Künstliche Intelligenz ist für Schweizer Unternehmen längst kein Experiment mehr. 2026 ist das Jahr, in dem KI produktiv wird – und damit regulatorisch relevant. Doch wie setzt man KI ein, ohne gegen das Schweizer Datenschutzgesetz (DSG) zu verstossen? In diesem Beitrag zeigen wir Ihnen als KI Agentur aus Zürich, wie Sie KI datenschutzkonform implementieren – praxisnah, verständlich und mit konkreten Handlungsempfehlungen.
Die Ausgangslage: KI und Datenschutz in der Schweiz
Zwei von drei Schweizer KMU experimentieren bereits mit KI oder setzen sie produktiv ein. Von ChatGPT über Microsoft Copilot bis hin zu massgeschneiderten AI Agents – die Möglichkeiten wachsen rasant. Doch mit der produktiven Nutzung steigt auch die Verantwortung.
Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG). Und der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat in seinem aktualisierten Leitfaden vom 8. Mai 2025 unmissverständlich klargestellt: Das DSG ist technologieneutral formuliert und gilt direkt für jede KI-gestützte Datenbearbeitung.
Das heisst konkret: Es gibt in der Schweiz (noch) kein eigenes KI-Gesetz. Aber das bestehende Datenschutzgesetz gilt vollumfänglich – egal ob Sie einen Chatbot betreiben, Kundendaten analysieren oder AI Agents für Ihr Recruiting einsetzen.
Quelle: EDÖB – Update: Geltendes Datenschutzgesetz ist auf KI direkt anwendbar
Warum das Thema gerade jetzt so wichtig ist
Die Schweiz hat im März 2025 die Konvention des Europarats über Künstliche Intelligenz unterzeichnet. Der Bundesrat hat angekündigt, die erforderlichen Anpassungen im Schweizer Recht vorzunehmen. Erste Vernehmlassungsvorschläge werden bis Ende 2026 erwartet. Bis dahin bleibt das DSG das massgebliche Instrument für den datenschutzkonformen Einsatz von KI.
Parallel dazu gewinnt der EU AI Act auch für Schweizer Unternehmen an Bedeutung – nämlich dann, wenn KI-Systeme auch EU-Bürgerinnen und -Bürger betreffen oder in der EU gehostet werden. Wer heute sauber aufstellt, hat morgen keinen Nachholbedarf.
Quellen:
Die 7 DSG-Anforderungen an KI, die jedes Schweizer KMU kennen muss
1. Transparenzpflicht: Sagen Sie, dass KI im Spiel ist
Der EDÖB betont: Betroffene Personen haben das gesetzliche Recht zu erfahren, ob sie mit einer Maschine kommunizieren. Wer einen KI-Chatbot auf seiner Website betreibt, muss das klar kennzeichnen. Ebenso muss offengelegt werden, ob und wie eingegebene Daten weiterverarbeitet werden.
Praxistipp von einclick: Wir integrieren bei jedem AI Agent, den wir für Kunden bauen, eine klare Kennzeichnung – etwa durch einen Hinweis wie „Dieser Assistent wird durch Künstliche Intelligenz unterstützt." Das ist nicht nur rechtlich sauber, sondern schafft auch Vertrauen bei Ihren Kunden.
2. Zweckbindung: KI darf nur das tun, wofür sie gedacht ist
Das DSG verlangt, dass personenbezogene Daten nur zu dem Zweck bearbeitet werden, der bei der Erhebung angegeben wurde. Wenn Sie einen KI-gestützten Kundendienst betreiben, dürfen die Chatverläufe nicht einfach für Marketing-Zwecke weiterverwendet werden.
Praxistipp von einclick: Definieren Sie vor jeder KI-Implementierung klar den Verarbeitungszweck. Wir erstellen für jedes Projekt ein sogenanntes „Zweck-Mapping" – ein Dokument, das genau festhält, welche Daten für welchen Zweck erhoben und verarbeitet werden.
