«Wir prüfen jeden Anbieter auf seinen Konzernsitz» — Interview mit einem ÖV-IT-Leiter

Martin Debik über Beschaffung in einem regulierten Umfeld, warum die meisten KI-Pitches an der ersten Compliance-Frage scheitern, und was Lieferanten besser machen müssten.

**Stephan: Martin, du sitzt auf der Beschaffungsseite. Wie viele KI-Angebote landen bei dir pro Monat?**

Martin: Im Schnitt acht bis zwölf. Davon disqualifizieren sich sechs in den ersten zwanzig Minuten — fast immer aus demselben Grund.

**Welcher?**

Konzernsitz. Wir betreiben kritische Infrastruktur. Daten von Pendlern, Fahrplänen, Betriebsabläufen. Sobald ein Anbieter «Azure» oder «AWS» im Stack hat, muss er erklären, warum das mit Schweizer Recht und dem CLOUD Act vereinbar ist. Die meisten können das nicht. Die guten sagen ehrlich «es ist nicht vereinbar, aber für diesen Use-Case akzeptabel», die schlechten erzählen Märchen über Region-Lock.

**Was wäre eine gute Antwort?**

«Wir hosten bei einem EU-Anbieter ohne US-Verflechtung» oder «das Modell läuft on-prem bei Ihnen». Punkt. Alles andere ist Diskussion.

**Aber bei einem internen Mailbot — ist da der CLOUD Act wirklich relevant?**

Vielleicht nicht beim Mailbot. Aber sobald der Mailbot auf interne Tickets zugreift, und die Tickets Personendaten enthalten, sind wir mittendrin. Die Krux ist: Use-Cases verändern sich. Was heute harmlos ist, ist morgen das Einfallstor. Deshalb lieber von Anfang an die Architektur sauber wählen.

**Was müsste sich in der Lieferantenlandschaft ändern?**

Mehr Transparenz. Wenn ein Anbieter Azure verwendet, soll er das auf der ersten Folie sagen, nicht auf Seite 47 im Vertrag. Und mehr Schweizer Alternativen, die nicht nur ein Wrapper um OpenAI sind. Es gibt sie, sie sind nur leiser als die Marketing-Maschinen aus Redmond und Seattle.

**Was machst du persönlich anders, seit du dieser Gruppe angehörst?**

Ich frage in Sitzungen früher und direkter. «Wer hat im Worst Case Zugriff auf diese Daten?» Wenn die Antwort länger als zwei Sätze ist, ist sie meistens falsch.