KI & Datenschutz 9 Min. Lesezeit

KI und Schweizer Datenschutz: Was Unternehmen beim Einsatz von ChatGPT & Co. beachten müssen

Das neue Schweizer Datenschutzgesetz gilt auch für KI. Erfahren Sie, welche Regeln beim Einsatz von Sprachmodellen gelten und wie Sie compliant bleiben.

Die rechtliche Grauzone wird kleiner

Viele Unternehmen nutzen bereits ChatGPT, Claude oder Microsoft Copilot. Aber nur wenige haben sich gefragt: Ist das eigentlich datenschutzkonform?

Mit dem revidierten Schweizer Datenschutzgesetz (revDSG), das am 1. September 2023 in Kraft getreten ist, gelten klare Regeln – auch für den Einsatz von KI.

Wichtiger Hinweis

Dieser Artikel bietet eine allgemeine Orientierung und ersetzt keine Rechtsberatung. Bei konkreten Fragen sollten Sie einen spezialisierten Anwalt oder Ihren Datenschutzbeauftragten konsultieren.

Das neue Datenschutzgesetz (revDSG) und KI

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat klargestellt: Das DSG gilt direkt für KI-Anwendungen. Es braucht kein separates KI-Gesetz.

Die wichtigsten Grundsätze

📢

Transparenz

Betroffene müssen informiert werden, wenn ihre Daten mit KI verarbeitet werden – insbesondere bei automatisierten Entscheidungen.

🎯

Zweckbindung

Personendaten dürfen nur für den angegebenen Zweck verwendet werden. Eine Weiterverwendung für KI-Training ist oft nicht erlaubt.

📉

Datenminimierung

Nur die absolut notwendigen Daten sollten verarbeitet werden. Anonymisieren, wo immer möglich.

🔒

Datensicherheit

Angemessene technische und organisatorische Massnahmen müssen die Daten schützen.

Automatisierte Einzelentscheidungen

Besondere Regeln gelten, wenn KI-Systeme Entscheidungen ohne menschliche Beteiligung treffen, die für die betroffene Person erhebliche Auswirkungen haben.

In solchen Fällen haben Betroffene das Recht:

  • Über die automatisierte Entscheidung informiert zu werden
  • Eine menschliche Überprüfung zu verlangen
  • Ihren Standpunkt darzulegen

Beispiel: Automatisierte Kreditprüfung

Ein KI-System lehnt einen Kreditantrag ab. Der Antragsteller muss informiert werden, dass eine KI diese Entscheidung getroffen hat, und kann eine menschliche Überprüfung verlangen.

Cloud-Anbieter: Was ist erlaubt?

Die meisten KI-Tools werden von US-amerikanischen Unternehmen betrieben. Das wirft Fragen zum Datentransfer auf.

Anbieter Datenstandort Besonderheiten
OpenAI (ChatGPT) USA Enterprise-Version mit Opt-out vom Training
Anthropic (Claude) USA Enterprise: Daten nicht für Training verwendet
Microsoft (Copilot/Azure) EU/Schweiz möglich Azure OpenAI Service mit EU-Datenresidenz
Google (Gemini) Variabel Workspace-Version mit Datenschutz-Zusagen

Datenübermittlung in die USA

Seit dem Swiss-U.S. Data Privacy Framework (in Kraft seit September 2024) ist die Datenübermittlung an zertifizierte US-Unternehmen wieder vereinfacht. Dennoch sollten Sie prüfen:

  • Ist der Anbieter unter dem Framework zertifiziert?
  • Welche Daten werden tatsächlich übermittelt?
  • Gibt es eine Enterprise-Version mit besseren Datenschutz-Garantien?

Welche Daten dürfen verarbeitet werden?

