KI im DACH-Raum: AI Act, DSG und Schatten-KI sicher meistern

Die digitale Transformation prägt seit Jahren die Unternehmenslandschaft. Mit der fortschreitenden Verbreitung von Künstlicher Intelligenz (KI) stehen Unternehmen im DACH-Raum jedoch vor neuartigen und komplexen Herausforderungen. Im April 2026 zeichnet sich ein Bild ab, das von regulatorischer Unsicherheit, internen Sicherheitsrisiken und einer erhöhten Notwendigkeit zur strategischen Neuausrichtung geprägt ist. Der EU AI Act tritt schrittweise in Kraft, Schatten-KI breitet sich unkontrolliert aus und das Schweizer Datenschutzgesetz (DSG) setzt klare Grenzen. Diese Gemengelage erfordert von mittelständischen Unternehmen im DACH-Raum ein präzises Verständnis und proaktives Handeln, um Compliance zu gewährleisten und die Potenziale der KI verantwortungsvoll zu nutzen.

Der EU AI Act: Gestaffelte Einführung und konkrete Anforderungen

Der EU AI Act ist ein wegweisendes Regelwerk, dessen vollständige Anwendung für Hochrisiko-KI-Systeme ursprünglich für August 2026 vorgesehen war, sich aber nun auf Dezember 2027 verschiebt. Für bestimmte Sektoren könnten sogar Übergangsfristen bis Dezember 2028 gelten. Diese Verzögerung mag auf den ersten Blick Entlastung suggerieren, doch sie schafft vor allem Unsicherheit. Denn bereits seit August 2024 sind Teile des EU AI Act in Kraft, die Unternehmen komplexe Dokumentationspflichten auferlegen. Seit dem 6. April 2026 greifen weitere zentrale Pflichten, insbesondere für Risikoklassifizierungen und damit verbundene Anforderungen an Transparenz, umfassende Dokumentation und menschliche Aufsicht in Hochrisikobereichen. Dazu gehören beispielsweise KI-Systeme in der Personalverwaltung, bei der Kreditvergabe oder im Gesundheitswesen.

Diese inkonsistente und gestaffelte Einführung führt zu einem regulatorischen Flickenteppich, der insbesondere für kleine und mittlere Unternehmen (KMU) im DACH-Raum schwer zu überblicken und zu handhaben ist. Der TÜV-Verband warnt nicht ohne Grund vor den gravierenden finanziellen Folgen einer möglichen Doppelregulierung. Schätzungen gehen von anfänglichen Compliance-Kosten von bis zu 600.000 Euro und jährlichen Folgekosten von 150.000 Euro für KMU aus. Solche Beträge können 30 bis 40 Prozent der erwarteten Gewinne vieler Betriebe gefährden. Um dieser Belastung entgegenzuwirken, hat die Bundesregierung ein Förderprogramm über 500 Millionen Euro aufgelegt. Dies unterstreicht die Dringlichkeit und die Herausforderung, die der EU AI Act darstellt.

Für Unternehmen ist der EU AI Act jedoch nicht nur eine Last, sondern auch eine Chance. Er zwingt zu einem bewussteren und strukturierteren Umgang mit KI, was langfristig die Qualität und Vertrauenswürdigkeit der eingesetzten Systeme erhöht. Eine Zertifizierung oder die Einhaltung der Standards kann sich zudem zu einem wichtigen Einkaufskriterium entwickeln. Unternehmen, die proaktiv Compliance-Massnahmen ergreifen, sichern sich einen Wettbewerbsvorteil. KPMG empfiehlt hierzu die Entwicklung einer unternehmensweiten KI-Strategie, die Ambitionen, Anwendungsfelder und Responsible-AI-Prinzipien klar definiert. Dazu gehören massgeschneiderte Schulungen für Mitarbeitende, um deren KI-Kompetenz zu stärken, und die Entwicklung eines robusten AI Governance Frameworks, das den verantwortungsvollen Einsatz von KI im gesamten Unternehmen steuert.

