Warum KI gute Governance braucht

Dez. 10, 2025

Dr. iur. Michèle Balthasar Rechtsanwältin und Partnerin bei Balthasar Legal

Warum Künstliche Intelligenz klare Governance-Strukturen benötigt, habe ich kürzlich in einer Kolumne im IT Magazine dargestellt (Kolumne: Warum KI gute Governance braucht); der folgende Beitrag fokussiert auf die rechtlichen und organisatorischen Implikationen von Shadow AI.

Der Einsatz von Künstlicher Intelligenz gehört in vielen Unternehmen längst zum Arbeitsalltag. Mitarbeitende nutzen KI-Anwendungen, um Texte zusammenzufassen, Daten zu analysieren oder Entwürfe effizient zu erstellen. Parallel dazu werden jedoch häufig auch KI-Tools eingesetzt, die nicht offiziell freigegeben sind. Diese Nutzung bleibt für IT, Datenschutz und Compliance oft unsichtbar. Genau dieses Phänomen wird als Shadow AI im Unternehmen bezeichnet. Vor dem Hintergrund der laufenden regulatorischen Entwicklungen in der Schweiz und der EU stellt sich die Frage, wie Unternehmen heute damit umgehen müssen.

Effizienzgewinne als Treiber von Shadow AI im Unternehmen

Shadow AI im Unternehmen entsteht in der Regel nicht aus Regelmissachtung, sondern aus Effizienzdruck. KI-Tools sind schnell verfügbar, intuitiv nutzbar und liefern in kurzer Zeit verwertbare Ergebnisse. Mitarbeitende sparen Zeit und erhöhen ihre Produktivität, was den Einsatz zusätzlich begünstigt.

Gleichzeitig entstehen Risiken, die häufig unterschätzt werden. Daten werden ausserhalb kontrollierter IT-Umgebungen verarbeitet und gespeichert. Unklar bleibt oft, ob Eingaben weiterverwendet werden, etwa für Trainingszwecke der KI. Sobald Personendaten, Geschäftsgeheimnisse oder vertrauliche Informationen betroffen sind, entstehen rechtliche Unsicherheiten sowie Haftungs- und Reputationsrisiken für das Unternehmen.

Warum Verbote keine Lösung sind

Ein pauschales Verbot von KI-Anwendungen ist keine praktikable Antwort auf Shadow AI im Unternehmen. Verbote führen in der Praxis nicht dazu, dass KI nicht mehr genutzt wird, sondern verlagern die Nutzung in den informellen Bereich. Die Folge ist noch weniger Transparenz und noch weniger Steuerungsmöglichkeiten.

Stattdessen müssen Unternehmen den tatsächlichen Einsatz von KI sichtbar machen. Entscheidend ist nicht, ob KI genutzt wird, sondern wie. Klare Regeln, Zuständigkeiten und Vorgaben schaffen die Grundlage, um Risiken zu kontrollieren, ohne den Effizienzgewinn zu verlieren.

Rechtlicher Rahmen: bereits heute relevant

Auch ohne spezifisches Schweizer KI-Gesetz bestehen klare rechtliche Vorgaben. Das Datenschutzgesetz (DSG) verpflichtet zu Transparenz, Zweckbindung und Datensicherheit. Werden KI-Systeme für automatisierte Einzelentscheidungen eingesetzt, müssen betroffene Personen verständlich informiert werden; zudem ist eine wirksame menschliche Überprüfung sicherzustellen.

Weitere Grenzen ergeben sich aus dem Gesetz gegen den unlauteren Wettbewerb (UWG), etwa bei täuschenden oder irreführenden KI-Outputs. Das Urheberrechtsgesetz (URG) wirft Fragen zu Trainingsdaten, Bearbeitungsrechten und der Schutzfähigkeit von KI-Ergebnissen auf. Ergänzend setzt die EU-KI-Verordnung Leitplanken zur Risikobewertung, Datenqualität und zum „Human in the Loop“. Auch Schweizer Unternehmen können davon betroffen sein, etwa bei grenzüberschreitender Tätigkeit oder dem Einsatz entsprechender Systeme.

