Stand: 11. März 2026 — Zuletzt aktualisiert: 11. März 2026
Künstliche Intelligenz einsetzen und gleichzeitig das Schweizer Datenschutzgesetz einhalten — geht das überhaupt? Die Antwort des EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) ist klar: Ja, aber unter klaren Bedingungen. Seit dem 1. September 2023 ist das neue Datenschutzgesetz (nDSG) in Kraft — und es ist direkt auf KI-Anwendungen anwendbar.
Key Insight:
Das Schweizer nDSG ist technologieneutral formuliert und damit direkt auf KI-gestützte Datenbearbeitungen anwendbar (EDÖB, Mai 2025). Unternehmen müssen Zweck, Funktionsweise und Datenquellen ihrer KI transparent ausweisen. Bei Verstössen drohen Bussen bis CHF 250’000 — und im Gegensatz zur EU-DSGVO haften in der Schweiz natürliche Personen (Geschäftsführung, VR-Mitglieder, einzelne Mitarbeitende).
Was verlangt das nDSG beim Einsatz von KI?
Das nDSG stellt sechs zentrale Anforderungen an Unternehmen, die KI einsetzen:
1. Transparenz und Informationspflicht
Sie müssen betroffene Personen darüber informieren, dass KI eingesetzt wird, wie das System funktioniert und welche Daten verarbeitet werden. Das bedeutet konkret: Wenn Kunden mit einem Chatbot kommunizieren, müssen sie wissen, dass es sich um eine KI handelt. Auch ob Daten zu Trainingszwecken verwendet werden, muss offengelegt werden.
2. Privacy by Design und Privacy by Default
Datenschutz muss bereits bei der Planung und Entwicklung von KI-Anwendungen berücksichtigt werden (Art. 7 nDSG). Standardeinstellungen müssen datenschutzfreundlich sein — die Zustimmung der Nutzer für erweiterte Datenverarbeitung muss aktiv eingeholt werden.
3. Datenschutz-Folgenabschätzung (DSFA)
Bei KI-Anwendungen mit hohem Risiko für die Persönlichkeitsrechte muss eine dokumentierte Folgenabschätzung durchgeführt werden (Art. 22 nDSG). Das betrifft besonders: Automatisierte Entscheidungen, Profiling, Verarbeitung sensibler Daten (Gesundheit, Finanzen).
4. Recht auf menschliche Überprüfung
Betroffene haben das Recht, automatisierten Einzelentscheidungen zu widersprechen und eine menschliche Überprüfung zu verlangen (Art. 21 nDSG). Wenn Ihr KI-System automatisch Kreditanträge ablehnt oder Bewerbungen sortiert, muss immer ein «Human in the Loop» möglich sein.
5. Auftragsverarbeitungsvertrag (AVV/DPA)
Wenn Sie KI-Tools von Drittanbietern nutzen (ChatGPT, Claude, etc.), brauchen Sie einen Auftragsverarbeitungsvertrag (Data Processing Agreement). Dieser regelt, wie der Anbieter Ihre Daten verarbeitet, speichert und schützt.
6. Meldepflicht bei Datenschutzverletzungen
Kommt es zu einem Datenschutzvorfall (z.B. Datenleck durch KI-System), muss dies dem EDÖB und den betroffenen Personen gemeldet werden (Art. 24 nDSG).
⚠ Persönliche Haftung beachten
Ein entscheidender Unterschied zum EU-Recht: Im nDSG haften nicht Unternehmen, sondern natürliche Personen — Geschäftsführer, Verwaltungsräte und sogar einzelne Mitarbeitende können für vorsätzliche Verstösse persönlich bestraft werden. Bussen bis CHF 250’000 sind möglich.
Wie setze ich KI datenschutzkonform ein? Die Praxis-Checkliste
Mit dieser 10-Punkte-Checkliste stellen Sie sicher, dass Ihr KI-Einsatz nDSG-konform ist:
- KI-Inventar erstellen: Dokumentieren Sie alle KI-Tools, die im Unternehmen genutzt werden
- Datenklassifizierung: Welche Daten fliessen in welches Tool? Sensible Daten nur in Swiss-Hosted-Tools
- Datenschutzerklärung aktualisieren: KI-Einsatz transparent kommunizieren
- Auftragsverarbeitungsverträge: DPA mit allen KI-Drittanbietern abschliessen
- Datenschutz-Folgenabschätzung: Für jedes Hochrisiko-KI-System durchführen
- Mitarbeiterschulung: Klare Regeln, welche Daten in KI-Tools eingegeben werden dürfen
- KI-Richtlinie erstellen: Unternehmensweite Guidelines für KI-Nutzung
- Human-in-the-Loop: Bei automatisierten Entscheidungen menschliche Überprüfung ermöglichen
- Datenlöschung: Personendaten, die nicht mehr benötigt werden, löschen oder anonymisieren
- Regelmässige Überprüfung: KI-Systeme und Datenschutzmassnahmen mindestens jährlich auditieren
Tipp: Verarbeitungsverzeichnis
Unternehmen mit 250+ Mitarbeitenden müssen ein Verzeichnis aller Datenbearbeitungstätigkeiten führen (Art. 24 nDSG). Auch für kleinere KMU ist dies empfehlenswert — es schafft Übersicht und erleichtert die Reaktion bei Datenschutzvorfällen.