3. Privacy by Design & Privacy by Default
Das DSG verpflichtet Hersteller und Anbieter dazu, Datenschutzaspekte bereits in die Entwicklung und Planung von Technologien zu integrieren. Das bedeutet: Die datensparsamste und datenschutzfreundlichste Einstellung muss der Standard sein – nicht die Ausnahme.
Praxistipp von einclick: Jede Lösung, die wir entwickeln, folgt dem Grundsatz der Datensparsamkeit. Ein Beispiel: Unser CV-Matcher PRO verarbeitet Bewerberdaten ausschliesslich für den Matching-Prozess – ohne dauerhafte Speicherung, ohne Weiterleitung an Dritte.
4. Datenschutz-Folgenabschätzung (DSFA) bei Hochrisiko-KI
Der EDÖB stellt klar: KI-gestützte Datenbearbeitungen mit hohen Risiken sind grundsätzlich zulässig – aber nur mit angemessenen Schutzmassnahmen. Bei besonders schützenswerten Daten oder umfangreichem Profiling ist eine Datenschutz-Folgenabschätzung zwingend erforderlich.
Wann ist eine DSFA nötig? Typische Fälle sind:
Automatisierte Analyse von Bewerbungsunterlagen
KI-gestützte Kreditwürdigkeitsprüfungen
Personalisierte Gesundheitsempfehlungen
Automatisierte Entscheidungen, die Personen erheblich betreffen
Praxistipp von einclick: Wir unterstützen unsere Kunden bei der Durchführung einer pragmatischen DSFA – ohne unnötige Bürokratie, aber mit der nötigen Sorgfalt.
Quelle: EDÖB – KI und Datenschutz
5. Auftragsbearbeitungsvertrag (AVV/DPA) mit KI-Anbietern
Wer KI-Tools nutzt, die in der Cloud betrieben werden – sei es ChatGPT, Microsoft Copilot oder ein anderes System – muss mit dem Anbieter einen Auftragsbearbeitungsvertrag (Data Processing Agreement, DPA) abschliessen. Das gilt auch, wenn Sie eine eigene KI-Anwendung bauen, die auf ein Cloud-basiertes Modell zugreift.
Einzige Ausnahme: Sie betreiben das gesamte Tool inklusive KI-Modell lokal (On-Premise).
Praxistipp von einclick: Wir prüfen bei jeder Implementierung die Vertragssituation mit dem KI-Anbieter. Bei unseren Custom AI Solutions achten wir darauf, dass alle vertraglichen Grundlagen DSG-konform sind.
Quelle: Swiss IT Magazine – Datenschutzkonformer Einsatz von KI
6. Recht auf menschliche Überprüfung
Das DSG gibt betroffenen Personen das Recht, einer automatisierten Datenbearbeitung zu widersprechen. Ebenso können sie verlangen, dass automatisierte Einzelentscheidungen von einem Menschen überprüft werden. Der EDÖB hat das ausdrücklich bestätigt.
Praxistipp von einclick: Jeder AI Agent, den wir für unsere Kunden implementieren, hat eine klare Eskalationslogik eingebaut. Wenn eine Entscheidung erhebliche Auswirkungen hat, wird sie automatisch an einen menschlichen Mitarbeiter weitergeleitet.
7. Datenübermittlung ins Ausland: Wo stehen Ihre Daten?
Ein zentraler Punkt – gerade für Schweizer KMU. Viele KI-Tools verarbeiten Daten in Rechenzentren in den USA. Das DSG stellt strenge Anforderungen an die Übermittlung von Personendaten ins Ausland. Seit September 2024 erleichtert das Swiss-U.S. Data Privacy Framework zwar den Datentransfer in die USA bei zertifizierten Anbietern, aber die Sorgfaltspflicht bleibt.
Für Unternehmen mit besonders sensiblen Daten ist Schweizer oder europäisches Hosting oft die bessere Wahl.
