Wenn KI sichtbar macht, was längst hätte geregelt sein müssen

Juni 8, 2026

Wenn KI sichtbar macht, was längst hätte geregelt sein müssen

KI-Tools wie Microsoft 365 Copilot, ChatGPT Enterprise oder vergleichbare Anwendungen versprechen Unternehmen einen spürbaren Effizienzgewinn. Dokumente lassen sich schneller zusammenfassen, E-Mails einfacher formulieren und Informationen rascher auffinden. Für viele Unternehmen ist der Einsatz solcher Tools deshalb kein Zukunftsthema mehr, sondern eine Frage der Einführung.

Die Diskussion konzentriert sich dabei häufig auf das KI-Tool selbst: Welche Funktionen sollen genutzt werden? Welche Daten werden bearbeitet? Wo findet die Datenbearbeitung statt? Welche vertraglichen Zusicherungen macht der Anbieter? Werden Eingaben oder Ergebnisse für das Training des Modells verwendet?

Diese Fragen sind wichtig. Sie reichen aber nicht aus. Denn KI-Tools schaffen nicht nur neue Möglichkeiten. Sie machen auch sichtbar, wie gut oder schlecht die bestehende Datenablage eines Unternehmens organisiert ist.

Das eigentliche Risiko liegt in der bestehenden Datenablage

Viele Unternehmen haben ihre Datenablage in der Cloud über Jahre pragmatisch aufgebaut. Microsoft Teams, SharePoint Online, OneDrive for Business, externe Dokumentenmanagementsysteme und gemeinsame Datenablagen gehören heute zum normalen Arbeitsalltag.

In der Praxis entstehen dabei häufig historisch gewachsene Strukturen, die niemand mehr vollständig überblickt. Typische Schwachstellen sind: Zugriffsrechte werden erweitert, aber nicht mehr zurückgenommen. Projektordner existieren noch, obwohl das Projekt längst abgeschlossen ist. Alte Versionen, Entwürfe und vertrauliche Dokumente liegen unkontrolliert in den Ablagen. Zuständigkeiten für Teams, Ordner oder SharePoint-Seiten sind nicht  klar geregelt.

Solange Mitarbeitende Informationen manuell suchen müssen, bleiben diese Schwachstellen meist unbemerkt. Mit KI ändert sich das grundlegend:  Was früher nur mit grossem Aufwand auffindbar war, kann plötzlich innert Sekunden angezeigt, zusammengefasst oder in einen neuen Kontext gestellt werden.

Wichtig zu verstehen: Ein Tool wie Microsoft 365 Copilot greift nur auf Informationen zu, auf die der jeweilige Nutzer bereits Zugriff hat. Genau darin liegt aber das Problem. Wenn die bestehenden Zugriffsrechte zu weit gefasst sind, nutzt die KI diese zu weit gefassten Berechtigungen – und macht sie sichtbar.

Data Governance ist keine Option – sie ist Voraussetzung

Die Einführung von KI-Tools im Unternehmen ist deshalb nicht nur eine Frage von Anbieterprüfung, Datenbearbeitungen im Auftrag oder technischer Aktivierung. Sie setzt voraus, dass das Unternehmen seine Daten im Griff hat – das nennt man Data Governance.

Konkret bedeutet das: Das Unternehmen muss wissen, welche Daten vorhanden sind, wo sie gespeichert werden, wie sie klassifiziert sind, wer darauf zugreifen darf, wie lange sie aufbewahrt werden müssen und wann sie gelöscht werden.

Behörden, Energieversorger, Betreiber kritischer Infrastrukturen, Finanzdienstleister, Gesundheitsorganisationen und andere regulierte Unternehmen unterliegen darüber hinaus erhöhten Anforderungen an Datenschutz, Informationssicherheit, Vertraulichkeit und Nachvollziehbarkeit. Die Einführung von KI-Tools setzt eine klare Cloud Governance voraus. Dazu gehören insbesondere Datenklassifikation, Berechtigungsmanagement, Aufbewahrungs- und Löschvorgaben, Protokollierung, Informationssicherheit sowie klare Zuständigkeiten zwischen IT, Fachbereichen, Datenschutz und Compliance.

Kein flächendeckender Rollout ohne vorgängige Prüfung

Wer Copilot oder ein vergleichbares KI-Tool sofort für alle Mitarbeitenden ausrollt, geht daher ein erhebliches Risiko ein. Sinnvoller ist ein kontrollierter Pilotbetrieb mit klar definierten Nutzergruppen, festgelegten Anwendungsfällen und ausgeschlossenen Datenkategorien.

