Die meisten Schweizer Unternehmen, die KI einführen, starten mit einem Tool, nicht mit einer Architektur. Man probiert einen Assistenten aus, er funktioniert, wird auf weitere Teams ausgeweitet — und erst später fragt jemand, wo die Daten wirklich landen. Zu diesem Zeitpunkt ist ein Rückzug deutlich teurer, als von Anfang an die richtigen Fragen zu stellen.
Sieben Punkte, die vor der Einführung eines KI-Tools zu prüfen sind
- Datenstandort: Verarbeitet und speichert der Anbieter die Daten in der Schweiz oder im Europäischen Wirtschaftsraum, oder gelangen sie in Infrastrukturen ausserhalb der EU?
- Nutzung für das Training: Werden Ihre Eingaben zum Training der Anbietermodelle verwendet, und mit welchem Opt-out-Mechanismus?
- Rechtsgrundlage der Verarbeitung: Welche Rechtsgrundlage gilt nach nDSG und DSGVO für personenbezogene Daten von Kunden oder Mitarbeitenden, und wer ist dafür verantwortlich?
- Auftragsverarbeitungsvertrag (AVV): Gibt es einen Vertrag, der Rollen und Verantwortlichkeiten zwischen Verantwortlichem und Anbieter regelt, mit überprüfbaren Klauseln?
- Nachvollziehbarkeit und Audit: Können Sie auch nach Monaten rekonstruieren, welche Daten an welches System gesendet wurden und mit welchem Ergebnis?
- Recht auf Löschung: Kann der Anbieter, wenn eine betroffene Person die Löschung ihrer Daten verlangt, dies auch auf Modellebene gewährleisten, nicht nur auf Datenbankebene?
- Reversibilität: Können Sie bei einem Anbieterwechsel Ihre Daten und den aufgebauten Wert mitnehmen, oder bleiben Sie in einem proprietären Format gefangen?
Warum die FINMA das Bild für den Finanzsektor verändert
Für FINMA-regulierte Unternehmen kommen zu diesen Punkten die Anforderungen an Auslagerung (Outsourcing) und operationelles Risikomanagement hinzu: KI ist keine Ausnahme vom bestehenden Kontrollperimeter, sondern in jeder Hinsicht ein Drittanbieter und muss in der Risiko-Governance entsprechend behandelt werden.
Compliance als Ausgangspunkt, nicht als Hindernis
Keine dieser Prüfungen verhindert die Einführung von KI: Sie dienen dazu, von Anfang an die richtige Architektur zu wählen, statt ein Compliance-Problem erst zu entdecken, nachdem ein Tool bereits Teil der täglichen Prozesse geworden ist. Eine Architektur, die von Beginn an um diese Vorgaben herum konzipiert wird, kostet heute gleich viel und in einem Jahr deutlich weniger.