Was kommt noch? Der EU AI Act und seine Auswirkungen auf die Schweiz
Der EU AI Act, im März 2024 verabschiedet, wird 2026/2027 vollständig implementiert. Auch wenn die Schweiz nicht EU-Mitglied ist, betrifft er viele Schweizer Unternehmen:
- Extraterritoriale Wirkung: Schweizer Unternehmen, die KI-Systeme in der EU anbieten oder EU-Bürger betreffen, unterliegen dem AI Act
- Risikoklassifizierung: Der AI Act teilt KI-Systeme in vier Kategorien ein — von minimalem bis unzulässigem Risiko
- Verbotene KI-Praktiken: Biometrische Massenüberwachung, Social Scoring und manipulative KI sind verboten
- Hochrisiko-KI: Systeme in Gesundheit, Bildung, Personalwesen und Finanzwesen unterliegen strengen Auflagen
- Kennzeichnungspflicht: Deep Fakes und KI-generierte Inhalte müssen als solche gekennzeichnet werden
- Bussen: Bis EUR 40 Millionen oder 7% des globalen Jahresumsatzes
Schweizer KI-Regulierung in Arbeit
Die Schweiz hat im März 2025 die Konvention des Europarats über KI und Menschenrechte unterzeichnet. Das BAKOM (Bundesamt für Kommunikation) arbeitet aktuell an einem schweizerischen Regulierungsansatz für KI. Unternehmen, die sich jetzt bereits nDSG-konform aufstellen, werden von kommenden Regelungen weniger betroffen sein.
So schützt die KI Company Ihre Daten
Als Schweizer Unternehmen mit Fokus auf KI-Automatisierung setzen wir konsequent auf datenschutzkonforme Lösungen:
- Swiss Hosting: Sensible Daten bleiben in der Schweiz
- Privacy by Design: Datenschutz ist von Anfang an in jede Lösung integriert
- Auftragsverarbeitungsverträge: DPA mit allen Kunden und Drittanbietern
- Datenschutz-Beratung: Wir unterstützen Sie bei DSFA, Richtlinien und Schulungen
- Transparenz: Klare Dokumentation, welche Daten wie verarbeitet werden
✓ Das Wichtigste zusammengefasst
KI und Datenschutz schliessen sich nicht aus — im Gegenteil. Unternehmen, die KI datenschutzkonform einsetzen, gewinnen das Vertrauen ihrer Kunden und sind für kommende Regulierungen gewappnet. Mit der richtigen Strategie wird Datenschutz zum Wettbewerbsvorteil.
Häufig gestellte Fragen (FAQ)
Darf ich ChatGPT in meinem Unternehmen nutzen?
Ja, grundsätzlich schon. Aber: Geben Sie keine personenbezogenen Daten oder vertraulichen Unternehmensinformationen ein. Für den professionellen Einsatz empfiehlt sich die Enterprise-Version mit DPA und deaktiviertem Datentraining.
Brauche ich eine Datenschutz-Folgenabschätzung für KI?
Nur wenn die KI-Anwendung ein hohes Risiko für die Rechte der betroffenen Personen darstellt. Das ist typischerweise der Fall bei: automatisierten Entscheidungen über Personen, Verarbeitung sensibler Daten (Gesundheit, Finanzen), oder grossflächigem Profiling.
Was passiert bei einem Datenschutzverstoss durch KI?
Der EDÖB kann Untersuchungen einleiten und anordnen, dass die Datenbearbeitung angepasst oder eingestellt wird. Bei vorsätzlichen Verstössen drohen Bussen bis CHF 250’000 — für die verantwortlichen natürlichen Personen, nicht das Unternehmen.
Muss ich KI-generierte Inhalte kennzeichnen?
Im nDSG gibt es keine explizite Kennzeichnungspflicht für KI-generierte Inhalte. Der kommende EU AI Act verlangt jedoch die Kennzeichnung von Deep Fakes und KI-generierten Inhalten. Für Schweizer Unternehmen mit EU-Kunden wird dies relevant.
Weitere Artikel, die Sie interessieren könnten
KI einsetzen — aber datenschutzkonform
Wir helfen Ihnen, KI-Automatisierung nDSG-konform zu implementieren. Von der Datenschutz-Folgenabschätzung bis zur fertigen Lösung — alles aus einer Hand.