Wie Behörden KI-Wildwuchs vermeiden und Mitarbeitende befähigen
KI kann Verwaltungsarbeit erleichtern – aber nur, wenn die Mitarbeitenden wissen, was erlaubt ist, was vermieden werden muss und wann menschliche Kontrolle unverzichtbar bleibt. Viele Behörden erleben gerade, dass KI schneller genutzt wird, als interne Regeln entstehen. Dieser Beitrag zeigt, wie KI in der Behörde pragmatisch gesteuert werden kann: mit einfachen Leitlinien, gezielten Schulungen, erlaubten Anwendungsfällen und klaren No-Gos.
KI ist längst in der Verwaltung
angekommen – nur nicht immer offiziell
KI ist in vielen Behörden bereits angekommen – nur nicht immer offiziell. Eine Mitarbeiterin lässt einen Textentwurf formulieren, ein Sachbearbeiter fasst eine lange E-Mail zusammen, eine Abteilung testet ein Übersetzungstool, eine Führungskraft nutzt einen Chatbot zur Vorbereitung einer Präsentation. Jeder einzelne Fall wirkt harmlos. In Summe entsteht jedoch schnell ein unübersichtlicher Flickenteppich aus Tools, Accounts, Datenflüssen und ungeklärten Verantwortlichkeiten.
Für Behörden ist das besonders heikel. Sie arbeiten nicht nur mit allgemeinen Geschäftsinformationen, sondern mit Personendaten, Gesuchen, Entscheiden, Korrespondenz, internen Einschätzungen und teilweise besonders schützenswerten Personendaten. Gleichzeitig ist KI kein Nischenphänomen mehr: Generative Sprachmodelle sind kostenlos verfügbar, laufen im Browser und liefern in Sekunden brauchbare Ergebnisse. Die Nutzungshürde ist faktisch verschwunden.
Beim Datenschutz gilt es für Behörden genau hinzuschauen: Während für die Bundesverwaltung und private Anbieter das Schweizer Datenschutzgesetz (DSG) massgebend ist, unterstehen kantonale und kommunale Behörden den jeweiligen kantonalen Datenschutzgesetzen. Die Bundeskanzlei formuliert für die Bundesverwaltung einen Grundsatz, der sich bewährt hat und auch für kantonale und kommunale Behörden empfohlen wird: KI darf verantwortungsvoll genutzt werden, aber bestehende Vorgaben zu Informationssicherheit und Datenschutz müssen jederzeit eingehalten werden. Die Verantwortung für generierte Inhalte verbleibt beim Menschen – ein Prinzip, das sich auch in kantonalen Datenschutzgesetzen widerspiegelt.
Genau deshalb reicht es nicht, «KI-Kompetenz» allgemein zu fördern. Es braucht einen kontrollierten Rahmen: Was ist erlaubt? Was ist verboten? Was muss geprüft werden? Wer entscheidet im Zweifelsfall? Und ebenso wichtig: Über welche sicheren Kanäle verlässt ein KI-unterstützter Inhalt am Ende die Behörde? Genau hier setzt ePost mit geprüfter, Schweizer Infrastruktur an – dazu später mehr.
Das eigentliche Risiko heisst KI-Wildwuchs
KI-Wildwuchs entsteht nicht, weil die Mitarbeitenden leichtsinnig sind. Er entsteht, wenn Organisationen keine klaren, alltagstauglichen Regeln anbieten. Mitarbeitende, die KI eigenständig ausprobieren, wollen in der Regel produktiver arbeiten – nicht gegen interne Vorgaben verstossen. Das Problem ist fehlende Steuerung, nicht böse Absicht.
Ein pauschales KI-Verbot löst dieses Problem selten. Es verschiebt die Nutzung nur in private Accounts, Browserfenster oder nicht dokumentierte Workarounds – also genau dorthin, wo Sie noch weniger Kontrolle haben. Sinnvoller ist der umgekehrte Weg: kontrollierte Nutzung ermöglichen, klare Grenzen definieren und Ihre Mitarbeitenden befähigen, Risiken selbst zu erkennen.
