ServerBase Blog

Leitfaden Umgang mit KI im Unternehmen Teil 1: Sofortmassnahmen

• Blog
• Inspiration
• IT-Sicherheit

---

 

Das Thema KI ist in aller Munde, wirft viele Fragen auf und dennoch weiss niemand so genau Bescheid. Was müssen Sie als Unternehmer beachten? Wo sollten Sie sofort handeln, und wo lohnt es sich, Zeit zu nehmen und strategisch vorzugehen? Mit dieser Serie möchten wir Sie bei diesen Fragen unterstützen. Praxisnah, mit vielen Informationen, klar und verständlich aufbereitet.

Sofortmassnahmen: Regulieren des unregulierten KI-Einsatzes von Mitarbeitern und Alternativen bieten

Das Wichtigste für jedes Unternehmen, unabhängig von seiner Grösse oder Branche, ist die Klärung und Erarbeitung von Prozessen und Richtlinien zum Umgang mit externen KI-Tools. Viele Mitarbeiter nutzen bereits Tools wie ChatGPT und andere Anwendungen für Analysen und Kommunikation, unabhängig von den Unternehmensvorgaben. Dabei werden Unterneh-mens- und Kundendaten an Dritte weitergegeben, die oft nicht dem Schweizer Recht unterlie-gen, wo die Daten zu Trainingszwecken verwendet werden. Dabei sind diese ausserhalb der Kontrolle des Unternehmens. Hier ist schnelles Handeln gefordert, insbesondere in sensiblen Branchen wie Banking, Treuhand oder Anwaltskanzleien.

 

Strategisches Vorgehen: Risiken, Chancen und Grundlagen für langfristigen Erfolg

Auf diese Aspekte können Sie sich in den folgenden Artikeln freuen. Sie erhalten Inputs und Handlungsempfehlungen zu den wichtigsten Themen rund um die Einführung von KI in Ihrem Unternehmen. Bereits an dieser Stelle sei gesagt: KI ist ein Tool mit viel Potenzial. Die Einfüh-rung von Lösungen, die echten Mehrwert schaffen, ist jedoch ein langer Weg. Sei es zur Un-terstützung der Mitarbeiter, zur Verbesserung des Kundenerlebnisses, zur Automatisierung von Marketing und Kommunikation oder gar bei der Entwicklung von Angeboten und neuen Produkten oder Dienstleistungen. Interessant, mit viel Potenzial, aber auch mit einem hohen Ressourcenbedarf verbunden.

In diesem Teil geht es um die informelle Nutzung und Shadow AI sowie um breit verfügbare, schnelle Alternativen, mit denen Mitarbeitende ihre unmittelbaren Bedürfnisse decken wollen. Es geht dabei weniger um echte Effizienzgewinne – denn auch wenn oft davon gesprochen wird, funktioniert „schnell schnell“ in diesem sensiblen Kontext eher selten.

 

Inhalt Teil 1: Sofortmassnahmen: Regulieren des unregulierten KI-Einsatzes von Mitarbeitern

• Informelle Nutzung von KI durch Mitarbeiter
• Welche Tätigkeiten bergen welche Risiken für das Unternehmen?
• Welche Anwendungen werden von den Mitarbeitern eingesetzt, und wie gut sind diese in Bezug auf den Datenschutz?
• Welche Tools können in den meisten Branchen für die meisten Mitarbeiter ohne weiteres einen Mehrwert bieten?
• Welche Richtlinien sind sinnvoll für den Umgang mit KI-Modellen?
• Was sollte geschult werden?
• Was ist unsere Empfehlung, um das Problem der informellen Nutzung und Shadow AI im Unternehmen zu beheben?

Informelle Nutzung von KI durch Mitarbeiter

Vielen Unternehmen ist nicht bewusst, dass in den meisten Büros bereits KI eingesetzt wird und das ohne Regeln oder Erlaubnis. In der IT spricht man in diesem Zusammenhang oft von Shadow AI. Damit ist der ungeregelte und gegen die Richtlinien verstossende Einsatz von KI durch Mitarbeiter gemeint. Verschiedene Erhebungen sprechen von 30 bis 60 Prozent unreguliertem oder gegen die Regeln verstossendem KI-Einsatz in Unternehmen. Wichtig ist, dass es hier nicht darum geht, dass Ihre Mitarbeiter dem Unternehmen bewusst Schaden zufügen wollen. Sie möchten ihre Arbeit vereinfachen und bessere Leistungen erbringen, zum Beispiel durch verbesserte Berichte, E-Mails oder Blogartikel. Sie sind begeistert von den neuen Tools und den Möglichkeiten, die diese bieten. Sie befinden sich im gleichen Dilemma wie wir alle. Wir sind wie Kinder: offen, verspielt, aber auch naiv und uns unseres Unwissens oft nicht bewusst.

