Der Leitfaden, ohne Juristen-Jargon

KI und LPD/nLPD in der Schweiz: Was das bedeutet

Ein klarer Überblick darüber, was das neue Datenschutzgesetz für Ihre KI-Projekte ändert und wie wir unter Wahrung der Datenresidenz bauen. Wichtig: Wir geben keine Rechtsberatung.

Europäisches HostingOpen SourceNachvollziehbar

14'036+ in den letzten 30 Tagen erstellte Websites

actif
🇪🇺 Europe
Falkenstein
Helsinki
Nürnberg

Hetzner · Europe

US cloud
Europäisches Hosting
Open Source
Nachvollziehbar

Seit dem 1. September 2023 ist das neue Datenschutzgesetz (nDSG) in der Schweiz in Kraft. Es erwähnt künstliche Intelligenz nicht namentlich, und das ist beabsichtigt: Das Gesetz ist technologieneutral formuliert. Die unmittelbare Konsequenz: Jedes KI-System, das personenbezogene Daten natürlicher Personen verarbeitet, unterliegt dem nDSG. Dieser Leitfaden erläutert, was das konkret für ein Schweizer Unternehmen bedeutet, das KI-Tools einsetzt oder deren Einsatz plant, sei es ein interner Chatbot, ein automatisiertes Recruiting-Tool, eine Empfehlungsmaschine oder eine Kundendatenanalyse.

14'036+
in den letzten 30 Tagen erstellte Websites
16
Sprachen
100%
EU-Hosting
0
US cloud

Die wichtigsten Punkte, die Sie kennen sollten

Das Wesentliche, einfach erklärt.

Datenresidenz

Wo Ihre Daten gespeichert und verarbeitet werden, ist entscheidend. Wir bauen mit europäischem Hosting und Open-Source-Modellen.

Datenminimierung

Nur die notwendigen Daten verarbeiten: ein einfaches Prinzip, das das Risiko reduziert.

Transparenz und Nachvollziehbarkeit

Wissen, was die KI mit Ihren Daten macht, mit protokollierten und prüfbaren Verarbeitungen.

Auftragsverarbeiter

Dienstleister wählen, die Ihre Daten nicht unkontrollierten Drittanbieter-Clouds aussetzen.

nDSG und KI: das Prinzip der Technologieneutralität

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat seine Position im November 2023 bestätigt: Das geltende Datenschutzgesetz ist direkt auf KI anwendbar. Die Schweiz hat kein spezifisches Gesetz zur künstlichen Intelligenz, anders als die Europäische Union mit ihrem AI Act. Der Schweizer Gesetzgeber hat bewusst einen technologieneutralen Ansatz gewählt: Die bestehenden Regeln (nDSG, Obligationenrecht, RVOG) gelten für jede Technologie, einschliesslich KI. Das bedeutet, dass Ihr KI-gestütztes CRM, Ihr Predictive-Analytics-Tool oder Ihr interner Gesprächsassistent alle in den Anwendungsbereich des nDSG fallen, sobald sie Daten verarbeiten, die sich auf eine identifizierbare Person beziehen.

  • Kein eigenständiges KI-Gesetz in der Schweiz bisher: das nDSG dient als Hauptrahmen
  • Technologieneutralität: der Gesetzestext erwähnt KI nicht, ist aber vollständig darauf anwendbar
  • Der EDÖB hat diese Auslegung offiziell im November 2023 bestätigt
  • Das Rahmenübereinkommen des Europarats zur KI (von der Schweiz am 27. März 2025 unterzeichnet) wird diesen Rahmen bis 2026-2027 stärken
  • Der europäische AI Act kann indirekt auf Schweizer Unternehmen anwendbar sein, die Daten von EU-Einwohnern verarbeiten

Die fünf Grundpflichten für jeden KI-Einsatz

Unabhängig von der Art des eingesetzten KI-Systems gelten für den verantwortlichen Datenbearbeiter fünf Grundsätze des nDSG.

