Künstliche Intelligenz ist längst kein Zukunftsthema mehr. Chatbots im Kundenservice, KI-gestützte Recruiting-Tools, automatisierte Risikoanalysen, prädiktive Analysen im Marketing — all diese Anwendungen verarbeiten personenbezogene Daten. Und genau hier setzt das revidierte Datenschutzgesetz (revDSG) an, das seit dem 1. September 2023 in Kraft ist.
Die Schweiz hat — anders als die Europäische Union — kein spezifisches KI-Gesetz erlassen. Das bedeutet jedoch nicht, dass im Bereich der Künstlichen Intelligenz ein rechtliches Vakuum herrscht. Das revDSG greift für alle KI-Systeme, die Personendaten verarbeiten, und das ist bei den meisten geschäftlich genutzten KI-Tools der Fall.
Dieser Leitfaden erklärt, was das Gesetz konkret verlangt, wie sich der Schweizer Ansatz vom europäischen unterscheidet, und welche Massnahmen Ihr KMU jetzt ergreifen sollte.
Keine KI-spezifische Gesetzgebung — aber klare Regeln
Der Bundesrat hat sich bisher gegen ein umfassendes KI-Gesetz nach europäischem Vorbild entschieden. In seiner Stellungnahme vom November 2023 zur KI-Governance betonte er das Prinzip der Technologieneutralität: Bestehende Gesetze sollen auf KI-Anwendungen angewendet werden, ohne dass neue Regulierungsebenen geschaffen werden.
Der Schweizer Ansatz stützt sich auf drei Säulen:
- Sektorspezifische Anpassungen: In Bereichen wie Gesundheit, Finanzwesen und Justiz werden bestehende Fachgesetze auf KI-Risiken hin überprüft und angepasst
- Internationale Koordination: Die Schweiz beteiligt sich aktiv an den Arbeiten der OECD und des Europarats zur KI-Regulierung
- Freiwillige Leitlinien: Der Bund fördert die Entwicklung von Verhaltenskodizes und branchenspezifischen Standards
Das revDSG ist somit das zentrale Instrument für den Datenschutz beim KI-Einsatz. Es enthält keine expliziten Vorschriften für KI-Systeme, seine Grundprinzipien — Transparenz, Verhältnismässigkeit, Zweckbindung und Datensicherheit — gelten jedoch uneingeschränkt für jeden automatisierten Verarbeitungsvorgang.
Die Haltung des EDÖB zu KI und Datenschutz
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat in den vergangenen Jahren mehrfach klar Stellung zu KI und Datenschutz bezogen.
In seinen Empfehlungen und Stellungnahmen hebt der EDÖB folgende Punkte hervor:
Transparenz gegenüber betroffenen Personen. Wer KI-Systeme einsetzt, die Personendaten verarbeiten, muss die betroffenen Personen in verständlicher Weise informieren — nicht nur in einem unlesbar langen Kleingedruckten.
Menschliche Kontrolle über automatisierte Entscheide. Der EDÖB betont, dass Entscheide mit erheblichen Auswirkungen auf Einzelpersonen nicht vollständig an Algorithmen delegiert werden dürfen. Eine sinnvolle menschliche Überprüfung muss möglich bleiben.
Datensparsamkeit auch bei KI-Training. Der Einsatz grosser Datensätze für das Training von Modellen entbindet Unternehmen nicht von der Pflicht zur Datensparsamkeit. Das Verhältnismässigkeitsprinzip gilt auch hier.
Drittanbieter-Tools begründen keine Ausnahme. Wenn Sie ChatGPT, Microsoft Copilot oder andere externe KI-Dienste nutzen, bleiben Sie als Verantwortlicher für die Verarbeitung zuständig. Ein Auftragsverarbeitungsvertrag ist Pflicht.
Der EDÖB hat angekündigt, bis Ende 2026 spezifische Leitlinien zum KI-Einsatz im Unternehmenskontext zu veröffentlichen. Bis dahin gelten die allgemeinen Grundsätze des revDSG.