Schatten-KI: Die unkontrollierte Gefahr im Unternehmen

Parallel zur sich entwickelnden externen Regulierung wächst in DACH-Unternehmen ein internes Problem: die sogenannte Schatten-KI. Ähnlich wie bei der früher weit verbreiteten Schatten-IT nutzen Mitarbeitende zunehmend private oder nicht autorisierte KI-Tools im Arbeitsalltag. Dazu gehören Chatbots, Schreibassistenten oder Coding-KI, die zur Zusammenfassung von E-Mails, zur Erstellung von Angeboten oder zum Debuggen von Code eingesetzt werden. Der entscheidende Unterschied zur Schatten-IT liegt jedoch in der Funktionsweise der KI-Systeme. Sie verschieben nicht nur Daten, sondern transformieren sie, verknüpfen sie und stellen eine direkte Schnittstelle zu den sensibelsten Unternehmensdaten dar. Dies erweitert die Sicherheits- und Governance-Lücke rapide und birgt erhebliche Risiken für Datenschutz, Datensicherheit und die Integrität von Geschäftsprozessen.

Sicherheitsverantwortliche sind hier gefordert, schnell und zielgerichtet zu handeln. Eine einfache Verbotsstrategie, die die Benutzerfreundlichkeit oder den praktischen Nutzen der Tools ignoriert, ist in der Regel nicht praktikabel und führt nur zu einer noch stärkeren Verbreitung im Verborgenen. Das Ziel muss sein, die Nutzung von KI grundsätzlich sicher zu gestalten, anstatt sie zu verhindern. Dies erfordert einen pragmatischen Ansatz: Unternehmen sollten klare, aber flexible Nutzungsrichtlinien definieren, die den Rahmen für den sicheren Einsatz von KI-Tools abstecken. Eine Prüfung und Freigabe von spezifischen KI-Anwendungen für bestimmte Anwendungsfälle ist essenziell. Regelmässige Schulungen für alle Mitarbeitenden sind unerlässlich, um sie für die Risiken und den sicheren Umgang mit KI zu sensibilisieren. Ergänzend müssen Prozesse zur Qualitätskontrolle implementiert werden, um die Korrektheit und Vertrauenswürdigkeit der KI-generierten Ergebnisse zu gewährleisten. Nur so kann die Produktivität gefördert werden, ohne die Kontrolle über sensible Daten und Prozesse zu verlieren.

Das Schweizer DSG: Ein starkes Fundament für den KI-Einsatz

In der Schweiz, wo ein eigenständiges KI-Gesetz noch aussteht und frühestens Ende 2026 erste Vernehmlassungsvorschläge erwartet werden, bleibt das revidierte Datenschutzgesetz (DSG) das massgebliche Instrument für den datenschutzkonformen Einsatz von KI. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat hierzu eine klare Position bezogen: Das DSG gilt auch für KI-gestützte Anwendungen uneingeschränkt, insbesondere bei der Verarbeitung sensibler Patientendaten oder anderer besonders schützenswerter Personendaten. Dies ist eine entscheidende Information für Schweizer KMU, da das Schweizer DSG im Unterschied zur EU-DSGVO persönliche Bussen für die verantwortliche natürliche Person vorsieht. Diese Bussen können bis zu CHF 250.000 betragen, was die persönliche Verantwortung von Geschäftsleitern und Entscheidungsträgern deutlich unterstreicht. Der EDÖB ist zudem ermächtigt, Untersuchungen einzuleiten und anzuordnen, dass bestimmte Datenbearbeitungsprozesse, einschliesslich des Einsatzes von KI, angepasst, unterbrochen oder sogar eingestellt werden müssen.

Für Schweizer Unternehmen ist es daher von entscheidender Bedeutung, ihre KI-Anwendungen von Beginn an datenschutzkonform zu gestalten. Eine sorgfältige Risikoanalyse, die Einhaltung der Prinzipien von Privacy by Design und Privacy by Default sowie die transparente Information der betroffenen Personen sind unerlässlich. Auch wenn die Schweiz ein eigenständiges Gesetz entwickelt, gewinnt der EU AI Act bereits heute für viele Schweizer Unternehmen an Bedeutung. Dies gilt insbesondere dann, wenn KI-Systeme europäische Bürgerinnen und Bürger betreffen oder in der EU gehostet werden. Die Schweiz hat im März 2025 die Konvention des Europarats über Künstliche Intelligenz unterzeichnet, was ein klares Bekenntnis zu einer verantwortungsvollen KI-Regulierung darstellt. Dies bedeutet, dass Schweizer Unternehmen in den kommenden Jahren mit einer Angleichung an internationale Standards rechnen müssen und gut beraten sind, sich frühzeitig mit den Prinzipien des EU AI Act auseinanderzusetzen.

