4 KI-Projekte freigegeben, die vorher seit Monaten blockiert waren.
Kundenname auf Wunsch anonymisiert.
Branche
IT-Dienstleistungen / Software
Grösse
ca. 25 Mitarbeitende
Standort
Kanton Zürich
4 KI-Projekte freigegeben, die vorher seit Monaten blockiert waren.
Kundenname auf Wunsch anonymisiert.
Branche
IT-Dienstleistungen / Software
Grösse
ca. 25 Mitarbeitende
Standort
Kanton Zürich
Ausgangslage
Der Kunde ist ein Schweizer IT-Dienstleister, der massgeschneiderte Softwarelösungen für Unternehmen in der Finanz- und Versicherungsbranche entwickelt. 25 Mitarbeitende, davon rund 18 in der Entwicklung. Ein typisches Schweizer Tech-KMU: schnell, pragmatisch, technisch stark.
Das Team wollte KI-Tools in der Entwicklung und im Kundensupport einsetzen. Copilot für Code-Reviews, ChatGPT Enterprise für die technische Dokumentation, ein KI-gestütztes Ticketing-System für den Support. Der Geschäftsführer fand das sinnvoll. Aber er traute sich nicht, es offiziell einzuführen.
Der Grund: Zwei seiner grössten Kunden, eine Versicherung und eine Kantonalbank, hatten im letzten Lieferantenaudit Fragen zum Umgang mit KI gestellt. Konkret: Nutzen Sie KI-Tools in der Entwicklung unserer Software? Wenn ja, wie stellen Sie sicher, dass keine Kundendaten in diese Tools fliessen? Haben Sie eine KI-Richtlinie? Der Geschäftsführer konnte keine dieser Fragen beantworten. Und er wusste: Wenn er jetzt KI offiziell einführt, ohne diese Fragen beantworten zu können, riskiert er die Verträge.
Also blieb alles beim inoffiziellen Status quo. Dabei waren es genau die regulatorischen Anforderungen aus dem EU AI Act, die seine Kunden aus der Finanzbranche bereits intern weitergaben. Einzelne Entwickler nutzten Copilot auf eigene Faust. Support-Mitarbeitende kopierten Kundenanfragen in ChatGPT, um schneller Antworten zu formulieren. Kundendaten in einem US-Cloud-Dienst, ohne Dokumentation, ohne Freigabe. Der Geschäftsführer wusste davon, konnte es aber weder erlauben noch wirksam unterbinden, solange es keine Regeln gab.
Was den Kunden zu uns gebracht hat
Der Geschäftsführer brauchte zwei Dinge: Eine AI Policy, die er seinen Grosskunden vorlegen kann. Und ein einfaches Verfahren, mit dem er intern KI-Tools freigeben oder ablehnen kann, ohne dass er jedes Mal selber recherchieren muss, was erlaubt ist und was nicht.
Er hatte weder Budget noch Geduld für ein mehrmonatiges Compliance-Projekt. Er wollte etwas, das in Wochen steht und das ein Unternehmen mit 25 Leuten auch tatsächlich leben kann.
Was wir gemacht haben
Wir haben zuerst erfasst, was schon im Einsatz war. Gespräche mit den Teamleitern, eine kurze Analyse der genutzten Software. Ergebnis: 7 Systeme mit KI-Komponenten. Neben den offensichtlichen (Copilot, ChatGPT) auch ein Code-Analyse-Tool, das der Lead Developer eingeführt hatte, und ein CRM-Plugin mit KI-basierter Kontaktpriorisierung. Bei zwei Tools stellte sich heraus, dass Kundendaten an Server in den USA übermittelt wurden.
Dann haben wir eine KI-Richtlinie (auch KI-Policy genannt) geschrieben. Acht Seiten, kein Juristendeutsch. Die Policy regelt: Welche Kategorien von KI-Tools sind grundsätzlich erlaubt, welche Daten dürfen wo verarbeitet werden, was passiert bei Unsicherheit (kurze Prüfung statt monatelangem Prozess), und wer ist verantwortlich. Wir haben sie zusammen mit dem Geschäftsführer und dem Lead Developer erarbeitet und dabei die Anforderungen der zwei Grosskunden direkt eingebaut.
Zum Schluss haben wir ein Freigabeverfahren aufgesetzt. Ein einseitiges Formular mit fünf Fragen: Welche Daten fliessen rein? Wo werden sie verarbeitet? Gibt es einen DPA mit dem Anbieter? Wer ist intern verantwortlich? Ist der Einsatz gegenüber Kunden dokumentiert? Wenn alle fünf Fragen beantwortet sind, kann der Geschäftsführer entscheiden. Das dauert eine halbe Stunde, nicht zwei Wochen.
Was das gebracht hat
Nach drei Wochen lag die Policy vor. Der Geschäftsführer hat sie beiden Grosskunden proaktiv zugestellt, noch bevor das nächste Audit anstand. Die Rückmeldung war positiv. Die Versicherung hat die Policy in ihre Lieferantendokumentation aufgenommen. Die Kantonalbank hat nachgefragt, ob Navigant auch für sie direkt arbeiten könnte.
Intern wurden vier KI-Projekte über das Freigabeverfahren bewertet. Drei wurden direkt freigegeben. Beim vierten, dem Support-Tool, musste zuerst ein DPA gemäss DSGVO und Schweizer DSG mit dem Anbieter abgeschlossen werden. Das dauerte zwei Wochen, dann war auch dieses Projekt live.
Die Shadow AI auf privaten Geräten hörte auf, weil es jetzt einen offiziellen, freigegebenen Weg gab. Und der Geschäftsführer, der vorher zwischen "alles erlauben" und "alles verbieten" feststeckte, hatte ein Werkzeug, mit dem er in wenigen Minuten entscheiden konnte. Das ist das Ziel von KI Governance: nicht Verbote, sondern klare Spielregeln, die Entscheidungen möglich machen.
Projektdauer: 3 Wochen | Aufwand: ca. 8 Beratertage | Durchgeführt von Navigant