Die Verlockung ist gross: Für nur 100 US-Dollar im Monat bietet ChatGPT Pro Zugang zu den neuesten Modellen, schnelleren Antworten und mehr Funktionen. Viele Schweizer KMU sehen darin eine einfache Möglichkeit, die Produktivität zu steigern – sei es für Marketingtexte, die Ideenfindung oder die schnelle Beantwortung von Kundenanfragen. Doch genau hier beginnt das Minenfeld. Was auf den ersten Blick wie ein Schnäppchen aussieht, kann bei unbedachtem Einsatz schnell zu hohen Folgekosten führen, die weit über die monatliche Gebühr hinausgehen.
Das Problem liegt oft im Detail: Wo werden die Daten verarbeitet, die du in ChatGPT eingibst? Sind die Server in der EU, den USA oder sonstwo? Wer hat Zugriff auf diese Daten? Bei Standard-Consumer- oder Pro-Abos ist die Kontrolle über deine Geschäftsdaten und insbesondere über personenbezogene Daten oft stark eingeschränkt. Das revidierte Schweizer Datenschutzgesetz (DSG), das seit dem 1. September 2023 in Kraft ist, stellt hier klare Anforderungen. Jede Übermittlung von Personendaten ins Ausland muss bestimmten Kriterien genügen. Wenn du beispielsweise Kundendaten oder Mitarbeiterinformationen in ein KI-Tool eingibst, ohne die Datenflüsse und die Datenschutzbestimmungen des Anbieters genau zu kennen, riskierst du nicht nur eine Verletzung des DSG, sondern auch einen Vertrauensverlust bei deinen Kunden und Partnern.
Ein konkretes Beispiel aus dem Schweizer KMU-Alltag: Ein Marketingleiter nutzt ChatGPT Pro, um personalisierte E-Mail-Kampagnen zu erstellen. Dafür kopiert er Kundensegmente mit Namen, E-Mail-Adressen und Kaufhistorie in das Tool, um massgeschneiderte Texte zu generieren. Er spart Zeit, keine Frage. Aber er übermittelt potenziell sensitive Personendaten an einen Drittanbieter, dessen Datenschutzstandards und Serverstandorte er nicht vollumfänglich kontrolliert. Ohne eine klare Rechtsgrundlage und die Einhaltung der Vorgaben des DSG kann das zu Problemen führen, von Bussen bis hin zu Reputationsschäden. Die 100 CHF wirken da plötzlich verschwindend klein im Vergleich zu den möglichen Konsequenzen.
Während du vielleicht noch überlegst, ob ChatGPT Pro die richtige Wahl ist, setzen Grosskonzerne wie CyberAgent bereits auf fortschrittlichere Lösungen wie ChatGPT Enterprise und Codex. Der entscheidende Unterschied liegt nicht nur im Funktionsumfang, sondern vor allem in den Sicherheits- und Governance-Features. Mit Enterprise-Lösungen erhalten Unternehmen deutlich mehr Kontrolle über ihre Daten, erweiterte Sicherheitsfunktionen und oft auch die Möglichkeit, Modelle in einer isolierten, geschützten Umgebung zu betreiben.
CyberAgent's Schritt, ChatGPT Enterprise und Codex zu nutzen, zeigt, dass sie die immensen Vorteile von KI erkennen, aber gleichzeitig die damit verbundenen Risiken ernst nehmen. Sie können ihre Daten in einer Art und Weise nutzen, die ihren Compliance-Anforderungen genügt. Das bedeutet in der Regel: Daten werden nicht für das Training der allgemeinen Modelle verwendet, es gibt strengere Zugriffskontrollen, umfassendere Audit-Protokolle und oft auch die Möglichkeit, die Datenhaltung auf bestimmte Regionen zu beschränken. Für ein Schweizer KMU mag eine Enterprise-Lösung von OpenAI finanziell unerreichbar erscheinen, doch die dahinterliegende Denkweise ist übertragbar: Es geht darum, Bewusstsein für Datenflüsse und -sicherheit zu schaffen.
Was können wir von CyberAgent lernen? Es ist die Notwendigkeit einer klaren Strategie für den KI-Einsatz. Es reicht nicht, einfach ein Abo abzuschliessen. Du musst wissen, welche Daten du verarbeitest, wohin sie gehen und welche Risiken damit verbunden sind. Das bedeutet, interne Richtlinien zu entwickeln, Mitarbeitende zu schulen und zu prüfen, ob die genutzten Tools den Anforderungen des Schweizer DSG und des bald relevanten EU AI Act genügen. Schnelligkeit ist gut, aber Sicherheit und Compliance sind nicht verhandelbar. Wer schneller sein will, muss zuerst smarter sein in Bezug auf Governance.
