30. März 2026 | Heinz W. Süess
KI ist in den Teams längst angekommen – ob du willst oder nicht. Mitarbeitende nutzen Chatbots, Übersetzer und Text‑Generatoren, um schneller zu schreiben, zu recherchieren oder Mails zu formulieren. Die Frage ist nicht mehr, ob KI genutzt wird, sondern: wie – ohne Datenschutz und Vertraulichkeit zu verspielen (Team, 2026b).
Statt Schatten‑KI zu verbieten (was in der Praxis selten funktioniert), brauchst du klare Spielregeln: Wo KI willkommen ist, wo sie tabu ist – und was im Graubereich gilt (AI Employee Usage Policy Template, 2026).
Regel 1: Keine echten Personen‑ und Falldaten in generische KI‑Tools
Grundsatz: Alles, was eine reale Person identifizierbar macht, gehört nicht in generische, öffentlich zugängliche KI‑Chats (Inquira Health, 2025).
Dazu zählen insbesondere:
- Name, Adresse, Telefonnummer, E‑Mail
- Geburtsdatum, AHV‑Nummer, Personalnummer
- Gesundheitsdaten, Diagnosen, Therapiepläne, HR‑Fälle, Löhne (Avinci, o. D.).
Wenn Mitarbeitende solche Inhalte in kostenlose oder frei verfügbare KI‑Tools tippen, riskierst du Verstösse gegen DSG/DSGVO, Berufsgeheimnis und interne Richtlinien (Inquira Health, 2025).
Regel 2: Anonymisieren ist Pflicht, nicht Kür
Wenn KI bei realen Fällen helfen soll (z.B. Formulierungen, Kommunikationskonzepte), gilt: Erst anonymisieren, dann in die KI kopieren (Avinci, 2026).
Das bedeutet:
- Namen und Orte neutralisieren („Mitarbeiter A“, „Patient B“).
- Konkrete Zahlen und Firmeninterna verfremden, wenn sie nicht nötig sind.
- Kontext so allgemein wie möglich halten (Inquira Health, 2025).
So reduzierst du das Risiko, dass echte Personen oder Organisationen aus den Eingaben rekonstruierbar sind (Avinci, 2026).
Regel 3: Nur freigegebene KI‑Tools für produktive Arbeit
Nicht jeder schicke KI‑Link aus dem Internet ist für den Unternehmensalltag geeignet (Amati, 2025).
Definiere daher:
- Eine Whitelist: Welche KI‑Tools sind offiziell erlaubt (z.B. bestimmte Chatbots, Übersetzer, Schreib‑Assistenten mit EU/CH‑Hosting oder klaren Verträgen) (Inquira Health, 2025)?
- Eine Blacklist: Welche Tools sind ausdrücklich tabu (z.B. kostenlose Consumer‑Dienste ohne klare Datenschutzregelung) (AI Employee Usage Policy Template, 2026)?
Kommuniziere die Liste sichtbar (Intranet, Onboarding, Schulungen), damit Mitarbeitende nicht aus Unsicherheit zu Schatten‑Lösungen greifen (Verduyn, 2025).
Regel 4: Keine vertraulichen Dokumente hochladen – auch nicht „nur zum Zusammenfassen“
Viele KI‑Tools können heute PDFs, Präsentationen oder Excel‑Files „lesen“ und zusammenfassen. Praktisch – aber gefährlich, wenn es sich um vertrauliche Inhalte handelt (Team, 2026b).
Tabu sind z.B.:
- Arbeitsverträge, HR‑Dossiers, Protokolle von Personalgesprächen
- Medizinische Berichte, Laborbefunde, Pflegeplanungen
- Strategiepapiere, Budget‑Unterlagen, interne Risiko‑Analysen (Inquira Health, 2025).
Wenn du solche Dokumente auswerten willst, brauchst du interne oder vertraglich abgesicherte KI‑Lösungen (z.B. on‑premise oder im geschützten Unternehmens‑Tenant) (Amati, 2025).
Regel 5: Ergebnisse der KI sind Vorschläge, keine Entscheidungen
KI‑Ausgaben sind immer Entwürfe, nie finale Entscheidungen(Be Careful What You Tell Your AI Chatbot | Stanford HAI, 2025).
Das heisst konkret:
- Mitarbeitende prüfen Inhalte auf Richtigkeit, Bias und Tonalität.
- Entscheidungen mit Rechts‑ oder Reputationsfolgen (z.B. Kündigungen, Diagnosen, Therapieentscheide) werden nie allein auf Basis von KI‑Outputs getroffen (Inquira Health, 2025).