Massgebliche Bestimmungen des revDSG beim KI-Einsatz
Informationspflichten (Art. 19 revDSG)
Das revDSG verpflichtet Verantwortliche, betroffene Personen bei der Beschaffung von Personendaten zu informieren. Im KI-Kontext bedeutet dies:
- Ihre Datenschutzerklärung muss den Einsatz von KI-Tools und die dabei verarbeiteten Daten erwähnen
- Automatisierte Entscheidungen müssen als solche erkennbar sein
- Betroffene Personen müssen wissen, zu welchem Zweck ihre Daten in KI-Systemen verarbeitet werden
Die Informationspflicht besteht auch dann, wenn die Daten indirekt über Drittquellen beschafft werden. Wichtig: Die Ausnahmen nach Art. 19 Abs. 2 revDSG (z.B. unverhältnismässiger Aufwand) sind eng auszulegen.
Profiling und Profiling mit hohem Risiko (Art. 5 lit. f und g revDSG)
Das revDSG unterscheidet zwischen Profiling (jede Art der automatisierten Verarbeitung von Personendaten zur Bewertung persönlicher Aspekte einer Person) und Profiling mit hohem Risiko (Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt).
Typische KI-Anwendungen, die als Profiling mit hohem Risiko einzustufen sind:
- Bonitätsbeurteilung durch Algorithmen
- Verhaltensbasierte Bewerberanalyse im Recruiting
- Kundensegmentierung mit Auswirkungen auf den Zugang zu Dienstleistungen
- KI-gestützte Mitarbeiterüberwachung
Für Profiling mit hohem Risiko verlangt das revDSG eine ausdrückliche Einwilligung der betroffenen Person oder eine andere spezifische Rechtsgrundlage. Ein allgemeines berechtigtes Interesse reicht in der Regel nicht aus.
Datenschutz-Folgenabschätzung (Art. 22 revDSG — DSFA)
Art. 22 revDSG schreibt eine Datenschutz-Folgenabschätzung (DSFA) vor, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt.
Beim KI-Einsatz ist eine DSFA insbesondere in folgenden Szenarien obligatorisch:
| KI-Szenario | DSFA erforderlich? |
|---|---|
| Profiling mit hohem Risiko | Ja |
| Automatisierte Entscheide mit Rechtswirkung | Ja |
| Grossmassstäbliche Verarbeitung sensibler Daten | Ja |
| Systematische Überwachung durch KI | Ja |
| HR-Chatbot mit Kandidatendaten | Im Einzelfall prüfen |
| Produktivitäts-Tool ohne Personendaten | Nein |
Ergibt die DSFA, dass nach Ergreifung der vorgesehenen Massnahmen ein hohes Restrisiko verbleibt, muss der EDÖB vor der Inbetriebnahme konsultiert werden.
Automatisierte Einzelentscheidungen (Art. 21 revDSG)
Art. 21 revDSG regelt automatisierte Einzelentscheidungen, d.h. Entscheide, die ausschliesslich auf einer automatisierten Verarbeitung beruhen und für die betroffene Person rechtliche Wirkung entfalten oder sie erheblich beeinträchtigen.
Betroffene Personen haben das Recht:
- Auf Information über die automatisierte Entscheidung
- Auf Mitteilung ihres Standpunkts
- Auf Überprüfung der Entscheidung durch eine natürliche Person
Diese Rechte können nicht pauschal durch AGB-Klauseln ausgeschlossen werden. Eine Opt-in-Checkbox beim Onboarding ist kein Freibrief für unbegrenzte automatisierte Entscheide.
Datentransfers an US-amerikanische KI-Anbieter
Eines der praktisch heikelsten Themen für Schweizer KMU ist der Einsatz von KI-Diensten amerikanischer Anbieter wie OpenAI, Microsoft, Google oder Anthropic.