Datenschutz

Oft machen sich nicht nur die Mitarbeiter, sondern auch die Geschäftsleitung keine Gedanken darüber, was dies für den Datenschutz der eigenen Daten und derer von Kunden bedeutet. Der Datenschutz wird oft als lästig empfunden, als etwas, das irgendwie dazugehört, aber nicht so wichtig ist. Oft muss erst ein Vorfall eintreten, damit dies bei Unternehmen an Relevanz gewinnt – vielleicht ist es dann aber bereits zu spät.

Wettbewerbsvorteile verlieren – Kundendaten, Strategien, Geschäftszahlen und F&E

Wenn Sie Daten in ein kostenloses oder Abomodell bei einem Sprachmodell, welches in der Cloud betrieben wird, eingeben, werden diese in der Regel für das Training des Modells ver-wendet. Wir zeigen dies nachfolgend in einer Tabelle ganz konkret auf – welches Tool und welches Abo mit welchem Level an Datenautonomie arbeitet. Das heisst, das Wissen, die Strategien und die Daten Ihrer Kunden, die Sie über Jahre aufgebaut haben, werden für die Schulung und die Antworten Ihrer Mitbewerber genutzt. Was in welcher Form genau genutzt wird, kann Ihnen niemand sagen. Dies liegt an den Funktionsweisen der Modelle, die nicht transparent sind. Nicht einmal die Entwickler können Ihnen genau sagen, welche Auswirkun-gen dies hat. Klar ist einfach, dass Sie mit der Eingabe von Daten diese mit allen teilen, welche das jeweilige Modell nutzen. Entsprechend ist das Risiko nicht von der Hand zu weisen.

Welche Tätigkeiten bergen welche Risiken für das Unternehmen?

Hier eine kurze und einfache Übersicht zu den wichtigsten Einsatzgebieten. Im konkreten Fall kann man dies für ein Unternehmen natürlich noch detaillierter gliedern. Hier geht es darum, einen groben und praxisnahen Überblick zu schaffen.

