Insights

KI und Datenschutz Schweiz: revDSG richtig umsetzen

Was Schweizer Unternehmen beim Einsatz von KI datenschutzrechtlich beachten müssen: die Pflichten aus dem revidierten DSG, die Haltung des EDÖB zu KI, das Bearbeitungsverzeichnis und die Datenschutz-Folgenabschätzung - mit Verweis auf offizielle Quellen und klarer Angabe, wann juristischer Rat nötig ist.

AetherDigital· AI Engineering & StrategyVeröffentlicht am 11. Juli 202612 Min. Lesezeit

KI und Datenschutz in der Schweiz: was wirklich gilt

Direktantwort: Das revidierte Schweizer Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023) ist technologieneutral und laut EDÖB direkt auf KI-gestützte Datenbearbeitungen anwendbar. Für Unternehmen heisst das: Transparenz über die KI-Nutzung, ein Verzeichnis der Bearbeitungstätigkeiten und bei hohem Risiko eine Datenschutz-Folgenabschätzung. Stand: Juli 2026.

Dieser Leitfaden erklärt, was das konkret bedeutet, wenn Sie KI mit Personendaten einsetzen - verständlich, mit Verweis auf offizielle Quellen und mit einer klaren Grenze: Er ersetzt keine Rechtsberatung. Datenschutz ist ein Feld, in dem der konkrete Fall zählt; die folgenden Punkte helfen Ihnen, die richtigen Fragen zu stellen und zu erkennen, wann Sie eine Fachperson hinzuziehen sollten.

Gilt das Datenschutzgesetz überhaupt für KI?

Ja. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat klargestellt, dass das geltende Datenschutzgesetz direkt auf KI anwendbar ist - es ist technologieneutral formuliert und braucht kein separates KI-Gesetz, um zu greifen. Sobald eine KI-Anwendung Personendaten bearbeitet, gelten die üblichen Grundsätze: Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung, Datenrichtigkeit und Transparenz.

Wichtig ist die Konsequenz: Es gibt kein Schlupfloch "das war die KI". Wer eine KI einsetzt, bleibt für die Datenbearbeitung verantwortlich - egal ob das Modell von einem Drittanbieter stammt. Deshalb gehört Datenschutz von Anfang an in jedes KI-Projekt, nicht in ein nachträgliches Audit, wie wir es auch im Leitfaden zur KI-Einführung im Unternehmen betonen.

(Quelle: EDÖB, Informationen zu KI und Datenschutz, admin.ch. Das revDSG ist seit dem 1. September 2023 in Kraft.)

Die konkreten Pflichten bei KI mit Personendaten

Diese Pflichten ergeben sich aus dem revDSG und der Praxis des EDÖB. Die Tabelle ordnet sie ein - sie ist eine Orientierung, keine abschliessende Rechtsauskunft.

PflichtWas das für KI bedeutetQuelle / Hinweis
Transparenz / InformationBetroffene müssen wissen, wenn Personendaten bearbeitet werden - und laut EDÖB, ob sie mit einer Maschine kommunizieren und ob Eingaben weiterverwendet werdenEDÖB, KI und Datenschutz (admin.ch)
Verzeichnis der BearbeitungstätigkeitenKI-gestützte Bearbeitungen gehören ins Bearbeitungsverzeichnis (Zweck, Datenkategorien, Empfänger, Aufbewahrung)revDSG; Ausnahme für KMU unter 250 Mitarbeitenden bei geringem Risiko
Datenschutz-Folgenabschätzung (DSFA)Bei hohem Risiko - etwa Profiling mit hohem Risiko oder umfangreicher Bearbeitung besonders schützenswerter Daten - ist eine DSFA nötigrevDSG; unabhängig von der Unternehmensgrösse
AuftragsverarbeitungNutzen Sie ein externes KI-Tool, brauchen Sie einen Vertrag zur Auftragsbearbeitung und müssen Datenübermittlungen ins Ausland prüfenrevDSG; Sorgfaltspflicht bei Anbieterwahl
Datenminimierung & ZweckbindungNur die nötigen Daten in Prompts, Logs und Trainingsdaten; keine Zweckentfremdung ohne GrundlagerevDSG Grundsätze

Diese Übersicht ist bewusst allgemein gehalten und ersetzt keine Prüfung Ihres konkreten Falls. Für die verbindliche Auslegung ziehen Sie eine datenschutzrechtliche Fachperson bei.