Tool-Hype vs. Governance-Ansatz:
| Tool-Hype-Logik | Governance-orientierter Ansatz |
| Einzelne Teams experimentieren isoliert | Einheitliche Leitlinien für die gesamte Organisation |
| Private Accounts und Schattennutzung | Freigegebene Tools und dokumentierte Prozesse |
| KI-Ergebnis wird ungeprüft übernommen | Menschliche Prüfung bleibt Pflicht |
| Schulung kommt nach der Einführung | Schulung ist Voraussetzung für eine sichere Nutzung |
| Versand über beliebige, ungesicherte Kanäle | Zustellung über geprüfte, rechtskonforme Wege (z. B. Digitaler Brief von ePost) |
In diesem Artikel erfahren Sie den Unterschied zwischen e-Mail und dem Digitalen Brief.
Warum private KI-Accounts für Behörden problematisch sind
Private KI-Accounts wirken praktisch, weil sie sofort verfügbar sind. Aus Governance-Sicht sind sie jedoch für behördliche Zwecke problematisch. Sie können in der Regel nicht ausreichend steuern, welche Einstellungen aktiv sind, ob Eingaben gespeichert oder für das Training des Modells genutzt werden, welche Vertragsbedingungen gelten und ob sensible Informationen in Systeme Dritter gelangen.
Die entscheidenden Fragen, die Sie für jeden eingesetzten KI-Dienst beantworten können müssen, lauten:
- Wer ist Vertragspartner? Besteht ein rechtsgültiger Auftragsbearbeitungsvertrag (AVV) gemäss Art. 9 DSG bzw. den analogen Bestimmungen der kantonalen Datenschutzgesetze? (Dies ist keine Formsache, sondern die zwingende gesetzliche Grundlage für Behörden).
- Wo werden die Daten verarbeitet?
- Können Sie Auskunfts-, Lösch- oder Sicherheitsanforderungen gegenüber dem Anbieter durchsetzen?
- Gibt es eine Protokollierung der Nutzung?
Bei rein privaten Experimenten ohne behördliche Daten mag ein privater Account unkritisch sein. Sobald aber Arbeitsinhalte verarbeitet werden, braucht es einen offiziellen, geprüften Rahmen.
Empfehlung:
Ja, aber unter bestimmten Bedingungen. Das Obligationenrecht erlaubt die digitale Archivierung, solange folgende Anforderungen erfüllt sind:
- Keine Personendaten in private KI-Accounts eingeben
- Keine vertraulichen Dokumente hochladen
- Keine internen Akten, Gesuche oder Entscheidentwürfe verarbeiten
- Keine Bürgerkorrespondez mit echten Namen, Adressen oder Fallinformationen einfügen
- Private Accounts höchstens für allgemeines Lernen oder das Üben mit öffentlich verfügbaren Informationen nutzen
- Für echte Arbeitsprozesse ausschliesslich freigegebene, geprüfte und dokumentierte Lösungen einsetzen
Was die Mitarbeitenden vor der KI-Nutzung wissen müssen
| Modul | Ziel | Beispielinhalt |
| Grundverständnis KI | Erwartungen realistisch halten | KI generiert plausible Antworten, aber keine garantierten Fakten («Halluzinationen» erkennen) |
| Datenschutz & Amtsgeheimnis | Sensible Daten schützen | Welche Daten dürfen nie in KI-Tools eingegeben werden? |
| Informationssicherheit | Datenabfluss verhindern | Uploads, Cloud-Dienste, private Accounts, Browser-Erweiterungen |
| Prompting im Behördenkontext | Sichere Eingaben formulieren | Mit anonymisierten, abstrahierten Informationen arbeiten |
| Prüfung von Ergebnissen | Fehler vermeiden | Quelle prüfen, fachliche Kontrolle, Vier-Augen-Prinzip |
| Erlaubte Use Cases | Produktivität ermöglichen | Textstruktur, Zusammenfassungen, Ideensammlung, Übersetzungsentwürfe |
| Verbotene Use Cases | Risiken begrenzen | Entscheide automatisieren, Personendaten bewerten, vertrauliche Akten hochladen |
| Meldewege | Unsicherheit reduzieren | An wen wenden sich Mitarbeitende bei Unsicherheit? |
Die 5 Fragen vor jeder KI-Nutzung:
Die Mitarbeitenden sollten sich vor jeder Eingabe in ein KI-Tool fünf Fragen stellen:
1. Erhält meine Eingabe Personendaten oder vertrauliche Informationen?
2. Ist das Tool für diesen Zweck freigegeben?
3. Weiss ich, was mit den eingegebenen Daten passiert?
4. Kann ich das Ergebnis fachlich überprüfen?
5. Darf das Ergebnis in dieser Form in einen behördlichen Prozess einfliessen?
Wenn die Antwort auf eine dieser Fragen «Nein» oder «Ich bin mir unsicher» lautet, sollte das KI-Tool nicht verwendet werden.
