Alle Artikel
Datenschutz12. Juni 20257 Min. Lesezeit

DSGVO & DSG: So bleibt Ihre KI-Lösung rechtskonform in der Schweiz

Datenschutz bei KI-Projekten in der Schweiz – was das DSG fordert, wie DSGVO gilt und was Unternehmen konkret beachten müssen.

DSGVO & DSG: So bleibt Ihre KI-Lösung rechtskonform in der Schweiz

KI-Projekte in der Schweiz navigieren durch zwei Datenschutzrahmen gleichzeitig: das Schweizer Datenschutzgesetz (revDSG, seit 1. September 2023) und – für die meisten Unternehmen mit EU-Kunden – die EU-DSGVO. Das klingt komplex, ist aber mit einem strukturierten Ansatz gut handhabbar. Dieser Leitfaden erklärt, was Schweizer Unternehmen konkret tun müssen.

Das revidierte Schweizer DSG (revDSG) – Neuerungen seit 2023

Das revidierte Datenschutzgesetz hat die Schweizer Datenschutzlandschaft grundlegend modernisiert. Die wichtigsten Neuerungen für Unternehmen, die KI einsetzen:

Verzeichnis von Bearbeitungstätigkeiten: Unternehmen mit mehr als 250 Mitarbeitenden (und kleinere bei risikoreichen Bearbeitungen) müssen ein Verzeichnis führen, das dokumentiert, welche Personendaten wie verarbeitet werden. KI-Systeme müssen darin erfasst sein.

Datenschutz-Folgenabschätzung (DSFA): Bei KI-Systemen, die ein hohes Risiko für Persönlichkeitsverletzungen oder Grundrechte haben, ist eine DSFA verpflichtend. Beispiele: KI, die Kreditwürdigkeit bewertet; Systeme, die Mitarbeiter überwachen; KI-gestützte Rekrutierungssysteme.

Automatisierte Einzelentscheidungen: Wenn Ihre KI Entscheidungen trifft, die Personen erheblich betreffen (Kreditvergabe, Versicherungsprämien, Jobselektion), haben Betroffene das Recht:

  • Zu erfahren, dass eine automatisierte Entscheidung getroffen wurde
  • Eine Überprüfung durch einen Menschen zu verlangen
  • Ihren Standpunkt darzulegen

Meldepflicht bei Datenpannen: Verletzungen der Datensicherheit müssen dem EDÖB so rasch wie möglich gemeldet werden – inkl. Datenpannen bei KI-Systemen.

Sanktionen: Neu sind Bussen von bis zu CHF 250'000 für Einzelpersonen bei vorsätzlichen Verstössen (z.B. fehlende Datenschutzerklärung, Verletzung des Auskunftsrechts).

DSGVO und Schweizer DSG: Was gilt für wen?

Das DSG gilt für: Alle natürlichen und juristischen Personen in der Schweiz, die Personendaten verarbeiten.

Die DSGVO gilt zusätzlich für: Schweizer Unternehmen, die

  • Waren oder Dienstleistungen an EU-Bürger anbieten (auch kostenlos)
  • Das Verhalten von EU-Bürgern systematisch beobachten (z.B. Web-Analytics mit EU-Nutzern)

In der Praxis gilt die DSGVO für die grosse Mehrheit der Schweizer KMUs, die international tätig sind oder EU-Kunden haben – also für nahezu alle Unternehmen in den Grenzregionen Basel, Zürich und Genf.

Hauptunterschiede DSG vs. DSGVO: Die Anforderungen sind sehr ähnlich. Der grösste Unterschied: Die DSGVO verlangt einen Datenschutzbeauftragten (DSB) für bestimmte Unternehmenstypen, das DSG tut dies nicht zwingend. Wer DSGVO-konform ist, ist meist auch DSG-konform.

KI-spezifische Datenschutzrisiken und wie man sie mitigiert

1. Datenlokalität: Wo verarbeitet die KI Ihre Daten?

Beim Einsatz von KI-APIs (ChatGPT, Claude, Gemini) fliessen Ihre Eingaben durch die Server des Anbieters. Das ist datenschutzrechtlich relevant, wenn diese Eingaben Personendaten enthalten.

Lösung:

  • OpenAI: EU-Region (Frankfurt) verfügbar; Auftragsverarbeitungsvertrag (AVV/DPA) abrufbar unter platform.openai.com
  • Anthropic Claude: EU-Datenverarbeitung verfügbar; AVV auf Anfrage
  • Google Gemini: EU-Region verfügbar; Google Workspace-Kunden haben automatisch EU-Verarbeitung
  • Lokale Modelle (Llama 3, Mistral, Phi): Auf eigenem Schweizer Server betrieben – keine Datenweitergabe

Empfehlung: Senden Sie keine Klarnamen, AHV-Nummern, Patientendaten oder andere besonders schützenswerte Personendaten an externe KI-APIs. Wenn nötig, anonymisieren oder pseudonymisieren Sie vor dem API-Call.

