Stand: 11. Mai 2026 — Zuletzt aktualisiert: 11. Mai 2026
Mitarbeiter geben Kundendaten in ChatGPT ein, um schnell eine Antwort zu formulieren. Ein Vertrag wird zur Zusammenfassung an Claude geschickt. Bewerbungsunterlagen werden mit KI vorgefiltert. Was effizient wirkt, kann Ihr KMU teuer zu stehen kommen — wenn Sie das revidierte Datenschutzgesetz (revDSG) und die DSGVO nicht beachten. Bussen bis CHF 250’000 sind moeglich.
Key Insight:
Laut einer Umfrage des EDOeB (2025) verstossen 62% der Schweizer KMU bei der KI-Nutzung gegen Datenschutzbestimmungen — meist unbewusst. Die haeufigsten Fehler: personenbezogene Daten in oeffentliche LLMs einspeisen (78% der Verstoesse), kein Vertrag zur Auftragsverarbeitung (53%), keine Information der betroffenen Personen (48%). Die maximale Busse nach revDSG: CHF 250’000 pro Verstoss.
Welche Daten darf ich auf keinen Fall in oeffentliche KI-Tools eingeben?
Generell verboten in oeffentlichen Cloud-LLMs wie ChatGPT-Free, Gemini oder Claude (ohne Enterprise-Vertrag): alle personenbezogenen Daten von Kunden, Mitarbeitenden oder Lieferanten — also Namen, E-Mails, Telefonnummern, Adressen, Geburtsdaten, Personalakten. Ebenfalls riskant: Geschaeftsgeheimnisse, Vertraege, interne Strategien, Source Code und Bankdaten.
Brauche ich einen Vertrag zur Auftragsdatenverarbeitung (AVV)?
Ja — sobald Sie Daten Dritter (Kunden, Mitarbeitende, Lieferanten) in einer KI-Loesung verarbeiten, brauchen Sie einen AVV (Data Processing Agreement, DPA) mit dem Anbieter. Bei ChatGPT Free oder Gemini Free existiert kein solcher Vertrag — bei Enterprise-Versionen schon. Ohne AVV ist die Verarbeitung personenbezogener Daten nach Artikel 9 revDSG nicht rechtmaessig.
Welche KI-Anbieter haben einen AVV?
Microsoft Copilot for Microsoft 365 (mit Enterprise-Lizenz): ja, AVV vorhanden. ChatGPT Enterprise (oder Team): ja. Google Gemini Workspace Business / Enterprise: ja. Claude for Work (Anthropic Teams oder Enterprise): ja. Mistral AI Le Chat Pro: ja. Open-Source-Modelle auf eigenen Servern oder Schweizer Cloud-Anbietern: kein AVV noetig, weil keine externen Anbieter involviert sind.
Was ist mit Daten-Hosting in den USA?
Wenn personenbezogene Daten in die USA uebertragen werden, brauchen Sie eine zusaetzliche Rechtsgrundlage. Seit dem EU-US Data Privacy Framework (DPF) ist die Uebertragung an zertifizierte US-Anbieter wieder einfacher — OpenAI, Microsoft, Google und Anthropic sind alle zertifiziert. Ein Verweis im AVV auf das DPF ist heute Standard. Bei sensitiven Daten (Gesundheit, Finanzen) trotzdem EU- oder Schweizer Hosting bevorzugen.
Wie informiere ich betroffene Personen ueber die KI-Nutzung?
Sobald Sie KI zur Verarbeitung personenbezogener Daten einsetzen, muessen die betroffenen Personen darueber informiert werden — typischerweise in Ihrer Datenschutzerklaerung. Pflichtangaben: welche KI-Tools, wer der Anbieter ist, was verarbeitet wird, ob Daten ins Ausland gehen und wie lange sie gespeichert werden. Bei automatisierten Entscheidungen (z. B. KI im Bewerbungsverfahren) zusaetzlich Information ueber das Recht auf menschliche Pruefung.
⚠ Achtung: KI im HR ist hochregulatorisch
KI-gestuetzte Bewerbungsvorauswahl, automatisches Bewerber-Ranking oder KI-Interview-Analysen fallen unter «automatisierte Einzelentscheidungen» (Art. 21 revDSG). Hier gelten zusaetzliche Pflichten: Information, manuelle Pruefung muss moeglich sein, keine Diskriminierung durch das Modell. Vor Einfuehrung dringend Datenschutzfolgenabschaetzung (DSFA) machen.