Praxis: KI sichtbar machen und steuern

In der Praxis empfiehlt sich ein strukturiertes Vorgehen. Ausgangspunkt ist eine Inventarisierung aller eingesetzten KI-Anwendungen: Welche Tools werden genutzt, mit welchen Daten und zu welchen Zwecken? Darauf aufbauend sind Risiken in Bezug auf Datenschutz, Diskriminierung, Haftung und Reputation zu bewerten.

Im Rahmen eines Freigabeprozesses können KI-Tools in Kategorien eingeteilt werden, etwa erlaubt, eingeschränkt erlaubt oder verboten. Ebenso zentral ist die Schulung der Mitarbeitenden. Es muss klar kommuniziert werden, welche Daten eingegeben werden dürfen und dass KI-Ergebnisse stets kritisch zu prüfen sind. Unterstützend wirken klare interne Richtlinien und Schulungsangebote, etwa im Bereich E-Learning.

Fazit: Shadow AI braucht Governance

Shadow AI im Unternehmen lässt sich nicht vermeiden, wohl aber steuern. Klare Regeln, transparente Prozesse und definierte Verantwortlichkeiten schaffen Rechtssicherheit und Vertrauen. Unternehmen, die KI-Governance frühzeitig etablieren, reduzieren Risiken und schaffen gleichzeitig verlässliche Rahmenbedingungen für den verantwortungsvollen Einsatz von KI.

Wir begleiten Unternehmen beim Aufbau einer rechts- und praxisnahen KI-Governance – mit Fokus auf Pragmatismus, Effizienz und Transparenz.

Silvia Mathys

lic. iur. Senior Beraterin

lic. iur. Silvia Mathys hat 2004 ihr rechtswissenschaftliches Studium an der Universität Basel abgeschlossen und war seither in verschiedenen Unternehmen, unter anderem in der Finanzbranche, der Industrie sowie im Technologiebereich, tätig. Sie spezialisierte sich auf die rechtliche Begleitung und Umsetzung im Bereich Datenschutz und Compliance. Neben ihrer Tätigkeit bei internationalen Konzernen bringt sie langjährige Erfahrung in der Beratung, Schulung und Implementierung datenschutzrechtlicher Vorgaben (inkl. DSGVO) mit. Zu ihren Stärken gehören ihre fundierte Fachkompetenz, ihre praxisorientierte Arbeitsweise sowie ihre breite Erfahrung im internationalen Umfeld.

Bruno Schnarwiler

Konsulent Informationssicherheit

Bruno Schnarwiler ist ein Experte in Wirtschaftsinformatik mit über 30 Jahren Erfahrung als Auditor, Projektmanager, Berater und Führungskraft. Mit Abschlüssen als Eidg. Dipl. Wirtschaftsinformatiker, CISA und ISO 27001 Lead Auditor verfügt er über Fachkenntnisse in Informationssicherheit, Krisen- und Risikomanagement sowie digitalen Archivierungslösungen. Er hatte Schlüsselrollen wie Leiter IT-Revision und Risikomanagement in einer Bank, Leiter Softwareentwicklung und Berater für Sicherheit. Diese Tätigkeiten gaben ihm umfassende Einblicke in Branchen und Prozesse. Er trägt zur Implementierung sicherer IT-Umgebungen, Optimierung interner Kontrollsysteme und Entwicklung nachhaltiger Lösungen bei, die moderne Anforderungen erfüllen.
Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alex Wild

Student

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sebastian Andres

Student, Content Manager

Sebastian Andres begann 2019 sein Studium der Rechtswissenschaften an der Universität Zürich, wo er voraussichtlich 2026 den Masterabschluss erlangen wird. Erste praktische Erfahrungen sammelte er bei der Digt AG, wo er in der Vertragsgestaltung tätig war und daneben auch Aufgaben im Bereich Content Management übernahm. Bei der ADMG AG, bei der er seit 2024 arbeitet, erwarb er anschliessend vertiefte Kenntnisse in Zivil-, Verwaltungs-, Handels- und Wirtschaftsrecht. Seit 2025 ist er zudem bei der Balthasar Legal AG als Content Manager tätig.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.