✅ Unbedenklich

  • Öffentlich verfügbare Informationen
  • Anonymisierte oder synthetische Daten
  • Interne Dokumentationen ohne Personenbezug
  • Aggregierte Statistiken
  • Eigene Texte zur Überarbeitung

❌ Kritisch / Verboten

  • Kundendaten ohne Einwilligung
  • Gesundheitsdaten (besonders schützenswert)
  • Personaldaten von Mitarbeitenden
  • Vertrauliche Geschäftsinformationen
  • Daten von Minderjährigen

Der EU AI Act und seine Auswirkungen auf die Schweiz

Die EU hat 2024 den AI Act verabschiedet – das weltweit erste umfassende KI-Gesetz. Für Schweizer Unternehmen ist er relevant, wenn:

  • Sie KI-Systeme in der EU anbieten oder einsetzen
  • Die Outputs Ihrer KI-Systeme in der EU verwendet werden
  • Sie EU-Bürger als Kunden haben

Risikobasierter Ansatz des AI Acts

Der EU AI Act klassifiziert KI-Systeme nach Risiko:

  • Unannehmbares Risiko: Verboten (z.B. Social Scoring)
  • Hohes Risiko: Strenge Anforderungen (z.B. Kreditwürdigkeitsprüfung)
  • Begrenztes Risiko: Transparenzpflichten (z.B. Chatbots)
  • Minimales Risiko: Keine besonderen Auflagen

Checkliste: DSG-konforme KI-Nutzung

Nutzen Sie diese Checkliste, um Ihre KI-Nutzung zu überprüfen:

  1. Dateninventar erstellen
    Welche Daten werden an welche KI-Tools übermittelt?
  2. Anbieter prüfen
    Wo werden die Daten verarbeitet? Welche Garantien gibt es?
  3. Nutzungsrichtlinien aufstellen
    Klare Regeln für Mitarbeitende: Was darf eingegeben werden, was nicht?
  4. Datenschutzerklärung anpassen
    Informieren Sie Kunden über den Einsatz von KI, wenn deren Daten betroffen sind.
  5. Auftragsverarbeitungsvertrag (AVV) prüfen
    Bei Business-Versionen der KI-Tools: Ist ein AVV vorhanden?
  6. Mitarbeitende schulen
    Sensibilisierung für Datenschutz-Risiken bei der KI-Nutzung.
  7. Dokumentation führen
    Nachweisen können, dass Sie Datenschutz-Massnahmen ergriffen haben.

Praktische Empfehlungen

Für den sofortigen Start

  • Enterprise-Versionen nutzen: ChatGPT Enterprise, Claude for Business, Microsoft Copilot for Business bieten bessere Datenschutz-Garantien.
  • Daten anonymisieren: Ersetzen Sie Namen, Adressen und andere identifizierende Merkmale, bevor Sie Daten in KI-Tools eingeben.
  • Sensible Bereiche ausschliessen: HR, Buchhaltung und Kundendaten sollten nicht in öffentliche KI-Tools eingegeben werden.

Für die langfristige Strategie

  • Lokale KI-Lösungen evaluieren: On-Premise-Modelle oder schweizer Cloud-Anbieter für sensible Anwendungen.
  • KI-Governance aufbauen: Klare Zuständigkeiten und Prozesse für den Einsatz von KI im Unternehmen.
  • Datenschutz-Folgenabschätzung: Bei KI-Systemen mit hohem Risiko ist diese gemäss DSG vorgeschrieben.

Fazit: KI ja, aber mit Bedacht

Die Nutzung von KI ist in der Schweiz grundsätzlich erlaubt – aber nicht ohne Regeln. Das Datenschutzgesetz setzt klare Grenzen, die Unternehmen beachten müssen.

Die gute Nachricht: Mit den richtigen Massnahmen lassen sich die meisten Risiken minimieren. Enterprise-Versionen der gängigen KI-Tools, klare Nutzungsrichtlinien und geschulte Mitarbeitende sind der Schlüssel zur compliance-konformen KI-Nutzung.

Unternehmen, die sich jetzt mit dem Thema befassen, sind gut aufgestellt – auch für künftige regulatorische Entwicklungen.

Sie möchten KI datenschutzkonform einsetzen? Lesen Sie auch: 5 konkrete KI-Anwendungsfälle für Schweizer KMU

KI compliant einführen

Ich unterstütze Sie bei der datenschutzkonformen Implementierung von KI-Lösungen in Ihrem Unternehmen.

Beratungsgespräch vereinbaren
← Zurück zum Blog