Ihre Mitarbeitenden nutzen KI. Die Frage ist nur: Wissen Sie davon?
Stellen Sie sich vor: Ein Mitarbeiter im Verkaufsinnendienst schreibt Kundenangebote schneller denn je — er verwendet seit Monaten ChatGPT. Dabei kopiert er Kundennamen, Preislisten und interne Konditionen in das KI-Tool. Niemand hat ihm das verboten. Niemand hat ihn darüber aufgeklärt. Und Sie als Geschäftsführer haben keine Ahnung davon.
Dieses Szenario ist keine Ausnahme — es ist der Normalzustand in vielen KMU. Und es hat einen Namen: Schatten-KI.
Das Ausmass: 4 von 10 Unternehmen sind betroffen
Schatten-KI ist kein Randphänomen, sondern bereits fest in der Unternehmensrealität verankert. Laut einer Bitkom-Studie, analysiert von Proliance, gehen 40% der Unternehmen davon aus, dass bei ihnen Schatten-KI eingesetzt wird — also KI-Tools, die Mitarbeitende ohne Wissen oder Genehmigung der Unternehmensführung verwenden. Bei 8% der Befragten ist das Problem sogar weit verbreitet.
Besonders aufschlussreich: Nur 26% der Unternehmen erlauben die Nutzung generativer KI offiziell. Der grosse Rest nutzt KI trotzdem — oder gerade deswegen, weil keine Regeln existieren.
Die typischen Szenarien in der Praxis sehen so aus:
Kundendaten werden in ChatGPT eingefügt, um Angebote oder E-Mails zu formulieren
Verträge werden in Claude oder Gemini hochgeladen, um sie zusammenzufassen
Interne Berichte landen in Microsoft Copilot ausserhalb der IT-kontrollierten Umgebung
Marketing-Texte entstehen via Midjourney, ChatGPT oder ähnlichen Tools — ohne jede Kennzeichnung
Der Produktivitätsgewinn ist real. Die Risiken werden systematisch unterschätzt.
Warum Mitarbeitende zu Schatten-KI greifen
Schatten-KI entsteht nicht aus bösem Willen, sondern aus einem nachvollziehbaren Verhalten: Mitarbeitende wollen ihre Arbeit besser und schneller erledigen.
Interne Lösungen fehlen oder sind zu umständlich. Viele KMU bieten keine unternehmenseigenen KI-Tools an. Wer täglich Texte schreiben, Daten auswerten oder Anfragen bearbeiten muss, greift zur nächstbesten Lösung — und die ist oft kostenlos und sofort verfügbar.
Fehlende Schulungen sind ein Kernproblem. Die meisten Mitarbeitenden wissen nicht, was sie tun, wenn sie Kundendaten in ChatGPT einfügen. Sie kennen weder die datenschutzrechtlichen Implikationen noch das Risiko von KI-Halluzinationen. Was sie nicht wissen, können sie nicht vermeiden.
KI-Tools sind kostenlos und sofort einsatzbereit. Die kostenlose Version von ChatGPT, Google Gemini oder Perplexity ist in Sekunden nutzbar — ohne IT-Ticketstelle, ohne Genehmigungsprozess, ohne Wartezeit. Das ist der stärkste Pull-Faktor überhaupt.
Produktivitätsdruck tut sein Übriges. Wer sieht, dass eine Aufgabe mit KI in zehn Minuten statt in einer Stunde erledigt ist, wird das Tool nutzen. Solange keine klaren Regeln existieren, ist das aus Sicht der Mitarbeitenden rational.
Das Problem ist also kein Disziplinproblem — es ist ein Führungs- und Organisationsproblem.
Die echten Risiken — mehr als nur Datenschutz
Viele Führungskräfte denken bei Schatten-KI zuerst an Datenschutz. Das ist richtig, aber zu kurz gedacht. Die Risiken sind vielfältiger — und gravierender.
