Pillar · Hook
Shadow KI in Schweizer KMU: Das Risiko, das niemand auf der GL-Sitzung benennt
Deine Mitarbeitenden nutzen ChatGPT, Copilot, Claude. Heute. Privat. Ohne Governance. Was das bedeutet, und was du als CXO konkret tun kannst.
Was ist Shadow KI?
Shadow KI ist die KI-Variante von Shadow IT. Mitarbeiterin lädt Mandanten-Schriftverkehr in ChatGPT zur Übersetzung. Entwickler kopiert Codebase-Auszug in Claude zum Debugging. Marketing-Lead lässt Kunden-Liste durch Copilot „aufhübschen". Alles passiert jetzt, in jedem KMU, ohne dass die GL davon weiss.
Der Swiss KI Paradox
Das Phänomen, das wir beobachten: Die Mitarbeiter-Adoption von KI in der Schweiz ist hoch. Höher als die Wahrnehmung der Geschäftsleitung. Während die GL noch debattiert, ob „wir mal über KI sprechen sollten", arbeiten die Sachbearbeiter:innen längst mit ChatGPT. Das Resultat ist ein blinder Fleck im Risiko-Management. Einer, der sich täglich vergrössert.
Drei Risiko-Achsen
| Achse | Was schiefgehen kann | Was es kostet |
|---|---|---|
| Datenabfluss | Geschäftsdaten landen in US-Cloud-LLMs ohne Auftragsdatenverarbeitung | revDSG-Verstoss; Bussen-Risiko |
| Qualitäts-Halluzinationen | KI liefert plausible, aber falsche Antworten, und Mitarbeitende prüfen nicht | Fehler in Mandanten-Schriftverkehr, Buchhaltung, Code |
| Kompetenz-Drift | Mitarbeitende lernen nicht mehr selbst, die KI denkt für sie, falsch | Langsamer, schwer messbarer Kompetenzverlust |
Was die GL konkret tun kann
Drei aufeinander aufbauende Schritte:
- Inventur: Wer nutzt was? Eine Stunde Befragung im Führungskreis reicht für einen ehrlichen Befund.
- Spielregeln: Keine Verbote. Eine 1-Seiten-„KI-Hausordnung": welche Daten dürfen wo rein, welche nicht.
- Sanktioniertes Tool: Ein offiziell freigegebenes Tool, ob ChatGPT Enterprise, Copilot oder on-prem, das die Schatten-Tools ersetzt. Sonst werden Verbote umgangen.
Wann Shadow KI in revDSG-Compliance kippt
revDSG verlangt Auftragsdatenverarbeitung bei Drittlands-Anbietern. ChatGPT in der kostenlosen Version erfüllt das nicht. Copilot in M365 oft schon. ChatGPT Enterprise teilweise. Die konkrete Compliance ist deine Anwalts-Frage, nicht unsere. Aber das Risiko ist real, und der Bauch-Eindruck „ist irgendwie OK" trägt nicht.
Häufige Fragen
Was ist der Unterschied zwischen Shadow IT und Shadow KI?
Shadow IT ist nicht freigegebene Software wie Dropbox oder WhatsApp. Shadow KI ist nicht freigegebene KI-Nutzung. Die schärfere Variante, weil Daten nicht „nur" gespeichert, sondern aktiv verarbeitet werden.
Sollte ich ChatGPT im Unternehmen verbieten?
Nein, in den meisten Fällen nicht. Verbote werden umgangen. Die Lösung ist ein freigegebenes, sicheres Tool plus klare Spielregeln.
Wie finde ich heraus, was meine Leute nutzen?
Direkte Befragung im Führungskreis (1 h reicht), plus optional Browser-Logs prüfen. Wir machen das im Rahmen der KI-Potentialanalyse.
Was ist „revDSG-konform" bei KI-Tools?
revDSG verlangt: bekannte Auftragsdatenverarbeiter, klare Zwecke, betroffene Personen informiert. Cloud-KI mit US-Sitz erfüllt das oft nur, wenn ein DPA-Vertrag besteht. On-Prem (z. B. Lenovo ThinkStation PGX) löst das Problem strukturell.
Müssen wir on-prem werden?
Nicht zwingend. Cloud-KI mit revDSG-konformem DPA reicht für viele Office-Workflows. On-Prem wird relevant bei Mandanten-, Patienten-, IP-sensitiven Daten oder strenger interner Compliance.
Was ist der Swiss KI Paradox?
Waldsee-Begriff für die Beobachtung, dass Mitarbeiter-Adoption in der Schweiz höher ist als die Management-Wahrnehmung. Mitarbeitende sind weiter als die Strategie.
Wie schnell kann das eskalieren?
Schnell. Ein einziger versehentlich hochgeladener Mandanten-Schriftwechsel ist potenziell ein revDSG-Vorfall mit Meldepflicht. Das Risiko-Profil ändert sich täglich, weil mehr Mitarbeitende mehr Tools nutzen.