Wann ist eine Datenschutz-Folgenabschätzung (DSFA) nötig?

Eine DSFA ist nach revDSG erforderlich, wenn eine geplante Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen kann. Als hohes Risiko gelten insbesondere umfangreiches Profiling mit hohem Risiko und die umfangreiche Bearbeitung besonders schützenswerter Personendaten (etwa Gesundheits-, Religions- oder biometrische Daten).

Für KI-Projekte heisst das konkret: Ein Wissensbot, der öffentliche Produktinformationen beantwortet, löst in der Regel keine DSFA aus. Ein System, das Bewerbende automatisiert bewertet, Kundenprofile für Entscheidungen bildet oder Gesundheitsdaten verarbeitet, dagegen sehr wahrscheinlich.

Wichtig: Die 250-Mitarbeitenden-Grenze betrifft nur die Ausnahme vom Bearbeitungsverzeichnis - nicht die DSFA-Pflicht. Ein kleines Unternehmen kann von der Verzeichnispflicht teilweise befreit sein und trotzdem eine DSFA durchführen müssen, wenn die Bearbeitung riskant ist. Die DSFA gehört in die Design-Phase des Projekts, weil sie die Architektur (Hosting, Logging, Zugriffskontrolle) mitbestimmt.

(Quelle: revDSG; EDÖB-Basiswissen zur DSFA, admin.ch.)

Praktische Datenschutz-Leitplanken für KI-Projekte

Diese technischen und organisatorischen Massnahmen adressieren die häufigsten Datenschutz-Risiken bei KI. Sie sind eine Ergänzung, kein Ersatz für die rechtliche Prüfung.

  1. Datenminimierung in Prompts und Logs

    Geben Sie nur die wirklich nötigen Personendaten ins System. Prüfen Sie, was protokolliert wird und wie lange - Logs sind ein oft übersehener Speicherort von Personendaten.

  2. Kein Training mit Ihren Daten ohne Grundlage

    Klären Sie vertraglich, ob der Anbieter Ihre Eingaben zum Modelltraining nutzt. Für geschäftliche Nutzung mit Personendaten brauchen Sie in der Regel einen Trainingsausschluss.

  3. Passender Hosting-Standort

    Prüfen Sie, wo die Daten verarbeitet werden. Für viele Schweizer Branchen ist Schweizer oder EU-Hosting die Voraussetzung; Übermittlungen in Drittstaaten brauchen eine Rechtsgrundlage.

  4. Vertrag zur Auftragsbearbeitung

    Jeder externe KI-Dienst, der Personendaten bearbeitet, braucht einen entsprechenden Vertrag mit klaren Pflichten zu Sicherheit, Weiterverwendung und Löschung.

  5. Transparenz gegenüber Betroffenen

    Machen Sie in Datenschutzerklärung und an der Schnittstelle transparent, dass und wozu KI eingesetzt wird - und wo Menschen mit einer Maschine sprechen.

  6. Mensch-in-der-Schleife bei Entscheidungen

    Bei Entscheidungen mit Wirkung auf Personen (Bewerbung, Kredit, Leistung) braucht es menschliche Prüfung und Nachvollziehbarkeit statt automatischer Blackbox-Ausgabe.

Wann Sie eine Anwältin oder Datenschutzfachperson brauchen

Dieser Leitfaden hilft Ihnen, die richtigen Fragen zu stellen und die technischen Leitplanken zu setzen. Er ersetzt aber keine Rechtsberatung, und bei den folgenden Konstellationen sollten Sie eine datenschutzrechtliche Fachperson beiziehen:

Besonders schützenswerte Daten. Gesundheits-, biometrische, religiöse oder Daten über Strafverfolgung erfordern strengere Prüfung und oft eine DSFA.

Automatisierte Einzelentscheidungen. Wenn eine KI Entscheidungen mit Rechtsfolgen oder erheblichen Auswirkungen auf Personen trifft, gelten besondere Informations- und Prüfpflichten.

Datenübermittlung ins Ausland. Sobald Daten Anbieter oder Server ausserhalb der Schweiz und EU berühren, ist die Rechtsgrundlage sorgfältig zu klären.

Grenzüberschreitende Tätigkeit / DSGVO. Wenn Sie Personen in der EU ansprechen, kommt zusätzlich die DSGVO ins Spiel - mit teils strengeren Anforderungen als das revDSG.

