Schatten-KI stoppen: DSGVO-Checkliste für KMU | DrKPI

MC Lago Workshop | 12. März 2026  |  DrKPI® | Urs E. Gattiker, Ph.D. | drkpi.com

Mehr Infos zum Workshop und den Learnings gibt es im Blog vom Marketing Club Lago und in den News von DrKPI.

Einführung

Diese Checkliste hilft dir, DSGVO KMU-Anforderungen zu erfüllen und die Nutzung von KI in deinem Unternehmen sicher zu strukturieren. Dabei spielt natürlich auch für ein KMU Compliance eine wichtige Rolle.

Bitte berücksichtige, dass diese Checkliste im Frühjahr 2026 erstellt und getestet wurde. Die Dinge ändern sich jedoch sehr schnell, was z.B. KI und Regulierung betrifft. Deshalb halte dich auf dem Laufenden.

Wir alle nutzen KI — bewusst oder unbewusst

Hast du heute Morgen Siri oder Google Maps genutzt? Sprach-Assistenten eingesetzt oder in der S-Bahn Netflix geschaut? Vielleicht eine Spam-Mail nicht erhalten, weil dein E-Mail-Filter sie blockiert hat? Dann hast du heute bereits KI genutzt.

KI ist in unserem Alltag angekommen. Die Frage für KMU lautet nicht «ob», sondern «wie» KI im Unternehmen genutzt wird:

• Sanktionierte KI — Tools, die dein Unternehmen offiziell eingeführt hat, mit klaren Regeln und DSGVO-Konformität.
• Schatten-KI — Tools, die Mitarbeitende privat für die Arbeit nutzen, ohne dass die IT-Abteilung oder Geschäftsleitung es weiss. Beispiele: ChatGPT auf dem Privathandy für Kundenanfragen, Grammarly im Browser, Google Translate für vertrauliche Dokumente.

Das Risiko: Schatten-KI ist ein nicht zu unterschätzendes Risiko. Kundendaten, interne Strategien und Verträge können ungewollt auf US-Servern landen. Dabei kann beispielsweise die DSGVO verletzt werden.

Nutzung von Schatten-KI kann auch Copyright, Urheberrecht und mögliche Patentanmeldungen der Firma gefährden sowie finanzielle Ansprüche zunichte machen. Dies geschieht dann, wenn vertrauliche Informationen zu früh über KI an Dritte gelangen.

Diese Checkliste hilft dir bei deinen Anstrengungen, KI im KMU-Alltag sicher, kostenbewusst und rechtskonform einzusetzen.

Check 1 — KI-Modelle vergleichen + Kosten

Frage: Welches Tool passt zu meiner Aufgabe — und was kostet es wirklich?

Tabelle 1 — Proprietäre KI-Tools

¹ Mistral = neue Rechenzentren in Frankreich geplant; DSGVO-Konformität erwartet ab Mitte 2027. Details: drkpi.com → Tabelle 2 Mistral Le Chat.  
Legende: 🖥️ = macOS / Windows / Linux  |  📱 = iOS / Android  |  🌐 = Web (Browser)  

Tabelle 2 — Open-Source-Tools

² GPT4All Teams = USD 40/Nutzer/Monat, mind. 25 Nutzer. Für KMU meist Gratis-Version ausreichend.  
³ Nextcloud = kostenlos selbst hosten. Enterprise-Support ab EUR 71–100/Nutzer/Jahr — erst ab 100 Nutzern relevant.  
⁴ DeepSeek = Daten werden nach China übertragen. US House Committee Report bestätigt Sicherheitsrisiken.  
Legende: 🖥️ = macOS / Windows / Linux  |  📱 = iOS / Android  |  🌐 = Web (Browser)  

Check 2 — Kosten-Falle: Gratis hat seinen Preis

Frage: Weiss ich, was ich bekomme, wenn ich die kostenlose Version nutze?

• Kostenlose Pläne nutzen oft schwächere Modelle. Nicht immer sind diese schwächer als die neuesten Versionen, wenn beim Upgrade etwas schiefläuft — Bsp. ChatGPT.
• Perplexity und andere: Nach Erreichen des Limits wechselt das System auf ein schwächeres Modell. Welches es auswählt, ist Glücksache — du hast keine Wahl.
• Claude: Hat ein Tageslimit. Ist es erreicht, wartet man 5 Stunden. Das Programm zählt ab 05:00 Uhr — auch wenn du erst um 05:30 Uhr startest.
• ChatGPT: Nach einer gewissen Zeit wird die kostenlose Version auf ein schwächeres Modell umgestellt. Ist auch dieses Kontingent aufgebraucht, folgt eine Wartefrist.
• Chat-Limit: Nach langen Konversationen sagt das System irgendwann «Kapazität voll — bitte neuen Chat starten». Der gesamte Kontext ist dann weg.

