# KI im Unternehmen: Was wir von der FER Genève Abend mitnehmen - Publication : 06/03/2026 - Temps de lecture : 7 min de lecture - Auteur : Guillaume Wir hatten das Glück, an einem Abend teilzunehmen, der von der **FER Genf** (Föderation der Romand-Unternehmen) in Zusammenarbeit mit **The Good Token Society** organisiert wurde, zu einem Thema, das uns direkt betrifft: *KI im Unternehmen — verstehen, entscheiden, einrahmen*. Zwei Panels, ein gut gefüllter Raum, Referenten aus der technischen, rechtlichen und institutionellen Welt. Hier sind die wichtigsten Erkenntnisse. ## Die Daten: wohin sie gehen, was sie werden Das ist der unverzichtbare Ausgangspunkt. Wenn ein Mitarbeiter eine Frage an ein KI-Tool stellt, geht seine Daten zu einem Rechenzentrum — oft ins Ausland — um verarbeitet zu werden, und kommt in Form einer Antwort zurück. Auf den ersten Blick einfach. Aber die wahren Fragen liegen woanders: - Unter welcher Jurisdiktion befindet sich dieses Rechenzentrum? - Werden die Daten gespeichert, wiederverwendet, zur Schulung des Modells genutzt? - Wer hat Zugang dazu und unter welchen rechtlichen Bedingungen? Ein oft übersehener Punkt: Selbst wenn Ihre Daten *physisch* in der Schweiz bei einem amerikanischen Anbieter gehostet werden, unterliegen sie weiterhin dem amerikanischen Recht — und sind potenziell für die US-Behörden zugänglich. Geografie reicht nicht aus. Die wesentliche Unterscheidung, die man vor der Wahl eines Tools treffen sollte: **verwendet der Anbieter meine Daten zur Schulung seines allgemeinen Modells?** Wenn ja, verlieren Sie die Kontrolle. Die Antwort sollte systematisch nein sein — und vertraglich garantiert werden. ## Proprietäre Modelle vs Open Source: eine falsche Hierarchie Es wurde lange geglaubt, dass proprietäre Modelle (OpenAI, Anthropic, Google…) unvergleichlich überlegen sind gegenüber Open-Source-Modellen. Diese Lücke schließt sich sehr schnell. Open-Source-Modelle — ob sie von Mistral in Europa oder von asiatischen Laboren stammen — erreichen heute vergleichbare Leistungen in vielen Anwendungsfällen. Der Vorteil von Open Source: Sie können es selbst hosten, bei Infomaniak oder auf Ihrer eigenen Infrastruktur. **Das Modell und die Daten verlassen nicht Ihren Bereich.** Was chinesische Modelle (DeepSeek usw.) betrifft: Wenn sie in Ihrer Infrastruktur in der Schweiz gehostet werden, gibt es keinen Datenfluss nach China. Politische Vorurteile können jedoch bei bestimmten sensiblen Themen bestehen. In einem Standardgeschäftskontext ist der Unterschied oft marginal — und Blindtests können dies objektiv überprüfen. Letzter praktischer Punkt, der oft vergessen wird: **man braucht nicht immer ein großes Modell.** Für visuelle Erkennung, Empfehlungssysteme oder gezielte Vorhersagen erledigen kleinere Modelle, die lokal bereitgestellt werden können, die Arbeit sehr gut — ohne Daten nach außen zu senden. ## Governance: wer entscheidet was im Unternehmen? Dies ist das Thema, das in der Praxis die meisten Reibungen erzeugt. Ohne einen klaren Rahmen finden die Mitarbeiter ihre eigenen Lösungen — und sensible Daten landen in unkontrollierten Tools. *Shadow AI* ist bereits eine Realität in vielen Unternehmen. Einige Prinzipien, die aus den Diskussionen hervorgehen: - **Eine Referenzperson** für KI benennen, auch in einer kleinen Struktur. Die Menschen brauchen einen Ansprechpartner, keine Verbote. - **Eine sichere Alternative** anbieten, anstatt zu verbieten. Wenn die Mitarbeiter ein internes Tool haben, das so praktisch ist wie ChatGPT, werden sie es nutzen. - **Schulen, bevor man reguliert.** Das Bewusstsein für Risiken (was passiert, wenn man Text in eine Schnittstelle einfügt, was mit den Daten passiert) ist effektiver als eine Dienstanweisung. - **Anpassen je nach Abteilungen.