Was ist eine Datenschutzfolgenabschaetzung (DSFA) und brauche ich eine?
Eine DSFA (oder Privacy Impact Assessment, PIA) ist eine strukturierte Risikoanalyse, bevor Sie ein neues KI-Tool einfuehren. Sie ist Pflicht, wenn das KI-Projekt ein hohes Risiko fuer Betroffene birgt: automatisierte Entscheidungen, grossflaechige Verarbeitung sensitiver Daten, oder systematische Ueberwachung. Eine DSFA dauert typischerweise 2-4 Wochen und kostet bei externer Begleitung CHF 5’000-15’000.
Wie schule ich meine Mitarbeitenden im DSG-konformen KI-Umgang?
Schulungen sind nicht nur Pflicht, sondern der effektivste Schutz gegen Verstoesse. Inhalte: welche Tools sind freigegeben, welche Daten duerfen rein, was passiert mit gespeicherten Inhalten und wie melde ich Verstoesse. Eine erste Schulung (2 Stunden) plus jaehrliche Auffrischung deckt die meisten KMU-Anforderungen ab. Dokumentieren Sie die Schulungen — bei einer Pruefung muessen Sie Nachweise erbringen.
✓ Pragmatischer KMU-Fahrplan in 5 Schritten
1. KI-Inventur: Welche Tools nutzt das Team heute schon (oft mehr als gedacht). 2. Freigabe-Liste erstellen: welche Tools mit AVV sind erlaubt, welche verboten. 3. Datenschutzerklaerung aktualisieren mit KI-Abschnitt. 4. Mitarbeitende schulen (2 Stunden Einfuehrung). 5. Pruefroutine: alle 6 Monate kontrollieren, welche neuen Tools im Einsatz sind.
Welche Strafen drohen bei Verstoessen?
Das revidierte Datenschutzgesetz sieht Bussen bis CHF 250’000 vor — gegen die verantwortliche natuerliche Person, nicht das Unternehmen. Bei EU-Geschaeft greift zusaetzlich die DSGVO mit Bussen bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes. Zusaetzlich: Reputationsschaden, Schadenersatzansprueche betroffener Personen und in schweren Faellen strafrechtliche Konsequenzen.
Haeufig gestellte Fragen (FAQ)
Darf ich ChatGPT Free wirklich gar nicht nutzen?
Doch — fuer allgemeine Recherche, Texterstellung ohne Personenbezug, Brainstorming oder Programmier-Hilfe ohne Kundencode. Verboten ist nur: personenbezogene Daten Dritter sowie vertrauliche Geschaeftsinformationen einzugeben. Die Grenze ist scharf zu ziehen.
Was kostet ChatGPT Enterprise oder Copilot fuer Microsoft 365?
ChatGPT Team: ab USD 25 pro Nutzer pro Monat. ChatGPT Enterprise: nur Mindestabnahme, ab ca. USD 60 pro Nutzer pro Monat. Microsoft 365 Copilot: USD 30 pro Nutzer pro Monat zusaetzlich zur M365 Lizenz. Bei 10 Mitarbeitenden also CHF 3’000-7’000 pro Jahr — gut investiertes Geld fuer Rechtskonformitaet.
Brauche ich einen externen Datenschutzberater?
Bei kleinen Unternehmen mit weniger als 50 Mitarbeitenden und einfacher KI-Nutzung in der Regel nicht. Bei komplexer KI-Anwendung (HR-Tools, Kundendaten-Analytics) lohnt sich externe Begleitung — typischer Aufwand: 1-3 Tage Beratung, CHF 3’000-9’000.
Was sind Schweizer KI-Anbieter mit DSG-konformem Hosting?
Beispiele fuer Schweizer oder DACH-basiertes Hosting: Aleph Alpha (deutsche LLMs), Swiss AI Initiative, regionale Cloud-Anbieter wie Infomaniak (Schweiz) oder Exoscale (Schweiz). Fuer hochsensitive Daten empfehlenswert. Nachteil: weniger leistungsstarke Modelle als GPT-4 oder Claude.
KI rechtskonform in Ihrem KMU einfuehren
Wir helfen Schweizer KMU bei der Auswahl, Einfuehrung und rechtssicheren Nutzung von KI-Tools — von der AVV-Pruefung ueber die DSFA bis zur Mitarbeiterschulung.