💡 Tipp — Nie wieder Kontext verlieren: Markiere den Text, den die KI generiert, kopiere ihn und füge ihn in eine .txt oder .md Datei ein. Noch besser: Fordere die KI am Schluss auf, das komplette Hand-out als .txt Datei zu generieren. Noch besser eine .md Datei (siehe MC Lago Workshop am 16. April zum Thema Open-Source Programme).

Check 3 — DSGVO + CLOUD Act + FISA 702

Frage: Wo landen meine Daten, wenn ich US-KI-Tools nutze?

• CLOUD Act (2018): US-Behörden können jederzeit auf Daten von US-Unternehmen zugreifen — auch wenn die Server in der EU stehen. Selbst «DSGVO-konforme» KI-Tools, deren Daten auf Amazon- oder Microsoft-Servern gehostet werden, schützen nicht vor dem CLOUD Act.
• FISA 702: US-Geheimdienste können ohne Gerichtsbeschluss auf Kommunikation von Nicht-US-Bürgern zugreifen. Im aktuellen geopolitischen Kontext kein theoretisches Risiko mehr.
• DSGVO vs. US-Recht: Kein US-Anbieter kann gleichzeitig DSGVO und CLOUD Act vollständig erfüllen. Beispiel: Sperrung des Outlook-Kontos des Chefanklägers des Internationalen Strafgerichtshofs, Karim Khan, durch Microsoft im Jahr 2025.

Konkrete Lösungen für KMU:

• Schweizer / EU-Hosting: Nine.ch, Hetzner, Infomaniak — physisch und rechtlich ausserhalb des CLOUD Act.
• Sensible Daten nie direkt in ChatGPT & Co. eingeben — vorher anonymisieren.
• Lokale KI-Modelle nutzen (→ Bonus 9: Ensu & GPT4All).

Check 4 — Datenschutz-Einstellungen

Frage: Was muss ich in meinen KI-Tools deaktivieren?

• ChatGPT: Einstellungen → Datenkontrolle → «Modelltraining» ausschalten. So werden deine Eingaben nicht für das Training neuer Modelle verwendet.
• Mistral Free: Kein Online-Opt-Out möglich — Papierbrief nötig (CNIL-Beschwerde 2025). Nur Pro/Business hat Online-Opt-Out.
• Grundregel: Keine sensiblen Daten eingeben — auch mit deaktivierten Einstellungen bleibt das CLOUD Act Risiko bestehen (siehe Check 3).

Warum wichtig: Wer das Modelltraining nicht deaktiviert, gibt Kundendaten und Geschäftsgeheimnisse freiwillig an KI-Anbieter weiter. Selbst mit Opt-Out bleibt das CLOUD Act Risiko (siehe Check 3).

Referenz: ChatGPT & Mistral Le Chat: Kritische KI Risiken 2026

Check 5 — Vendor Lock-in vermeiden

Frage: Bin ich von einem einzigen KI-Anbieter abhängig?

Verschiedene KI für verschiedene Aufgaben nutzen:

• Code & Agenten → Claude
• Texte & EU-Daten → Mistral Le Chat
• Recherche & Quellen → Perplexity
• Vergleich & Testen → Arena.ai — 2 Modelle parallel, Open Source

Arena.ai Workflow: 2 Modelle bearbeiten dieselbe Aufgabe gleichzeitig. Man wählt die bessere Lösung — oder nimmt Elemente aus beiden. Wer alles auf einen Anbieter aufbaut, zahlt beim Wechsel mit Zeit und Geld. Gute KI Governance beginnt mit Tool-Diversifikation — kein KMU sollte von einem einzigen Anbieter abhängig sein

• Daten jederzeit exportierbar? Eigene Prompts und Outputs lokal speichern.
• Kein proprietäres Format für Wissensdatenbanken nutzen.

Check 6 — KI-Outputs prüfen mit Ai2 (Open Source)

Frage: Wie erkenne ich, ob eine KI-Aussage stimmt?

• Problem: KI halluziniert — erfindet Fakten, Quellen, Zahlen.
• Lösung: SciFact (Allen Institute for AI — Ai2, Open Source): Behauptung eingeben → SciFact durchsucht tausende Studien. Ergebnis: unterstützend oder widerlegend — mit farbig markierten Textstellen. Basiert auf 1.409 wissenschaftlichen Claims + 5.183 Abstracts.
• Asta (Ai2, Open Source): 200 Millionen wissenschaftliche Publikationen (Semantic Scholar). Für Literaturrecherche, Hypothesen, Paper-Suche.
• Grundregel: KI-Fakten selbst prüfen — die Qualität der Arbeit gewinnt dabei enorm.