Tätigkeit	Einstufung	Erläuterung
Forschung & Entwicklung	Höchstes Risiko	Aktiver Forschungseinsatz – hoher Datenverlust: Will ich KI zur aktiven Forschung einsetzen, muss ich die KI mit viel bestehenden Informationen füttern. Dies bedeutet, dass ich viel des erarbeiteten Wissens aus Forschung und Entwicklung preisgeben muss. Hier kann man sich ganz einfach fragen, würde man diese Informationen in einem Businesslunch mit einem Mitbewerber offenlegen? In der Regel eher nicht. Damit ist das Risiko auch schon beschrieben.
Reporting / Reporting-Automatisierung	Hoch kritisch	Komplexität Interpretation und Annahmen: Bei automatischer Report-Erstellung können Zahlen falsch interpretiert oder aus dem Kontext gerissen werden – Vertrauensverlust inklusive. Es handelt sich bei einem Sprachmodell nicht um einen fixen Algorithmus, das heisst, es spuckt jedes Mal ein anderes Ergebnis aus. Umso mehr verschiedene Parameter enthalten sind, steigt die Fehlerquelle exponentiell. Prompting Skills: Es geht weniger um Prompt Skills als darum, genau zu wissen, was man will und was dafür erforderlich ist. Nur dann kann man auch eine detaillierte und sauber strukturierte Anfrage stellen. Dies benötigt mehr Wissen und Zeit, nimmt aber einen Teil der Fehlerquellen. Das Problem ist, dass oft der Mitarbeiter die Zusammenhänge selbst nicht verstanden hat. Wie soll er also einen guten Prompt verfassen?
Analyse	Hoch kritisch	Herausgabe von internen Daten: Bei der Analyse von internen Daten ist es immer hoch kritisch. Dabei werden grössere Datenmengen nach aussen gegeben und in einem unkontrollierten Setting. Fehler Risiko: Das Fehlerrisiko ist extrem hoch. Umso mehr Daten, Variablen und Interpretationsspielraum gegeben ist, wird die Wahrscheinlichkeit von Fehlern grösser. Entsprechend muss das Controlling stimmen.
Automatisierungen	Hoch kritisch	Kontroll- & Datenverlust: Heute kann jeder ohne technisches Skillset E-Mail-Konten, Kalender, Datenbanken mit einer externen KI verknüpfen. Dabei geht für Unternehmen der Datenabfluss und die Datenkontrolle komplett verloren. Risiko Datenkonsistenz: Hier kommen dann zusätzlich die Probleme zum Tragen, dass viele Unternehmen keine Datenkonsistenz haben, teils noch mit diversen Tools und Excel arbeiten und dadurch die Fehlerwahrscheinlichkeit extrem hoch ist.
Dokumentation	Relativ kritisch	Rechtsrisiko – Fehlerhafte Formulierungen: Technische oder rechtliche Dokumentation über KI kann zu Missverständnissen führen, besonders wenn juristische Nuancen nicht verstanden werden.
Schulungen / Lernunterlagen	Relativ kritisch	Inhaltlich korrekt? Bias oder Fehlinformation? Schulungen werden teils automatisiert generiert, ohne Fachexperten-Rückkopplung, dies ist immer ein absolutes Unding.
Überarbeitung	Kritisch	Informationen über Firma und Kunden: Gerade E-Mails, welche am häufigsten überarbeitet werden aus einer Konversation oder einem Sachverhalt neu erstellt werden, gehen immer Informationen nach aussen.
Kommunikation	Kritisch	Schaden des Bildes nach aussen: Erstellung von Kunden- oder Partner-E-Mails birgt Risiken durch automatische Formulierungen, potenziellen Bias oder unbeabsichtigte Offenlegung. Hier muss auch vor dem Versenden kontrolliert werden.
Vibe Coding	Kritisch	Skill und Know-how: Hier ist mehr das Problem bei mangelndem Skillset, fehlendes Wissen und Verständnis für die Kontrolle. Modularisierung / Modulare Architektur: Macht Sinn für die Kontrolle und die schnelle Behebung bei Fehlern besser. Kontrolle: Ist noch wichtiger. Dies doppelt, den Code auf Funktionalität testen und am besten den Code auch noch auf Schwächen und Fehler von einem anderen KI-Modell gegenchecken lassen.
Code-Controlling	Kritisch	Modular: Hier macht es Sinn, im Sinne der Kontrolle über den Code und das geistige Eigentum modular vorzugehen. Am besten in einer selbstgehosteten Open-Source-Umgebung oder für gewisse Codes noch vertretbar: Enterprise-Lösungen.
Research	Relativ unkritisch	Keine internen Informationen für Recherche: Wenn bei der Anfrage keine Unternehmens- und Kundendaten eingespeist werden, ist dieser Teil unproblematisch. Quellenkontrolle/Faktencheck: Dies ist auch, oder noch mehr und zwar inhaltlich bei KI-Recherchen, sicherzustellen. Dies gilt besonders, wenn die aus der Recherche gewonnenen Informationen die Grundlage für Entscheidungen bilden. Das Gleiche gilt aber auch bei Recherchen für die Kommunikation nach aussen.
Ideengewinnung	Relativ unkritisch	Informationen über Firma und Kunden: Hier kommt es darauf an, wie viele und welche Informationen eingespeist werden, um Vorschläge zu erstellen. Hier gilt: weniger ist mehr und wenn, dann stark anonymisiert in hypothetischer Form.

 

Welche Anwendungen werden von den Mitarbeitern eingesetzt und wie gut sind diese in Bezug auf den Datenschutz?

Generell gilt: On-Premises beziehungsweise eine dedizierte Cloud eines Schweizer Anbieters mit einem Open-Source-Modell ist der Goldstandard. Hier geht es jedoch um die Tools, die Mitarbeiter täglich im informellen Rahmen nutzen, also einfach zugänglich sind. Um hier Regeln zu definieren und die Mitarbeiter zu schulen, müssen Sie wissen, worauf Sie achten müssen und welche Tools sich dafür inwiefern eignen.

 

