KI und Datenschutz: Was das nDSG für Schweizer Unternehmen bedeutet
Das neue Datenschutzgesetz und KI-Einsatz: Pflichten, Risiken und konkrete Handlungsempfehlungen für Schweizer Unternehmen und Arbeitnehmer.
Rejhan Murati
Gründer, KiDesk
Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (nDSG). Doch was bedeutet das konkret, wenn Unternehmen KI-Tools einsetzen? Die Antwort: eine Menge — und die meisten Schweizer KMU sind noch nicht ausreichend vorbereitet.
Das nDSG im Überblick: Was hat sich geändert?
Das neue Datenschutzgesetz bringt die Schweiz näher an die EU-DSGVO heran. Für den Einsatz von KI sind folgende Änderungen besonders relevant:
Die wichtigsten Neuerungen
| Thema | Altes DSG | Neues nDSG | Relevanz für KI |
|---|---|---|---|
| Geltungsbereich | Nur Schweizer Unternehmen | Auch ausländische bei Auswirkung in CH | Betrifft alle US-KI-Tools |
| Informationspflicht | Eingeschränkt | Umfassend (Art. 19) | Kunden müssen über KI-Einsatz informiert werden |
| Profiling | Nicht spezifisch geregelt | Explizit geregelt (Art. 5 lit. f/g) | KI-basierte Kundenanalyse betroffen |
| Automatisierte Entscheide | Nicht geregelt | Recht auf menschliche Überprüfung (Art. 21) | KI darf nicht allein entscheiden |
| Bussen | Keine nennenswerten | Bis CHF 250'000 persönlich (!) | Geschäftsführer haftet persönlich |
| DSFA | Nicht vorgeschrieben | Pflicht bei hohem Risiko (Art. 22) | Für die meisten KI-Anwendungen erforderlich |
Wichtig: Anders als in der EU treffen die Bussen in der Schweiz nicht das Unternehmen, sondern die verantwortliche natürliche Person — typischerweise den CEO oder Datenschutzbeauftragten. Das macht die persönliche Haftung besonders relevant.
Wo KI-Einsatz datenschutzrechtlich heikel wird
1. Personendaten in KI-Tools eingeben
Jedes Mal, wenn ein Mitarbeitender Kundendaten, Mitarbeiterdaten oder andere Personendaten in ChatGPT, Claude oder ein anderes KI-Tool eingibt, findet eine Datenbearbeitung statt. Das nDSG verlangt:
- Rechtsgrundlage: Berechtigtes Interesse oder Einwilligung
- Information: Der Betroffene muss wissen, dass seine Daten von KI bearbeitet werden
- Verhältnismässigkeit: Nur so viele Daten wie nötig
Praxisbeispiel: Ein HR-Manager lädt einen Lebenslauf in ChatGPT hoch, um eine Absage zu formulieren. Das ist problematisch, weil: - Der Bewerber nicht informiert wurde - Die Daten auf US-Server übertragen werden - ChatGPT die Daten möglicherweise zum Training nutzt
2. Profiling und automatisierte Einzelentscheide
Das nDSG unterscheidet zwischen normalem Profiling und "Profiling mit hohem Risiko" (Art. 5 lit. g):
- Normales Profiling: Newsletter-Segmentierung nach Interessen — relativ unproblematisch
- Profiling mit hohem Risiko: KI bewertet Kreditwürdigkeit, Versicherungsrisiko oder Eignung eines Bewerbers — erfordert Datenschutz-Folgenabschätzung (DSFA) und Informationspflicht
3. Datenübermittlung ins Ausland
Die meisten KI-Tools haben Server in den USA. Das nDSG erlaubt Datenübertragung ins Ausland nur, wenn ein "angemessenes Schutzniveau" besteht. Die Schweiz hat eine offizielle Liste (Anhang 1 DSV):
| Land | Status | Konsequenz |
|---|---|---|
| EU/EWR | Angemessen | KI-Tools mit EU-Servern sind unproblematisch |
| USA | Bedingt angemessen (DPF) | Nur für zertifizierte Unternehmen |
| Andere | Nicht angemessen | Vertragliche Garantien nötig (SCC) |
Konkrete Pflichten für Schweizer Unternehmen
Pflicht 1: Datenschutzerklärung aktualisieren
Deine Datenschutzerklärung muss den KI-Einsatz abdecken. Konkret: - Welche KI-Tools werden eingesetzt? - Welche Daten werden bearbeitet? - Wo befinden sich die Server? - Findet Profiling statt?
Pflicht 2: Verzeichnis der Bearbeitungstätigkeiten (VAT)
Unternehmen mit mehr als 250 Mitarbeitenden müssen ein VAT führen. Jede KI-Anwendung, die Personendaten bearbeitet, muss darin eingetragen werden. Auch kleinere Unternehmen sollten ein VAT führen — es ist die beste Verteidigung bei einer Untersuchung.
Pflicht 3: Datenschutz-Folgenabschätzung (DSFA)
Eine DSFA ist Pflicht bei "voraussichtlich hohem Risiko" für die Persönlichkeitsrechte. Das trifft auf die meisten KI-Anwendungen zu, die Personendaten bearbeiten — insbesondere: - KI-basiertes Recruiting (Bewerberselektion) - Kundenanalyse und Scoring - Automatisierte Gesundheitsberatung - Videoüberwachung mit KI-Analyse
Pflicht 4: Auftragsbearbeitungsvertrag (ABV)
Wenn ein KI-Tool Personendaten in deinem Auftrag bearbeitet (z.B. ein Cloud-basierter Chatbot), brauchst du einen Auftragsbearbeitungsvertrag. Die meisten grossen Anbieter (Microsoft, Google, OpenAI) bieten Standard-ABVs an — aber prüfe die Bedingungen sorgfältig.