  • Transparenz: Betroffene Personen müssen wissen, dass ein KI-System ihre Daten verarbeitet, zu welchem Zweck und auf welcher Grundlage. Vorsätzliche Intransparenz ist eine Verletzung.
  • Bestimmter Zweck: Für einen bestimmten Zweck erhobene Daten können nicht ohne gesonderte Rechtsgrundlage frei zur Schulung oder Verbesserung eines KI-Modells weiterverwendet werden.
  • Verhältnismässigkeit: Ein KI-System darf nur die für das verfolgte Ziel unbedingt erforderlichen Daten verarbeiten. Das Aggregieren von Daten auf Vorrat wäre eine Verletzung dieses Grundsatzes.
  • Richtigkeit: Die Daten, die ein KI-System speisen, müssen aktuell gehalten werden. Eine automatisierte Entscheidung auf Basis veralteter Daten begründet die Haftung des Unternehmens.
  • Sicherheit und Nachvollziehbarkeit: KI-Bearbeitungen müssen protokolliert und Zugriffe kontrolliert werden. Bei einer Datenverletzung schreibt das nDSG eine unverzügliche Meldung an die Behörden vor (im Vergleich zu 72 Stunden beim DSGVO).

Automatisierte Entscheidungen und Widerspruchsrecht: Was Ihre Nutzer verlangen können

Das nDSG räumt betroffenen Personen ein Widerspruchsrecht gegen Entscheidungen ein, die ausschliesslich auf einer automatisierten Bearbeitung beruhen, sofern diese Entscheidungen für sie rechtliche Wirkungen oder ähnlich erhebliche Auswirkungen haben. Konkret: Wenn Ihr KI-Tool automatisch eine Bewerbung ablehnt, einen Versicherungstarif festlegt oder einen Kredit verweigert, ohne dass ein Mensch eingreift, kann die betroffene Person verlangen, dass eine natürliche Person die Entscheidung überprüft. Der EDÖB formuliert dies in Bezug auf hohe digitale Selbstbestimmung: Unternehmen müssen betroffenen Personen die Mittel geben, automatisierte Entscheidungen, die sie betreffen, zu verstehen und erforderlichenfalls anzufechten. Dieses Widerspruchsrecht ist nicht optional: Es muss vor der Inbetriebnahme des Systems operativ sein, nicht danach.

  • Widerspruchsrecht gegen automatisierte Entscheidungen mit rechtlichen oder erheblichen Auswirkungen
  • Pflicht zur Einrichtung eines Mechanismus für eine menschliche Überprüfung auf Anfrage
  • Transparenz über die Funktionsweise des Algorithmus ist Voraussetzung für dieses Recht
  • Besonders exponierte Sektoren: HR (Bewerbungsscreening), Versicherungen (Tarifgestaltung), Banken (Kreditscoring), E-Commerce (diskriminierende Personalisierung)

Wann ist eine Datenschutz-Folgenabschätzung (DSFA) obligatorisch?

Das nDSG führt die Pflicht ein, vor jeder Bearbeitung, die voraussichtlich ein hohes Risiko für die Grundrechte und Grundfreiheiten der betroffenen Personen darstellt, eine Datenschutz-Folgenabschätzung (DSFA, englisch DPIA) durchzuführen. Bei KI-Systemen ist die Schwelle für ein hohes Risiko schnell erreicht. Eine DSFA ist insbesondere erforderlich, wenn: die Bearbeitung sensible Daten in grossem Umfang betrifft (Gesundheit, politische Meinungen, biometrische Daten), das System umfangreiche Profile über Personen erstellt, automatisierte Entscheidungen erhebliche rechtliche oder wirtschaftliche Folgen haben, oder die Bearbeitung eine systematische Überwachung eines öffentlich zugänglichen Raums umfasst. Die DSFA muss vor dem Einsatz durchgeführt, dokumentiert und bei Weiterentwicklung des Systems aktualisiert werden. Ergibt die Analyse ein unvermindert hohes Restrisiko, kann der EDÖB konsultiert werden.

  • Verarbeitung sensibler Daten in grossem Umfang: DSFA obligatorisch
  • Umfangreiches Profiling oder automatisiertes Scoring: DSFA obligatorisch
  • Automatisierte Entscheidungen mit erheblichen rechtlichen oder wirtschaftlichen Auswirkungen: DSFA obligatorisch
  • Systematische Überwachung öffentlicher Räume: DSFA obligatorisch
  • Die DSFA muss vor dem Einsatz, nicht nach einem Vorfall durchgeführt werden
  • Der EDÖB kann konsultiert werden, wenn ein hohes Restrisiko verbleibt

Durch das nDSG verbotene KI-Praktiken

Auch wenn das nDSG keine abschliessende Liste verbotener KI-Anwendungen aufstellt, sind bestimmte Praktiken klar unvereinbar mit den Grundrechten, die es schützt, sowie mit den Stellungnahmen des EDÖB.