- Wo nötig, wird dokumentiert, wie KI im Entscheidungsprozess eingesetzt wurde (Team, 2026b).
So bleibt die Verantwortung eindeutig beim Menschen – und nicht bei einem undurchsichtigen Modell (Heer, 2024).
Regel 6: Transparenz gegenüber Betroffenen
Wenn KI direkt in Prozessen eingesetzt wird, die Betroffene spüren (z.B. Bewerbungs‑Screening, Chatbots auf der Website), brauchen sie Transparenz (Inquira Health, 2025).
Das bedeutet:
- Offen legen, dass KI im Einsatz ist.
- kurz erklären, wozu (z.B. Vorselektion, Beantwortung von Standardfragen).
- aufzeigen, wie Betroffene ihre Rechte wahrnehmen können (Auskunft, Berichtigung, Widerspruch) (Inquira Health, 2025).
Gerade im HR‑ und Gesundheitskontext ist Vertrauensverlust schwerer zu reparieren als technische Probleme (Inquira Health, 2025).
Regel 7: Schulung und Meldekultur statt Schuldzuweisungen
Die beste Policy hilft nichts, wenn niemand sie versteht – oder wenn Mitarbeitende aus Angst Fehler verschweigen (Verduyn, 2025).
Darum:
- Kurze, praxisnahe Schulungen mit echten Beispielen aus HR und Gesundheitswesen.
- Ein klarer Kontaktpunkt für Fragen („Darf ich Tool X für Fall Y nutzen?“) (AI Employee Usage Policy Template, 2026).
- Eine Kultur, in der KI‑Fehlgriffe früh gemeldet werden dürfen, ohne sofort mit Sanktionen zu drohen (Amati, 2025).
So lernst du als Organisation dazu – und reduzierst die Gefahr, dass kleine Vorfälle zu grossen Skandalen werden (Heer, 2024).
Fazit: KI entzaubern – und bewusst einsetzen
KI wird nicht verschwinden. Deine Mitarbeitenden werden sie nutzen – ob mit oder ohne offizielle Erlaubnis. Mit klaren Regeln machst du aus Schatten‑KI einen kontrollierten Produktivitätshebel: KI ja, Datenleck nein( Be Careful What You Tell Your AI Chatbot | Stanford HAI, 2025).
Quellen:
Clarke, D. (2025, 23. Oktober). Data Privacy in Business: Why the Chatbot Era Needs Responsible AI Governance. Truyo. https://truyo.com/data-privacy-in-business-why-the-chatbot-era-needs-responsible-ai-governance/
Team, S. P. (2026b, März 27). EU AI Act Playbook: How to Operationalize AI Compliance in 90 Days. https://secureprivacy.ai/. https://secureprivacy.ai/blog/ai-chatbot-data-governance-rag
(2026, 28. Februar). How do I integrate AI tools into HR systems in compliance with data protection regulations? | avinci. https://www.avinci.ai/en/blog/how-do-i-integrate-ai-tools-into-hr-systems-in-compliance-with-data-protection-regulations-b1147
Amati, S. (2025, 10. Oktober). Using AI in your company, safeguarding data protection: Expert Council for Swiss SMEs. AXA Schweiz | Using AI in the company, safeguarding data protection. https://www.axa.ch/en/unternehmenskunden/blog/security-and-legal/ai-data-protection-companies.html
AI employee usage policy template. (2026). https://optro.ai/resources/ebook/ai-employee-usage-policy-template
Verduyn, M. (2025, 21. Oktober). AI Policy Template: What To Include and Why (Plus Free Template). AIHR. https://www.aihr.com/blog/ai-policy-template/
https://www.aihr.com/blog/ai-policy-template/
Inquira Health. (2025, März 31). GDPR and HIPAA Compliance in Healthcare AI: What IT Leaders Must Know. Inquira Health. https://www.inquira.health/en/blog/gdpr-and-hipaa-compliance-in-healthcare-ai-what-it-leaders-must-know
Be careful what you tell your AI chatbot | Stanford HAI. (2025, 15. Oktober). https://hai.stanford.edu/news/be-careful-what-you-tell-your-ai-chatbot
Heer, A. (2024, 15. Mai). ‘Well-thought-out AI governance enables companies to better position themselves’. Swisscom B2B Mag. https://www.swisscom.ch/en/b2bmag/data-driven-technologies/ai-governance-interview-morand/