** Die Bedürfnisse, Risiken und bearbeiteten Daten sind zwischen einer HR-, Finanz- oder F&E-Abteilung nicht die gleichen. Eine einheitliche, starre Politik funktioniert nicht. Der Aufbau einer Unternehmens-KI-Politik muss **kollaborativ** sein: vom Boden aus starten, die realen Anwendungen, die wahrgenommenen Risiken identifizieren und umsetzbare Regeln formulieren — nicht ein Dokument, das niemand liest. ## Der rechtliche Rahmen: im Aufbau, aber nicht nicht existent In der Schweiz gibt es derzeit kein spezifisches Gesetz über KI. Die Konföderation hat die Rahmenkonvention des Europarates (Menschenrechte, Demokratie, Rechtsstaatlichkeit) unterzeichnet, bleibt jedoch bei sehr allgemeinen Prinzipien. Gesetzliche Anpassungen werden in Betracht gezogen — Obligationenrecht, Produkthaftungsgesetz — ohne einen Gesamtrahmen. Was bereits existiert und gilt: - Die **LPD** (Datenschutzgesetz) verlangt eine rechtliche Grundlage für jede Verarbeitung personenbezogener Daten. Sensible Daten erfordern eine ausdrückliche Zustimmung. - Das **Geschäftsgeheimnis** hört auf zu existieren, sobald es offengelegt wird — selbst gegenüber einem vertrauenswürdigen Anbieter. Es in den Vertraulichkeitsbereich eines Anbieters einzubeziehen, erfordert eine spezifische Vereinbarung, nicht nur allgemeine Bedingungen. - Die **Allgemeinen Geschäftsbedingungen** der LLMs sollten gelesen werden. Was sie enthalten, kann überraschen — und bindet das Unternehmen. Was die europäische Verordnung über KI betrifft: Sie kann auf Schweizer Unternehmen angewendet werden, sobald sie Auswirkungen auf den europäischen Markt haben. Ein Schweizer KMU kann, ohne es zu wissen, die Rolle eines "Bereitstellers" im Sinne der europäischen Verordnung übernehmen — mit den sich daraus ergebenden Verpflichtungen. Die Botschaft der anwesenden Juristen war klar: **vorher handeln, nicht nachher.** Sobald die Daten aus Ihrem Bereich heraus sind, haben Sie nicht mehr viele Hebel — vertragliche oder rechtliche. ## Cybersicherheit: KI industrialisiert bestehende Bedrohungen Betrügereien und Eindringversuche sind nicht neu. Was sich ändert, ist ihre **Skala und Qualität**. Eine von einer KI verfasste Phishing-E-Mail hat nicht mehr die typischen Rechtschreibfehler, die früher gewarnt haben. Eine synthetisierte Stimme aus wenigen Sekunden Aufnahme kann einen Direktor sehr überzeugend imitieren. Die besten Praktiken, die umgesetzt werden sollten: - Achten Sie mehr auf Metadaten (echter Absender, Versanddomäne) als auf den Inhalt - Richten Sie Überprüfungsprozesse für sensible Anfragen (Überweisungen, Zugriffe) ein - Folgen Sie den Warnungen des **Nationalen Zentrums für Cybersicherheit (NCSC)**, das regelmäßig Trends bei Vorfällen in der Schweiz veröffentlicht Was gestern noch das Anliegen großer, gezielter Unternehmen war, wird allmählich für jeden böswilligen Akteur zugänglich — und betrifft Organisationen jeder Größe. ## Was wir mitnehmen KI ist weder eine Bedrohung noch eine Wunderlösung. Es ist ein leistungsstarkes Werkzeug, das, wie jedes Werkzeug, sorgfältig ausgewählt, konfiguriert und eingerahmt werden muss. Die Unternehmen, die gut abschneiden, sind nicht die mit den größten Budgets — es sind die, die von Anfang an die richtigen Fragen stellen. Vielen Dank an die FER Genf und die Good Token Society für die Organisation und an die Referenten für die Qualität der Diskussionen. ![KI im Unternehmen: Was wir von der FER Genève Abend mitnehmen](https://www.mermio.ch/storage/50/conversions/01KK1V37HNYNPYCFCD434DC5PK-square.webp) [Kontaktiere uns](http://www.mermio.ch/de/contact)