Referenz: Hao, K. (2020-05-29). AI could help scientists fact-check covid claims. MIT Technology Review.

Weitere interessante Open Source Tools gibt es hier: Apertus & K2 Think V2

Check 7 — Regulierungen weltweit

Frage: Welche KI-Gesetze gelten für mein Unternehmen?

🇪🇺 EU AI Act

• Risikobasierter Ansatz: Verboten / Hochrisiko / Begrenzt / Minimal.
• Hochrisiko-KI (HR, Medizin, Justiz): Pflicht zu Transparenz, Logs, menschlicher Aufsicht.
• AI Omnibus 2025: Vereinfachung geplant — Hochrisiko-Regeln erst ab Dez. 2027 / Aug. 2028 verbindlich; KMU erhalten Erleichterungen.
• Bussgelder bis EUR 35 Mio. oder 7% Jahresumsatz.

Der EU AI Act entpuppt sich immer mehr als bürokratischer Papiertiger. Die zeitliche Verzögerung macht es KMU zwar einfacher, schützt uns aber wenig. Ein Beispiel ist die DSGVO: Zwar werden grosse Bussgelder gesprochen — bis heute aber eigentlich noch nichts einbezahlt von Amazon, Facebook und Co.

Referenz: EU AI Act: 3 Gründe warum ihre Firma eine KI Richtlinie braucht

🇺🇸 Kalifornien — KI-Gesetze seit Januar 2026

• SB 53: Frontier-KI-Entwickler müssen Sicherheitsrahmen veröffentlichen, Zwischenfälle melden, Whistleblower schützen.
• AB 489: KI darf sich nicht als lizenzierter Arzt / Anwalt ausgeben.
• SB 243: Chatbots und Minderjährige — Schutzpflichten.
• SB 524: Polizeiberichte mit KI — Kennzeichnungspflicht.

Warum wichtig für KMU: Seit die EU die Umsetzung des AI Act durch den AI Omnibus 2025 verzögert, haben andere die Führung übernommen. Südkorea verabschiedete vor einem Jahr das «Framework Act on the Development of Artificial Intelligence» — am 22. Januar 2026 trat es in Kraft. Kalifornien ebenso seit Januar 2026. Beide verlangen ein Risk Assessment und haben damit eine Vorreiterrolle eingenommen. Besonders SB 524 macht derzeit Schule: Immer mehr Organisationen kennzeichnen KI-Beteiligung in Berichten und Dokumenten — auch ausserhalb Kaliforniens. Ein Beispiel ist die Verantwortlichkeitserklärung am Ende dieses Beitrags.

Bonus 8 — Schatten-KI im Griff

Frage: Welche KI nutzen meine Mitarbeitenden, ohne Wissen der IT-Abteilung?

Unter Schatten-KI versteht man die nicht genehmigte Nutzung von KI-Tools durch Mitarbeitende — ohne formelle Genehmigung oder Aufsicht durch die IT-Abteilung. Konkrete Beispiele: ChatGPT, Gemini oder Copilot für Arbeitsaufgaben — ohne Datenschutz-Check oder Genehmigung. Oft weiss die Geschäftsleitung es nicht oder nutzt diese Technologien selbst!

Sofort-Massnahmen:

• Mitarbeitende befragen: «Welche KI-Tools nutzt ihr privat für die Arbeit?»
• Spesenabrechnungen und Firmenkreditkarten prüfen (KI-Abos!).
• Browser-Extensions inventarisieren — oft unbemerkte Datenabflüsse.
• DSGVO-Risiko prüfen: Welche Schatten-KI verarbeitet Kundendaten?

3 einfache Governance-Regeln (EU AI Act konform):

• Liste erlaubter KI-Tools definieren (z.B. Mistral Business oder Open Source Optionen wie in Tabelle 2).
• Klare Regel: Keine Kundendaten in nicht zuvor genehmigten Tools.
• Vorfälle melden — Pflicht ab 2027 für Hochrisiko-KI.

Warum wichtig: Gemäss Zylo 2026: Unternehmen nutzen durchschnittlich 269 SaaS-Tools; die IT-Abteilung kennt davon nur die Hälfte. Ein DSGVO-Verstoss auf dem privaten Handy bedeutet persönliche Haftung. Für DSGVO KMU-Compliance gilt: Schatten-KI ist kein IT-Problem — es ist ein Führungsproblem.

