Donnerstag, 2. Juli 2026
Anzeige

Künstliche Intelligenz (KI) ist längst im betrieblichen Alltag angekommen. Mitarbeitende lassen E-Mails formulieren, Texte zusammenfassen, Bewerbungen vorsortieren, Protokolle auswerten oder Präsentationen vorbereiten. Oft geschieht das mit wenigen Klicks – schnell, bequem und scheinbar harmlos.

Autor: Michel Rohrer*

Gerade für KMU ist der Einsatz von «KI-Tools» verlockend: weniger Aufwand, schnellere Abläufe, bessere Auswertungen und Entlastung im Tagesgeschäft. Doch genau hier liegt die Gefahr. Was als praktische Arbeitshilfe beginnt, kann plötzlich zum Datenschutzproblem, Haftungsfall oder Reputationsschaden werden.

Anzeige

Besonders heikel ist der inoffizielle Einsatz von «KI-Tools» durch Mitarbeitende, also die Nutzung von frei verfügbaren Tools ohne Wissen oder Freigabe des Arbeitgebers.

Risiken erkennen und ernst nehmen

Viele Unternehmen wissen gar nicht, wo KI im Betrieb bereits eingesetzt wird. Vielleicht nutzt die Buchhaltung ein Tool zur Textoptimierung. Vielleicht lässt das HR-Abteilung Bewerbungen durch eine KI zusammenfassen. Vielleicht gibt ein Mitarbeiter Kundendaten in ein öffentliches KI-System ein, um schneller eine Antwort zu formulieren.

Anzeige

Das Problem: Sobald Personendaten, Kundendaten, interne Informationen oder Geschäftsgeheimnisse in externe KI-Systeme eingegeben werden, verliert das Unternehmen möglicherweise die Kontrolle. Es ist oft unklar, wo die Daten gespeichert werden, wer darauf Zugriff hat und ob sie für Trainingszwecke weiterverwendet werden.

Für KMU kann das besonders gefährlich werden. Ein einzelner unbedachter Prompt kann genügen, um vertrauliche Informationen offenzulegen. Ein ungeprüft übernommener KI-Text kann falsche Aussagen enthalten. Eine KI-gestützte Vorauswahl von Bewerbungen kann diskriminierend wirken. Eine automatisch erstellte Kundenantwort kann rechtlich heikle Zusagen enthalten.

Der Einsatz von KI kann demnach erhebliche rechtliche, organisatorische und wirtschaftliche Risiken mit sich bringen. Besonders kritisch ist die Eingabe von Personendaten, Kundendaten, internen Unterlagen oder Geschäftsgeheimnissen in externe KI-Systeme. Dabei kann unklar sein, wo die Daten verarbeitet werden, wer Zugriff darauf erhält und ob sie allenfalls für Trainingszwecke weiterverwendet werden.

Die Risiken sind deshalb nicht theoretisch. Sie betreffen den Alltag:

  • Ein Mitarbeiter lädt einen Kundenvertrag in ein KI-Tool hoch.
  • Eine HR-Verantwortliche lässt Bewerbungsunterlagen automatisch bewerten.
  • Ein Team nutzt private KI-Accounts für geschäftliche Aufgaben.
  • Ein KI-generierter Text wird ungeprüft an Kunden verschickt.
  • Ein vertrauliches Konzept landet in einem externen System.

In all diesen Fällen stellt sich später die unangenehme Frage: Wer trägt die Verantwortung?

Gesetzliche Grundlagen?

In der Schweiz gibt es derzeit kein einzelnes Gesetz, das den Einsatz von KI im Arbeitsverhältnis umfassend regelt. Das bedeutet aber nicht, dass Unternehmen frei handeln können. Im Gegenteil: Bestehende Vorschriften greifen bereits heute.

Zentral ist das Datenschutzgesetz (DSG). Sobald Personendaten bearbeitet werden, gelten Pflichten zu Transparenz, Zweckbindung, Datensicherheit und Verhältnismässigkeit. Wer Kundennamen, Bewerbungsunterlagen, Mitarbeiterdaten oder Gesundheitsinformationen in ein KI-System eingibt, bewegt sich im Datenschutzrecht. Wird ein externes KI-System genutzt, kann zusätzlich eine Auftragsbearbeitung vorliegen, die sauber geregelt werden muss.

Im Arbeitsverhältnis ist zudem Art. 328b OR wichtig. Arbeitgeber dürfen Daten über Mitarbeitende nur bearbeiten, soweit diese für die Eignung im Arbeitsverhältnis oder für die Durchführung des Arbeitsvertrags erforderlich sind. Das ist besonders relevant bei KI-Anwendungen im HR-Bereich, etwa bei Rekrutierung, Leistungsbeurteilung oder Arbeitszeugnissen.

Auch die Fürsorgepflicht des Arbeitgebers nach Art. 328 OR spielt eine zentrale Rolle. Arbeitgeber müssen die Persönlichkeit und Gesundheit ihrer Mitarbeitenden schützen. KI darf deshalb nicht zu unzulässiger Überwachung, Benachteiligung oder unnötigem Druck führen. Besonders kritisch sind Systeme, die Arbeitsverhalten, Leistung, Kommunikation oder Stimmung von Mitarbeitenden auswerten.