Praxistipp von einclick: Wir beraten unsere Kunden individuell zur optimalen Hosting-Strategie. Wo nötig, setzen wir auf Schweizer Rechenzentren und Lösungen mit Zero Data Retention – das bedeutet, dass eingegebene Daten nach der Verarbeitung nicht dauerhaft gespeichert werden.
Sanktionen: Was passiert bei Verstössen?
Im Unterschied zur EU-DSGVO, die primär Unternehmen bestraft, sieht das Schweizer DSG persönliche Bussen für die verantwortliche natürliche Person vor – bis zu CHF 250'000. Das ist ein wesentlicher Unterschied und sollte jedem Geschäftsführer und jeder Datenschutzverantwortlichen bewusst sein.
Zudem verfügt der EDÖB seit der Revision über erweiterte Kompetenzen. Er kann Untersuchungen einleiten und anordnen, dass bestimmte Datenbearbeitungsprozesse – einschliesslich des Einsatzes von KI – angepasst, unterbrochen oder eingestellt werden.
Quellen:
Checkliste: KI DSG-konform implementieren in 10 Schritten
Damit Sie sofort loslegen können, haben wir die wichtigsten Schritte zusammengefasst:
☐ 1. Zweck definieren – Legen Sie fest, wofür die KI eingesetzt wird und welche Daten dafür nötig sind.
☐ 2. Datenklassifizierung vornehmen – Unterscheiden Sie zwischen unkritischen, vertraulichen und besonders schützenswerten Daten.
☐ 3. KI-Anbieter prüfen – Wo werden Daten gespeichert? Werden Eingaben für das Modelltraining verwendet? Gibt es Human Review?
☐ 4. Auftragsbearbeitungsvertrag abschliessen – Stellen Sie sicher, dass mit jedem KI-Anbieter ein DPA besteht.
☐ 5. Datenschutz-Folgenabschätzung durchführen – Bei Hochrisiko-Anwendungen ist eine DSFA Pflicht.
☐ 6. Transparenz sicherstellen – Kennzeichnen Sie KI-Interaktionen und informieren Sie Betroffene über die Datenverarbeitung.
☐ 7. Privacy by Design umsetzen – Datensparsamkeit als Standard, nicht als Ausnahme.
☐ 8. Eskalationslogik einbauen – Automatisierte Entscheidungen müssen von Menschen überprüfbar sein.
☐ 9. Mitarbeitende schulen – Klare, verständliche Regeln für den Umgang mit KI-Tools im Unternehmen.
☐ 10. Bearbeitungsverzeichnis führen – Dokumentieren Sie, welche Tools welche Daten verarbeiten und welche Schutzmassnahmen gelten.
Was bedeutet der EU AI Act für Schweizer KMU?
Obwohl der EU AI Act kein Schweizer Gesetz ist, wird er für viele Schweizer Unternehmen relevant. Konkret dann, wenn:
Ihre KI-Produkte oder -Dienstleistungen auch in der EU angeboten werden
Ihr KI-Output in der EU verwendet wird (z.B. ein Chatbot auf Ihrer Website, der auch aus der EU zugänglich ist)
Sie Daten von EU-Bürgerinnen und -Bürgern verarbeiten
Der EU AI Act klassifiziert KI-Systeme nach Risikostufen – von minimalem Risiko bis hin zu inakzeptablem Risiko. Für Schweizer KMU, die primär im Inland tätig sind, gilt jedoch zunächst das DSG als massgebliches Instrument.
Quellen:
ChatGPT, Copilot & Co.: Was ist erlaubt?
Eine der häufigsten Fragen, die uns bei einclick gestellt wird: „Dürfen unsere Mitarbeitenden ChatGPT oder Copilot für die Arbeit nutzen?"
Die kurze Antwort: Ja, aber mit klaren Regeln. Hier die wichtigsten Unterscheidungen:
Kostenlose Versionen (ChatGPT Free, Copilot in Edge): Für Geschäftsdaten grundsätzlich ungeeignet. Eingaben können für das Modelltraining verwendet werden. Geben Sie hier niemals vertrauliche Unternehmensdaten, Kundendaten oder Personendaten ein.
