Forschung & Entwicklung

Low-Code-Plattformen

Citizen Developer: die richtigen Leitplanken setzen

Moritz Maier 19.03.2026
Low-Code-Plattformen ermöglichen es Fachabteilungen, eigene Automationen zu bauen – schnell, prozessnah und ohne IT-Abteilung. Doch ohne klare Governance drohen dieselben Risiken wie früher bei Access-Datenbanken: unkontrollierte Schatten-IT, Sicherheitslücken und technische Schulden. Dieser Beitrag zeigt auf, wie KMU nicht die Kontrolle verlieren.
PDF Kaufen

In Schweizer KMU existieren heute mehr selbst gebaute Automationen, als die Geschäftsleitung vermutet. Sie heissen nicht mehr «Access-Datenbank» oder «Excel-Makro», sondern «Power Automate Flow», «UiPath Bot» oder «Low-Code-App». 

Neue Risiken

Mitarbeitende schliessen Lücken in ERP-Systemen mit Eigenentwicklungen, die exakt ihre Probleme lösen – und gleichzeitig neue Risiken schaffen.

Die Verbreitung nicht genehmigter IT-Lösungen nimmt nachweislich zu. Gründe sind langsame IT-Prozesse, fehlende Unterstützung und die einfache Verfügbarkeit cloudbasierter Tools. Low-Code- und No-Code-Plattformen wie Microsoft Power Platform, UiPath oder Camunda senken die Eintrittshürde so stark, dass praktisch jede Abteilung eigene digitale Workflows aufsetzen kann. 

Die zentrale Frage lautet daher nicht mehr, ob Citizen Developer auftreten, sondern wie Unternehmen mit ihnen umgehen.

Das Dilemma

Low-Code-Plattformen erlauben es Mitarbeitenden ohne Programmierkenntnisse, komplexe Anwendungen visuell zu erstellen. Dies beschleunigt die Umsetzung und fördert Innovation in Fachbereichen – erhöht jedoch gleichzeitig das Risiko von Qualitätsmängeln, technischer Schuld und unkontrollierter Schatten-IT.

Für KMU entsteht ein Spannungsfeld: Einerseits ermöglichen schnelle, passgenaue Lösungen nahe am Geschäftsprozess eine geringere Abhängigkeit von externer IT und höhere Mit­ar­beiter­motivation.
Andererseits drohen Sicherheitslücken, Compliance-Verstösse, Datenverlust bei Mitarbeiteraustritt, unklare Verantwortlichkeiten und fehlende Dokumentation.

Schatten-IT existiert

Ein Verbot von Citizen Development verhindert nicht die Nutzung, sondern nur die Transparenz. Unternehmen haben deutlich mehr unbekannte Cloud-Services im Einsatz, als die IT-Abteilung weiss. Schatten-IT existiert bereits, unabhängig davon, ob sie erlaubt ist oder nicht. Bemerkenswert ist: Die gros­sen Anbieter haben das Problem erkannt und bieten umfangreiche Steuerungsmöglichkeiten. Microsoft Power Platform stellt Data-Loss-Prevention-Richtlinien, Rollenmodelle und Center-of-Excellence-Toolkits bereit. UiPath setzt mit Orchestrator, Rollen- und Freigabekonzepten sowie Audit-Trails auf zentral kontrollierte Bots. Camunda betont Governance über explizite Prozessmodelle (BPMN, DMN) und die Orchestrierung vieler Teilsysteme in nachvollziehbaren End-to-End-Prozessen. Trotz dieser Möglichkeiten nutzen viele KMU die vorhandenen Go­vernance-Funktionen kaum, da klare unternehmensinterne Regeln fehlen.

Governance für KMU

Grosse Konzerne bauen dedizierte Centers of Excellence mit ausdifferenzierten Rollen. KMU brauchen dagegen ein schlankes Modell, das in die bestehende Organisation passt und dennoch wirksame Leitplanken schafft.

  • Plattformen begrenzen. Definition von ein bis zwei zentralen Low-/No-Code-Tools (zum Beispiel Power Platform plus UiPath oder Camunda). Andere Lösungen werden aktiv unterbunden. Dies reduziert Komplexität und ermöglicht gezielte Schulung.
  • Prozesskategorien festlegen. Unkritische Teamprozesse dürfen Fach­abteilungen selbst automatisieren. Geschäftskritische Abläufe unterliegen IT-Freigaben und formaler Dokumentation. Forschung zeigt, dass klare Kate­gorisierung ein Schlüsselfaktor für er­folgreiche Citizen-Development-Programme ist.
  • Transparenz schaffen. Alle produktiven Flows, Bots und Apps werden in einem einfachen Katalog erfasst – inklusive Verantwortlicher, Zweck und Risiko-Einstufung. Ein RACI-Modell (Responsible, Accountable, Consulted, Informed) klärt Rollen und Zuständigkeiten.
  • Mindeststandards definieren. Jede Lösung benötigt einen zweiten Blick (Vier-Augen-Prinzip), grundlegende Tests vor Produktivsetzung und eine kurze Dokumentation für Vertretung und Nachfolge. Regelmässige Reviews produktiver Lösungen gehören ebenso dazu.
  • Gezielte Qualifizierung. Citizen Developer erhalten Schulungen in Prozessdenken, Datensicherheit und Plattform-Basics vor produktiver Nutzung. Studien belegen, dass fehlende Prozesskompetenz ein Hauptgrund für gescheiterte Automatisierungsprojekte ist.

Prozesskompetenz notwendig

Die grösste Illusion im Low-/No-Code-Hype: Schlechte Prozesse lassen sich nicht «wegautomatisieren». Plattformen lösen keine Strukturprobleme – sie beschleunigen sie. Wer unklare Verantwortlichkeiten, Medienbrüche und manuelle Umwege automatisiert, erzeugt digitale Verschwendung. 