Für Mitarbeitende gilt umgekehrt die Treue- und Sorgfaltspflicht nach Art. 321a OR. Sie müssen die Interessen des Arbeitgebers wahren, interne Regeln beachten und vertrauliche Informationen schützen. Bei absichtlicher oder fahrlässiger Pflichtverletzung kann eine Haftung nach Art. 321e OR entstehen.

Je nach Geschäftstätigkeit können auch europäische Vorschriften relevant werden, insbesondere die EU-Datenschutz-Grundverordnung oder die EU-KI-Verordnung. Das betrifft Schweizer Unternehmen vor allem dann, wenn sie mit Personen oder Märkten in der EU zu tun haben.

Warum Unternehmen jetzt handeln sollten

Viele KMU wiegen sich in falscher Sicherheit: «Wir sind zu klein, das betrifft uns nicht.» Genau das ist gefährlich. Gerade kleinere Unternehmen haben oft keine eigene Rechtsabteilung, keine spezialisierte IT-Sicherheitsstelle und keine ausgebaute Compliance-Struktur. Gleichzeitig arbeiten sie mit denselben KI-Tools wie Grossunternehmen – nur oft ohne klare Regeln.

Das kann teuer werden. Nicht nur wegen möglicher rechtlicher Folgen, sondern auch wegen Vertrauensverlust. Kunden, Mitarbeitende und Geschäftspartner erwarten, dass mit sensiblen Informationen sorgfältig umgegangen wird. Wer KI planlos einsetzt, riskiert mehr als nur einen technischen Fehler.

Merke: KI ist kein harmloser digitaler Notizblock. KI ist ein Werkzeug mit rechtlichen, organisatorischen und wirtschaftlichen Folgen.

Lösungen: Klare Regeln statt Blindflug

Die wichtigste Empfehlung lautet: «Unternehmen sollten den KI-Einsatz nicht verbieten, sondern steuern und regeln.»

Dazu braucht es zunächst eine einfache Bestandsaufnahme. Welche KI-Tools werden bereits genutzt? Von wem? Für welche Aufgaben? Mit welchen Daten? Viele Betriebe werden überrascht sein, wie breit KI bereits im Alltag angekommen ist.

Danach braucht es klare Leitplanken. Ein KMU sollte festlegen:

  • Welche KI-Systeme dürfen verwendet werden?
  • Für welche Zwecke ist der Einsatz von KI-Systemen erlaubt?
  • Welche Daten dürfen nie eingegeben werden?
  • Wer prüft neue KI-Anwendungen?
  • Wer ist bei Vorfällen zuständig?
  • Wann müssen KI-Ergebnisse durch Menschen kontrolliert werden?

Besonders sinnvoll ist ein verständliches «KI-Reglement» oder eine «KI-Richtlinie». Diese muss nicht kompliziert sein. Entscheidend ist, dass Mitarbeitende wissen, was erlaubt ist und was nicht.

Ebenso wichtig sind Schulungen. Mitarbeitende müssen verstehen, dass KI-Ergebnisse falsch, einseitig oder rechtlich problematisch sein können. Sie müssen wissen, warum Kundendaten, Personaldaten und Geschäftsgeheimnisse nicht einfach in beliebige Tools eingegeben werden dürfen.

Professionelle Unterstützung kann hier viel verhindern. Fachpersonen können helfen, Risiken zu erkennen, passende Regeln zu formulieren, interne Abläufe zu prüfen und Mitarbeitende praxisnah zu schulen. Gerade für KMU ist externe Hilfe oft der einfachste Weg, um rasch zu einer sauberen und verständlichen Lösung zu kommen.

Fazit: KI sicher nutzen – mit Regeln, Schulung und Kontrolle

Der Einsatz von KI-Tools kann KMU-Unternehmen enorm entlasten. Sie kann Abläufe beschleunigen, Wissen besser nutzbar machen und Mitarbeitende im Alltag unterstützen. Aber ohne Regeln wird aus Effizienz schnell ein Risiko.

Wer den Einsatz von KI-Tools im Unternehmen nutzt oder duldet, sollte wissen, was im Betrieb tatsächlich geschieht. Wegschauen schützt nicht. Fehlende Vorgaben können im Ernstfall selbst zum Problem werden.

Der sichere Weg für KMU-Unternehmen ist eine professionelle Vorbereitung: klare Regeln, geschulte Mitarbeitende, geprüfte Tools und nachvollziehbare Prozesse. Unternehmen, die jetzt handeln, nutzen KI-Tools nicht nur schneller, sondern auch sicherer.

Lesen Sie auch: Cyberrisiken: Verantwortung der Geschäftsleitung

*Der Autor lic. iur. Michel Rohrer ist ein ausgewiesener Spezialist für KI-Recht, Mail: michel.rohrer@digitale-zukunft.org, www.ki-rechtsexperten.ch, Tel. 061 281 75 15.

Teilen:
Kommentar schreiben


Exit mobile version