Das revidierte Schweizer Datenschutzgesetz (DSG) ist seit dem 1. September 2023 in Kraft und hat die Anforderungen an den Umgang mit Personendaten deutlich verschärft. Es ist technologieneutral formuliert, was bedeutet, dass es direkt auf den Einsatz von KI-Systemen anwendbar ist. Wenn dein KMU KI-Tools nutzt, die Personendaten verarbeiten – und das ist bei vielen Anwendungen der Fall, sobald Menschen involviert sind – musst du die Grundsätze des DSG einhalten. Dazu gehören die Transparenzpflicht, die Datenminimierung, die Sicherheit der Daten und die Rechenschaftspflicht. Das bedeutet, du musst nachweisen können, dass du die Daten gesetzeskonform verarbeitest.
Aber es kommt noch mehr: Der EU AI Act, der voraussichtlich 2026 vollumfänglich zur Anwendung kommt, wird auch für viele Schweizer KMU relevant sein. Obwohl es ein EU-Gesetz ist, hat es extraterritoriale Wirkung. Das heisst, wenn dein KMU KI-Systeme anbietet oder nutzt, die Auswirkungen auf Personen in der EU haben oder deren Daten verarbeiten, musst du dich unter Umständen auch an dieses Gesetz halten. Der EU AI Act klassifiziert KI-Systeme nach Risikostufen (von minimal bis hochriskant) und stellt für jede Stufe spezifische Anforderungen an Entwicklung, Einsatz und Überwachung. Für hochriskante Systeme sind zum Beispiel umfangreiche Konformitätsbewertungen und Risikomanagementsysteme vorgeschrieben. Das ist keine ferne Zukunftsmusik, sondern eine Realität, auf die du dich vorbereiten musst.
Was heisst das konkret für dich und dein KMU? Du solltest jetzt damit beginnen, eine Bestandsaufnahme deiner aktuellen KI-Nutzung zu machen. Welche KI-Tools setzt du ein? Welche Daten werden dabei verarbeitet? Handelt es sich um Personendaten? Wo werden diese Daten gespeichert und wer hat Zugriff darauf? Eine Risikoanalyse ist unerlässlich, um potenzielle Schwachstellen zu identifizieren. Überprüfe die Verträge mit deinen KI-Anbietern – bieten sie ausreichende Garantien für den Datenschutz? Oft sind Anpassungen der technischen und organisatorischen Massnahmen (TOMs) erforderlich, um die Compliance zu gewährleisten. Warte nicht, bis die ersten Bussgelder oder Rechtsstreitigkeiten drohen.
Die gute Nachricht ist: Du bist der Komplexität nicht hilflos ausgeliefert. Es gibt konkrete, praxisnahe Schritte, die du als Schweizer KMU unternehmen kannst, um KI sicher und DSG-konform zu nutzen. Der erste und wichtigste Schritt ist die Sensibilisierung und Schulung deiner Mitarbeitenden. Viele Datenschutzverletzungen entstehen nicht aus böser Absicht, sondern aus Unwissenheit. Erkläre deinem Team, welche Daten nicht in öffentliche KI-Tools eingegeben werden dürfen und welche internen Richtlinien es gibt. Eine einfache interne Richtlinie, die den Einsatz von KI-Tools regelt, ist ein guter Anfang.
Zweitens: Führe eine Liste aller in deinem KMU verwendeten KI-Tools. Für jedes Tool solltest du dokumentieren, welche Daten es verarbeitet, zu welchem Zweck, wo die Daten gespeichert werden und welche Datenschutzbestimmungen der Anbieter hat. Diese Transparenz ist nicht nur für die Compliance wichtig, sondern hilft dir auch, den Überblick zu behalten und Doppelspurigkeiten zu vermeiden. Wo immer möglich, solltest du auf datenschutzfreundliche Alternativen setzen oder die Nutzung von Personendaten minimieren (Datenminimierung).
Drittens: Erwäge die Benennung eines internen 'KI-Verantwortlichen' oder einer Person, die sich um die Governance kümmert. Diese Person muss kein Datenschutzexperte sein, sollte aber die Prozesse überwachen, Schulungen organisieren und als Ansprechpartner für Fragen rund um den KI-Einsatz dienen. Für kritische Anwendungen, insbesondere wenn hochriskante KI-Systeme zum Einsatz kommen könnten, ist eine detailliertere Folgenabschätzung gemäss DSG unerlässlich. Denke daran: Proaktives Handeln ist immer günstiger als reaktives Flicken nach einem Problem. Indem du jetzt die Weichen stellst, schützt du nicht nur dein KMU vor rechtlichen Fallstricken, sondern stärkst auch das Vertrauen deiner Kunden und Partner in deine digitale Kompetenz.