Tools im Vergleich

Tool	Firma & Sitz	Rechenzentrums Standorte	Geltende Gesetzgebung	Risikobewertung	Nicht eingeloggt	Eingeloggt – Free	Paid – Pro	Enterprise / Private	Enterprise (Einstiegspreis p.P.)
Le Chat	Mistral AI, Paris, Frankreich	Frankreich	DSGVO, nDSG	Tief: Firmensitz und Rechenzentren sind in der EU / Frankreich	❌ Shared-Testmodus	🔸 Free: Shared	🔸 Pro (~15 EUR/Monat): Shared-Tenant, mehr Nutzung, Shared-Team-Modus verhindert Training im Team	✅ Enterprise: Self host/VPC/Mistral Cloud, volle Datenkontrolle	Auf Anfrage – keine öffentliche Angabe
Gemini	Google LLC, Mountain View, USA	Global – USA, EU (z. B. Deutschland), APAC	Cloud Act, DSGVO (EU), nDSG (CH)	Cloud Act mittel bis hoch	❌ Shared, keine Isolation	🔸 Free via Workspace – Shared, Googles Training möglich	🔸 Workspace Pro/Business: Shared, aber keine Training-Nutzung; DLP/Admin-Kontrollen möglich	✅ Gemini Enterprise: dediziert, keine Modellweitergabe, EU-Region, Admin/Compliance	Ca. 30 USD/Monat (jährlich)
ChatGPT	OpenAI, San Francisco, USA	USA v. a. Texas; Server bald Indien/UAE	Cloud Act, DSGVO, nDSG	Cloud Act mittel bis hoch	❌ Shared Cloud; Eingaben geloggt und potentiell trainiert	🔸 Free/Plus ($20 $25 p.M.): personalisiert, Shared Tenant, Logging, Training möglich	🔸 Pro ($200 p.M.): Shared Tenant, Training-Opt Out möglich, aber keine Admin-Kontrolle	✅ Enterprise: dedizierte Instanz, SSO, EU-Hosting optional, keine Trainingsnutzung, Datenhoheit	ca. 60 USD/Monat, ≥150 Seats
Grok	xAI (Elon Musk), USA	Wahrscheinlich USA (xAI Infrastruktur) + Web frontend	Cloud Act, DSGVO/nDSG	Cloud Act mittel bis hoch	❌ Public/Web/App Shared	🔸 Free/Premium via X Premium: Shared, Training möglich	🔸 Premium+: Shared, höhere Limits, aber keine Isolation	❌ Kein Enterprise-Modus verfügbar	Nicht verfügbar
Claude	Anthropic, USA	USA, AWS GovCloud für Gov-Modelle	Cloud Act, DSGVO/nDSG	Cloud Act mittel bis hoch	❌ Public Demo Shared	🔸 Free/Pro ($17 20 p.M.): Shared Tenant, Training möglich	🔸 Max ($100/$200 p.M.): Shared, mehr Nutzung	✅ Enterprise: Workspace-Instanz, VPC, SSO, Admin-Kontrollen, keine Trainingsnutzung	ca. 60 USD/Monat, ≥70 Seats
DeepSeek	DeepSeek (High Flyer), Hangzhou, China	China (vermutlich Hangzhou) + globale API	Chinesisches Datenschutzrecht + lokale Regulierungen	China hoch	❌ Shared-API China	🔸 Free/API Tier: Shared, hohe Datenrisiken	🔸 Paid API Tarife: Shared API, höhere Nutzung, aber keine Isolation	❌ Kein Enterprise, keine dedizierte Instanz	Nicht verfügbar

 

Wie zu sehen ist, gewährleisten alle Tools in den Modellen, welche die Mitarbeiter privat und somit informell nutzen, nicht, dass die Daten nicht direkt oder indi-rekt abfliessen.

• Direkt: Datendiebstahl oder Einsicht durch Behörden, wie über den Cloud Act in den USA.
• Indirekt: Die eingegebenen Daten werden genutzt, um andere Aufgaben bei Mitbewerbern zu erledigen. Dabei kann Wissen, das von Ihnen stammt, genutzt werden. Das Problem ist, dass weder Sie, der Anbieter noch der Mitbewerber dies merken. Dies ist eine Eigenheit der Funktionsweise von KI.

 

Welche Tools können in den meisten Branchen, für die meisten Mitarbeiter ohne weiteres einen Mehrwert bringen?

Ist der Geist einmal aus der Flasche, bekommt man ihn nicht mehr zurück. Der Geist in unserem Fall ist der Einsatz von KI im Geschäftsalltag. Wie wir später noch aufzeigen werden, ist der Effizienzgewinn, wenn die Resultate kontrolliert und qualitativ hochwertig sein sollen, gar nicht so hoch. Die Resultate können aber durchaus besser sein. Allerdings hat sich die Arbeitsweise verändert und sie können das Rad schlecht zurückdrehen. Viele würden sich nicht daran halten und andere wären vielleicht frustriert, was die Performance sinken lassen könnte. Beides sind Dinge, die sie nicht wollen. Also bieten sie schnell die beste Lösung an, die sie kurzfristig zu überschaubaren Kosten bereitstellen können.

 

Welche Funktionen sind wie relevant?

Wichtig: Die Fragestellung und die Relevanz werden hier auf der Basis bewertet, für wie viele Menschen die jeweilige Funktion einen Mehrwert im Arbeitsalltag bieten kann. Dies wohlgemerkt ohne eine vertiefte KI-Strategie und eine geplante Integration, sondern mit einer Schulung und Bereitstellung für alle Mitarbeiter in Ihrem Unternehmen. Wie in der folgenden Tabelle zu sehen ist, kann für einzelne Branchen und Jobs ein als Relevanz «klein» bezeichnetes Tool dort einen extrem hohen Mehrwert haben. Hier geht es aber um einen schnellen Überblick, damit Sie als Entscheidungsträger einen Überblick haben und entscheiden können.

