KI-Nutzungsrichtlinie für Schweizer Organisationen — die Vorlage

Vorlage · Veröffentlicht 24.05.2026 · Aktualisiert 25.05.2026 · Joel Barmettler

Warum diese Vorlage existiert

Drei Entwicklungen laufen gleichzeitig: Ihre Mitarbeitenden nutzen bereits KI — die Frage ist nicht mehr ob, sondern wie. Der EU AI Act erkennt ausdrücklich an, dass KI-Kompetenz Teil der modernen Arbeit ist und verlangt, dass sie aufgebaut und dokumentiert wird. Und das revidierte Datenschutzgesetz schafft den klaren Rahmen, in dem Sie das gestalten können.

Eine KI-Nutzungsrichtlinie ist die kürzeste Antwort auf diese Konstellation. Sie macht aus Schatten-KI eine gesteuerte Praxis, gibt klare Antworten darauf, was wo erlaubt ist, und dokumentiert die KI-Kompetenz, die der AI Act voraussetzt. Sie verlagert nichts auf das Werkzeug — die Verantwortung bleibt bei der Person, die ein Werkzeug einsetzt.

Diese Vorlage ist Souveranas opinionated Beispiel. Sie nimmt klar Stellung, wo viele andere ausweichen — und sie ist explizit Schweizer Recht, Schweizer Sprache, Schweizer Datenklassen. Sie ist anzupassen, nicht zu kopieren. Was sie zeigt, ist, wie eine tragfähige Richtlinie heute aussieht.

Die Souverana-Haltung

Bevor eine Richtlinie Regeln macht, braucht sie eine Haltung. Sechs Sätze, die in dieser Vorlage durchgängig wirken und die Sie übernehmen oder anpassen sollten — bewusst, nicht aus Versehen.

  1. 01

    Vertrauliche Daten bleiben im Haus

    Generische Cloud-KI (ChatGPT, Claude, Gemini, Microsoft Copilot Public-Tier) ist für öffentliche und interne Inhalte ausgezeichnet; für vertrauliche oder geheimnisgeschützte Daten nicht. Diese Vorlage zieht die Linie explizit und benennt die Werkzeuge — damit das Team weiss, wo das offene Tor steht und wo der eigene Pfad.

  2. 02

    Verantwortung bleibt bei der Person, nicht beim Werkzeug

    Wer ein KI-Tool einsetzt, ist für das Ergebnis verantwortlich — fachlich wie datenschutzrechtlich. Das Werkzeug ist nie eine Ausrede. Entlastend für die Geschäftsleitung, befähigend für die Nutzenden.

  3. 03

    Schatten-KI ist kein Vergehen, sondern ein Signal

    Wenn Mitarbeitende auf eigene Faust KI nutzen, bedeutet das fast immer: der offizielle Weg fehlt oder ist umständlicher. Diese Vorlage sieht einen leichtgewichtigen Meldeweg vor und verpflichtet die Organisation, für die häufigsten Bedürfnisse eine souveräne Alternative zu schaffen.

  4. 04

    Souveränität ist die Default-Wahl

    Wo eine souveräne Lösung — Schweizer Hosting, On-Premise, Open-Weight — verfügbar und verhältnismässig ist, wird sie bevorzugt. Auch dann, wenn die nicht-souveräne Alternative bequemer wirkt.

  5. 05

    Transparenz nach innen, Diskretion nach aussen

    Intern werden KI-Ergebnisse als solche gekennzeichnet, wo es für die Beurteilung relevant ist. Gegenüber Kundinnen und Kunden gilt die Sorgfaltspflicht des Mediums — keine zusätzliche Markierungspflicht, aber auch keine Verschleierung.

  6. 06

    Die Richtlinie wird gelebt, nicht abgeheftet

    Eine Richtlinie, die niemand kennt, wirkt nicht. Jährliche Auffrischung, niederschwellige Eskalationsstelle, kurze rollenbasierte Schulung — das Minimum, mit dem die AI-Act-Kompetenzpflicht belegbar ist.

