiten gibt.
Einführung gemäss gesetzlicher Vorschrift
Risiken richtig navigieren
Der Mensch behält die Kontrolle
KI Governance für KMU
Die Säulen einer KI-Governance
Falsch eingesetzt bergen KI-Modelle und Systeme Risiken für Menschen und Unternehmen. Das kann die unachtsame Eingabe von heiklen Unternehmensinformationen order persönliche Informationen betreffen, sogenannte Prompt Injections die die gesetzten Leitplanken eines Systems ausser Kraft setzen oder auch exzessives Arbeiten mit KI, was teuer, schlecht für die Umwelt und Folgen für die kognitive Leistung von Menschen sein kann.
Die EU hat den AI Act, die Schweiz ist auf Eigenverantwortung angewiesen. Dennoch kann man dem AI Act einige wichtige grundlegenn Regeln entnehmen, die jedem Unternehmen im Umgang mit KI nutzen. Der Datenschutz bleibt jedoch gültig. KI Modelle sind undruchschaubar und Personendaten können mit falschen Hintergründen assoziiert werden. Sie haben in KI nichts zu suchen.
Ethik beginnt, wo das Gesetz endet. Im Umgang mit KI haben sich die folgenden ethischen Prinzipien durchgesetzt: Transparenz, Fairness, Erklärbarkeit, Verantwortlichkeit, Sicherheit und Robustheit.
Vor allem für amerikanische KI Modelle werden die Preise in Zukunft steigen. Berechnet wird nach verbrauchten Tokens, weshalb Use Cases, KI-Systeme und Rollen genau definiert werden sollten, vor allem im Umgang mit Narrow AI. Ganz wichtig ist eine Beschränkung von unnötigen Abfragen auch in Bezug auf den Verbauch von Ressourcen wie Energie und Wasser.
Für Mitarbeiter:innen ist es wichtig zu wissen, das sie nicht nur einen grossen Teil der Verantwortung tragen, sondern auch immer die Kontrolle im Umgang mit KI und KI-Agenten behalten müssen. Das beginnt bei der Auswahl der passenden KI-Systeme, was am besten mit Hilfe einer Datenschutzfolgenabschätzung (DSFA) vor Vertragsabschluss geprüft wird. Auch ein KI Training ist wertvoll, damit sich Mitarbeiter:innen verstehen, was sie machen.
In 6 Schritten zur Richtlinie
- Bestandsaufnahme: Wo KI ist bereits integriert, wo und wer nutzt KI Modelle frei zugänglich oder bezahlt im Unternehmen?
- Risikobewertung: Egal ob der AI Act gültig ist, er liefert valable Kriterien zur Evaluation von KI-Modellen und Systemen. Mit einer Risikobewertung verschafft man sich ein sehr gutes Verstädnnis.
- Datenschutzfolgenabschätzung (DSFA): Werden Personendaten bearbeitet? Vor allem Marketing-Tools nutzen sehr oft integrierte KI-Anwendungen. Erst mit Verabschiedung von Schritt 3 kann die Wahl von KI-Modellen und Technologien mit Integration entschieden werden.
- Mitarbeiterschulung: Wie funktioniert eine LLM oder andere Neuronale Netzwerke, die das Unternehmen einsetzt? Womit arbeitet Ihr? Welche ethischen und gesetzlichen Aspekte müssen berücksichtigt werden? Wer übernimmt ggfs. welche Rolle? Muss das Verzeichnis (RoPA) für die technsichen und organsiatorischen Massnahmen (TOM) entsprechend angepasst und eingeführt werden?
- Vertragsregelwerk: Auftragsbearbeitungsvertrag mit den Dienstleistern überprüfen und abschliessen, eigene ABV ggfs. anapassen sowie die Datenschutzerklärung.
- Lizenzen & Kostenkalkulationen: Unternehmen sollten unbedingt evaluieren, mich welchen Kosten die KI-Nutzung tatsächlich verbrunden ist. Denn der Einsatz kann durch einen hohen Token-Verbrauch sehr kostspielig werden.
Sind die unternehmensinternen Regeln zur Nutzung erstellt, dann bleibt es trotzdem wichtig, sie bei Änderungen zu überprüfen und anzupassen.

Übersicht der wichtigsten alternativen KI-Anbieter
Fragen und Antworten zur KI Governance
Welcher Rechtsrahmen gilt für uns?
Das ist davon abhängig, wem Ihr in welchen Ländern Eure Produkte und Services anbietet. Dann gilt das strengeste Gesetz dieser Länder. EU- und EWR-weit wären das z.B. der AI Act und das DSGVO. Wenn Ihr nur Schweizer Kunden habt, dann gilt nur das Schweizer DSG. Zusätzlich hat die EU den General Purpose AI Code of Practice entwickelt, den KI-Firmen und Entwickler:innen freiwillig unterzeichnen können. Das bedeutet, dass sie sich dazu bekennen, Künstliche Intelligenz transparent zu entwickeln, sich bei der Entwicklung dem Copyright-Gesetz zu verpflichten und Sicherheit sowie systemische Risiken von Beginn an mitzudenken.
