
Viele von euch nutzen bereits KI-Tools, vielleicht ohne es zu merken. Ein Mitarbeiter fragt ChatGPT nach Formulierungen für Kundenkorrespondenz, ein anderer nutzt einen Online-Übersetzer für vertrauliche Dokumente oder einen smarten Chatbot für den internen Support. Das Problem: Diese 'Shadow AI' – also der Einsatz von KI-Anwendungen ohne zentrale Kontrolle oder Kenntnis der IT-Abteilung – ist weit verbreitet. Aktuelle Daten zeigen, dass 80% der Schweizer Organisationen solche Aktivitäten aufweisen. Im Finanzsektor ist das besonders brisant, denn hier geht es um sensible Kundendaten, Compliance und das Vertrauen deiner Klienten.
Die Risiken sind real und nicht nur theoretisch: Schon 2026 sehen wir, dass KI-Chatbots weiterhin ein erhebliches Risiko für die Offenlegung realer Telefonnummern und anderer persönlicher Daten darstellen. Das passiert nicht nur durch direkte Preisgabe, sondern auch durch Sicherheitslücken und Datenlecks in den zugrunde liegenden Systemen. Stell dir vor, ein Mitarbeiter gibt aus Versehen vertrauliche Kundeninformationen in einen externen KI-Chatbot ein, der diese Daten dann für Trainingszwecke verwendet oder durch eine Schwachstelle preisgibt. Die Folgen reichen von massiven Reputationsschäden über hohe Bussen bis hin zu Klagen. Für ein Finanz-KMU ist das ein existenzbedrohendes Szenario. Die FINMA wird solche Vorfälle nicht einfach durchwinken.
Vielleicht denkst du jetzt: 'Die Schweiz hat doch gar kein umfassendes KI-Gesetz wie die EU, also betrifft uns das weniger.' Ein gefährlicher Trugschluss! Zwar verfolgt die Schweiz einen ausgewogenen Ansatz aus rechtlichen Regeln und flexiblen, branchengesteuerten Massnahmen, aber die Regulierungs-Welle rollt unaufhaltsam. Schon am 12. Februar 2025 hat der Bundesrat beschlossen, die Ratifizierung der Rahmenkonvention des Europarats zu KI prioritär voranzutreiben. Das Eidgenössische Justiz- und Polizeidepartement (EJPD) ist beauftragt, bis Ende 2026 einen Gesetzesentwurf zur Umsetzung dieser Konvention zu erarbeiten. Dieser Entwurf wird notwendige rechtliche Massnahmen festlegen, insbesondere in den Bereichen Transparenz, Datenschutz, Nichtdiskriminierung und Aufsicht.
Das bedeutet für dich: Auch wenn es (noch) kein 'Schweizer KI-Gesetz' gibt, werden internationale Standards und nationale Anpassungen kommen, die du nicht ignorieren kannst. Parallel dazu wird das Eidgenössische Departement für Umwelt, Verkehr, Energie und Kommunikation (UVEK) in Zusammenarbeit mit anderen Departementen bis Ende 2026 einen Umsetzungsplan für rechtlich nicht verbindliche Massnahmen wie Branchenlösungen oder Selbstverpflichtungserklärungen erstellen. Das zeigt: Der Druck zur KI-Compliance wächst stetig, und wer jetzt nicht handelt, läuft Gefahr, den Anschluss zu verlieren und später teuer nachrüsten zu müssen. Auch das Staatssekretariat für internationale Finanzfragen (SIF) wird voraussichtlich im 2. Quartal 2026 die Ergebnisse einer umfassenden Analyse aller Finanzmarktregulierungen hinsichtlich Lücken und Hürden für die KI-Anwendung veröffentlichen – weitere Impulse für die Regulierung sind also vorprogrammiert.
Für dich als Schweizer KMU im Finanzsektor ist die FINMA-Mitteilung 08/2024, die im Dezember 2024 veröffentlicht wurde und 2026 in Kraft tritt, der wichtigste Wegweiser. Die Eidgenössische Finanzmarktaufsicht (FINMA) hat hier klare Leitlinien zur Governance und Risikosteuerung im Zusammenhang mit Künstlicher Intelligenz festgelegt. Der Grundsatz ist einfach und klar: 'Same business, same risks, same rules'. Das heisst, egal ob du traditionelle Methoden oder hochmoderne KI einsetzt, die Risiken müssen identifiziert, gesteuert und überwacht werden.
Die FINMA identifiziert dabei konkrete Risikobereiche, die du auf dem Schirm haben musst: Dazu gehören operationelle Risiken, insbesondere Modellrisiken wie mangelnde Robustheit, Ungenauigkeit, unzureichende Erklärbarkeit oder Verzerrungen (Bias). Hinzu kommen die bekannten IT- und Cyberrisiken, die durch den Einsatz von KI-Systemen noch komplexer werden können. Du musst eine systematische Risikoidentifikation etablieren und eine kontinuierliche Überwachung deiner KI-Systeme gewährleisten. Das bedeutet, du musst verstehen, welche Daten deine KI verarbeitet, wie sie zu Entscheidungen kommt und welche potenziellen Fehlerquellen es gibt. Ignorierst du diese Vorgaben, setzt du nicht nur dein Geschäft aufs Spiel, sondern riskierst auch direkte Sanktionen der Aufsichtsbehörde. Es ist kein optionales 'Nice-to-have', sondern eine verbindliche Anforderung ab 2026.
Moderne Plattformen wie Amazon Bedrock bieten dir leistungsstarke Bausteine für das Training und die Inferenz von Foundation Models. Sie erleichtern den Zugang zu hochentwickelter KI, aber sie entbinden dich nicht von deiner Verantwortung. Im Gegenteil: Je mächtiger die Tools, desto kritischer ist eine robuste Governance. Die Herausforderung liegt nicht nur im Einsatz der Technologie, sondern vor allem in der sicheren und verantwortungsvollen Integration in deine Geschäftsprozesse. Das heisst: Du musst nicht nur wissen, *was* du einsetzt, sondern auch *wie* und *warum*.
Beginne damit, eine klare interne KI-Strategie zu entwickeln. Das beinhaltet Richtlinien für den Einsatz von KI-Tools, Schulungen für deine Mitarbeitenden im Umgang mit sensitiven Daten und der Vermeidung von 'Shadow AI'. Implementiere technische Massnahmen wie Datenmaskierung oder Anonymisierung, wo immer möglich. Überprüfe deine Modelle regelmässig auf Bias und Erklärbarkeit – besonders wenn sie kundenrelevante Entscheidungen beeinflussen. Führe eine gründliche Due Diligence bei Drittanbietern durch, deren KI-Lösungen du nutzt. Frage nach deren Sicherheitsstandards und Datenverarbeitungsrichtlinien. Denke daran: Die Verantwortung für die Compliance liegt letztlich bei dir. Eine proaktive Governance-Strategie schützt nicht nur vor Risiken, sondern schafft auch Vertrauen bei deinen Kunden und stärkt deine Position im Markt.