  • Echtzeit-Gesichtserkennung im grossen Massstab in öffentlichen Räumen: unvereinbar mit dem nDSG und den Grundrechten
  • Systeme zur sozialen Bewertung (Social Scoring), die Einzelpersonen systematisch über ihr gesamtes Verhalten hinweg beurteilen: unvereinbar mit dem durch das DSG geschützten Recht auf informationelle Selbstbestimmung
  • Erhebung und Verarbeitung biometrischer Daten ohne solide Rechtsgrundlage und ohne legitimen, dokumentierten Zweck
  • Schulung von KI-Modellen mit personenbezogenen Daten, die ohne gesonderte Rechtsgrundlage von ihrem ursprünglichen Zweck entfremdet wurden
  • Verarbeitung sensibler Daten (Gesundheit, Rasse, politische Meinungen) ohne ausdrückliche Einwilligung oder ohne eine andere zulässige Rechtsgrundlage

Ein KI-Modell mit Ihren internen Daten trainieren: Was das nDSG sagt

Einer der häufigsten Fälle im Unternehmensumfeld: interne Daten (E-Mails, HR-Akten, Kundenhistorien, Verträge) zum Trainieren oder Verfeinern eines KI-Modells nutzen. Das nDSG setzt dabei mehrere Schranken. Erstens der Zweck: Daten, die zur Verwaltung von Kundenverträgen erhoben wurden, dürfen ohne gesonderte Rechtsgrundlage nicht zum Training eines KI-Modells weiterverwendet werden. Zweitens der Speicherort: Wird das Modell von einem Anbieter ausserhalb der Schweiz oder ausserhalb des EWR gehostet, findet eine internationale Datenübermittlung statt, die den angemessenen Garantien des nDSG unterliegt. Drittens die Intransparenz der Modelle: Nach dem Training ist es schwer zu garantieren, dass keine personenbezogenen Daten extrahiert oder abgeleitet werden können. Eine souveräne Architektur mit einem Modell, das auf europäischer Infrastruktur oder auf Ihren eigenen Servern betrieben wird, ist die robusteste Antwort auf dieses Problem.

  • Rechtsgrundlage prüfen, bevor interne Daten für KI weiterverwendet werden
  • Den Trainingszweck dokumentieren und seine Vereinbarkeit mit der ursprünglichen Erhebung sicherstellen
  • Prüfen, ob eine internationale Datenübermittlung stattfindet (US-Anbieter, Cloud ausserhalb des EWR) und angemessene Garantien einrichten
  • Daten klassifizieren (öffentlich, intern, vertraulich, sensibel), bevor entschieden wird, welche ein Modell speisen dürfen
  • Open-Source-Modellen auf europäischer Infrastruktur den Vorzug geben, um Extraterritorialität zu vermeiden
  • Architekturentscheidungen in einem Bearbeitungsverzeichnis dokumentieren

nDSG-Sanktionen: persönliche Haftung und Bussgeldbeträge

Ein oft unterschätzter Punkt: Im Gegensatz zur DSGVO, die das Unternehmen sanktioniert, ahndet das nDSG in erster Linie natürliche Personen. Es sind die Führungskräfte, IT-Verantwortlichen und bestimmten Mitarbeiter, die persönlich verfolgt und mit persönlichen Bussen belegt werden können. Der Höchstbetrag beläuft sich auf 250'000 CHF pro Verletzung. Die am häufigsten exponierten Verstösse betreffen: die Verletzung der Informationspflicht, das Unterlassen der Meldung einer Datenverletzung an die zuständige Behörde oder den Verstoss gegen Pflichten im Zusammenhang mit automatisierten Einzelentscheidungen. Die Sanktion ist nicht automatisch: Es muss eine Strafanzeige eingereicht werden. Das Reputationsrisiko im Falle eines öffentlichen Verfahrens kann jedoch höher sein als die Busse selbst.

