Keine Schatten-KI mehr: Wie KMU Künstliche Intelligenz rechtskonform einsetzen

Der Einsatz von Künstlicher Intelligenz (KI) gehört auch in kleinen und mittleren Unternehmen längst zum Alltag. Damit KI-Innovationen nicht zum Risiko werden, sind klare rechtliche Leitplanken und unternehmensinterne Regelungen unverzichtbar. Worauf es bei der Auswahl, Nutzung und Governance von KI-Tools jetzt ankommt.

Vor etwas mehr als einem Jahr befragte thebrokernews David Rosenthal, einen der schweizweit führenden Experten für Daten- und Technologie-Recht und Team Head/Partner bei VISCHER AG zur KI-Nutzung aus rechtlicher Sicht. Hier sind einige weitere Punkte des Juristen, wie kleine und mittlere Unternehmen KI rechtskonform einsetzen.

Weshalb Unternehmen KI aktiv steuern müssen

Ob ChatGPT, Copilot oder branchenspezifische Lösungen: Mitarbeitende nutzen KI-Anwendungen zunehmend von sich aus und oft auch privat, wenn der Betrieb keine konformen Tools bereitstellt. Dabei drohen Kontroll- und Datenverluste. Gleichzeitig entwickeln sich KI-Kompetenzen zur Schlüsselqualifikation. Unternehmen profitieren davon, wenn sie ihren Teams rechtssichere und effiziente Werkzeuge in die Hand geben und passende interne Regeln schaffen.

Schritt 1: Die richtigen Tools – und Verträge

Der Startpunkt für KI im KMU liegt meist in der Beschaffung bewährter Tools mit besonderem Fokus auf generativer KI wie ChatGPT oder Gemini. Für mehr Rechtssicherheit, Funktionsvielfalt und Kostenvorteile empfiehlt sich oft die Nutzung von Cloud-APIs grosser Anbieter statt einzelner Accounts. Eigene KI-Modelle auf eigenen Servern erfordern dagegen Spezialwissen und grössere Investitionen, die sich nur selten lohnen.

Wesentlich für den rechtskonformen Einsatz sind folgende Punkte im Vertrag mit dem Anbieter:

• Auftragsdatenverarbeitungsvertrag (AVV): Dieser sollte alle Funktionen abdecken und länderspezifische Anforderungen berücksichtigen.
• Geheimhaltungspflicht: Kundendaten müssen geschützt sein.
• Nutzungszusagen: Die eigenen Daten dürfen nicht zum Training der Anbieter-KI verwendet werden.
• Lizenzklarheit: Unternehmen sollten mit den KI-Outputs frei arbeiten dürfen, ohne weitere Lizenzkosten oder Beschränkungen.

Nur Unternehmensversionen erfüllen diese Anforderungen meist ausreichend. Die Einbindung eines internen «Tool-Eigners» hilft, Verträge und Compliance-Fragen stets im Blick zu behalten.

Schritt 2: Interne Regeln schaffen

Unternehmen sollten präzise Weisungen dazu erlassen, welche KI-Tools wie eingesetzt werden dürfen. Vorlagen und Musterweisungen bieten eine praktikable Grundlage für individuelle Anpassungen. Die wichtigsten Inhalte:

• Klare Benennung zugelassener Tools und deren Verantwortlicher
• Definition erlaubter Datenkategorien für den KI-Einsatz
• Transparenz- und Prüfpflichten: Ergebnisse regelmäßig durch Menschen kontrollieren
• Meldepflichten für kritische Vorfälle oder neue KI-Anwendungen

Durch den EU AI Act regulatorisch besonders relevant sind KI-Anwendungen mit erhöhtem Risiko, zum Beispiel im Recruiting oder bei sensiblen Personaldaten. Für sie gelten oft zusätzliche Prüf- und Nachweispflichten.

Schritt 3: Schulung und Transparenz

Nur informierte Mitarbeitende setzen KI verantwortungsvoll ein. Grundlage ist regelmässige Schulung, nicht nur zu Chancen und Bedienung, sondern auch zu Risiken wie Falschinformationen oder Deepfakes. Power-User aus dem eigenen Team können das KI-Wissen weitergeben und die Akzeptanz fördern.

Nach aussen genügt oft ein knapper Hinweis in der Datenschutzerklärung, dass personenbezogene Daten über KI-Dienstleister verarbeitet werden können. Wichtig: Der Einsatz von KI muss für betroffene Personen transparent und nachvollziehbar sein, sobald persönliche Daten betroffen sind oder gesetzliche Transparenzpflichten greifen.

Kontrolle und Aktualisierung: KI-Einsatz ist Chefsache

Die Dynamik der KI-Technik verlangt, Prozesse und Tools mindestens einmal im Jahr zu überprüfen. Dabei helfen Checklisten, Risikoformulare und die kontinuierliche Rückmeldung aus dem Team. So bleibt KI-Nutzung nicht nur compliant, sondern auch wirtschaftlich sinnvoll und effizient.

Für KMU ist der rechtskonforme KI-Einsatz kein Hexenwerk, aber eine Managementaufgabe: Klare Verantwortlichkeiten, bewährte Tools und regelmässige Praxischecks bringen Sicherheit und Nutzungserfolg gleichermassen.

Binci Heeb

Lesen Sie auch: https://www.thebrokernews.ch/achtung-ki-nutzung-aus-rechtlicher-sicht/