Diese Daten gehören nicht in frei zugängliche KI-Tools
Die Mitarbeitenden dürfen keine Inhalte in frei zugängliche oder nicht freigegebene KI-Tools eingeben, wenn diese Informationen enthalten zu:
- Namen, Adressen, Telefonnummern oder E-Mail-Adressen von Einwohnerinnen und Einwohnern
- AHV-Nummern, Steuerdaten, Sozialhilfedaten oder Gesundheitsinformationen
- Aktennotizen, Entscheidentwürfe, Verfügungen oder rechtliche Einschätzungen
- Interne E-Mails mit vertraulichem Inhalt
- Protokollen aus nicht öffentlichen Sitzungen
- Bewerbungsunterlagen oder HR-Daten
- Informationen zu laufenden Verfahren
- Zugangsdaten, Passwörtern, API-Schlüsseln oder technischen Systeminformationen
- Vertraulichen Vertragsunterlagen
- Nicht veröffentlichten Kommunikations- oder Krisenunterlagen
Faustregel für den Alltag
Wenn der Inhalt nicht bedenkenlos auf einer öffentlichen Website einer Behörde stehen dürfte, gehört er nicht in ein nicht freigegebenes KI-Tool. Diese Faustregel ersetzt keine Datenschutzprüfung, hilft aber im Alltag bei schnellen Entscheidungen.
Wo KI Behörden bereits heute sinnvoll unterstützen kann
Der Fokus auf Risiken und Grenzen darf nicht darüber hinwegtäuschen, dass KI für viele alltägliche Verwaltungsaufgaben echten Mehrwert liefert – wenn der Rahmen stimmt. Der Grundsatz lautet: KI nicht verhindern, sondern sicher nutzbar machen.
| Anwendungsfall | Geeignet? | Voraussetzung |
| Bürgerinformation sprachlich vereinfachen | Ja | Keine vertraulichen Daten, fachliche Prüfung |
| Entwurf für interne Checkliste erstellen | Ja | Allgemeine Informationen, keine Akteninhalte |
| Medienmitteilung strukturieren | Ja | Fakten intern prüfen |
| Sitzungsprotokoll zusammenfassen | Eingeschränkt | Nur mit freigegebenem Tool und geklärten Datenregeln |
| Übersetzungsentwurf erstellen | Eingeschränkt | Keine sensiblen Daten oder nur mit freigegebenem System |
| Bürgeranfragen kategorisieren | Möglich | Datenschutz-, Transparenz- und Prozessprüfung erforderlich |
| Rechtsauskunft vorbereiten | Kritisch | KI höchstens als Strukturhilfe; Prüfung durch Fachperson zwingend |
| Verfügungen automatisch formulieren | Kritisch | Rechtliche Kontrolle zwingend, keine Automatisierung ohne Governance |
| Bewerbungen vorsortieren | Hochriskant | Diskriminierungs- und Datenschutzrisiken sorgfältig prüfen |
| Akten hochladen und auswerten lassen | Kritisch bis nein | Nur mit geprüfter Lösung, klarer Rechtsgrundlage und Sicherheitskonzept |
Wichtiger Hinweis zur Prüfpflicht
KI-Ergebnisse sollten nie ungeprüft übernommen werden. Besonders kritisch sind rechtliche Aussagen, Fristen, Gebühren, Zuständigkeiten, personenbezogene Einschätzungen und Empfehlungen mit Entscheidungscharakter.
Bei diesen Punkten ist eine fachliche Kontrolle durch eine Mitarbeiterin oder einen Mitarbeiter mit entsprechender Expertise unverzichtbar.
KI kann Ihre Behördenprozesse effizienter gestalten – ePost bietet die sichere Infrastruktur dafür:
Für Bürgerkommunikation:
- KI hilft bei der Vorbereitung von Inhalten
- Post online versenden ermöglicht sichere, rechtskonforme Zustellung
- Vollständige Dokumentation und Nachvollziehbarkeit
Für Dokumentenverwaltung:
- Eingehende Geschäftspost digitalisieren mit Post digital empfangen
- KI kann digitalisierte Dokumente automatisch verarbeiten
- Zentrale Verwaltung statt Papierchaos
Für automatisierte Workflows:
- Post automatisiert verteilen mit dem ePost Input Management Service
- Regelbasierte Weiterleitung von KI-verarbeiteten Dokumenten
- Skalierbar und sicher für grosse Dokumentenvolumen
In diesem Artikel geht es um die Datenhoheit bei KI.