Funktion	Beschreibung	Nutzen	Einsatzgebiet	Relevanz	ChatGPT	Claude	Mistral AI (Le Chat)	Gemini	Grok	DeepSeekChat
Chatbot / Sprachmodell	Interaktiver KI-Assistent für In- und Output-Verarbeitung	Sofortige Antworten, Assistenz, Skalierbarkeit	Support, HR, Wissensarbeit	sehr hoch	✅	✅	✅	✅	✅	✅
Internet-Recherche	Live-Webzugriff, Quellenprüfung, Deep-Research-Agenten	Fundierte Recherche in Echtzeit	Strategie, Marktanalyse, PR	sehr hoch	✅	✅	✅	✅	✅	❌
Dokumentenanalyse	Analyse von PDFs, Formaten, Bildern, Eingabe via Upload	Verträge, Berichte effizient prüfen	Legal, Finanzen, Audits	sehr hoch	✅	✅	✅	✅	✅	✅
Multimodalität	Verarbeitung von Text, Bild, Code, Audio kombiniert (auch Video-Input für Gemini)	Komplexe Medienaufgaben in einem Tool	Support, Kreativ, Dev, Forschung	sehr hoch	✅	✅	✅	✅	✅	✅
Automationsplattform-Integration	Schnittstellen zu Zapier, PowerAutomate usw.	Ende-zu-Ende Automatisierung ohne Programmieraufwand	Marketing, Sales, IT, Prozesse	hoch	✅	✅	✅	⚠️	⚠️	❌
Datenvisualisierung	Automatische Charts / KPI Reporting aus Daten	Schnell verständliche Reports, bessere Entscheidungen	Controlling, BI, Finanzen	hoch	✅	✅	✅	✅	❌	❌
Bildgenerierung	Generierung von Bildern: Text zu Bild, Bild und Text zu Bild	Marketingbilder, Mockups, Kreativinhalte	Marketing, Design	mittel	✅	✅	✅	✅	✅	❌
Sprachsynthese (TTS)	Natürliche Sprachausgabe von Texten	Voice-Overs, barrierefreier Content	E-Learning, Assistenz	mittel	✅	✅	❌	✅	✅	❌
KI-Agenten (autonom)	Ausführung mehrstufiger Aufgaben (Recherche, Planung etc.)	Vollautomatisierte Backoffice-Tasks	Backoffice, Planung, Projektassistenz	mittel	✅	✅	✅	⚠️	✅	❌
Code-Analyse & -Ausführung	Erklärung und Ausführung von Code-Snippets, Debugging	Automatisierte QA, Test, Debugging	DevOps, QA, Entwicklung	klein	✅	✅	✅	✅	✅	❌
Coding (Generierung)	KI-generierte Programmierhilfe	Schnelles Prototyping, Effizienzsteigerung	Entwicklung, RPA, Tools	klein	✅	✅	✅	✅	✅	✅
Videogenerierung	Generierung von Videos: Text zu Video, Bild und Text zu Video	Skalierbare Video-Inhalte für Schulung oder Werbung	E-Learning, Marketing, Social Media	klein	✅	❌	❌	✅	❌	❌

Welche Richtlinien sind sinnvoll für den Umgang mit KI-Modellen?

Hier geht es darum, diese Richtlinien so einfach und klar wie möglich zu gestalten.

Abteilung-/Funktionsbezogen

Gestalten sie die Regeln für eine Tätigkeit wie «E-Mail verfassen auf Basis von Stichworten» abhängig von der Abteilung oder Funktion. Das Risiko in der externen Kommunikation ist sehr gering, schliesslich gehen die Informationen ohnehin nach aussen; die Frage ist nur wie und in welcher Form. Bei E-Mails mit potenziel-len Kunden und bestehenden Kunden sieht die Situation im Sales-Bereich anders aus und nochmals anders, wenn es um die Buchhaltung geht. Wir empfehlen hier, nicht zu tief in die Anwendungen einzusteigen und es dadurch zu komplex zu machen, sondern mehr auf die Abteilungen zu fokussieren. Dies ist in der Regel ein-facher und klarer für alle Beteiligten.

Einfache Beispiele, die klar sind

Arbeiten Sie mit einfachen, klaren Anwendungsbeispielen. Verwenden Sie keine Aussagen wie «E-Mails mit vertraulichem Inhalt» oder «Präsentationen mit internen Zahlen». Solche Formulierungen führen zu Diskussi-onen, und Sie müssen genau definieren, was vertraulich ist und was nicht, was die Sache extrem komplex macht. Komplexität führt dazu, dass Richtlinien ignoriert werden – entweder aus Angst vor Konsequenzen wird dann gar nicht mit den Tools gearbeitet oder trotz Unklarheit und Unverständlichkeit werden die Regeln missachtet.