Das revDSG erlaubt Datentransfers ins Ausland nur unter bestimmten Bedingungen:
1. Länder mit angemessenem Schutzniveau. Der Bundesrat führt eine Liste der Länder, die ein gleichwertiges Schutzniveau bieten. Die USA sind auf dieser Liste nicht vollständig vertreten.
2. Geeignete Garantien. Fehlt die Anerkennung, können folgende Instrumente eingesetzt werden:
- Vom EDÖB anerkannte Standardvertragsklauseln
- Verbindliche interne Datenschutzvorschriften (BCR)
- Ausdrückliche Einwilligung der betroffenen Person
3. Ausnahmen. Vertragserfüllung oder lebenswichtige Interessen können Transfers rechtfertigen, sind aber eng auszulegen.
Praktische Konsequenzen für KMU:
Vor dem Einsatz eines amerikanischen KI-Tools sollten Sie prüfen:
- Bietet der Anbieter einen Auftragsverarbeitungsvertrag (AVV) nach revDSG an?
- Können die Daten in Europa (z.B. in der Schweiz oder EU) verarbeitet werden?
- Werden Ihre Eingabedaten für das Training von KI-Modellen verwendet, und können Sie dies vertraglich ausschliessen?
Microsoft Azure OpenAI Service und OpenAI Enterprise bieten vertraglich abgesicherte EU-Datenverarbeitungsoptionen. Google Vertex AI erlaubt die Wahl der Datenhaltungsregion. Prüfen Sie diese Optionen systematisch, bevor Sie sensible Unternehmensdaten in KI-Tools eingeben.
EU AI Act: Auswirkungen auf Schweizer Unternehmen
Obwohl die Schweiz kein EU-Mitglied ist, hat der EU AI Act (Verordnung EU 2024/1689) direkte Auswirkungen auf Schweizer Unternehmen, die:
- Produkte oder Dienstleistungen an EU-Kunden anbieten
- KI-Systeme einsetzen, deren Ergebnisse in der EU genutzt werden
Risikoklassifizierung nach EU AI Act
| Risikoklasse | Beispiele | Anforderungen |
|---|---|---|
| Inakzeptables Risiko (verboten) | Social Scoring, Echtzeit-Gesichtserkennung im öffentlichen Raum | Vollständiges Verbot |
| Hohes Risiko | KI-Recruiting, Kreditscoring, Biometrie, Medizinprodukte | Konformitätsprüfung vor Markteinführung, Transparenz, menschliche Aufsicht |
| Begrenztes Risiko | Chatbots, Deep Fakes | Nutzerinformation |
| Minimales Risiko | Spam-Filter, Empfehlungssysteme | Keine spezifischen Pflichten |
Für Schweizer KMU, die ihre Produkte in der EU verkaufen und KI-Systeme mit hohem Risiko einsetzen, sind die Anforderungen des AI Act bereits heute relevant. Die Sanktionen können bis zu 30 Millionen Euro oder 6% des weltweiten Jahresumsatzes betragen.
Schweizer Ansatz vs. EU-Ansatz im Vergleich
| Kriterium | Schweiz (revDSG) | EU (AI Act + DSGVO) |
|---|---|---|
| Spezifisches KI-Gesetz | Nein | Ja (AI Act) |
| Regulierungsansatz | Sektoriell, risikobasiert | Horizontal, kategorienbasiert |
| Sanktionen | Bis CHF 250 000 (revDSG) | Bis 30 Mio. € oder 6% Jahresumsatz (AI Act) |
| DSFA/DPIA | Pflicht bei hohem Risiko | Pflicht bei hohem Risiko (DSGVO) |
| Automatisierte Entscheide | Art. 21 revDSG | Art. 22 DSGVO |
| Profiling mit hohem Risiko | Ausdrückliche Einwilligung erforderlich | Einwilligung oder andere Rechtsgrundlage |
| Transfers in die USA | Geeignete Garantien erforderlich | Geeignete Garantien erforderlich |
Der wesentliche Unterschied liegt in der Sanktionshöhe und der Marktmacht: Die EU kann Unternehmen weltweit zur Rechenschaft ziehen, die ihre Regeln für den EU-Binnenmarkt verletzen. Die Schweiz hat hier einen engeren Wirkungsbereich, aber die materiellen Anforderungen an Transparenz und Verhältnismässigkeit sind vergleichbar.