Datenhoheit und Souveränität: Vertrauen als strategischer Faktor

Unabhängig von den spezifischen Regularien ist die Frage der digitalen Souveränität und Datenhoheit für DACH-Unternehmen von grösster Brisanz. Eine aktuelle Studie verdeutlicht dieses Misstrauen: 53 Prozent der deutschen Mittelständler befürchten bei der Nutzung von KI-Tools dominierender aussereuropäischer Anbieter Datenspionage durch Dritte. Jeder zweite Unternehmer sorgt sich konkret um den unerlaubten Zugriff auf sensible Unternehmensdaten. Hinzu kommt die Sorge vor fehlerhaften Ergebnissen und mangelnder Quellentransparenz der KI-Systeme. Entsprechend sind für 55 Prozent der Befragten verlässliche Resultate das wichtigste Kriterium beim Kauf von KI-Lösungen, gefolgt von der Erfüllung rechtlicher Vorgaben (43 Prozent) und einem Anbieter aus Deutschland oder Europa (36 Prozent).

Dieser ausgeprägte Trend zur „Geopatriation“, also der Verlagerung von Daten und Workloads in souveräne oder regionale Clouds, wird sich 2026 noch deutlich verstärken. Datensouveränität wird zu einem strategischen Standortfaktor und einem entscheidenden Wettbewerbsvorteil. Unternehmen, die ihren Kunden und Partnern garantieren können, dass ihre Daten nach europäischen Standards verarbeitet und geschützt werden, schaffen ein hohes Mass an Vertrauen. Gleichzeitig gewinnen die digitale Provenienz, also die Herkunft und Integrität von Daten, Modellen und Inhalten, sowie neue AI Security Platforms an Bedeutung. Diese Technologien ermöglichen es, die gesamte Wertschöpfungskette von KI-Systemen transparent und nachvollziehbar zu gestalten, was für das Vertrauen in die KI-Anwendungen unerlässlich ist. Investitionen in souveräne Cloud-Lösungen und spezialisierte KI-Sicherheitsarchitekturen sind daher nicht als Kostenfaktor, sondern als strategische Investition in die Zukunft des Unternehmens zu verstehen.

Implikationen für die Arbeitswelt und Change Management

Die Einführung von KI ist weit mehr als ein reines Technologieprojekt. Sie stellt einen fundamentalen Paradigmenwechsel dar, der Prozesse, Rollen, Entscheidungsfindung und letztlich die gesamte Arbeitskultur verändert. Studien zeigen, dass ein Grossteil der KI-Pilotprojekte scheitert, laut einer Analyse von DXC Technology und MIT sind es bis zu 95 Prozent. Teamazing spricht von 83 Prozent gescheiterten Pilotprojekten und unkontrollierter Schatten-KI. Die Hauptursachen für dieses Scheitern sind oft mangelnde klare «Business Cases», fehlende Infrastruktur und unzureichende verbindliche Rahmenbedingungen. Diese Zahlen verdeutlichen, dass eine isolierte Betrachtung der Technologie nicht zum Erfolg führt.

Erfolgreiche KI-Einführung erfordert eine strategische Vorbereitung, eine gezielte Kulturveränderung und effektives Change Management. Dies bedeutet, dass Unternehmen von starren Jobbeschreibungen zu flexiblen Aufgaben und skill-basierten Teams wechseln müssen. Rollenbilder verschieben sich: Im Finanzbereich beispielsweise eliminiert KI nicht Berufe, sondern repetitive Aufgaben. Dadurch kann sich der Buchhalter zum «Data Steward» entwickeln, der die Qualität und Integrität von Finanzdaten sichert, und der Controller zum «Business Partner» aufsteigen, der strategische Entscheidungen durch datenbasierte Erkenntnisse unterstützt. Solche Transformationen erfordern umfassende Schulungen, transparente Kommunikation über die Ziele und Vorteile der KI-Einführung sowie die aktive Einbindung der Mitarbeitenden in den Gestaltungsprozess. Nur durch eine ganzheitliche Betrachtung, die den Menschen in den Mittelpunkt stellt, können die Chancen der KI vollumfänglich genutzt und die Risiken minimiert werden.