Besonders sensible Bereiche wie HR, Rechtsdienst, Geschäftsleitung, Finanzen, Compliance und vertrauliche strategische Projekte sollten nicht vorschnell einbezogen werden. Vorher müssen die Zugriffsrechte stimmen, sensible Daten ausreichend geschützt sein und klare  Nutzungsvorgaben für das KI-Tool bestehen.

Konkret  sollten Unternehmen prüfen: Sind die Berechtigungen in Teams, SharePoint und OneDrive aktuell und angemessen? Wurden alte Datenbestände bereinigt? Bestehen klare Aufbewahrungs- und Löschregeln? Sind die zulässigen KI-Anwendungsfälle intern definiert und kommuniziert?

Fazit: KI macht Datenmanagement sichtbar

KI im Unternehmen beginnt nicht erst mit dem Rollout eines neuen Tools. Sie beginnt bei der Datenarchitektur, d.h. wie gut die Datenablage organisiert ist.

Microsoft 365 Copilot und vergleichbare Anwendungen können nur so gut und so sicher eingesetzt werden, wie die zugrundeliegende Datenablage es erlaubt. Wo Berechtigungen zu breit sind, Datenbestände unkontrolliert wachsen und Zuständigkeiten unklar sind, wird KI diese Schwächen nicht lösen. Sie wird sie sichtbar machen.

Die entscheidende Frage lautet deshalb nicht nur: «Können wir Copilot und andere KI-Tools einführen?» sondern «Ist unsere Daten- und Dokumentenablage bereit dafür, durch KI sichtbar gemacht zu werden?»

Mehr dazu im IT Magazin: Kolumne: Wenn KI vergessene Daten sichtbar macht

Unverbindlich anfragen

Ihre Kontakte

Portrait Dr. iur. Michèle Balthasar
Patrick Baumgartner Rechtsanwalt und Partner bei Balthasar Legal
Portrait Patrick Baumgartner
Silvia Mathys

lic. iur. Senior Beraterin

lic. iur. Silvia Mathys hat 2004 ihr rechtswissenschaftliches Studium an der Universität Basel abgeschlossen und war seither in verschiedenen Unternehmen, unter anderem in der Finanzbranche, der Industrie sowie im Technologiebereich, tätig. Sie spezialisierte sich auf die rechtliche Begleitung und Umsetzung im Bereich Datenschutz und Compliance. Neben ihrer Tätigkeit bei internationalen Konzernen bringt sie langjährige Erfahrung in der Beratung, Schulung und Implementierung datenschutzrechtlicher Vorgaben (inkl. DSGVO) mit. Zu ihren Stärken gehören ihre fundierte Fachkompetenz, ihre praxisorientierte Arbeitsweise sowie ihre breite Erfahrung im internationalen Umfeld.

Bruno Schnarwiler

Konsulent Informationssicherheit

Bruno Schnarwiler ist ein Experte in Wirtschaftsinformatik mit über 30 Jahren Erfahrung als Auditor, Projektmanager, Berater und Führungskraft. Mit Abschlüssen als Eidg. Dipl. Wirtschaftsinformatiker, CISA und ISO 27001 Lead Auditor verfügt er über Fachkenntnisse in Informationssicherheit, Krisen- und Risikomanagement sowie digitalen Archivierungslösungen. Er hatte Schlüsselrollen wie Leiter IT-Revision und Risikomanagement in einer Bank, Leiter Softwareentwicklung und Berater für Sicherheit. Diese Tätigkeiten gaben ihm umfassende Einblicke in Branchen und Prozesse. Er trägt zur Implementierung sicherer IT-Umgebungen, Optimierung interner Kontrollsysteme und Entwicklung nachhaltiger Lösungen bei, die moderne Anforderungen erfüllen.
Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alex Wild

Student

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sebastian Andres

Student, Content Manager

Sebastian Andres begann 2019 sein Studium der Rechtswissenschaften an der Universität Zürich, wo er voraussichtlich 2026 den Masterabschluss erlangen wird. Erste praktische Erfahrungen sammelte er bei der Digt AG, wo er in der Vertragsgestaltung tätig war und daneben auch Aufgaben im Bereich Content Management übernahm. Bei der ADMG AG, bei der er seit 2024 arbeitet, erwarb er anschliessend vertiefte Kenntnisse in Zivil-, Verwaltungs-, Handels- und Wirtschaftsrecht. Seit 2025 ist er zudem bei der Balthasar Legal AG als Content Manager tätig.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.