Eine einfache KI-Strategie für Behörden: 7 Bausteine
Eine KI-Strategie muss nicht umfangreich sein, um wirksam zu sein. Für viele Behörden reicht ein klarer Rahmen mit sieben Bausteinen, um KI-Wildwuchs einzudämmen und gleichzeitig eine sinnvolle Nutzung zu ermöglichen.
1. Ausgangslage erfassen
Welche KI-Tools werden bereits genutzt? In welchen Abteilungen? Mit welchen Daten? Für welche Aufgaben? Ohne diesen Überblick bleibt jede Massnahme Stückwerk.
2. Daten klassifizieren
Nicht alle Daten sind gleich sensibel. Sie sollten mindestens zwischen vier Kategorien unterscheiden:
- Öffentliche Daten: Informationen, die auf Ihrer Website stehen
- Interne Daten: Informationen für den internen Gebrauch
- Vertrauliche Daten: Informationen mit Zugriffsschutz
- Besonders schützenswerte Personendaten: Identitätsdaten, Gesundheitsdaten, rechtlich sensible Informationen
Diese Klassifikation ist die Grundlage für alle weiteren Entscheide.
3. Erlaubte Use Cases definieren
Zum Beispiel: Textentwürfe, Strukturierung, Übersetzung, Zusammenfassungen öffentlich verfügbarer Informationen. Explizite Positivlisten sind einfacher kommunizierbar als reine Verbotslisten.
Tipp: Explizite Positivlisten sind einfacher kommunizierbar als reine Verbotslisten. Die Mitarbeitenden verstehen schneller, was sie tun dürfen, als was sie nicht tun dürfen.
4. No-Gos festlegen
Zum Beispiel: Personendaten in privaten Accounts verarbeiten, vertrauliche Akten hochladen, automatisierte Einzelentscheidungen ohne menschliche Prüfung treffen. (Achtung bei automatisierten Entscheiden: Hierbei gilt gemäss Art. 21 DSG eine strikte Informationspflicht gegenüber den betroffenen Personen. Gerade für Behörden im Umgang mit Bürgerinnen und Bürgern ist diese Transparenz zwingend vorgeschrieben.)
5. Freigegebene Tools bestimmen
Die Mitarbeitenden brauchen eine klare Antwort auf die Frage: «Welches Tool darf ich wofür nutzen?» Unklarheit führt direkt zu Schattennutzung. ePost bietet hier bewährte Lösungen: Von der API-Anbindung für automatisierte Versendungen über Post online versenden für sichere Bürgerkommunikation bis zu Post digital empfangen für die Dokumentenverwaltung – alle Lösungen sind datenschutzkonform und für Behörden geprüft.»
6. Schulungen durchführen
Nicht einmalig, sondern rollenbasiert: Führung, Sachbearbeitung, Kommunikation, IT, HR. Der Schulungsumfang muss sich an den tatsächlichen Aufgaben und Risiken der jeweiligen Funktion orientieren.
7. Regelmässig überprüfen
KI-Tools, Anbieterbedingungen und interne Anwendungsfälle ändern sich schnell. Deshalb braucht es einen Review-Zyklus – mindestens einmal jährlich, bei relevanten Entwicklungen öfter.
Klare Rollen – nicht nur gute Absichten
Eine KI-Strategie scheitert häufig nicht an der Technologie, sondern an unklaren Verantwortlichkeiten. Wenn niemand zuständig ist, entscheidet am Ende jede Abteilung selbst. Sie brauchen deshalb mindestens eine kleine interne Steuerungsgruppe, die Toolfreigaben, Schulungen, Risiken und Anwendungsfälle koordiniert.