  • Höchststrafe: 250'000 CHF pro Verletzung (persönliche Busse, keine Unternehmensbusse)
  • Exponierte Personen: Führungskräfte, IT-Verantwortliche, Datenschutzbeauftragte, beteiligte Mitarbeiter
  • Am häufigsten geahndete Verstösse: fehlende Information, ausbleibende Meldung einer Verletzung, Verstoss gegen Regeln zu automatisierten Entscheidungen
  • Keine automatische Busse: eine Strafanzeige ist erforderlich (im Gegensatz zur DSGVO)
  • Reputationsrisiko potenziell höher als die Busse selbst

DSG vs. DSGVO: Die wichtigsten Unterschiede für KI-Projekte

Viele Schweizer Unternehmen verarbeiten auch Daten europäischer Einwohner und unterliegen daher parallel zur nDSG der DSGVO. Beide Rahmen ähneln sich im Wesentlichen, unterscheiden sich jedoch in mehreren wichtigen Punkten. Im Folgenden die bedeutendsten Unterschiede für ein KI-Projekt.

  • Sanktionen: DSGVO richtet sich gegen Unternehmen (bis zu 4% des weltweiten Umsatzes), nDSG richtet sich gegen natürliche Personen (max. 250'000 CHF)
  • Datenschutzbeauftragter: unter der DSGVO in bestimmten Fällen obligatorisch, unter dem nDSG empfohlen, aber nicht obligatorisch
  • Meldepflicht bei Verletzungen: 72 Stunden bei DSGVO, unverzüglich bei nDSG (flexibler, aber auch unschärfer)
  • Einwilligung: Das nDSG verlangt keine ausdrückliche Einwilligung als alleinige Rechtsgrundlage, im Gegensatz zur DSGVO, die sie als zentrales Element verankert
  • Extraterritorialer Geltungsbereich: DSGVO gilt, sobald ein EU-Einwohner betroffen ist, auch wenn das Unternehmen in der Schweiz sitzt
  • EU AI Act: gilt in der Schweiz nicht direkt, aber ein Schweizer Unternehmen, das in der EU tätig ist, kann davon betroffen sein

Regulatorische Perspektiven 2025-2027: Was kommt

Der Schweizer Rechtsrahmen für KI ist im Wandel. Unternehmen, die KI-Systeme einsetzen, sollten mehrere Entwicklungen antizipieren.

  • Rahmenübereinkommen des Europarats zur KI (CETS 225): Die Schweiz hat am 27. März 2025 unterzeichnet. Durch seine Ratifizierung entstehen weitere Pflichten, insbesondere bei hochriskanten KI-Systemen und der Aufsicht durch die Behörden
  • EU AI Act tritt schrittweise bis 2026 in Kraft: Schweizer Unternehmen, die auf dem EU-Markt tätig sind, können betroffen sein, insbesondere für Hochrisiko-KI-Systeme (HR, Kredit, Gesundheit, kritische Infrastruktur)
  • Mögliche Revision des nDSG: Der Bundesrat beobachtet die europäischen Entwicklungen, und eine Anpassung ist am Horizont 2026-2027 vorstellbar
  • Bundesverordnung über den KI-Einsatz in der Verwaltung: in Konsultation, könnte branchenspezifische Privatnormen inspirieren
  • Zunehmende Bedeutung des EDÖB: mehr branchenspezifische Stellungnahmen zu konkreten KI-Anwendungen (Chatbots, Profiling, generative KI)

Checkliste: Zehn konkrete Massnahmen für ein nDSG-konformes KI-System

Dies ist ein operativer Ausgangspunkt für Unternehmen, die KI-Tools einsetzen oder deren Einsatz planen. Diese Liste ist keine Rechtsberatung: Konsultieren Sie für Ihre spezifische Situation einen spezialisierten Juristen.