Praktische Checkliste für Schweizer KMU
Nutzen Sie diese Checkliste, um den KI-Einsatz in Ihrem Unternehmen auf revDSG-Konformität zu überprüfen:
Inventar und Governance
- Haben Sie alle in Ihrem Unternehmen eingesetzten KI-Tools erfasst?
- Wissen Sie, welche Personendaten jedes dieser Tools verarbeitet?
- Haben Sie mit jedem KI-Anbieter einen Auftragsverarbeitungsvertrag abgeschlossen?
Transparenz
- Erwähnt Ihre Datenschutzerklärung den Einsatz von KI?
- Werden betroffene Personen über automatisierte Entscheide informiert?
- Haben Sie ein Verfahren für die Überprüfung automatisierter Entscheide durch eine natürliche Person?
Profiling und DSFA
- Führen Ihre KI-Tools Profiling durch? Falls ja, handelt es sich um Profiling mit hohem Risiko?
- Haben Sie für Verarbeitungen mit hohem Risiko eine DSFA durchgeführt?
- Haben Sie den EDÖB konsultiert, wenn die DSFA ein hohes Restrisiko ergeben hat?
Internationale Datentransfers
- Verarbeiten Ihre KI-Anbieter Daten ausserhalb der Schweiz oder Europas?
- Verfügen Sie über geeignete Garantien für diese Transfers?
- Haben Sie vertraglich sichergestellt, dass Ihre Daten nicht für KI-Training verwendet werden?
Betroffenenrechte
- Können Ihre Mitarbeiter und Kunden ihre Rechte (Auskunft, Berichtigung, Widerspruch) auch bei KI-gestützten Verarbeitungen ausüben?
- Ist Ihr Verarbeitungsverzeichnis um die KI-gestützten Verarbeitungen ergänzt?
Ausblick: Was kommt auf die Schweiz zu?
Die KI-Regulierungslandschaft ist in Bewegung. Folgende Entwicklungen sind für Schweizer Unternehmen besonders relevant:
Spezifische EDÖB-Leitlinien zu KI: Der EDÖB hat konkrete Orientierungshilfen für den KI-Einsatz im Unternehmenskontext angekündigt.
Europarat-Konvention zu KI (CETS 225): Die Schweiz prüft den Beitritt zur ersten völkerrechtlich verbindlichen Konvention zur KI-Regulierung, die im Mai 2024 zur Unterzeichnung aufgelegt wurde.
Revision der KI-Strategie des Bundes: Die ursprüngliche Strategie aus dem Jahr 2019 wird derzeit überarbeitet, um generativer KI und grossen Sprachmodellen Rechnung zu tragen.
Die Empfehlung für KMU ist eindeutig: Nicht auf eine spezifische KI-Gesetzgebung warten. Das revDSG gilt heute, und die Aufsichtsbehörden nehmen ihre Aufgaben aktiv wahr. Wer jetzt handelt, schützt sich vor Bussen und stärkt das Vertrauen seiner Kunden.
Sie setzen KI-Tools in Ihrem Unternehmen ein und sind unsicher, ob Ihre Website die datenschutzrechtlichen Anforderungen erfüllt? Analysieren Sie Ihre Website jetzt kostenlos mit PrivaScan — unser Tool erkennt in Sekunden, welche Tracker und Cookies aktiv sind, und gibt Ihnen einen ersten Überblick über Ihren Compliance-Status.