Bequemlichkeit ist kein Argument gegen Souveränität.

Wo KI ohne Hürden funktioniert

Bevor die Datenklassen-Matrix die Detailfragen klärt: für den Grossteil der täglichen KI-Anwendung gibt es keine Hürde und keinen Genehmigungspfad. Diese Vorlage macht das explizit, weil zu viele generische Richtlinien den Eindruck erwecken, KI sei grundsätzlich problematisch — und damit ungewollt die Nutzung bremsen, statt sie zu gestalten.

Erst wenn vertrauliche, personenbezogene oder geheimnisgeschützte Daten ins Spiel kommen, beginnt die Steuerung durch die Datenklassen-Matrix. Davor steht: nutzen Sie KI, wo sie hilft.

Was eine tragfähige Richtlinie enthält

Die vollständige Vorlage gibt Ihrer Organisation einen praktischen Rahmen für den KI-Einsatz: zehn kurze §-Klauseln plus zwei Anhänge — so kompakt wie möglich, weil eine Richtlinie nur wirkt, wenn sie gelesen wird.

  • § 1 Geltungsbereich — wer, welche Werkzeuge, welche Anwendungsfälle
  • § 2 Begriffe — KI-Werkzeug, sensible Daten, Schatten-KI, Prompt
  • § 3 Grundsätze — die sechs Haltungssätze operationalisiert
  • § 4 Datenklassen — vier Stufen, definiert und mit der Tool-Matrix verknüpft
  • § 5 Erlaubte Nutzung und alternative Pfade — was wofür freigegeben ist, mit konkreten Beispielen
  • § 6 Meldepflicht für neue Werkzeuge — leichtgewichtiger Weg, um Schatten-KI zu legitimieren
  • § 7 KI-Kompetenzanforderungen — pro Rolle, AI-Act-konform
  • § 8 Vorfälle und Eskalation — was tun, wenn etwas passiert ist
  • § 9 KI-Beauftragter (optional) — Rolle und Verantwortung
  • § 10 Inkrafttreten, Überprüfung, Versionierung — wie die Richtlinie lebendig bleibt
  • Anhang A — Beispielliste verbreiteter KI-Werkzeuge, klassifiziert
  • Anhang B — Glossar revDSG, EU AI Act, Berufs- und Amtsgeheimnis

Datenklassen × Tools — die Matrix

Die zentrale Klärung jeder Richtlinie ist, welche Daten in welches Werkzeug dürfen — und welche überall dürfen. Diese Vorlage arbeitet mit vier Datenklassen und drei Werkzeugkategorien.

Generische Cloud-KI

ChatGPT/Claude/Gemini, Public

Microsoft Copilot

Business/Enterprise, EU-Tenant

Souveräne Lösung

On-Premise / CH / Apertus

Öffentlich

Webinhalte, Werbung, allgemeine Recherche

Frei
Frei
Frei

Intern

Interne Doku, allgemeine Korrespondenz

Bedingt
Frei
Frei
Hinweis ↳ Bedingt = nur ohne Personenbezug, ohne Kundennamen, ohne interne Strategie; keine Modelltrainings-Freigabe; nur explizit für den Zweck.

Vertraulich

Personenbezogene Daten, Kundendaten, Strategie

Nein
Bedingt
Frei
Hinweis ↳ Bedingt = nur mit EU-Tenant + Data-Residency-Zusage + Auftragsverarbeitungsvertrag + keine Modelltrainings-Freigabe; jeder Anwendungsfall einzeln genehmigt.

Geheimnisträger

Berufs-/Amts-/Bankgeheimnis, FINMA-aufsichtspflichtig

Nein
Nein
Frei
Hinweis ↳ Auch für Geheimnisträger-Daten gelten Audit, Berechtigungskonzept und Datenschutz-Folgenabschätzung — Souveränität ersetzt diese Prüfungen nicht, sie ermöglicht sie.

