R
Zurück zum Blog
Consulting

Die ChatGPT-Governance-Checkliste für Schweizer Unternehmen

Was jedes Schweizer Unternehmen bereit haben muss, bevor Mitarbeitende ChatGPT im Arbeitsalltag nutzen – Daten, Verträge, Schulung und Audit.

TecMinds Team22. März 20263 Min. Lesezeit

Warum Governance vor der Einführung zählt

Als ChatGPT in die Arbeitswelt kam, hat es nicht um Erlaubnis gefragt. Mitarbeitende haben Verträge, Kundendaten und Quellcode in eine öffentliche Chat-Oberfläche auf privaten Accounts kopiert. Die meisten Führungskräfte erfahren davon erst, wenn es zu spät ist.

Governance bedeutet nicht, KI zu blockieren – sie macht KI sicher einsetzbar. Ziel ist es, dem Team ein klares Ja in einem klar definierten Spielfeld zu geben.

Die 10-Punkte-Checkliste

1. Datenklassifikation

Legen Sie fest, was Mitarbeitende in KI-Tools einfügen dürfen und nicht dürfen. Drei Stufen reichen meist:

  • Öffentlich – Marketingtexte, öffentliche Dokumentation, Pressemitteilungen (erlaubt)
  • Intern – Meeting-Notizen, Entwürfe, interne Wikis (nur auf freigegebenen Tools erlaubt)
  • Vertraulich – Personendaten, Finanzzahlen, Geschäftsgeheimnisse, Quellcode (niemals in Consumer-Tools)

2. Vertraglicher Rahmen

Nutzen Sie die OpenAI API, den ChatGPT Enterprise Plan oder Microsoft Copilot for Business – keine privaten Accounts. Diese bieten Auftragsverarbeitungsverträge, kein Training auf Ihren Daten und bei Bedarf EU-/CH-Datenresidenz.

3. Abstimmung mit dem Schweizer DSG

Das revidierte Schweizer Datenschutzgesetz (revDSG) gilt für KI-Verarbeitung wie für jede andere Datenverarbeitung. Prüfen Sie Ihr Verzeichnis der Bearbeitungstätigkeiten, aktualisieren Sie Ihre Datenschutzerklärung, wenn KI an Entscheidungen beteiligt ist, die Personen betreffen, und dokumentieren Sie Ihre Risikoeinschätzung.

4. Schriftliche KI-Richtlinie

Maximal zwei Seiten. Wer darf was wofür mit welchen Daten nutzen. Von jedem Mitarbeitenden unterschrieben. Jährlich überprüft.

5. Liste freigegebener Tools

Veröffentlichen Sie eine kurze Liste freigegebener KI-Tools mit ihren erlaubten Anwendungsfällen. Alles, was nicht auf der Liste steht, braucht einen Antrag. Das ist die wirksamste Einzelmassnahme.

6. Schulung für Mitarbeitende

Kein Webinar. Ein 90-minütiger praktischer Workshop: Wie man gute Prompts schreibt, wann man dem Output vertrauen kann, wann man verifizieren muss, wann man aufhören soll. Für jedes Team.

7. Regeln zur Ergebnisprüfung

Alles, was an einen Kunden, eine Regulierungsbehörde oder in den Produktivcode geht, muss von einem verantwortlichen Menschen geprüft werden. Diese Regel gehört aufgeschrieben.

8. Audit-Trail

Bei API-basierter Nutzung und Enterprise-Plänen sollten Prompts und Outputs zentral protokolliert werden, wo machbar. Sie müssen sechs Monate später sagen können: «Wer hat was wann wofür genutzt.»

9. Anbieterprüfung

Bevor Sie ein neues KI-Tool freigeben, prüfen Sie: Datenverarbeitung, Sicherheitszertifizierungen (ISO 27001, SOC 2), Datenresidenz, Aufbewahrungsfristen, Subprocessor-Liste. Dokumentieren Sie das.

10. Incident Response

Was passiert, wenn ein Kundendatensatz in einen privaten KI-Account gelangt? Wer wird benachrichtigt? Wie schnell? Einmal schreiben, testen, hoffen nie zu brauchen.

Was Sie nicht tun sollten

  • KI nicht komplett verbieten. Mitarbeitende nutzen sie sowieso – auf privaten Handys, inoffiziell.
  • Keine 40-seitige Richtlinie veröffentlichen. Die liest niemand. Zwei Seiten. Klare Sprache.
  • Nicht die IT als alleinigen Gatekeeper aufstellen. Legal, HR und eine fachliche Stimme gehören an den Tisch.

Wo Sie starten

Wählen Sie drei Tools, die Ihr Team tatsächlich nutzt. Schreiben Sie eine zweiseitige Richtlinie. Führen Sie einen Workshop durch. In zwei Wochen sind Sie governance-ready – und können dann mit Rückgrat schnell agieren.

Brauchen Sie Unterstützung bei der Richtlinie oder dem Workshop? Melden Sie sich. Wir haben es für Teams von zehn bis zweihundert Personen gemacht.

#ChatGPT#Governance#Compliance#DSG#Schweiz

Diesen Artikel teilen

Ähnliche Artikel

Zusammenarbeiten

Haben Sie ein Projekt im Sinn?

Lassen Sie uns besprechen, wie KI und massgeschneiderte Software Ihr Unternehmen voranbringen können.

Kostenloses Beratungsgespräch buchen