KI und Recht: Was Schweizer Arbeitgeber wissen müssen

KI am Arbeitsplatz ist kein rechtsfreier Raum. Das neue Datenschutzgesetz (nDSG), der EU AI Act mit Ausstrahlungswirkung auf die Schweiz und das bestehende Arbeitsrecht setzen klare Grenzen. Wer als Arbeitgeber KI einsetzt, ohne die rechtlichen Rahmenbedingungen zu kennen, riskiert Bussen, Klagen und Reputationsschäden.

Die rechtliche Ausgangslage in der Schweiz

Das neue Datenschutzgesetz (nDSG) — seit 1. September 2023

Das nDSG ist der wichtigste Rechtsrahmen für KI am Arbeitsplatz. Im Vergleich zum alten DSG bringt es wesentliche Verschärfungen:

• Profiling mit hohem Risiko (Art. 5 lit. g nDSG): Wenn KI automatisiert Persönlichkeitsprofile erstellt — z.B. Leistungsbewertung von Mitarbeitern — braucht es eine Datenschutz-Folgenabschätzung (DSFA)
• Informationspflicht (Art. 19 nDSG): Mitarbeiter müssen wissen, dass und wie KI ihre Daten verarbeitet
• Recht auf Auskunft (Art. 25 nDSG): Jeder Mitarbeiter kann erfahren, welche Daten die KI über ihn gespeichert hat
• Automatisierte Einzelentscheidungen (Art. 21 nDSG): Wenn eine rein automatisierte Entscheidung rechtliche Auswirkungen hat (z.B. Kündigung), muss der Mitarbeiter das wissen und kann eine menschliche Überprüfung verlangen

Bussen und Konsequenzen

Achtung: Anders als bei der EU-DSGVO haften in der Schweiz nicht die Unternehmen, sondern die verantwortlichen natürlichen Personen — also typischerweise der CEO, HR-Leiter oder Datenschutzverantwortliche. Die Bussen sind zwar tiefer als in der EU (dort bis 4% des Jahresumsatzes), aber die persönliche Haftung wiegt schwer.

Der EU AI Act: Nicht direkt, aber wirksam

Der EU AI Act (Verordnung (EU) 2024/1689), der seit August 2024 in Kraft ist und stufenweise bis 2027 wirksam wird, gilt formell nicht in der Schweiz. Aber er hat erhebliche Ausstrahlungswirkung:

Warum der EU AI Act die Schweiz betrifft

• Marktrelevanz: Schweizer Unternehmen, die in die EU exportieren oder EU-Kunden bedienen, müssen EU-konform sein
• Bilaterale Verträge: Die Schweiz übernimmt in vielen Bereichen EU-Recht. Ein autonomer Nachvollzug des AI Acts ist wahrscheinlich
• Lieferketten: Wenn ein Schweizer KMU ein KI-Tool eines EU-Anbieters nutzt, muss dieser EU-konform sein — und gibt die Anforderungen weiter
• Branchenstandards: ISO-Normen und Branchenstandards werden sich am AI Act orientieren

Die 4 Risikoklassen des AI Acts

Praxisrelevant für die Schweiz: KI-Systeme zur Personalauswahl und Leistungsbewertung werden als "High Risk" eingestuft. Das bedeutet: Risikomanagementsystem, Datensatz-Governance, Transparenz, menschliche Aufsicht und Genauigkeitsanforderungen.

Arbeitsrechtliche Aspekte

Mitbestimmung und Information

Das Schweizer Arbeitsrecht (OR Art. 321d, Mitwirkungsgesetz) verlangt:

• Weisungsrecht (Art. 321d OR): Der Arbeitgeber darf Weisungen zur Arbeit mit KI erteilen — aber die Weisungen müssen verhältnismässig sein. "Du MUSST ChatGPT nutzen" ist zulässig. "Du DARFST ChatGPT nicht nutzen" ist schwieriger zu rechtfertigen, wenn die Konkurrenz es tut
• Mitwirkungsgesetz (Art. 10): In Betrieben mit 50+ Mitarbeitern muss die Arbeitnehmervertretung bei Fragen der Arbeitssicherheit und des Gesundheitsschutzes konsultiert werden. KI-Überwachung fällt darunter
• Überwachung am Arbeitsplatz (ArGV 3 Art. 26): Überwachungs- und Kontrollsysteme, die das Verhalten der Arbeitnehmer am Arbeitsplatz überwachen sollen, sind verboten. KI-gestütztes "Employee Monitoring" ist daher höchst problematisch

Algorithmic Management: Die rote Linie

"Algorithmic Management" bezeichnet den Einsatz von KI zur Steuerung und Überwachung von Mitarbeitern. Beispiele:

• KI bewertet die Produktivität basierend auf Tastaturanschlägen
• Algorithmen bestimmen Schichtpläne ohne menschliche Überprüfung
• KI entscheidet über Beförderungen basierend auf Performance-Scores
• Automatische Abmahnungen bei Unterschreitung von KI-Zielwerten

Rechtslage in der Schweiz: ArGV 3 Art. 26 verbietet Verhaltensüberwachung grundsätzlich. Das SECO hat 2025 klargestellt, dass KI-gestütztes Monitoring unter dieses Verbot fällt, wenn es primär der Verhaltenskontrolle dient. Leistungsbezogene Messung (z.B. produzierte Stückzahlen) bleibt zulässig, wenn sie verhältnismässig und transparent ist.