Was hier wichtiger ist als die einzelnen Zellen: für öffentliche Inhalte dürfen Sie alle gängigen KI-Werkzeuge nutzen — keine Hürde, keine Genehmigung. Das ist der Bereich, in dem täglich die meiste KI-Arbeit passiert, und genau dort soll sie passieren. Die Strenge in den unteren Zeilen ist die bewusste Schutzentscheidung für sensible Daten; sie kann an Ihre Organisation angepasst werden, sollte aber nie ohne Begründung gelockert werden.

Drei Klauseln aus der Vorlage

Damit Sie sich ein Bild machen, was im PDF steht — drei der zehn §-Klauseln im Wortlaut:

PDF anfordern

Die vollständige Vorlage — alle zehn §-Klauseln im Wortlaut, die Tool-Matrix in editierbarer Form, der Anhang mit klassifizierter Werkzeugliste, und das Glossar zu revDSG/AI Act — gibt es als PDF zum Download.

[Hier eintragen: Gate-Formular «PDF anfordern», E-Mail erforderlich → Zustellung über den souveränen Brevo-Pfad (kontakt@souverana.ch).]

Häufige Fragen

Wer braucht eine KI-Nutzungsrichtlinie?
Jede Organisation, in der Mitarbeitende KI nutzen — also praktisch jede. Eine Nutzungsrichtlinie ist das einfachste Mittel, KI-Einsatz bewusst zu gestalten: was wo erlaubt ist, wer wofür Kompetenz aufbaut, wie aus Schatten-KI eine gesteuerte Praxis wird. Sie dokumentiert die KI-Kompetenz, die der EU AI Act voraussetzt, und schafft den Rahmen, in dem KI im regulierten Schweizer Umfeld verteidigbar eingesetzt werden kann.
Was unterscheidet diese Vorlage von einer Standardvorlage aus dem Internet?
Sie ist Schweiz-spezifisch (revDSG, FINMA, Berufs-/Amtsgeheimnis), AI-Act-aware, und sie bezieht Stellung — welche Werkzeuge für welche Daten freigegeben sind, namentlich genannt, mit klaren Pfaden statt Verboten. Generische Vorlagen lassen die schwierigen Entscheidungen offen und wirken in der Praxis nicht. Diese hier macht sie.
Können wir die Vorlage 1:1 übernehmen?
Bewusst nein. Die Vorlage ist ein Ausgangspunkt — sie zeigt, was eine tragfähige Richtlinie enthält und wie der Souverana-Standard aussieht. Die Anpassung an Branche, Datenarten, Werkzeuge und Verantwortlichkeiten ist Voraussetzung dafür, dass sie im Alltag wirkt. Für eine geprüfte, organisationsspezifische Version: [Erstgespräch vereinbaren](/kontakt/).
Ist diese Vorlage Rechtsberatung?
Nein. Die Vorlage spiegelt Souveranas fachliche Sicht und langjährige Praxis, ersetzt aber weder juristische Prüfung noch eine Datenschutz-Folgenabschätzung. Für die Verbindlichkeit in Ihrer Organisation braucht es die Abstimmung mit Ihrem Datenschutzverantwortlichen und gegebenenfalls Ihrer Rechtsabteilung.

Für die Geschäftsleitung

Dieses Dossier als PDF

Den vollständigen Beitrag plus eine kompakte Management-Zusammenfassung und Checkliste — als sauberes PDF zum Speichern und Weiterleiten.

Sie erhalten das PDF sofort. Mit dem Absenden stimmen Sie zu, dass Souverana Sie zu diesem Thema kontaktieren darf. Verarbeitung in der Schweiz/EU, keine Weitergabe an Dritte, Widerruf jederzeit (revDSG).