CH-DSG und DSGVO: Personendaten ohne Rechtsgrundlage
Sobald Mitarbeitende Personendaten (Kundennamen, E-Mail-Adressen, Anschriften, Vertragsdaten) in externe KI-Tools eingeben, wird eine Drittpartei mit der Datenverarbeitung beauftragt — ohne Auftragsverarbeitungsvertrag, ohne Datenschutz-Folgeabschätzung, ohne Rechtsgrundlage. Das verstösst gegen das Schweizer Datenschutzgesetz (CH-DSG) sowie die DSGVO, wenn europäische Kundenbeziehungen betroffen sind. Bussen und Reputationsschaden inklusive.
Was Sie eingeben, wird (möglicherweise) Trainingsdaten
Kostenlose Versionen vieler KI-Tools speichern Eingaben und nutzen sie zur Weiterentwicklung ihrer Modelle. Das bedeutet: Vertrauliche Informationen, die Mitarbeitende in ChatGPT Free, Bing Chat oder ähnliche Tools eingeben, können potenziell in zukünftige Modellversionen einfliessen. Ein Vorfall mit einer europäischen Bank im Jahr 2025 illustriert das Risiko: 12’000 E-Mails mit Personendaten flossen in das ChatGPT-Trainingsset — die DSGVO-Busse betrug 4,2 Millionen Euro, so der Bericht von DrKPI.
KI-Halluzinationen mit rechtlichen Folgen
Hier ist ein Fall, der aufhorchen lässt: Ein KMU-Rechtsberater nutzte ChatGPT zur Vertragserstellung. Das KI-Tool erfand drei nicht existierende Gerichtsentscheide als Referenzpunkte — überzeugend formuliert, aber schlicht falsch. Der Vertrag wurde angefochten, und das KMU verlor EUR 180’000 in Schadenersatzleistungen, wie DrKPI in seiner Analyse kritischer KI-Risiken 2026 dokumentiert.
Haftungsfrage: Der Nutzer trägt die Last
Bei KI-Halluzinationen haftet in der Schweiz — mangels spezifischem KI-Gesetz — primär der Nutzer. Wer KI-generierte Inhalte im beruflichen Kontext einsetzt, gilt als «Herr des Handelns» und kann nach Art. 97 OR (Vertragsverletzung), Art. 41 OR (Haftpflicht) oder im Extremfall sogar strafrechtlich belangt werden. Der Hersteller des KI-Tools ist nur schwer haftbar zu machen, da Halluzinationen als bekannte Systemeigenschaft gelten, wie it-markt.ch in einer Analyse von Rechtsanwalt David Schneeberger darlegt.
Reputationsschaden durch KI-Fehler im Kundenkontakt
KI-generierte Texte, die ohne Prüfung an Kunden gesendet werden, können sachlich falsch, tonlich unpassend oder sogar diskriminierend sein. Im Kundenkontakt ist das ein direktes Reputationsrisiko — besonders in kleinen Märkten wie der Schweiz, wo Reputation alles ist.
Die Lösung: KI-Policy in 5 Schritten
Eine KI-Policy klingt nach bürokratischem Aufwand. Sie ist das Gegenteil: ein klarer Rahmen, der Mitarbeitenden ermöglicht, KI verantwortungsvoll zu nutzen — und Ihnen als Unternehmen rechtliche Sicherheit gibt.
Schritt 1: Bestandsaufnahme
Welche KI-Tools werden in Ihrem Unternehmen bereits eingesetzt? Führen Sie eine anonyme interne Befragung durch oder schauen Sie in die Browser-Historie der Firmennetzwerke. Oft ist das Ergebnis überraschend. Ohne Wissen kein Management.
Schritt 2: Erlaubte Tools definieren (Whitelist statt Blacklist)
Verbote allein funktionieren nicht — das belegen die Zahlen. Effektiver ist eine Whitelist: Sie definieren, welche Tools erlaubt sind (z.B. Microsoft 365 Copilot mit Enterprise-Datenschutz oder ChatGPT Team mit angepassten Datenschutzeinstellungen) und warum. Alles andere ist ohne explizite Freigabe untersagt.