2. Auftragsverarbeitungsverträge (AVV) – Pflicht für alle KI-APIs

Wenn ein Drittanbieter in Ihrem Auftrag Personendaten verarbeitet – auch KI-API-Anbieter – brauchen Sie einen AVV (auch DPA, Data Processing Agreement genannt). Das ist nach DSG Art. 9 und DSGVO Art. 28 verpflichtend.

Checkliste AVV:

  • ✅ OpenAI: AVV unter platform.openai.com/legal/dpa verfügbar
  • ✅ Anthropic: AVV auf Anfrage (enterprise@anthropic.com)
  • ✅ Google Cloud / Gemini API: Google Cloud DPA verfügbar
  • ✅ Microsoft Azure OpenAI: im Microsoft Customer Agreement enthalten
  • ✅ n8n Cloud: AVV unter n8n.io/legal verfügbar
  • ✅ Vercel (Hosting): Vercel DPA verfügbar

3. Transparenz: Nutzer müssen über KI informiert werden

Wenn Kunden mit einer KI interagieren (Chatbot, automatische Antworten, KI-generierte Angebote), müssen Sie das transparent kommunizieren. Das gilt auch für interne Systeme – Mitarbeitende haben das Recht zu wissen, wenn KI bei ihrer Beurteilung eingesetzt wird.

Konkret: Fügen Sie in Ihre Datenschutzerklärung einen Abschnitt über KI-Einsatz ein. Deklarieren Sie automatisch generierte Antworten als solche. Bieten Sie immer einen menschlichen Eskalationsweg an.

4. Datensparsamkeit: Nur das Nötigste an die KI senden

Vor jedem API-Call: Braucht die KI wirklich alle diese Daten? Oft können Sie durch geschicktes Prompt-Design arbeiten, ohne Personendaten zu übermitteln:

Statt: *"Schreib eine Antwort an Max Muster, geb. 15.04.1978, aus Zürich, der sich beschwert hat über..."*

Besser: *"Schreib eine Antwort an einen Kunden, der sich über [Sachverhalt] beschwert hat. Tonalität: freundlich, lösungsorientiert."*

5. Logging und Auditierbarkeit

KI-Systeme sollten so gebaut sein, dass nachvollzogen werden kann, welche Entscheidungen wann getroffen wurden. Speichern Sie Inputs und Outputs von KI-Entscheidungen für einen definierten Zeitraum – aber nicht länger als nötig (Datensparsamkeit).

Praktische Checkliste für KI-Datenschutz in der Schweiz

Vor dem Start eines KI-Projekts:

[ ] Welche Personendaten werden verarbeitet?

Liste aller Datenfelder, die durch das KI-System fliessen.

[ ] Wo werden diese gespeichert und verarbeitet?

Datenflussdiagramm erstellen. Alle externen Services identifizieren.

[ ] Ist eine DSFA erforderlich?

Risikoeinschätzung: Betrifft das System viele Personen? Besonders schützenswerte Daten? Automatisierte Entscheidungen mit erheblichem Einfluss?

[ ] AVV für alle Auftragsverarbeiter vorhanden?

Für jeden KI-API-Anbieter und Cloud-Service.

[ ] Datenschutzerklärung aktualisiert?

Neuen KI-Einsatz dokumentiert? Betroffenenrechte kommuniziert?

[ ] Transparenz für Nutzer/Kunden sichergestellt?

Wissen die Betroffenen, dass KI eingesetzt wird?

[ ] Löschkonzept definiert?

Wie lange werden Daten gespeichert? Automatische Löschung implementiert?

Was bei Verstössen droht

Das neue DSG hat Sanktionen eingeführt, die ernst genommen werden müssen:

  • Bussen bis CHF 250'000 für Einzelpersonen bei vorsätzlichen Verstössen
  • Reputationsschäden durch öffentliche Verfahren des EDÖB
  • Zivilrechtliche Ansprüche durch Betroffene
  • Bei DSGVO-Verstössen: Bussen bis EUR 20 Millionen oder 4% des weltweiten Jahresumsatzes

Unsere Empfehlung: Datenschutz als Teil des Projekts, nicht als Nachgedanke

Bei Logixc ist die Datenschutzprüfung Teil jedes KI-Projekts. Wir führen am Anfang eine strukturierte Analyse durch – welche Daten fliessen wohin, welche AVVs werden benötigt, welche Datenhaltungs-Entscheide sind zu treffen. Das kostet wenig Zeit am Anfang, verhindert aber teure Nacharbeiten.

Seriöse KI-Automatisierung in der Schweiz ist DSG- und DSGVO-konform. Kein vernünftiges Argument spricht dafür, mit Datenschutz zu warten.

Projekt besprechen?

Logixc berät KMUs in Basel, Zürich, Bern, Luzern, Zug und der ganzen Deutschschweiz.

Kostenlose ErstberatungMehr zu KI-Automatisierung

Weitere Artikel

AutomatisierungKI-Automatisierung für KMUs in der Schweiz: Was ist heute möglich?Automatisierungn8n vs. Zapier: Was passt besser für Schweizer Unternehmen?AutomatisierungChatGPT für Ihr Unternehmen: 5 Automatisierungen, die sofort funktionieren
Zurück zum Blog