Wenn sie jedoch sagen, dass die E-Mail-Erstellung für die folgenden Funktionen oder Abteilungen erlaubt ist und für diese nicht, mag dies nicht immer fair erscheinen, aber es ist klar und verständlich.

Hier unser Input, wie Sie anhand dessen eine Liste für ihr Unternehmen erstellen können.

Funktion	Anwendungsbeispiel	Risikobewertung
Dokumentenanalyse	Analyse eines Vertragsdokuments	Sehr hoch
KI-Agenten	Automatisiertes Zusammenstellen von Berichten aus internen Systemen	Sehr hoch
Chatbot	E-Mail verfassen auf Basis-E-Mail-Verlauf	Hoch
Chatbot	Korrektur von interner Kommunikation	Hoch
Internet-Recherche	Recherche auf Basis von internen Projektinfos	Hoch
Coding	Optimierung von produktivem Quellcode	Hoch
Code-Analyse	Fehlersuche in produktivem Unternehmenscode	Hoch
Sprachsynthese	TTS mit sensiblen Unternehmensinhalten	Hoch
Automationsplattform	Automatisierter Export von Kalenderdaten	Hoch
Videogenerierung	Onboarding-Video mit echten Mitarbeitenden	Hoch
Dokumentenanalyse	Zusammenfassung eines Whitepapers	Mittel
Chatbot	E-Mail verfassen auf Basis von Stichworten ohne Personenangaben und Unternehmensangaben	Mittel
Bildgenerierung	Erstellung eines Diagramms basierend auf internen Daten	Mittel
Chatbot	Überarbeitung von externen Texten (z.B. Website)	Mittel
KI-Agenten	Erstellung eines Statusberichts aus öffentlich zugänglichen Daten	Mittel
Automationsplattform	Automatisierte Erstellung eines Standard-Newsletters	Mittel
Internet-Recherche	Recherche zu Marktbegleitern	Niedrig
Coding	Erstellung eines einfachen Skripts basierend auf Beschreibung	Niedrig
Code-Analyse	Erklärung eines Code-Snippets aus Öffentlicher Datenbank (Keine Firmeneigenen)	Niedrig
Bildgenerierung	Erstellen eines Illustrationsbilds für einen Blogpost	Niedrig
Videogenerierung	Erklärvideo zu Produktfeature basierend auf offenen Informationen	Niedrig
Sprachsynthese	Text-to-Speech für öffentliches Video	Niedrig

Sie erstellen eine Liste in diesem Stil und definieren dann was erlaubt ist mit externen Tools und mit welchen Tools. Wie Sie ja gesehen haben ist ausserhalb des Enterprise Angebotes jedes Tool mit Risiken behaftet.

Was soll geschult werden?

Hier kurz und knapp das Wichtigste. Diese Liste ist bei Weitem nicht abschliessend und auch allgemein gehalten. Generell sollten Sie dies nutzen, um auch den Datenschutz, sprich die Gesetzgebung und die entsprechenden Regelungen im Detail durchzugehen und auch entsprechende Unterlagen als Handout den Mitarbeitern abzugeben und elektronisch bereitzustellen.

