Datenschutz & KI: Was Schweizer Unternehmen wissen müssen

Schweizer Unternehmen stehen beim KI-Einsatz vor einer doppelten rechtlichen Herausforderung: Sie müssen sowohl das revidierte Schweizer Datenschutzgesetz (DSG) als auch, bei Geschäftsbeziehungen in die EU, die DSGVO und den neuen EU AI Act beachten. Dieser Leitfaden gibt Ihnen einen praxisnahen Überblick.

1. Das revidierte Schweizer DSG

Seit September 2023 gilt das revidierte Datenschutzgesetz. Die wichtigsten Neuerungen für den KI-Einsatz:

• **Automatisierte Entscheidungen:** Betroffene Personen haben ein Recht auf Information, wenn Entscheidungen ausschliesslich auf automatisierter Verarbeitung (inkl. KI) beruhen und rechtliche oder erhebliche Auswirkungen haben.
• **Profiling:** Besondere Anforderungen bei der Analyse von Persönlichkeitsaspekten.
• **Bearbeitungsverzeichnis:** Pflicht zur Dokumentation aller Bearbeitungsaktivitäten (auch KI-basierte).
• **Datenschutz-Folgenabschätzung (DSFA):** Bei hohem Risiko Pflicht vor Implementierung.

2. DSGVO-Relevanz

Sobald Sie Daten von EU-Bürgern verarbeiten, fällt dies unter die DSGVO. Das betrifft praktisch jedes Schweizer Unternehmen mit internationalem Kundenstamm. Die Anforderungen sind strenger als im DSG, aber in vielen Punkten vergleichbar.

Besonders relevant für KI-Einsatz: - Artikel 22 DSGVO: Verbot automatisierter Entscheidungen im Einzelfall - Rechtsgrundlage für Datenverarbeitung (typischerweise Art. 6 Abs. 1 lit. b oder f) - Internationale Datentransfers (bei US-KI-Anbietern: EU-Standardvertragsklauseln)

3. Der EU AI Act (ab 2026 schrittweise in Kraft)

Der EU AI Act ist das weltweit erste umfassende KI-Gesetz. Er gilt indirekt auch für Schweizer Unternehmen, die KI-Systeme in der EU anbieten oder deren KI-Ausgaben in der EU verwendet werden.

Der Act kategorisiert KI-Systeme nach Risikograd: - Verboten: Social Scoring, manipulative KI, biometrische Echtzeitüberwachung - Hochrisiko: Kritische Infrastruktur, Strafverfolgung, HR-Systeme, Kreditvergabe - Begrenztes Risiko: Chatbots (Transparenzpflicht!) - Minimales Risiko: Empfehlungssysteme, Spam-Filter

Für typische Unternehmens-Anwendungsfälle (ChatGPT für Texte, KI im Controlling) gelten die Transparenzpflichten für begrenztes Risiko: Nutzer müssen wissen, dass sie mit einer KI interagieren.

4. Praktische Handlungsempfehlungen

Für jedes KI-Projekt: 1. Identifizieren Sie die Rechtsgrundlage (Vertragserfüllung, berechtigtes Interesse, Einwilligung) 2. Dokumentieren Sie die Verarbeitung im Bearbeitungsverzeichnis 3. Prüfen Sie, ob eine DSFA erforderlich ist (bei Hochrisiko-Anwendungen) 4. Stellen Sie Betroffenenrechte sicher (Auskunft, Löschung, Widerspruch)

Bei externen KI-Tools: 1. Schliessen Sie einen Data Processing Agreement (DPA) / Auftragsverarbeitungsvertrag ab 2. Prüfen Sie die Datenresidenz (EU vs. USA) 3. Bei US-Anbietern: EU-Standardvertragsklauseln und ggf. Data Privacy Framework beachten 4. Dokumentieren Sie Ihre Sub-Unterauftragsverarbeiter

Für Mitarbeiter-Schulungen: - Keine sensiblen Kunden- oder Finanzdaten in kostenlose KI-Tools eingeben - Datenschutzrichtlinien für KI-Nutzung definieren und schulen - Compliance-Verantwortliche in KI-Projekte einbinden

5. Die wichtigsten Stolperfallen

• **Kostenlose KI-Tools:** Die freien Versionen von ChatGPT, Claude und Co. sind für Unternehmensdaten NICHT geeignet. Nutzen Sie nur Team- oder Enterprise-Pläne mit DPA.
• **Internationale Datentransfers:** Bei US-Anbietern müssen EU-Standardvertragsklauseln vorhanden sein.
• **Chatbot-Transparenz:** Ab 2026 EU AI Act: Nutzer müssen klar erkennen, dass sie mit einer KI sprechen.
• **Automatisierte Entscheidungen:** Bei KI-gestützten Entscheidungen über Personen (Kredite, Bewerbungen) gelten strenge Regeln.

Fazit

Der rechtskonforme Einsatz von KI in der Schweiz ist machbar, aber nicht trivial. Wer frühzeitig die Rechtsgrundlagen klärt, die richtigen Verträge abschliesst und seine Mitarbeiter schult, kann KI mit gutem Gewissen einsetzen. Wer diese Schritte überspringt, riskiert Bussgelder, Reputationsschäden und juristische Auseinandersetzungen.