Die ehrliche Haltung: Als KI-Integrationspartner setzen wir die datenschutzfreundliche Architektur um und arbeiten mit Ihrer Rechtsberatung zusammen - wir geben aber keine verbindliche Rechtsauskunft. Diese Klarheit gehört zu einem seriösen KI-Projekt.

Häufige Fragen

  • Gilt das Schweizer Datenschutzgesetz für KI-Anwendungen?

    Ja. Der EDÖB hat klargestellt, dass das revidierte DSG (in Kraft seit 1. September 2023) technologieneutral und direkt auf KI-gestützte Datenbearbeitungen anwendbar ist. Sobald eine KI Personendaten bearbeitet, gelten die Grundsätze des DSG - Transparenz, Zweckbindung, Datenminimierung - und die Verantwortung bleibt beim Unternehmen, auch wenn das Modell von einem Drittanbieter stammt.

  • Brauche ich für ein KI-Projekt eine Datenschutz-Folgenabschätzung?

    Eine DSFA ist nötig, wenn die Bearbeitung ein hohes Risiko für die Betroffenen mit sich bringen kann, insbesondere bei umfangreichem Profiling mit hohem Risiko oder umfangreicher Bearbeitung besonders schützenswerter Daten. Ein einfacher Wissensbot mit öffentlichen Informationen braucht meist keine; ein System, das Personen automatisiert bewertet oder Gesundheitsdaten verarbeitet, sehr wahrscheinlich. Die Pflicht hängt vom Risiko ab, nicht von der Unternehmensgrösse.

  • Muss ich KI-Nutzung ins Bearbeitungsverzeichnis eintragen?

    In der Regel ja: KI-gestützte Bearbeitungen von Personendaten gehören mit Zweck, Datenkategorien, Empfängern und Aufbewahrung ins Verzeichnis der Bearbeitungstätigkeiten. Für Unternehmen unter 250 Mitarbeitenden gilt bei geringem Risiko eine teilweise Ausnahme von der Verzeichnispflicht - diese Ausnahme betrifft aber nicht die DSFA-Pflicht.

  • Dürfen Mitarbeitende Personendaten in ein KI-Tool eingeben?

    Nicht in beliebige, kostenlose Consumer-Tools. Personendaten dürfen nur in Systeme mit klarer Rechtsgrundlage, Auftragsbearbeitungsvertrag, Trainingsausschluss und passendem Hosting-Standort gelangen. Ungeregelte Eingaben in offene Tools sind einer der häufigsten Datenschutzverstösse - eine kurze Nutzungsrichtlinie verhindert das.

  • Was ist der Unterschied zwischen revDSG und DSGVO für KI?

    Das revDSG ist das Schweizer Recht und für Schweizer Bearbeitungen massgeblich; die DSGVO ist das EU-Recht und wird zusätzlich relevant, sobald Sie Personen in der EU bearbeiten oder ansprechen. Die Grundprinzipien ähneln sich, die DSGVO ist in Teilen strenger (etwa bei Bussen und bestimmten Pflichten). Bei grenzüberschreitender Tätigkeit ist beides zu berücksichtigen - hier lohnt sich Rechtsberatung.

  • Hilft AETHER Digital, KI datenschutzkonform umzusetzen?

    Ja - auf der technischen und organisatorischen Ebene. Wir bauen die datenschutzfreundliche Architektur (Hosting, Datenminimierung, Zugriffskontrolle, Auftragsbearbeitung) und arbeiten mit Ihrer Rechtsberatung zusammen. Wir geben bewusst keine verbindliche Rechtsauskunft, sondern sorgen dafür, dass die Technik die rechtlichen Anforderungen erfüllt und sagen klar, wann eine Fachperson gefragt ist.

Verwandte Case Studies

Weiterlesen

KI nutzen und den Schweizer Datenschutz einhalten - beides geht

Datenschutz ist kein Grund, auf KI zu verzichten - er ist ein Grund, sie richtig zu bauen. Wir setzen die datenschutzfreundliche Architektur um und sagen ehrlich, wann Sie juristischen Rat brauchen.

Ein Anruf. Dreissig Minuten. Ein klarer Blick darauf, was möglich ist und was es bräuchte. Keine Foliensätze, kein Druck.

30-Min Discovery kostenlos · Kein Preisdruck · Schweizerische Diskretion