Praktische Handlungsempfehlungen für Unternehmen

1. Entwickeln Sie eine umfassende KI-Strategie: Definieren Sie klare Ziele, Anwendungsfelder und Responsible-AI-Prinzipien. Integrieren Sie diese Strategie in Ihre gesamte Unternehmensstrategie. Welche Probleme sollen mit KI gelöst werden? Welche Wertschöpfung wird angestrebt? 2. Etablieren Sie ein robustes AI Governance Framework: Implementieren Sie Prozesse zur Risikobewertung und -minderung, zur Datenqualitätssicherung und zur Überwachung von KI-Systemen. Legen Sie Verantwortlichkeiten klar fest. 3. Managen Sie Schatten-KI proaktiv: Erarbeiten Sie klare Nutzungsrichtlinien für KI-Tools, prüfen Sie deren Einsatzmöglichkeiten und bieten Sie sichere, unternehmensweite Alternativen an. Schulen Sie Ihre Mitarbeitenden im sicheren Umgang mit KI. 4. Sichern Sie Datensouveränität: Priorisieren Sie europäische oder Schweizer Cloud-Lösungen und KI-Anbieter. Klären Sie Fragen der Datenherkunft und -integrität und investieren Sie in AI Security Platforms. 5. Investieren Sie in KI-Kompetenzen und Change Management: Bilden Sie Ihre Mitarbeitenden weiter und begleiten Sie sie aktiv durch den Transformationsprozess. Kommunizieren Sie transparent die Chancen und Veränderungen. Fokussieren Sie auf die Umschulung für neue, anspruchsvollere Rollen. 6. Führen Sie eine detaillierte Rechtskonformitätsprüfung durch: Insbesondere für Schweizer Unternehmen: Prüfen Sie alle KI-Anwendungen auf Konformität mit dem revidierten DSG und den Prinzipien des EU AI Act, besonders wenn EU-Bürger betroffen sind.

Kritische Einordnung aus Kapitel-H-Sicht

Die aktuelle Debatte um KI-Regulierung ist oft von Hype und überzogenen Erwartungen geprägt. Aus unserer Sicht bei Kapitel H ist es entscheidend, eine pragmatische Perspektive einzunehmen. Der EU AI Act ist ein wichtiger Schritt hin zu mehr Verantwortung und Transparenz, doch seine gestaffelte Einführung und die komplexen Anforderungen stellen den Mittelstand vor erhebliche Herausforderungen. Wir sehen die Gefahr, dass Unternehmen sich in der Bürokratie verlieren, anstatt sich auf die eigentliche Wertschöpfung durch KI zu konzentrieren.

Schatten-KI ist ein Symptom einer verfehlten Strategie: Wenn Mitarbeitende zu inoffiziellen Tools greifen, liegt das oft an fehlenden oder unzureichenden internen Lösungen und Richtlinien. Ein Verbot ist keine Lösung, sondern schafft eine falsche Sicherheit. Es geht darum, Mitarbeitende zu befähigen, KI sicher und effektiv im Unternehmen einzusetzen, anstatt sie zu bevormunden oder in die Abhängigkeit externer, unkontrollierbarer Tools zu treiben. Das Schweizer DSG mit seinen persönlichen Bussen unterstreicht die Notwendigkeit einer klaren, unternehmensweiten Governance. Befähigung statt Abhängigkeit, Kontrolle statt Blindflug, das sind unsere Prinzipien.

Fazit: Proaktiv handeln für nachhaltigen Erfolg

Die nächsten Monate und Jahre werden für DACH-Unternehmen entscheidend sein, um ihre KI-Strategien an die sich ständig ändernden regulatorischen und technologischen Realitäten anzupassen. Die verzögerte, aber schrittweise Inkraftsetzung des EU AI Act, die allgegenwärtige Bedrohung durch Schatten-KI und die strikten Datenschutzvorgaben in der Schweiz erfordern ein proaktives und integriertes Vorgehen. Unternehmen, die jetzt in eine robuste KI-Governance, Datensicherheit und die Entwicklung von KI-Kompetenzen investieren, werden nicht nur Compliance-Risiken minimieren. Sie werden auch einen nachhaltigen Wettbewerbsvorteil erzielen und das Vertrauen ihrer Kunden und Partner stärken. Die Diskussion lautet nicht mehr, ob KI genutzt wird, sondern wie sie verantwortungsvoll, sicher und strategisch sinnvoll implementiert werden kann, um echte Wertschöpfung zu generieren und die digitale Souveränität zu sichern. Nur wer jetzt handelt, ist für die Zukunft gerüstet.