Governance5 Min. Lesezeit

Die KI-Build-vs-Buy-Falle: Warum Schweizer KMU nicht selbst entwickeln sollten

Marco Quinter·2. April 2026

Die Datenschutz-Ausrede

Schweizer KMU haben ein bevorzugtes Instrument, um KI-Entscheide hinauszuschieben: den Datenschutz. Solange die Regulierung unvollständig ist, wartet man. Solange der EU AI Act in Bern nicht rezipiert ist, hält man inne. Solange die Anwälte keine endgültige Auskunft geben, passiert nichts.

Economiesuisse teilt diese Zurückhaltung gegenüber der Regulierung. Der Verband fordert eine technologieneutrale, prinzipienbasierte Regulierung und lehnt unnötig restriktive Einschränkungen ab. Das ist eine Position zur Gesetzgebung, keine Lizenz zur Untätigkeit. Denn das nDSG gilt seit dem 1. September 2023. Wer heute KI einsetzt, hat klare Datenschutzpflichten. Wer heute KI nicht einsetzt, gibt Marktanteile ab.

Die CorpIn-Studie 2025 zeigt: 34 Prozent der Schweizer KMU nutzen bereits KI-Tools. Der Anteil stieg innerhalb eines Jahres um 12 Prozentpunkte. Der Markt wartet nicht auf die perfekte Regulierung.

Die Build-vs-Buy-Falle

Wer beschliesst, zu handeln, läuft in die nächste Falle. Eigene KI-Modelle zu entwickeln ist für Schweizer KMU kein gangbarer Weg. Es braucht Datenwissenschaftler, MLOps- Infrastruktur, belastbare Trainingsdaten und kontinuierlichen Betrieb. Was für einen Grosskonzern ein sinnvoller strategischer Vorteil sein kann, ist für ein KMU mit 50 bis 500 Mitarbeitenden eine Kapitalvernichtungsmaschine.

Die Unternehmen, die in der Schweiz mit KI schnell Ergebnisse erzielen, bauen nicht. Sie kaufen. Oder genauer: Sie wählen aus einem Markt an Standardlösungen die richtigen Tools aus, definieren die Governance-Leitplanken, und setzen um. Die CorpIn-Daten bestätigen das: Die grosse Mehrheit der KMU, die KI produktiv einsetzen, arbeitet mit externen Spezialisten. Nicht mit internen Entwicklungsteams.

Die VR-Entscheidung ist damit klar definiert. Nicht: "Sollen wir KI entwickeln?" Sondern: "Welche Standardlösungen genehmigen wir, unter welchen Bedingungen, mit welchen Datenschutzauflagen?" Das ist Governance, keine Technologiestrategie.

Das ETH-Pragmatismus-Modell

Die ETH Zürich hat das KI-Thema klar in der Industrie positioniert. Das ETH AI Center zählt über 102 Professoren und 1'500 Forschende. Der explizite Fokus liegt auf industriellen Anwendungen und der Zusammenarbeit mit KMU. Eine Erhebung von ETH und Swissmem bei 208 Schweizer Industrieunternehmen zeigt, wo die Hebel liegen: Maschinenoptimierung, vorausschauende Wartung, Prozessautomatisierung.

Diese Unternehmen haben nicht investiert, weil sie die perfekte Regulierung abgewartet haben. Sie haben investiert, weil sie einen spezifischen Prozess identifiziert, eine erprobte Standardlösung evaluiert und die Governance definiert haben. Technologietransfer statt Eigenentwicklung.

Das Muster gilt branchenübergreifend. Komplexe Eigenentwicklungen entstehen bei Technologieunternehmen, die KI als Kernprodukt vermarkten. Schweizer Industrie- und Dienstleistungsunternehmen gewinnen durch operative Exzellenz mit Standardtools, nicht durch proprietäre Modelle.

Die neue VR-Pflicht

Art. 716a OR verlangt die Oberaufsicht über die Geschäftsführung. Das schliesst die Kontrolle darüber ein, welche KI-Tools im Unternehmen eingesetzt werden und mit welchen Daten. Kein Verwaltungsrat kann diese Kontrolle glaubhaft ausüben, wenn er keine formelle KI-Tool-Governance beschlossen hat.

Drei VR-Entscheide, die sofort getroffen werden können:

1. Genehmigte Tool-Liste
Welche KI-Standardtools sind für welche Einsatzbereiche genehmigt? Was ist ausdrücklich verboten? Diese Liste ist kein IT-Dokument. Sie ist ein VR-Beschluss.

2. Datenklassifizierung
Welche Unternehmensdaten dürfen in externe KI-Systeme fliessen? Kundendaten, Personalakte, Finanzdaten: Die Klassifizierung bestimmt, welche Tools überhaupt in Frage kommen. Das schützt nicht nur vor nDSG-Verstössen. Es schützt auch vor dem Abfluss von Geschäftsgeheimnissen.

3. Externer Spezialist mit Mandat
Die meisten Swiss KMU setzen KI mit externen Spezialisten um. Das ist richtig. Der Verwaltungsrat muss sicherstellen, dass dieses Mandat klare Vertragsbedingungen hat: Datenschutzvereinbarungen, Geheimhaltung, Exit-Klauseln. Ungeregelte Berater-Abhängigkeiten sind ein Governance-Risiko.

Diese drei Entscheide können in einer einzigen VR-Sitzung getroffen werden. Sie dokumentieren die wahrgenommene Oberaufsicht nach Art. 716a OR und schaffen gleichzeitig die Grundlage, um zügig mit standardisierten KI-Lösungen voranzukommen. Warten ist keine neutrale Position. Es ist eine Entscheidung gegen Gestaltungsmacht.

Quellen:

  • CorpIn: «10 Fakten zur KI-Nutzung in Schweizer Unternehmen» (2025).
  • ETH AI Center / Swissmem: Erhebung zur KI-Nutzung in 208 Schweizer Industrieunternehmen.
  • Economiesuisse: Positionspapier zur KI-Regulierung, Forderung nach technologieneutralem Rahmen (2025/26).
  • Bundesgesetz über den Datenschutz (nDSG), in Kraft seit 1. September 2023.
  • Schweizer Obligationenrecht Art. 716a (Unübertragbare und unentziehbare Aufgaben des Verwaltungsrats).

Marco Quinter ist Verwaltungsrat, ehemaliger CBO (CHF 100 Mio. EBITDA) und CIO. Er verankert KI-Strategie und Governance im Schweizer VR-Gremium.

← Zurück zu Wissen
Klären wir Ihren konkreten Handlungsbedarf.Gespräch vereinbaren →