Business-Versionen (ChatGPT Enterprise/Team, Microsoft 365 Copilot): Bieten in der Regel einen Auftragsbearbeitungsvertrag und die Zusicherung, dass Daten nicht für das Training verwendet werden. Für die meisten Anwendungsfälle eine solide Basis.
Eigene KI-Instanzen: Maximale Kontrolle. Wer ein KI-Modell in einem zertifizierten Schweizer Rechenzentrum betreibt, behält die volle Datenhoheit. Das ist die Premiumlösung für Unternehmen mit besonders sensiblen Daten.
Praxistipp von einclick: Wir empfehlen jedem KMU, eine interne KI-Richtlinie zu erstellen. In unseren AI Workshops vermitteln wir genau dieses Wissen – von der Datenklassifizierung bis zur praktischen Umsetzung im Arbeitsalltag.
Quelle: Mindmode – Datenschutz bei KI: So nutzen Schweizer KMU ChatGPT & Copilot sicher
Unser Ansatz bei einclick: Datenschutz ist kein Hindernis, sondern ein Qualitätsmerkmal
Als KI Agentur aus Zürich entwickeln wir bei einclick täglich KI-Lösungen für Schweizer KMU. Datenschutz ist für uns dabei kein lästiger Anhang, sondern integraler Bestandteil jeder Lösung.
Unser Vorgehen bei jedem Projekt:
Erstgespräch: Wir identifizieren gemeinsam den Anwendungsfall und die relevanten Datenkategorien.
Datenschutz-Check: Bevor eine einzige Zeile Code geschrieben wird, prüfen wir die DSG-Konformität der geplanten Lösung.
Implementierung nach Privacy by Design: Datensparsamkeit, Transparenz und Zweckbindung sind von Anfang an eingebaut – nicht nachträglich aufgesetzt.
Dokumentation und Übergabe: Jedes Projekt wird vollständig dokumentiert, inklusive Bearbeitungsverzeichnis und Datenschutzhinweisen.
Schulung: Ihr Team wird befähigt, die Lösung eigenständig und rechtskonform zu betreiben.
Fazit: KI und Datenschutz schliessen sich nicht aus
Die entscheidende Frage 2026 lautet nicht: „Dürfen wir KI nutzen?" Sondern: „Wie nutzen wir KI so, dass sie zu unseren Daten, unserem Geschäftsmodell und den Schweizer Datenschutzanforderungen passt?"
Die gute Nachricht: Mit dem richtigen Ansatz ist DSG-konforme KI kein Widerspruch, sondern ein Wettbewerbsvorteil. Unternehmen, die Datenschutz ernst nehmen, gewinnen das Vertrauen ihrer Kunden – und positionieren sich als verantwortungsvolle Akteure im Schweizer Markt.
Bereit für den nächsten Schritt?
Sie möchten KI in Ihrem Unternehmen einsetzen und sicherstellen, dass alles DSG-konform ist? Wir helfen Ihnen dabei – von der Strategie bis zur Implementierung.
→ Kontaktieren Sie uns für ein kostenloses Erstgespräch
Oder informieren Sie sich über unsere AI Workshops, in denen wir Ihr Team fit für den datenschutzkonformen KI-Einsatz machen.
Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für rechtliche Fragen zum Datenschutz empfehlen wir die Konsultation eines spezialisierten Rechtsanwalts.
Über einclick® einclick ist eine KI Agentur aus Zürich, die Schweizer KMU dabei unterstützt, Künstliche Intelligenz strategisch und datenschutzkonform einzusetzen. Von AI Agents über Workflow Automations bis hin zu Custom AI Solutions – wir bauen Systeme, die Umsatz schaffen, Kosten senken und Ihnen Zeit verschaffen. Immer mit Fokus auf Ergebnisse.
