KI und Datenschutz in der Schweiz: Was KMU zum revDSG und EU AI Act wissen müssen
KI Datenschutz Schweiz: Wie KMU ChatGPT, Claude und Automatisierung unter dem revDSG rechtskonform einsetzen und wann der EU AI Act greift. Mit Compliance-Checkliste.
KI kann in der Schweiz datenschutzkonform sein, wenn man sie richtig aufsetzt. Das revDSG verbietet KI nicht, es verlangt nur dasselbe, was guter Datenschutz immer verlangt: Datensparsamkeit, Transparenz und menschliche Kontrolle. Dieser Beitrag zeigt KMU, worauf es beim KI-Einsatz unter dem revDSG ankommt und ab wann der EU AI Act dazukommt.
Viele KMU nutzen heute ChatGPT, Claude oder Automatisierungen im Alltag, ohne die datenschutzrechtliche Seite systematisch zu prüfen. Das muss nicht kompliziert sein, aber es braucht ein paar klare Leitplanken.
Was verlangt das revDSG beim KI-Einsatz?
Das revidierte Datenschutzgesetz (revDSG) ist seit dem 1. September 2023 in Kraft und gilt für die Bearbeitung von Personendaten natürlicher Personen. Sobald ein KI-System mit Namen, E-Mail-Adressen, Bewerbungsunterlagen oder Kundenhistorien arbeitet, greifen seine Grundsätze. Die wichtigsten:
- Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit: Daten dürfen nur bearbeitet werden, soweit es nötig ist.
- Transparenz und Zweckbindung: Betroffene müssen erkennen können, was mit ihren Daten geschieht und wofür.
- Datenrichtigkeit und Datensicherheit: Daten müssen korrekt und angemessen geschützt sein.
- Rechte der betroffenen Personen: insbesondere Auskunft, Berichtigung und Löschung.
- Bearbeitungsverzeichnis sowie ggf. eine Datenschutz-Folgenabschätzung bei voraussichtlich hohem Risiko.
- Privacy by Design / by Default: Datenschutz wird von Anfang an mitgedacht, nicht nachträglich angeflanscht.
Hinzu kommt die Meldepflicht an den EDÖB bei Datensicherheitsverletzungen mit voraussichtlich hohem Risiko für die Betroffenen.
Wo wird es beim KI-Einsatz heikel?
Der häufigste Stolperstein ist der Datenstandort. Viele KI-Anbieter verarbeiten Daten im Ausland, oft in den USA. Eine Bekanntgabe von Personendaten ins Ausland braucht eine angemessene rechtliche Grundlage, etwa geeignete Garantien im Vertrag. Das ist lösbar, aber nicht selbstverständlich.
Der zweite Stolperstein sind besondere Personendaten wie Gesundheits-, Bonitäts- oder Daten zu religiösen und politischen Ansichten. Diese verlangen erhöhte Sorgfalt und gehören erst recht nicht in öffentliche Consumer-Tools.
Der dritte Punkt ist die Auftragsbearbeitung: Wer einen KI-Dienst einsetzt, der in seinem Auftrag Personendaten bearbeitet, sollte die vertragliche Grundlage prüfen (oft als AVV oder Data Processing Agreement bezeichnet) und sicherstellen, dass der Anbieter die Daten nicht ungefragt zum Training nutzt.
Wann erreicht der EU AI Act ein Schweizer KMU?
Die Schweiz ist nicht Teil der EU, daher gilt der EU AI Act nicht direkt für Schweizer Unternehmen. Er kann ein Schweizer KMU aber extraterritorial treffen: dann nämlich, wenn das Unternehmen KI-Systeme oder deren Ergebnisse in den EU-Markt anbietet oder eng mit EU-Kunden zusammenarbeitet. Wer ohnehin der DSGVO unterstellt ist, ist faktisch ebenfalls betroffen.
Praktisch heisst das: Solange Sie KI rein intern und für Schweizer Kundschaft nutzen, steht das revDSG im Vordergrund. Sobald Ihre KI-gestützten Produkte oder Dienstleistungen den EU-Markt adressieren, lohnt sich ein genauerer Blick. Die Details dazu haben wir im Beitrag EU AI Act 2026 für KMU aufgeschlüsselt.