Referenz: EU AI Act: 3 Gründe warum ihre Firma eine KI Richtlinie braucht

Bonus 9 — Ensu & GPT4All: Lokale KI ohne Cloud

Beide Tools laufen vollständig auf deinem Gerät. Keine Daten verlassen deinen Computer.

Ensu (Ente)

Ensu ist ein kostenloser KI-Assistent für dein Gerät — kein Internet nötig, kein Cloud-Zugang. Ideal für private Gedanken, Notizen oder Gespräche über Bücher. Die App läuft auf iOS, Android, macOS, Linux, Windows und im Browser. Der Kern ist in Rust geschrieben — schnell und sicher. E2EE-Synchronisation zwischen Geräten ist in Entwicklung.

Noch nicht so stark wie ChatGPT — aber 100% privat. Download: ente.io/download

GPT4All (Nomic AI)

GPT4All ist kein Chatbot — es ist ein intelligentes Archiv. Du indexierst deine eigenen Dokumente (PDF, Word, TXT, Markdown) und stellst dann Fragen, die nur mit deinen Inhalten beantwortet werden.

1. Ordner mit Dokumenten auswählen
2. Im Register «LocalDocs» Ordner von Mac oder PC angeben
3. GPT4All indexiert alles (kann mehrere Stunden dauern)
4. Fragen stellen — Antworten kommen nur aus deinen Docs

Ideal für: Verträge durchsuchen, internes Know-how nutzen, Handbücher auswerten. Für Firmen mit mehr als 25 Nutzern: Nomic Teams ab USD 40/Nutzer/Monat. Download: gpt4all.io

Referenz: Wolski, D. & Freist, R. (2025-05-18). 11 Gratis-KI-Tools, die lokal auf dem PC laufen. PC Welt.

🇨🇦 Accurate, reliable and valid measurement is the fuel that powers smart decision-making. — Urs E. Gattiker, Ph.D., DrKPI®

🇩🇪 Genaue, zuverlässige und valide Messung ist der Treibstoff für intelligente Entscheidungen. — Urs E. Gattiker, Ph.D., DrKPI®

Literatur & Quellen

Blogposts

Gattiker, U. E. (2025-06-01). EU AI Act: 3 Gründe warum ihre Firma eine KI Richtlinie braucht. DrKPI Blog. ↑ Zum Abschnitt: Regulierungen weltweit

Gattiker, U. E. (2026-01-17). ChatGPT Datenschutz 2026: KMU Analyse. DrKPI Blog. ↑ Zum Abschnitt: DSGVO + CLOUD Act + FISA 702

Gattiker, U. E. (2026-01-26). ChatGPT & Mistral Le Chat: Kritische KI Risiken 2026. DrKPI Blog. ↑ Zum Abschnitt: Datenschutz-Einstellungen

Gattiker, U.E. (2026-02-26) KI Erfolg messen für KMU: 3 Kennzahlen die wirklich zählen. DrKPI Blog. ↑ Zum Abschnitt: KI-Outputs prüfen

MC Lago Events

Marketing Club Lago. (2026-03-12). KI Workshop: DSGVO-konform im KMU. MC Lago. ↑ Zum Abschnitt: Einführung

Studien & Berichte

Zylo. (2026). 2026 SaaS Management Index. Zylo. ↑ Zum Abschnitt: Schatten-KI im Griff

Republic of Korea. (2024). Framework Act on the Development of Artificial Intelligence. Korean Law Information Center. ↑ Zum Abschnitt: Regulierungen weltweit

Hao, K. (2020-05-29). AI could help scientists fact-check covid claims. MIT Technology Review. ↑ Zum Abschnitt: KI-Outputs prüfen

Wolski, D. & Freist, R. (2025-05-18). 11 Gratis-KI-Tools, die lokal auf dem PC laufen. PC Welt. ↑ Zum Abschnitt: GPT4All

Verantwortlichkeitserklärung zur KI Nutzung: Alle Kernideen, die kreative Ausrichtung und der intellektuelle Inhalt stammen vom Autor. KI-Tools wurden ausschliesslich zur Unterstützung bei Grammatik, Verständlichkeit und struktureller Überarbeitung eingesetzt. Jedes Element des endgültigen Werkes wurde von Urs E. Gattiker, Ph.D., DrKPI®, geprüft und genehmigt.

#SchattenKI #DrKPI #KMU #DSGVO #KI #CLOUDAct #Datenschutz #EUAIAct #MCLago