KI-Inventar für Schweizer KMU: Der Start ohne Rechtsnebel

KI-Inventar für Schweizer KMU: Der Start ohne Rechtsnebel

Viele Schweizer KMU nutzen heute bereits KI, aber nur wenige haben eine einfache Liste, die Geschäftsführung, Administration und Team wirklich verstehen. Genau hier entsteht 2026 das praktische Risiko: Nicht der einzelne Prompt ist das Problem, sondern die fehlende Übersicht, welche KI wo im Betrieb mitläuft, welche Daten berührt werden und wer vor einer Kundenaussage prüft.

Für ki-regelmappe.ch ist der sinnvolle Start deshalb kein juristisches Monsterdokument, sondern ein KI-Inventar auf einer Seite. Es hilft kleinen Unternehmen, EU AI Act, Schweizer DSG-Praxis und interne Verantwortung in eine arbeitsfähige Form zu bringen. Der Artikel ersetzt keine Rechtsberatung; er zeigt, wie ein Betrieb die ersten ordentlichen Schritte vorbereitet, damit später niemand aus leeren Erinnerungen rekonstruieren muss, was tatsächlich eingesetzt wurde.

Warum die Frage 2026 dringender wird

Der EU AI Act wird stufenweise wirksam. Für Schweizer Firmen ist entscheidend, ob ein EU-Bezug besteht: EU-Kunden, EU-Partner, EU-Nutzer, Lieferketten oder Leistungen, deren Ergebnisse in der EU verwendet werden. Gleichzeitig verlangen Kunden und Geschäftspartner zunehmend Nachweise, dass KI nicht heimlich, ungeprüft oder mit sensiblen Daten eingesetzt wird. Selbst Betriebe ohne direkten EU-Fokus profitieren deshalb von einer sauberen internen Ordnung.

Besonders greifbar ist die Pflicht zur KI-Kompetenz. Unternehmen sollen Mitarbeitende, die KI-Systeme nutzen oder betreiben, angemessen befähigen. In der Praxis heisst das nicht zwingend Zertifikatskurs und neues Organigramm. Für ein KMU kann es bedeuten: typische KI-Fälle sammeln, rote Grenzen erklären, kurze Fallbesprechungen dokumentieren und festhalten, wer bei riskanten Ausgaben entscheidet.

Das Ein-Seiten-Inventar: sechs Felder reichen für den Anfang

• Arbeitsfall: Was wird mit KI vorbereitet, zum Beispiel Kundenmail, Offerte, Protokoll, Produkttext oder Bewerbungsprüfung?
• Tool oder Funktion: Welches System wird genutzt, etwa ChatGPT, Copilot, Gemini, ein CRM-Assistent oder ein eingebauter Website-Chat?
• Datenart: öffentlich, intern, kundenbezogen, personenbezogen, vertraulich oder besonders schützenswert?
• Ausgabe: Entwurf, Zusammenfassung, Sortierung, Empfehlung oder automatische Aktion?
• Prüfschritt: Wer kontrolliert die Ausgabe, bevor sie an Kunden, Mitarbeitende oder Dritte geht?
• Stopplinie: Was darf die KI ausdrücklich nicht tun, etwa senden, zusagen, bewerten, zahlen, kündigen oder rechtlich entscheiden?

Diese sechs Felder machen aus einem diffusen KI-Gefühl eine prüfbare Arbeitsliste. Ein Beispiel: „Kundenmail mit Reklamation zusammenfassen“ ist ein anderer Fall als „Antwort an Kunden senden“. Der erste Fall kann ein gelber, kontrollierbarer Entwurf sein. Der zweite Fall braucht eine harte menschliche Freigabe, weil Ton, Kulanz, Vertragslage und Kundenerwartung zusammenkommen.

Ein konkreter Startfall für kleine Büros

Nehmen wir ein KMU mit 18 Mitarbeitenden. Die Administration nutzt Copilot für Sitzungsnotizen, die Geschäftsführung testet ChatGPT für Offertenstrukturen, das Marketing lässt Produkttexte glätten und der Support überlegt, einen Website-Chatbot einzusetzen. Ohne Inventar sieht das nach vier harmlosen Einzeltests aus. Mit Inventar wird sichtbar: Zwei Fälle betreffen Kundenkommunikation, ein Fall interne Sitzungen, ein Fall möglicherweise Transparenz gegenüber Website-Besuchern.

Der nächste Schritt ist nicht Panik, sondern Sortierung. Sitzungsnotizen dürfen intern zusammenfassen, aber keine Personalbewertungen formulieren. Offertenentwürfe dürfen strukturieren, aber keine Rabatte oder Lieferfristen vorschlagen. Produkttexte dürfen sprachlich verbessert werden, müssen aber fachlich geprüft bleiben. Ein Chatbot braucht klare Kennzeichnung, Eskalationsregel und Grenzen für personenbezogene Daten.

Die Rollenklärung verhindert Scheinsicherheit

Viele KI-Richtlinien scheitern, weil sie nur sagen: „Mitarbeitende sollen vorsichtig sein.“ Das ist zu schwach. Ein KMU braucht einfache Rollen: Wer darf neue Tools vorschlagen? Wer trägt sie ins Inventar ein? Wer prüft rote Fälle? Wer aktualisiert die Regelmappe nach einem neuen Prozess? Diese Rollen müssen keine neuen Stellen sein. Oft reichen Geschäftsführung, Administration und eine fachliche Ansprechperson pro Bereich.

Wichtig ist auch, dass ein Tool nicht pauschal grün oder rot ist. Dasselbe System kann für öffentliche Textkorrektur unproblematisch wirken und für Bewerbungsbewertung hochsensibel sein. Deshalb muss die Regelmappe den Arbeitsfall betrachten, nicht nur den Toolnamen. Genau diese Unterscheidung schützt KMU vor zwei Fehlern: alles verbieten oder alles laufen lassen.

Drei Fragen für den heutigen Arbeitstag

• Welche drei KI-Nutzungen passieren bereits, auch wenn sie nie offiziell eingeführt wurden?
• Wo könnte eine KI-Ausgabe nach aussen gelangen, bevor ein Mensch sie fachlich und sprachlich geprüft hat?
• Welche Daten dürfen niemals in allgemeine KI-Werkzeuge kopiert werden?

Wenn diese Fragen beantwortet sind, kann die erste Version der KI-Regelmappe entstehen: Inventar, Stopplinien, Prüfschritte und kurze Teamnotiz. Das ist kein Abschluss, sondern ein belastbarer Anfang. Für Schweizer KMU ist genau dieser Anfang wertvoll: Er schafft Ordnung, bevor aus einem praktischen Helfer ein unkontrollierter Geschäftsprozess wird.

Recherchebasis: EU-Kommission zum KI-Gesetz · Einordnung zur KI-Kompetenzpflicht · Schweizer KMU und Transparenzpflichten · EU AI Act aus Schweizer KMU-Sicht.