Compliance-Checkliste für den KI-Einsatz im KMU
Diese Checkliste ist kein Ersatz für eine Rechtsprüfung, hilft aber, die wichtigsten Fragen früh zu klären:
| Bereich | Frage | Erledigt |
|---|---|---|
| Datenminimierung | Geben wir nur die wirklich nötigen Daten in das KI-Tool? | ☐ |
| Keine sensiblen Daten | Sind besondere Personendaten aus öffentlichen Tools ausgeschlossen? | ☐ |
| Auftragsbearbeitung | Liegt ein AVV / Data Processing Agreement vor und ist das Training auf unseren Daten ausgeschlossen? | ☐ |
| Datenstandort | Ist ein EU/CH-Standort gewählt oder eine angemessene Grundlage für den Auslandtransfer vorhanden? | ☐ |
| Transparenz | Wissen Kundinnen und Kunden, wo und wofür KI eingesetzt wird? | ☐ |
| Menschliche Aufsicht | Prüft ein Mensch die Ergebnisse, bevor sie wirksam werden (Human-in-the-Loop)? | ☐ |
| Dokumentation | Ist der KI-Einsatz im Bearbeitungsverzeichnis erfasst? | ☐ |
| Löschung & Rechte | Können wir Auskunfts-, Berichtigungs- und Löschbegehren erfüllen? | ☐ |
Ein einfacher Grundsatz fasst vieles zusammen: Keine Personendaten in öffentliche Consumer-Tools. Wer Geschäftskonten mit klaren vertraglichen Zusagen und passendem Datenstandort nutzt, hat die grössten Risiken bereits entschärft.
Wie sieht datenschutzkonforme KI in der Praxis aus?
Datenschutzkonforme KI ist eine Frage der Architektur, nicht des Verzichts. In gut gebauten Systemen werden Personendaten dort minimiert oder anonymisiert, wo sie für das Ergebnis nicht zwingend nötig sind. Sensible Vorgänge laufen über Anbieter mit europäischem Datenstandort und vertraglichen Garantien. Und an den entscheidenden Stellen prüft ein Mensch, bevor etwas an Kundschaft oder Behörden geht.
Genau so denken wir bei Prozessautomatisierung für KMU und beim Einsatz von ChatGPT im Unternehmen: erst der Datenfluss, dann das Tool. Die Botschaft an KMU lautet daher nicht, KI zu meiden, sondern sie sauber aufzusetzen. KI kann compliant sein, wenn sie richtig gebaut ist.
Wenn Sie KI im Unternehmen einsetzen wollen, ohne beim Datenschutz ins Risiko zu gehen, sprechen Sie mit uns. Wir helfen KMU in Zürich und der ganzen Schweiz, KI-Lösungen mit der nötigen finanztechnischen Sorgfalt aufzubauen, vom Datenfluss über die Tool-Wahl bis zur menschlichen Kontrolle.
Häufige Fragen
- Gilt das revDSG auch für den KI-Einsatz im KMU?
- Ja. Das revidierte Datenschutzgesetz (revDSG) ist seit dem 1. September 2023 in Kraft und gilt für jede Bearbeitung von Personendaten natürlicher Personen, also auch dann, wenn diese Daten durch ein KI-System verarbeitet werden. Wer ChatGPT, Claude oder Automatisierungen mit Kunden-, Mitarbeiter- oder Lieferantendaten nutzt, muss die Grundsätze des revDSG einhalten.
- Gilt der EU AI Act für Schweizer Unternehmen?
- Die Schweiz ist nicht Teil der EU, daher gilt der EU AI Act nicht direkt für Schweizer Firmen. Er kann ein Schweizer KMU aber extraterritorial erreichen, wenn es KI-Systeme oder deren Ergebnisse in den EU-Markt anbietet oder eng mit EU-Kunden zusammenarbeitet. Wer ohnehin der DSGVO unterliegt, sollte den EU AI Act mitdenken.
- Darf man Personendaten in öffentliche KI-Tools wie ChatGPT eingeben?
- Personendaten gehören grundsätzlich nicht in öffentliche Consumer-Versionen von KI-Tools, da unklar ist, wo und wie diese Daten weiterverarbeitet werden. Besonders besondere Personendaten wie Gesundheits- oder Bonitätsdaten verlangen erhöhte Sorgfalt. Für den professionellen Einsatz braucht es Geschäftskonten mit klaren vertraglichen Garantien zur Datenbearbeitung.
- Wer ist in der Schweiz die Datenschutz-Aufsichtsbehörde?
- Die zuständige Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB). Bei Datensicherheitsverletzungen, die voraussichtlich zu einem hohen Risiko für die betroffenen Personen führen, besteht eine Meldepflicht an den EDÖB. Der EDÖB veröffentlicht zudem Leitfäden und Empfehlungen zum praktischen Datenschutz.