Stichwort	Bedeutung	Konsequenzen	Worst Case (realistisch durchgespielt)
Informelle KI-Nutzung	Nutzung von KI durch Mitarbeitende ohne Zustimmung, Regeln oder Schutzmassnahmen	Unkontrollierte Datenverarbeitung, DSGVO-Verstoss, Reputationsverlust	Eine Mitarbeiterin aus der Buchhaltung lädt den aktuellen Quartalsbericht mit Umsatz-, Absatz- und Forecast-Daten in ChatGPT (nicht Enterprise), um eine Zusammenfassung für das Management zu erstellen. Die KI speichert die Eingabe und verwendet sie zum Training. Zwei Wochen später fragt ein Mitbewerber nach der Entwicklung der Mitbewerber. ChatGPT liefert eine detaillierte Analyse, die exakt den Aufbau, Formulierungen und Schlüsselzahlen des Berichts enthält.
Shadow AI	Gezielte, aber unerlaubte Nutzung von KI-Tools durch technisch affine Mitarbeitende	Kontrollverlust, juristische Risiken, mögliche Kompromittierung von Unternehmens-Know-how	Ein Entwickler nutzt sein privates Claude-Pro-Abo, um den Code einer internen Plattform zu debuggen – inklusive Zugriffstoken und Geschäftslogik. Claude verwendet die Anfrage im Shared Tenant. Wochen später fragt ein Externer nach „Best Practices für Kundenzugang in Versicherungsportalen“ und erhält eine Antwort, die exakt die verwendete Logik inklusive Variablennamen widerspiegelt.
Dedizierte Umgebung	Offiziell genehmigte, abgesicherte KI-Lösungen mit Datenisolation, Logging und Trainingsschutz	Sicherheit ist gegeben – aber nur bei konsequenter Nutzung	Das Unternehmen hat ChatGPT Enterprise lizenziert, doch einzelne Teams verwenden weiterhin die reguläre Plus-Version „aus Bequemlichkeit“. Eine Führungskraft lädt Finanzdaten in ihren privaten Pro-Account. Die Daten werden gespeichert und (versehentlich) trainiert. In einem späteren öffentlichen Beispiel verwendet GPT einen ähnlichen Textstil und dieselben Metriken in einer Präsentation für einen Drittanbieter.
Datenmissverständnis	Annahme, dass Free- oder Pro-Versionen "privat genug" seien	Mitarbeitende handeln in gutem Glauben, aber verletzen Sicherheitsanforderungen	Eine Praktikantin in der Produktentwicklung denkt, dass Gemini „in Google gespeichert und daher sicher“ ist. Sie laden den geplanten Funktionsumfang eines neuen Produkts ein, um daraus ein besseres FAQ zu erstellen. Das Modell speichert die Daten und verwendet sie. Zwei Wochen später erscheinen sehr ähnliche Formulierungen in der Antwort auf eine Nutzeranfrage bei einem Mitbewerber, der Gemini ebenfalls nutzt.
Tool-Hopping / Fragmentierung	Mitarbeitende wechseln je nach Präferenz zwischen Claude, Mistral, Grok etc., ohne Freigabe oder Abstimmung	Unternehmensdaten sind verstreut, Audit & Kontrolle unmöglich	Ein Projektmanager lädt Projektplanungsdaten in Claude, KPI-Ziele in Mistral und Abteilungsberichte in Grok, weil er „überall das Beste rausholen“ will. Keine der Plattformen ist offiziell freigegeben. Einige Wochen später erscheinen KPIs und Zielkonflikte in öffentlich zugänglichen Beispielen in Claude und Grok, die Rückschlüsse auf das Unternehmen zulassen.
Datenschutz & DSGVO/nDSG	Gesetzliche Grundlagen zum Umgang mit personenbezogenen und sensiblen Daten	Strafzahlungen, Reputationsverlust, Vertragsverletzungen	MA kopiert Kundendaten in ChatGPT für einen Antwortvorschlag – das Unternehmen wird wegen Datenschutzverstosses abgemahnt.

Wie soll die Schulung aufgebaut sein?

 

Bewusstseinsbildung

Hier geht es darum, das Bewusstsein zu schärfen:

• Was kann man mit KI machen?
• Wie arbeiten KI-Modelle?
• Wie lernen KI-Modelle?
• Was verwenden welche Modelle für das Training?
• Was hat dies für Folgen?
• Was ist relevant im Umgang mit KI im Geschäftsalltag?

Es ist wichtig, dass die Teilnehmer verstehen, wie KI funktioniert und welche Auswirkungen der Einsatz von KI auf den Geschäftsalltag hat. Dies umfasst auch das Verständnis von ethischen Überlegungen und potenziellen Risiken.

 

Unterscheidung legal / illegal

Dies bezieht sich auf das Gesetz. Hier geht es also nicht darum, was ich als Unternehmen erlaube und was nicht, sondern was bezüglich des Datenschutzgesetzes überhaupt erlaubt ist mit Daten von Kunden:

• Welche Daten sind Kundendaten?
• Wo dürfen diese verarbeitet werden?

Hier wird klar, dass bereits gesetzlich das meiste ohne Information der Kunden nicht erlaubt ist, insbesonde-re in Umgebungen, die nicht klar getrennt sind, wie beispielsweise Enterprise-Umgebungen.

 

Richtlinien & Tools vorstellen

• Was ist aus welchen Gründen wie geregelt?
• Welche Tools werden allenfalls vom Unternehmen zur Verfügung gestellt?

Dazu haben wir bereits Beispiele aufgezeigt. Es ist wichtig, dass die Mitarbeiter wissen, welche Tools sie verwenden dürfen und welche nicht. Dies hilft, Missverständnisse zu vermeiden und die Sicherheit zu gewährleisten.