Schritt 3: Ampelsystem für Datenkategorien
Nicht alle Daten sind gleich sensibel. Ein einfaches Ampelsystem schafft Klarheit:
| Farbe | Datenkategorie | Beispiel | KI-Nutzung |
|---|---|---|---|
| Grün | Öffentliche oder allgemeine Daten | Blogtexte, allgemeine Recherchen | Erlaubt mit allen genehmigten Tools |
| Gelb | Interne Daten | Projektpläne, interne Berichte | Nur mit zertifizierten Enterprise-Tools |
| Rot | Vertrauliche und Personendaten | Kundendaten, Verträge, HR-Informationen | Keine Weitergabe an externe KI |
Schritt 4: Schulung aller Mitarbeitenden
Regeln ohne Schulung sind wirkungslos. Alle Mitarbeitenden — nicht nur die IT — müssen verstehen, was KI-Halluzinationen sind, welche Daten sie nicht in externe Tools eingeben dürfen und wie sie KI-Outputs korrekt prüfen und kennzeichnen. Eine Schulung von zwei Stunden kann Schäden in Millionenhöhe verhindern.
Schritt 5: Regelmässige Überprüfung
Die KI-Landschaft verändert sich schneller als jede Unternehmensrichtlinie. Planen Sie eine Überprüfung der KI-Policy mindestens alle sechs Monate ein. Was heute gilt, kann morgen schon überholt sein.
Muster-KI-Richtlinie: 10 Punkte als Vorlage
Diese Kurzversion können Sie als Ausgangspunkt für Ihre eigene KI-Policy verwenden. Sie ersetzt keine individuelle Rechtsberatung, deckt aber die wichtigsten Punkte ab.
KI-Nutzungsrichtlinie [Ihr Unternehmen] — Kurzversion
Version 1.0 | Datum: [Datum] | Verantwortlich: [Name/Funktion]
Erlaubte Tools: Mitarbeitende dürfen ausschliesslich folgende KI-Tools verwenden: [Liste der genehmigten Tools]. Alle anderen Tools bedürfen einer schriftlichen Genehmigung durch [Funktion].
Verbotene Datenkategorien: Folgende Daten dürfen nicht in externe KI-Tools eingegeben werden: personenbezogene Daten von Kunden oder Mitarbeitenden, vertrauliche Vertrags- oder Finanzinformationen, Betriebs- und Geschäftsgeheimnisse sowie intern klassifizierte Unterlagen.
Ampelsystem: Es gilt das Ampelsystem Grün/Gelb/Rot gemäss interner Datenschutzklassifikation (vgl. Anhang A).
Kennzeichnungspflicht: KI-generierte Inhalte, die in Kundenkommunikation, Berichte oder offizielle Dokumente einfliessen, sind entsprechend zu kennzeichnen («KI-unterstützt erstellt»).
Halluzinations-Check: Alle KI-generierten Fakten, Zahlen, Quellenangaben und Gesetzesbezüge sind vor der Verwendung durch die verantwortliche Person zu verifizieren. KI-Output ersetzt keine fachliche Prüfung.
Verantwortlichkeit: Jede Mitarbeiterin und jeder Mitarbeiter trägt die Verantwortung für die von ihr/ihm eingesetzten KI-Tools und die daraus entstehenden Outputs. Fehler durch unkontrollierte KI-Nutzung gehen zu Lasten der nutzenden Person.
Meldepflicht: Fehler oder Datenschutzvorfälle im Zusammenhang mit KI-Tools sind unverzüglich an [Ansprechperson/Datenschutzbeauftragte/r] zu melden.
Schulungspflicht: Alle Mitarbeitenden nehmen einmal jährlich an einer KI-Schulung teil. Neue Mitarbeitende werden spätestens im ersten Arbeitsmonat geschult.
Keine eigenständige Entscheidungsfindung: KI darf keine eigenständigen Entscheidungen mit rechtlicher oder finanzieller Wirkung treffen. Sie dient ausschliesslich als Unterstützungswerkzeug.
Überprüfung: Diese Richtlinie wird mindestens alle sechs Monate aktualisiert. Verantwortlich ist [Funktion]. Die aktuelle Version ist im Intranet unter [Link] verfügbar.