Praxisleitfaden: 7 Schritte zur rechtskonformen KI-Nutzung

Schritt 1: Inventar erstellen

Welche KI-Tools werden im Unternehmen eingesetzt? Oft nutzen Mitarbeiter bereits ChatGPT, Copilot oder branchenspezifische KI-Tools — ohne dass die Geschäftsleitung davon weiss ("Shadow IT").

Checkliste: - Welche KI-Tools sind offiziell im Einsatz? - Welche werden inoffiziell genutzt? - Welche Daten verarbeiten diese Tools? - Wo werden die Daten gespeichert (Schweiz, EU, USA)?

Schritt 2: Risikobewertung durchführen

Für jedes KI-Tool bewerten: Verarbeitet es Personendaten? Trifft es automatisierte Entscheidungen? Betrifft es Mitarbeiter oder Kunden?

Schritt 3: Datenschutz-Folgenabschätzung (DSFA)

Für Hochrisiko-Anwendungen (Profiling, automatisierte Entscheidungen) ist eine DSFA gemäss Art. 22 nDSG verpflichtend. Die DSFA dokumentiert Risiken und Massnahmen.

Schritt 4: Transparenz herstellen

• Mitarbeiter informieren, welche KI-Tools eingesetzt werden
• Erklären, welche Daten verarbeitet werden
• Aufzeigen, wie Entscheidungen zustande kommen
• Ansprechperson für Fragen benennen

Schritt 5: Nutzungsrichtlinien erstellen

Ein KI-Nutzungsreglement sollte mindestens enthalten: - Erlaubte und verbotene KI-Tools - Regeln für den Umgang mit Firmendaten in KI-Tools - Vertraulichkeitsklassifikation (was darf in ChatGPT eingegeben werden?) - Haftung bei Fehlern der KI - Qualitätssicherung (menschliche Überprüfung)

Schritt 6: Verträge anpassen

• Arbeitsverträge: KI-Klauseln ergänzen (Nutzungspflicht, Vertraulichkeit, IP-Rechte)
• Lieferantenverträge: Auftragsbearbeitung gemäss nDSG für KI-Anbieter
• Kundenverträge: Transparenz über KI-Einsatz, wenn relevant

Schritt 7: Schulung und Kultur

Die beste Policy nützt nichts, wenn niemand sie kennt. Regelmässige Schulungen zu: - Datenschutz und KI - Praktischer Umgang mit erlaubten KI-Tools - Erkennung von KI-Fehlern ("Halluzinationen") - Ethische Fragen im Alltag

Branchenspezifische Besonderheiten

Finanzbranche (FINMA-reguliert)

Die FINMA hat 2025 ein Rundschreiben zu KI im Finanzsektor veröffentlicht. Kernpunkte: - KI-basierte Kreditentscheidungen erfordern Erklärbarkeit - Automatisierte Kundenklassifizierung muss dokumentiert werden - Modellrisikomanagement ist Pflicht

Gesundheitswesen

• Heilmittelgesetz (HMG): KI darf keine eigenständigen Diagnosen stellen
• Medizinprodukteverordnung (MepV): KI-basierte Diagnosesoftware gilt als Medizinprodukt und muss zugelassen werden
• Patientenrechte: Informierte Einwilligung bei KI-Einsatz in der Behandlung

Bildung

• Datenschutz für Minderjährige (nDSG Art. 7): Besonders strenge Anforderungen
• Kantonale Bildungsgesetze: Unterschiedliche Regeln pro Kanton
• Prüfungsrecht: KI-generierte Prüfungsantworten und Plagiatserkennung

Fazit

Der Einsatz von KI am Arbeitsplatz ist legal, sinnvoll und oft notwendig — aber er erfordert Sorgfalt. Das nDSG, der EU AI Act und das Arbeitsrecht setzen klare Regeln. Wer diese Regeln kennt und umsetzt, schafft Vertrauen bei Mitarbeitern und Kunden. Wer sie ignoriert, riskiert persönliche Haftung.

Die gute Nachricht: Die Schweiz hat einen pragmatischen Rechtsrahmen, der Innovation ermöglicht und gleichzeitig schützt. Unternehmen die proaktiv handeln, haben einen Wettbewerbsvorteil — gegenüber denen, die erst reagieren wenn der EDÖB klingelt.

Auf ki-blick.ch findest du für jeden Beruf und jede Branche spezifische Informationen zum KI-Risiko — inklusive regulatorischer Schutzfaktoren, die das Automatisierungsrisiko senken.

Datenquellen: nDSG (SR 235.1), EU AI Act (Verordnung 2024/1689), OR Art. 321d, ArGV 3 Art. 26, EDÖB Leitfaden Datenschutz-Folgenabschätzung 2023, FINMA Rundschreiben KI 2025, Mitwirkungsgesetz (SR 822.14).