Checkliste: KI datenschutzkonform einsetzen
- [ ] Datenschutzerklärung um KI-Tools ergänzt
- [ ] VAT aktualisiert (alle KI-Anwendungen eingetragen)
- [ ] ABV mit jedem KI-Anbieter abgeschlossen
- [ ] DSFA durchgeführt für risikoreiche Anwendungen
- [ ] Mitarbeitende geschult (was darf in KI-Tools eingegeben werden?)
- [ ] KI-Policy erstellt und kommuniziert
- [ ] Datenübermittlung ins Ausland geprüft und dokumentiert
- [ ] Recht auf menschliche Überprüfung gewährleistet bei automatisierten Entscheiden
Schweizer KI-Tools vs. US-KI-Tools: Der Datenschutz-Vergleich
| Kriterium | Schweizer/EU-Tools | US-Tools |
|---|---|---|
| Serverstandort | CH/EU | USA (teilweise EU-Option) |
| nDSG-Konformität | Meistens gegeben | Prüfung nötig |
| DPF-Zertifizierung | Nicht relevant | Zwingend prüfen |
| ABV verfügbar | Standard | Meist verfügbar |
| Trainingsdaten | Oft opt-out | Prüfen (ChatGPT: opt-out möglich) |
| Persönliche Haftung | Gering bei Compliance | Höher bei Unsicherheit |
Empfohlene Schweiz-konforme KI-Tools
Für Unternehmen, die auf Nummer sicher gehen wollen: - Bexio (Buchhaltung) — Schweizer Server, nDSG-konform - DeepL (Übersetzung) — EU-Server, DSGVO-konform - Microsoft 365 Copilot (Produktivität) — Schweizer Cloud-Region verfügbar - LanguageTool (Textkorrektur) — EU-Server
Auf ki-blick.ch findest du in der KI-Lösungen-Datenbank einen Datenschutz-Filter, der dir nur Tools anzeigt, die mit Schweizer oder EU-Servern arbeiten.
Was Arbeitnehmer wissen sollten
Auch als Arbeitnehmer hast du Rechte — und Pflichten:
Deine Rechte - **Auskunftsrecht:** Du kannst von deinem Arbeitgeber verlangen zu erfahren, welche KI-Tools deine Daten bearbeiten - **Recht auf menschliche Überprüfung:** Wenn eine KI über dich entscheidet (z.B. Leistungsbeurteilung), kannst du eine menschliche Überprüfung verlangen - **Informationsrecht:** Der Arbeitgeber muss dich informieren, wenn KI bei Personalentscheidungen eingesetzt wird
Deine Pflichten - **Sorgfaltspflicht:** Gib keine vertraulichen Daten in ungenehmigte KI-Tools ein - **KI-Policy beachten:** Halte dich an die KI-Richtlinien deines Arbeitgebers - **Melden:** Wenn du Datenschutzverstösse bemerkst, melde sie intern
Was droht bei Verstössen?
Das nDSG kennt strafrechtliche Sanktionen:
| Verstoss | Busse |
|---|---|
| Verletzung der Informationspflicht | Bis CHF 250'000 |
| Verletzung der Sorgfaltspflicht bei Auslandsübermittlung | Bis CHF 250'000 |
| Verletzung der beruflichen Schweigepflicht | Bis CHF 250'000 |
| Missachtung von Verfügungen des EDÖB | Bis CHF 250'000 |
Achtung: Diese Bussen treffen die verantwortliche Person persönlich — nicht das Unternehmen. Das ist ein wesentlicher Unterschied zur EU-DSGVO.
Fazit
KI und Datenschutz stehen in der Schweiz nicht im Widerspruch — aber es braucht Sorgfalt. Wer die Grundprinzipien beachtet (informieren, dokumentieren, verhältnismässig handeln, Auslandsübermittlung prüfen), kann KI rechtssicher einsetzen. Wer das ignoriert, riskiert persönliche Bussen von bis zu CHF 250'000.
Der Schlüssel liegt in der Vorbereitung: KI-Policy erstellen, Mitarbeitende schulen und die richtigen Tools wählen. Auf ki-blick.ch helfen wir dir dabei — mit datenschutzgeprüften KI-Lösungen und einer Branchenübersicht, die zeigt, wo KI in deiner Branche den grössten Impact hat.
Datenquellen: nDSG (SR 235.1), DSV (SR 235.11), EDÖB Leitfaden zu KI und Datenschutz 2024, Staatsliste des Bundesrats zu angemessenem Datenschutzniveau (Anhang 1 DSV), ki-blick.ch Analyse.
Weiterlesen
KI und Recht: Was Schweizer Arbeitgeber wissen müssen
nDSG, EU AI Act, Algorithmic Management: Welche rechtlichen Regeln gelten für den KI-Einsatz am Arbeitsplatz? Ein Praxisleitfaden für Schweizer Unternehmen.
11 Min.
Wie Schweizer KMU KI im Alltag nutzen — 5 Praxisbeispiele
Von der automatischen Rechnung bis zum KI-Copilot: Wie Schweizer Kleinbetriebe mit 1-10 Mitarbeitern KI konkret einsetzen. Mit echten Spar-Beispielen.
8 Min.
10 KI-Tools die jeder Schweizer Arbeitnehmer kennen sollte
Von ChatGPT bis Copilot: Welche KI-Tools bringen im Arbeitsalltag wirklich etwas? Ein praxisnaher Guide mit Schweizer Preisen, Datenschutz-Bewertung und konkreten Anwendungsfällen.
10 Min.