KI-Governance klingt nach Konzernbürokratie — muss es aber nicht sein. Für Schweizer KMU genügt ein schlankes, wirksames Regelwerk. Dieser Leitfaden zeigt die Bausteine. Er ist keine Rechtsberatung.
Was Governance wirklich heisst
Nicht ein dickes Reglement, sondern fünf einfache Fragen mit klaren Antworten:
- Wer ist verantwortlich — wer entscheidet über Tools und wer prüft Ergebnisse?
- Welche Anwendungsfälle sind erlaubt — dokumentiert, statt Wildwuchs?
- Welche Daten dürfen in welches System — eine einfache Datenklassifizierung.
- Wo ist der Mensch in der Schleife — verpflichtend bei sensiblen Entscheiden.
- Wo liegen die Daten — Datenhaltung in der Schweiz, wo nötig.
Der rechtliche Rahmen
Das revidierte Datenschutzgesetz (revDSG) verlangt Privacy by Design, Informationspflichten und bei hohem Risiko eine Datenschutz-Folgenabschätzung — der Kern jeder KI-Governance. Ein horizontales Schweizer KI-Gesetz gibt es 2026 nicht: Der Bundesrat wählte am 12. Februar 2025 einen sektoriellen Ansatz und unterzeichnete die KI-Konvention des Europarats (Lenz & Staehelin).
Datenrisiko und Modellrisiko
Die FINMA beobachtete bei Finanzinstituten, dass sie sich zu stark auf das Datenschutzrisiko konzentrieren und das Modellrisiko (Robustheit, Korrektheit, Erklärbarkeit, Bias) unterschätzen (FINMA). Die Lehre gilt auch für KMU: Beide Risiken gehören adressiert — durch menschliche Prüfung, Quellen-Verifikation und nachvollziehbare Protokolle.
Schlanke Umsetzung
Eine KMU-Governance passt auf wenige Seiten: erlaubte Tools, Datenklassen, Kontrollpunkte und Datenhaltung. Eine Plattform wie osFoundry hilft, weil sich Tools, Modelle und Datenflüsse zentral steuern lassen — statt über ein Dutzend einzelner Abos (SaaS-Wildwuchs stoppen).
Wie dgm hilft
dgm baut diese Governance direkt in die Architektur ein und richtet die Datenhaltung nach Sensibilität aus. Die rechtliche Würdigung bleibt beim Unternehmen; dgm liefert Struktur, Kontrollen und Umsetzung. Kontaktieren Sie dgm für eine Standortbestimmung.