Rollenmodelle für KI-Governance
| Rolle | Aufgabe |
| Verwaltungsleitung | Grundsatzentscheid, Risikotoleranz, Ressourcen |
| IT-Verantwortliche | Toolprüfung, Zugriff, technische Sicherheit, Protokollierung |
| Datenschutzverantwortliche | Datenschutzfolgeabschätzung, Personendaten, Auftragsbearbeitung |
| Informationssicherheits-verantwortliche | Datenklassifikation, Schutzbedarf, Meldeprozesse |
| Fachabteilungen | Use Cases definieren, fachliche Prüfung sichertsellen |
| HR / Weiterbildung | Schulungskonzept, Lernpfade, Nachweise |
| Kommunikation | Regeln verständlich formulieren, interne Awareness schaffen |
| Mitarbeitende | Vorgaben einhalten, Ergebnisse prüfen, Unsicherheiten melden |
Was in eine einfache KI-Leitlinie gehört
Eine pragmatische KI-Leitlinie für Behörden kann mit einer einzigen Seite beginnen. Sie sollte mindestens folgende Punkte beantworten:
- Zweck: Wofür darf KI in unserer Behörde genutzt werden?
- Geltungsbereich: Für welche Abteilungen, Aufgaben und Tools gilt die Leitlinie?
- Erlaubte Anwendungen: Welche Aufgaben sind freigegeben
- Verbotene Anwendungen: Welche Daten und Prozesse sind ausgeschlossen?
- Toolfreigabe: Welche KI-Tools dürfen konkret genutzt werden
- Prüfpflicht: Wer kontrolliert KI-generierte Ergebnisse
- Dokumentation: Wann muss die KI-Nutzung dokumentiert werden
- Support und Eskalation: An wen wenden sich Mitarbeitende bei Unsicherheit?
- Schulungspflicht: Wer muss welche Schulung absolvieren?
- Review: Wann wird die Leitlinie aktualisiert?
Eine solche Leitlinie muss nicht perfekt sein. Sie muss alltagstauglich sein. Eine pragmatische Seite, die alle Mitarbeitenden verstehen, ist wirkungsvoller als ein umfassendes Regelwerk, das niemand liest.
Fazit: Erst befähigen, dann automatisieren
KI wird aus der Verwaltung nicht mehr verschwinden. Die Frage ist nicht ob, sondern wie Sie damit umgehen. Wer heute in klare Leitlinien, gezielte Schulungen und nachvollziehbare Prozesse investiert, verhindert nicht nur Risiken – er schafft die Voraussetzungen dafür, dass KI dort echten Nutzen stiften kann, wo er sinnvoll ist.
Sie sollten KI weder blockieren noch unkontrolliert freigeben. Der richtige Weg liegt dazwischen: klare Leitlinien, freigegebene Tools, geschulte Mitarbeitende und überprüfbare Prozesse.
Nicht der Hype entscheidet, welche KI-Tools sinnvoll sind – sondern die Frage, welche Aufgaben sich sicher, nachvollziehbar und rechtskonform digital unterstützen lassen. Behörden, die diesen Weg gehen, schaffen nicht nur Sicherheit. Sie schaffen auch die Grundlage dafür, dass ihre Mitarbeitenden KI als Werkzeug nutzen können – nicht als Risiko, sondern als Chance.
Sichere Behörden-kommunikation mit KI-Unterstützung
KI kann Ihre Behördenkommunikation effizienter gestalten – aber nur mit den richtigen Kanälen und Prozessen:
Für die Vorbereitung von Bürgerkommunikation: KI hilft bei der Strukturierung und Formulierung von Inhalten. Diese sollten dann aber über sichere Kanäle versendet werden. Lesen Sie mehr in unserem Beitrag «Digitaler Brief vs. E-Mail – Entscheidungshilfe für Behörden» um die richtige Wahl für Ihre Behörde zu treffen.
Für Gemeinden:
Der Digitale Brief ist seit 1. April 2026 Teil der postalischen Grundversorgung. Erfahren Sie in unserem Beitrag «Digitaler Brief ab 1. April 2026: Was Gemeinden jetzt klären müssen», welche Chancen sich für Ihre Behörde ergeben und was Sie jetzt klären sollten.
Gut zu wissen:
Die ePost Academy bietet weitere Beiträge zu verwandten Themen rund um digitale Kompetenz, Datenschutz und sichere Kommunikation – praxisnah und auf die Schweizer Rahmenbedingungen ausgerichtet.
Weitere Beiträge zum Thema:
Bereit, KI sicher in Ihrer Behörde einzuführen?
ePost bietet bewährte Lösungen für sichere Dokumentenverwaltung, Versendung und automatisierte Workflows – alle datenschutzkonform und für Behörden geprüft.
Mehr zu ePost-Lösungen hier erfahren.
Teilen
So gelingt der Wechsel zum digitalen Büro
So schützen und sensibilisieren Sie Ihre Mitarbeitenden im Homeoffice vor Cyberbedrohungen
