Schatten-KI im Alltag: Wenn KI an der IT vorbei arbeitet
Generative KI hat Unternehmen schneller erreicht als interne Strategien. Mitarbeitende nutzen KI-Tools eigenmächtig – was zur Entstehung von „Schatten-KI“ führt: einer Nutzung ausserhalb definierter Regeln, Freigaben oder Governance. Für Organisationen entsteht dadurch eine Zone ohne klare Kontrolle über Daten, Prozesse und Verantwortlichkeiten.
Was bedeutet datensouveräne KI-Nutzung?
Datensouveräne KI-Nutzung bedeutet, dass ein Unternehmen nachvollziehen und steuern kann:
- welche Daten in welche Systeme fliessen,
- wer darauf zugreift, und
- unter welchen Bedingungen die Verarbeitung stattfindet.
Dies ist besonders für Schweizer KMU kritisch, die mit Mandanten- oder Patientendaten arbeiten – und damit direkt unter dem revidierten Datenschutzgesetz (nDSG) und branchenspezifischen Compliance-Anforderungen stehen.
Die eigentliche Ursache für Schatten-KI
Schatten-KI entsteht meist nicht aus böser Absicht, sondern aus einem realen Produktivitätsbedarf. Mitarbeitende suchen nach Hilfsmitteln für Zusammenfassungen, Analysen oder Strukturierungen. Wenn Unternehmen keine freigegebenen Alternativen und Leitplanken bieten, entsteht ein Graubereich.
Die Konsequenz: Es handelt sich nicht um ein Mitarbeiterproblem – sondern um ein Governance-Problem.
Risikofelder im Überblick
Schatten-KI erzeugt Risiken auf drei Ebenen gleichzeitig:
- Datenebene: Ungeklärte Speicherorte oder Trainingsbezüge bei Eingabe in externe Systeme.
- Compliance-Ebene: Unbemerktes Verletzen interner oder gesetzlicher Regeln (nDSG, EU AI Act, Standesrecht) – privatim hat internationalen SaaS-Einsatz für sensible Daten untersagt.
- Strategische Ebene: Abhängigkeit von Plattformen, deren Bedingungen und Rechtsraum ausserhalb des eigenen Einflussbereichs liegen.
Gerade Anwalts- und Arztpraxen sowie Treuhandbüros sind besonders exponiert: Sobald vertrauliche Mandanten- oder Patientendaten in ein nicht freigegebenes KI-Tool fliessen, entsteht potenziell eine Verletzung gesetzlicher Schweigepflichten.
Handlungsempfehlungen für Entscheider
Ein pragmatischer Fahrplan, der in der Praxis funktioniert:
- Transparenz schaffen: Bestandsaufnahme der bereits genutzten KI-Tools und der betroffenen Datenkategorien – offiziell und inoffiziell.
- Einfache Regeln definieren: Klare Leitplanken festlegen, welche Informationen in offene Systeme dürfen – und welche nicht.
- Sichere Alternativen bereitstellen: Bereitstellung freigegebener Cloud-Umgebungen auf Schweizer Infrastruktur, die den Risikologiken des Unternehmens entsprechen.
- Daten klassifizieren: Welche Daten sind kritisch (Mandantendaten, Patientendaten, Finanzdaten)? Welche dürfen in welchen Systemen verarbeitet werden?
- Mitarbeitende schulen: Kompakte, praxisnahe Trainings – mit dem Ziel, KI verantwortungsvoll zu nutzen, nicht sie zu verbieten.
Datensouveräne Infrastruktur als Grundlage
Parallel zur Governance-Frage stellt sich die Infrastrukturfrage: Wer zentrale Daten- und KI-Prozesse auf fremden Plattformen betreibt, begibt sich in eine strategische Abhängigkeit – besonders wenn diese Plattformen dem US CLOUD Act oder vergleichbaren ausländischen Regulierungen unterliegen.
Schweizer Cloud-Infrastruktur (z. B. Infomaniak kSuite) bietet hier eine klare Alternative:
- Rechenzentren ausschliesslich in der Schweiz (Genf / Winterthur)
- Keine Verpflichtung gegenüber dem US CLOUD Act
- Transparente Datenverarbeitung und vertragliche Regelungen nach Schweizer Recht
- Offene Standards ohne Vendor Lock-in
Fazit: Eine Führungsentscheidung, kein IT-Ticket
Datensouveräne KI-Nutzung ist kein reines IT-Thema. Es ist eine Führungsentscheidung. Das Ziel ist nicht, Innovation zu bremsen – sondern diese kontrolliert, nachvollziehbar und verantwortungsvoll in die Unternehmensrealität zu integrieren.
Wer heute Schatten-KI sichtbar macht und in eine souveräne KI-Strategie überführt, legt den Grundstein für langfristig resiliente und vertrauenswürdige digitale Wertschöpfung – für das eigene Unternehmen und für die Kunden, deren Daten anvertraut wurden.
💡 Für die Praxis: Ist Ihr Unternehmen bereit?
Thomas Marx bietet ein kostenloses 20-Minuten-Erstgespräch an, um den konkreten Handlungsbedarf rund um Schatten-KI, Datensouveränität und Schweizer Cloud-Infrastruktur individuell und unverbindlich zu besprechen.