Hinweis: Diese Vorlage dient als Einstiegspunkt. Eine vollständige, rechtssichere KI-Policy erarbeiten wir gemeinsam in unserem KI-Bootcamp.
FAQ
Was ist Schatten-KI genau?
Schatten-KI bezeichnet den Einsatz von KI-Tools durch Mitarbeitende ohne Wissen, Genehmigung oder Kontrolle des Unternehmens. Analog zur «Schatten-IT» — also der inoffiziellen Nutzung von Software ausserhalb der IT-Richtlinien — entsteht Schatten-KI typischerweise, wenn offizielle Lösungen fehlen oder als zu umständlich wahrgenommen werden. Das Besondere: Schatten-KI ist oft nicht böswillig, sondern produktivitätsgetrieben.
Ist die Nutzung von ChatGPT am Arbeitsplatz verboten?
Nicht automatisch — aber ohne klare Regeln ist sie rechtlich heikel. In der Schweiz gibt es kein generelles Verbot von ChatGPT. Problematisch wird es, sobald Personendaten oder vertrauliche Unternehmensinfomationen eingegeben werden: Dann verstösst die Nutzung möglicherweise gegen das CH-DSG, interne Datenschutzrichtlinien oder Vertraulichkeitsvereinbarungen. Arbeitgeber sind gut beraten, klare Nutzungsregeln zu erlassen — sowohl zum Schutz des Unternehmens als auch zur Orientierung der Mitarbeitenden.
Muss ich KI-Nutzung im Unternehmen offenlegen?
Das hängt vom Kontext ab. Gegenüber Kunden besteht in vielen Fällen eine implizite oder explizite Transparenzpflicht — besonders wenn KI-generierte Inhalte als persönliche Beratung oder menschlich erstellte Analyse präsentiert werden. Im Innenverhältnis sollten Unternehmen klare Kennzeichnungsregeln einführen. Im Bereich Werbung und Marketing können zudem lauterkeitsrechtliche Regeln greifen.
Wie schule ich mein Team im Umgang mit KI?
Effektive KI-Schulungen sind praxisnah, kurz und konkret. Sie vermitteln nicht nur technisches Wissen, sondern klären auch Datenschutzgrundsätze, zeigen reale Fehlerbeispiele (inkl. Halluzinationen) und üben die korrekte Nutzung anhand von Unternehmensszenarien. Wichtig: Es braucht keine IT-Fachkenntnisse — alle Mitarbeitenden, vom Empfang bis zur Geschäftsleitung, müssen die Grundregeln kennen. Unser KI-Bootcamp ist genau dafür konzipiert.
Fazit: Schatten-KI ist ein Führungsthema
Schatten-KI verschwindet nicht, weil Sie es ignorieren. Sie wächst — leise, effizient und mit potenziell gravierenden Folgen. Datenschutzverletzungen, Haftungsrisiken, KI-Halluzinationen mit realen Schadensfällen: Die Risiken sind real und dokumentiert.
Die gute Nachricht: Sie brauchen keine ausgewachsene KI-Abteilung, um dieses Thema zu lösen. Sie brauchen eine klare Policy, eine Schulung und eine Whitelist genehmigter Tools. Das ist in jedem KMU in wenigen Wochen umsetzbar.
Wer jetzt handelt, schützt sein Unternehmen — und gibt seinen Mitarbeitenden die Klarheit, die sie brauchen, um KI produktiv und sicher einzusetzen.
KI-Bootcamp für KMU — inkl. Datenschutz-Block und KI-Policy-Erarbeitung
Im KI-Bootcamp von Webgearing (CHF 2’900) erarbeiten Sie gemeinsam mit unseren Expertinnen und Experten eine massgeschneiderte KI-Policy für Ihr Unternehmen. Inklusive Datenschutz-Block nach CH-DSG, Ampelsystem für Ihre Datenkategorien und praxisnahem Training für Ihr Team.
Noch nicht sicher? Starten Sie mit dem KI Quick Check (CHF 490): In einem strukturierten Workshop analysieren wir Ihre aktuelle KI-Nutzung und zeigen konkrete Handlungsfelder auf.