Was ist ein typischer Anwendungsfall, wo eine KI Governance Sinn macht?
Wenn Unternehmen im Rekruiting KI einsetzen, dann sollten Bewerber:innen im Vorfeld transparent darauf hingewiesen werden. Ausserdem auch auf ihr gesetzliches Recht, sich dem automatisierten Entscheid entziehen zu dürfen, um statt dessen durch eine Person beurteilt zu werden. Weiterhin muss auch definiert und vertraglich festgehalten sein, mit wem die Daten von Bewerber:innen weiterhin geteilt und ob und wie eine Löschung nach der gesetzlichen Aufbewahrungsfrist möglich ist.
Wir haben standardmässig Copilot von Microsoft im Einsatz. Benötigt das auch eine Governance?
Für Unternehmen ausserhalb der USA birgt der Einsatz von amerikanischen Technologien sehr hohe rechtliche und unternehmensinterne Risiken. Dessen muss man sich einfach bewusst sein. Microsoft Copilot ist stark in die 365-Suite integriert und im Admin-Bereich kann man die Nutzung verwalten. Auch wenn Microsoft seine Datenschutzverpflichtungen ausweist und Standard-Vertragsklauseln (SCC) zur Datenübermittlungen bereitstellt, so kann haben sie verschiedenen Situationen schon gezeigt, dass sie auf Anweisung der amerikanischen Regierung internationalen und europäischen Behörden geschadet haben.
homo digitalis deckt keine Service rund um Copilot ab, dafür bedarf es spezifischere Kenntnisse des 365 Adminbereichs.
Wir nutzen ChatGPT und Claude über den Browser. Ist das schlimm?
Die sogenannte „Schatten-KI“ ist ein grosses Problem in vielen Unternehmen, wenn Mitarbeiter:innen nicht geschult sind. Hier können Modelle mit sensiblen Unternehmens- oder Personeninformationen trainiert werden, die nicht in fremde Hände gehören. Eine KI-Governance regelt auch solche Fälle nach bestem Wissen udn Gewissen.
Wer muss sich um eine KI Governance kümmern?
Jede:r sollte das anstossen, aber die Verantwortung liegt grundsätzlich bei der Geschäftsleitung. Ethische und rechtliche Regelungen sollten von Führungskräften unterstützt werden, denn mit der Nutzung von KI treten auch viele Fragen auf, die adressiert werden müssen:
- Wird mich KI in Zukunft ersetzen?
- Warum setzten wir überhaupt KI ein? Was ist das Ziel und was versprechen wir uns davon?
- Dürfen oder sollen alle mit KI arbeiten?
- Wie stellen wir sicher, dass wir keinen Schaden anrichten?
Führungskräfte sollten Sorgen und Ängste unbedingt ernst nehmen. Das schafft Vertrauen in die Technologie und sie selbst.
Erklärt uns die Policy auch wie LLMs funktionieren?
Nein, eine Governance ersetzt keine Schulung, es ist vielmehr ein Regelwerk. Eine Schulung in Verbindung mit Eurer Policy wird jedoch helfen, die Regeln praktisch anzuwenden und die Gründe für ihren Einsatz zu verstehen. Ich biete für KMU in diesem Zusammenhang auch Schulungen an.
Können wir auch weiterhin KI testen?
Testen ist die beste Möglichkeit, um KI kritisch einzuordnen. Es kann aber auch kritisch werden, nämlich dann, wenn jemand Jailbreaking Tests durchführt, um z.B. die eigenen Sicherheitsregeln der KI zu testen oder ethische KI-Versuche durchführt, wie z.B. das Trolley Problem. Denn dann Modell kann Dich dann als „gefährliche:n“ Nutzer:in flaggen, ohne dass Du es weisst. Anthropic verlangt in solchen Fällen eine Registrierung mit amtlichen Ausweis oder zusätzlich eine geometrische Gesichtsvermesseung dazu. Ein Entscheid, den man sich aus datenschutzrechtlichen Gründen und mit Blick auf die Partnerfirma für diesen Scan gut überlegen muss.
Wird uns eine Policy nicht stärker behindern?
Unternehmen, die datenschutzrechtliche und ethische Aspekte ernst nehmen und in ihrer Arbeit berücksichtigen, treffen bessere Entscheidungen, gewinnen das Vertrauen von Kund:innen und Bewerber:innen und sind langfristig erfolgreicher. Wer sagt, dass wir das (meist unfertige) Design von Technologien bedingungslos adaptieren sollen? Die Technologien müssen zu unserer Arbeit, zu uns als Menschen und zu unserem Wertsystemen passen. Nur dann unterstützen sie uns auch.