 

Rollenspiel / Szenarien-Training

Praxisbeispiele durchgehen und „Was würdest du tun?“-Fragen stellen. Hier geht es darum, das Ganze praxisbezogen zu vertiefen. Rollenspiele und Szenarien helfen den Teilnehmern, das Gelernte in realen Situationen anzuwenden und ihre Entscheidungsfähigkeiten zu verbessern.

 

Test

Klingt altmodisch, aber am besten sind regelmässige Szenarientrainings. Es geht nicht um einen Test im klassischen Sinn, sondern darum, dass die Themen präsent bleiben. Regelmässige Übungen helfen, das Wissen zu festigen und sicherzustellen, dass die Mitarbeiter die Richtlinien und Verfahren nicht vergessen.

 

Dokumentation / Meldemechanismus

• Alle Infos und Regeln müssen den Mitarbeitern in einfacher und klarer Form elektronisch zur Verfü-gung gestellt werden.
• Ein Meldemechanismus sollte kommuniziert werden, wie neue Anwendungen beantragt werden kön-nen und bei welcher Stelle.

Es handelt sich schliesslich um ein überaus dynamisches Umfeld und es ist wichtig, dass die Mitarbeiter wis-sen, wie sie neue Tools vorschlagen und Feedback geben können.

Was ist unsere Empfehlung um das Problem der Informellen Nutzung und Shadow AI im Unternehmen zu beheben?

 

Regeln und Prozesse definieren

Definieren Sie klare Regeln im Umgang mit KI-Modellen. Erarbeiten Sie Prozesse, die es ermöglichen, den Umgang dynamisch weiterzuentwickeln. Dies umfasst:

• Wie Mitarbeiter die Nutzung von Tools in neuen Kontexten beantragen können.
• Wie neue Tools vorgeschlagen und bewertet werden können.
• Wie neue Mitarbeiter geschult werden.
• Wer neue Szenarien entwickelt und verantwortlich ist für die kontinuierliche Schulung

Es ist wichtig, dass diese Prozesse klar kommuniziert und leicht zugänglich sind, damit Mitarbeiter wissen, wie sie vorgehen sollen, wenn sie neue Anwendungen oder Kontexte für bestehende Tools vorschlagen möchten.

 

Alternative anbieten

Bieten Sie den Mitarbeitern eine Lösung auf Enterprise-Level, die alles abdeckt, was für sie relevant ist. Hier empfehlen wir Mistral AI, da alles in Europa gehostet wird, einschliesslich der Rechenzentren und des Unter-nehmenssizes, was den Datenschutz erst wirklich gewährleistet. Zudem kann dieses Modell bei Bedarf und Nutzung mit hochsensiblen Daten auch On-Premises und in einer dedizierten Schweizer Cloud-Umgebung betrieben werden. Da die Mitarbeiter das Tool bereits kennen, sollte der Umstieg weniger Probleme bereiten. Mistral AI bietet zudem fast in jedem Bereich eine Lösung an. Das Bedeutet sie können ihren Mitarbeitern etwas bieten das alles kann und damit minimieren sie die Gefahr der nicht erlaubten und nichtgewollten Nut-zung von unsicheren oder unkontrollierten Tools.

 

Schulung

Die Schulung der Mitarbeiter zu den Themen sollte wiederholt und angepasst werden, um sicherzustellen, dass alle auf dem neuesten Stand sind. Diese Schulungen sollten auch ein fester Bestandteil der Einarbeitung neuer Mitarbeiter sein. Die Schulungen sollten folgende Aspekte umfassen:

• Bewusstseinsbildung: Schärfung des Bewusstseins für die Möglichkeiten und Grenzen von KI, wie KI-Modelle funktionieren und lernen, und welche Folgen die Nutzung hat.
• Unterscheidung legal/illegal: Klärung, welche Daten Kundendaten sind und wo diese verarbeitet wer-den dürfen, unter Berücksichtigung der gesetzlichen Vorgaben.
• Richtlinien und Tools: Vorstellung der Unternehmensrichtlinien und der zur Verfügung gestellten Tools.
• Rollenspiel/Szenarien-Training: Praxisbeispiele und „Was würdest du tun?“-Fragen, um das Gelernte praxisbezogen zu vertiefen.
• Tests: Regelmässige Szenarientrainings, um das Wissen zu festigen und sicherzustellen, dass die Themen präsent bleiben und verstanden wurden.
• Dokumentation/Meldemechanismus: Bereitstellung aller Informationen und Regeln in einfacher und klarer Form sowie Kommunikation eines Meldemechanismus für neue Anwendungen.

Durch diese umfassende Schulung und klare Richtlinien können Unternehmen sicherstellen, dass ihre Mitar-beiter KI-Tools sicher und effektiv nutzen.

« Zurück zum Blog