Blog

AI Governance für KMU: Regeln ohne Bürokratie

14. April 2026 · 8 min Lesezeit

AI Governance klingt nach Konzern. Nach Compliance-Abteilung, Richtlinien-Ordnern und monatelangen Workshops. Aber als KMU brauchst du das nicht. Du brauchst drei Seiten. Maximal.

Hier ist, wie du AI Governance aufbaust, die funktioniert — ohne dein Tagesgeschäft lahmzulegen.

Warum Governance überhaupt?

Ohne Regeln passieren Dinge wie: Ein Mitarbeiter füttert ChatGPT mit Kundendaten. Ein Agent verschickt eine Mail mit falschen Zahlen. Oder du wirst vom EDÖB angeschrieben, weil dein AI-System Personendaten ohne Rechtsgrundlage verarbeitet.

Governance ist kein Luxus. Es ist Risikomanagement. Und für ein KMU ist das Risiko sogar grösser als für Konzerne — weil ein einziger Vorfall existenzbedrohend sein kann.

Die Minimal-Governance: 5 Regeln

Du brauchst kein 50-seitiges Dokument. Du brauchst fünf klare Regeln, die jeder versteht.

Regel 1: Welche Daten dürfen rein?

Definiere eine Ampel. Grün: Öffentliche Informationen, interne Prozessdaten ohne Personenbezug. Gelb: Anonymisierte Kundendaten, aggregierte Statistiken. Rot: Personendaten, Gesundheitsdaten, Finanzdaten von Kunden.

Alles, was rot ist, geht nicht in ein externes AI-System. Punkt. Grün und gelb nur in Systeme, die nDSG-konform sind.

Regel 2: Wer darf was?

Nicht jeder braucht Zugang zu jedem Agent. Definiere Rollen:

  • Admin: Kann Agents erstellen, konfigurieren und löschen. Typischerweise 1–2 Personen.
  • User: Kann Agents nutzen und Feedback geben. Das ganze Team.
  • Viewer: Kann Ergebnisse sehen, aber nicht interagieren. Für externe Partner.

Regel 3: Was darf der Agent alleine?

Das ist die wichtigste Regel. Definiere für jeden Agent einen Autonomie-Level:

  • Vollautomatisch: Agent handelt ohne Rückfrage. Nur für risikoarme, repetitive Aufgaben.
  • Halb-automatisch: Agent bereitet vor, Mensch bestätigt. Für Kundeninteraktionen und finanzielle Entscheidungen.
  • Assistenz: Agent liefert Vorschläge, Mensch entscheidet. Für strategische und kreative Aufgaben.

Regel 4: Wie wird protokolliert?

Jede Aktion eines AI Agents muss nachvollziehbar sein. Nicht weil du paranoid bist — sondern weil du es brauchst, wenn etwas schiefgeht. Audit-Logs sind Pflicht. Wer hat wann welchen Agent genutzt? Was war der Input? Was der Output?

Bei KaderOS sind Audit-Logs eingebaut. Bei anderen Tools musst du das separat einrichten. Mach es von Anfang an.

Regel 5: Was passiert bei Fehlern?

Definiere einen Eskalationspfad. Agent macht einen Fehler → wer wird informiert? → wer entscheidet, ob der Agent gestoppt wird? → wer kommuniziert an Betroffene?

Das muss kein komplizierter Prozess sein. Aber es muss einen geben. Bevor der erste Fehler passiert.

nDSG: Was du wissen musst

Das neue Datenschutzgesetz der Schweiz gilt seit September 2023. Für AI bedeutet das:

  • Transparenz: Kunden müssen wissen, wenn sie mit AI interagieren.
  • Datensparsamkeit: Nur die Daten verwenden, die wirklich nötig sind.
  • Zweckbindung: Daten nur für den Zweck nutzen, für den sie erhoben wurden.
  • Datenschutz-Folgenabschätzung: Bei hohem Risiko Pflicht. AI-Systeme mit Personendaten fallen fast immer darunter.

Governance in der Praxis: Ein Beispiel

Eine Treuhand-Firma mit 12 Mitarbeitern. Sie nutzen drei AI Agents:

  • Beleg-Agent: Scannt Belege, kontiert automatisch. Vollautomatisch, weil Fehler leicht erkennbar sind.
  • Mail-Agent: Sortiert Kundenmails, bereitet Antworten vor. Halb-automatisch, weil der Treuhänder die Antwort prüft.
  • Research-Agent: Sucht aktuelle Steuer-Infos für Mandanten. Assistenz-Modus, weil Steuerberatung immer menschliches Urteil braucht.

Governance-Dokument: Eine Seite. Ampel-System für Daten. Drei Autonomie-Level. Ein Eskalationspfad. Fertig.

Die häufigsten Fehler

Zu viel Governance

Wenn dein Governance-Dokument länger ist als 5 Seiten, liest es niemand. Und was niemand liest, befolgt niemand.

Keine Governance

«Wir sind ja nur ein kleines Team, das brauchen wir nicht.» Doch. Gerade kleine Teams. Weil dort ein Fehler überproportional schadet.

Governance ohne Review

Regeln, die du im Januar 2026 schreibst, sind im Juli 2026 veraltet. AI entwickelt sich schnell. Plane quartalsweise einen 30-Minuten-Review ein.

So startest du

Nimm dir eine Stunde. Schreib die fünf Regeln auf. Nicht perfekt — gut genug. Teile sie mit deinem Team. Lebe sie vor. Und überprüfe sie alle drei Monate.

AI Governance ist kein Projekt mit einem Enddatum. Es ist eine Gewohnheit. Und Gewohnheiten baut man auf, indem man anfängt.

Weiterlesen

Bereit für dein AI-Team?

Sichere dir deinen Platz auf der Waitlist.

Platz sichern →