Eine nachhaltige Automatisierung setzt entsprechende Prozesskompetenz voraus:

  • Systematische Aufnahme und Model­lierung von Abläufen, zum Beispiel mit «Business Process Model and Notation» (BPMN)
  • Analyse von Durchlaufzeiten und Fehlerquellen
  • Klare Priorisierung, welche Prozesse sich für Automatisierung eignen

Deutlich bessere Ergebnisse

Organisationen, die BPM-Kompetenz mit digitalen Innovationen verbinden, erzielen signifikant bessere Transformationsergebnisse als solche, die nur Technologie einsetzen.

Unternehmen, die strukturiertes Citizen Development einführen, berichten durchgehend von kürzeren Durchlaufzeiten in automatisierten Prozessen, schnellerer Umsetzung von Fachanforderungen und einer spürbaren Entlastung der IT-Abteilung für strategische Projekte. Hinzu kommt noch eine höhere Mitarbeiterzufriedenheit durch mehr Autonomie. 

Wege der Organisation

Die Art, wie Citizen Development organisiert wird, bestimmt massgeblich den Erfolg. Forschung und Praxis kennen bewährte Modelle, die je nach Unternehmensgrösse, Kultur und Reifegrad unterschiedlich geeignet sind.

Centralized (Center of Excellence)

Ein zentrales Team steuert alle Low-Code-Aktivitäten, definiert Standards, führt Freigaben durch und entwickelt kritische Lösungen selbst. Citizen Developer arbeiten eng mit dem Center of Excellence (CoE) zusammen oder werden durch dieses zertifiziert. Dieses Modell eignet sich für regulierte Branchen, KMU mit starker IT-Governance und Unternehmen in frühen Reifephasen.

Hub & Spoke (Hybrid)

Das zentrale CoE (Hub) definiert Strategie, Standards und Best Practices. Dezentrale Teams in Fachbereichen (Spokes) setzen Lösungen um, haben jedoch direkten Draht zum Hub für Unterstützung und Wissensaustausch. Dieses Modell balanciert zentrale Kontrolle mit dezentraler Agilität und eignet sich für wachsende KMU, Unternehmen mit mehreren Standorten oder Geschäftsbereichen in mittlerer Reifestufe.

Decentralized (Bottom-up)

Citizen Development geschieht weitgehend autonom in den Fachbereichen. IT stellt Plattform und Rahmen bereit, greift aber nur bei kritischen Themen ein. Fokus liegt auf maximaler Innovationsgeschwindigkeit. Geeignet für innovative Kulturen mit hoher technischer Reife, Unternehmen mit starkem Vertrauen in Mitarbeitende und fortgeschrittene Reifegrade.

Für die meisten KMU empfiehlt sich ein pragmatischer Einstieg: Start mit einem schlanken CoE (zwei bis drei Personen aus IT und Fachbereich), das erste Pilotprojekte begleitet. Bei Erfolg schrittweiser Übergang zu Hub & Spoke, wenn mehrere Bereiche aktiv werden. 

Der rein dezentrale Ansatz eignet sich erst ab etablierter Governance-Kultur. Die Wahl des Modells ist keine Einbahnstrasse – mit zunehmender Reife kann ein Unternehmen von Centralized über Hub & Spoke zu stärker dezentralen Strukturen migrieren.

Erfolgsfaktoren

Der Erfolg hängt von fünf Faktoren ab: Erstens früh handeln, denn Schatten-IT existiert bereits, je länger ohne Regeln, desto schwieriger die nachträgliche Steuerung. Zweitens pragmatisch starten, nicht auf das perfekte Governance-Framework warten, sondern mit einfachen Regeln beginnen und iterativ verbessern. 

Drittens die eingebauten Go­vernance-Funktionen der Plattformen nutzen. Viertens in Prozesskompetenz investieren, denn technische Schulung allein genügt nicht. Fünftens kontinuierlich lernen durch regelmässige Reviews erfolgreicher und gescheiterter Automatisierungen.

Fazit

Citizen Development ist keine Modeerscheinung, sondern eine fundamentale Verschiebung in der Art, wie Organisationen digitalisieren. KMU, die diesen Trend ignorieren, verlieren Innovationskraft und Agilität. Wer ihn unkontrolliert laufen lässt, riskiert Sicherheit und Compliance. 

Der Mittelweg liegt in einer bewusster Governance, das heisst: Klare Regeln schaffen, die Innovation ermöglichen statt verhindern. Plattformen gezielt auswählen und ihre eingebauten Steuerungsmöglichkeiten nutzen. Prozesskompetenz systematisch aufbauen. So wird Citizen Development zur kontrollierten Innovationsquelle – statt zum neuen MS-Access-Chaos.

Porträt

Moritz Maier (Autor)

Tenure-Track-Professor, Departement Technik und Informatik, Berner Fachhochschule

Moritz Maier ist Tenure-Track-Professor am Departement Technik und Informatik der Berner Fachhochschule. Er baut das Digital Value Chain Lab auf, leitet das CAS Prozessdigitalisierung und forscht zu den Themen Business Process Management, Hyperautomation und digitale Transformation entlang der Wertschöpfungskette. Seine Forschungs- und Lehrschwerpunkte liegen an der Schnittstelle von Prozessdigitalisierung, Low-Code-Technologien und organisationaler Governance. Im DVC Lab nutzt er eine Kaffeerösterei als praxisnahes Lernumfeld, in dem Studierende Prozessdigitalisierung und Automatisierung hands-on erleben.

 

Kontakt

moritz.maier(at)bfh.ch www.bfh.ch