  • 1. Kartieren: Alle in Ihrer Organisation eingesetzten KI-Tools auflisten und ermitteln, welche personenbezogene Daten verarbeiten
  • 2. Daten klassifizieren: Öffentliche, interne, vertrauliche und sensible Daten unterscheiden, bevor entschieden wird, welche ein Modell speisen dürfen
  • 3. Zweck dokumentieren: Für jede KI-Bearbeitung den genauen Zweck in Ihrem Bearbeitungsverzeichnis dokumentieren
  • 4. Risiko bewerten: Ermitteln, ob eine Bearbeitung eine DSFA erfordert (sensible Daten, Profiling, wesentliche automatisierte Entscheidungen)
  • 5. Informieren: Sicherstellen, dass die Informationshinweise (Datenschutzrichtlinie, Bearbeitungshinweise) KI-Nutzungen explizit abdecken
  • 6. Widerspruch vorsehen: Einen operativen Mechanismus für menschliche Überprüfung für jede wesentliche automatisierte Entscheidung einrichten
  • 7. Auftragsverarbeiter kontrollieren: Die von Ihren KI-Anbietern angebotenen Garantien prüfen (Standort, Übermittlungen, Zertifizierungen)
  • 8. Teams schulen: Mitarbeiter für die nDSG-Pflichten im KI-Kontext sensibilisieren, insbesondere die HR-, Marketing- und IT-Teams
  • 9. Testen und auditieren: Regelmässige Audits der KI-Systeme zur Überprüfung der Konformität und des Fehlens diskriminierender Verzerrungen vorsehen
  • 10. Lebendiges Register führen: Die Dokumentation bei jeder Weiterentwicklung des KI-Systems oder der Regulierung aktualisieren

nDSG vs. DSGVO: Die wesentlichen Unterschiede für Ihre KI-Projekte

Die meisten Schweizer Unternehmen müssen mit beiden Rahmen jonglieren. Hier sind die wichtigsten Unterschiede, die Sie kennen sollten, um Ihre KI-Projekte zu strukturieren.

KriteriumnDSG (Schweiz)DSGVO (EU)
Inkrafttreten1. September 202325. Mai 2018
SanktionenMax. 250'000 CHF, persönliche BusseBis zu 4% des weltweiten Umsatzes, Unternehmensbusse
DatenschutzbeauftragterEmpfohlen, für KMU nicht obligatorischIn bestimmten Fällen obligatorisch
Meldefrist bei DatenverletzungUnverzüglich (flexibler)Maximal 72 Stunden
Einwilligung als RechtsgrundlageEine von mehreren Grundlagen (flexibler)Zentral, aber reguliert
DSFA obligatorischJa, bei Bearbeitungen mit hohem RisikoJa, bei Bearbeitungen mit hohem Risiko
Extraterritorialer GeltungsbereichGilt, wenn das Unternehmen Daten von Personen in der Schweiz verarbeitetGilt, sobald ein EU-Einwohner betroffen ist
Spezifisches KI-GesetzKeines (Technologieneutralität)AI Act tritt schrittweise bis 2026 in Kraft

Unsere Rolle

Wir bauen unter Wahrung Ihrer Daten

Wir machen keine Rechtsberatung, aber wir bauen KI so, dass die Residenz und Vertraulichkeit Ihrer Daten gewahrt bleibt.

Europäisches Hosting

Infrastruktur in Europa (Hetzner), keine US-Cloud.

Open Source

Open-Source-Modelle auf unserer Infrastruktur, Ihre Daten dienen nicht dem Training von Modellen.

Nachvollziehbar

Protokollierte und prüfbare Verarbeitungen.

swissIa.lpdNlpdSuisse.localContextTitle

Die Schweiz verfügt über eine eigenständige unabhängige Behörde: den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) mit Sitz in Bern, der Empfehlungen abgibt und Voruntersuchungen einleiten kann.
Die Kantone Waadt, Genève, Freiburg und Neuenburg haben eigene kantonale Datenschutzgesetze, die auf kantonale Einrichtungen des öffentlichen Rechts anwendbar sind. Für Privatunternehmen hat das eidgenössische nDSG Vorrang.
Die Westschweiz verfügt über mehrere auf nDSG- und KI-Konformität spezialisierte Akteure: spezialisierte Anwaltskanzleien (insbesondere in Genève und Lausanne), Datenschutzberater und Technologieanbieter, die Konformität bereits ab der Konzeption integrieren.
Der Schweizer Finanzsektor (Banken, Versicherungen, Vermögensverwaltung) ist aufgrund der Sensibilität der verarbeiteten Daten und der häufigen automatisierten Entscheidungen (Scoring, Betrugserkennung, automatisierte Beratung) besonders den nDSG-Pflichten im KI-Kontext ausgesetzt.
Das Rahmenübereinkommen des Europarats zur KI (von der Schweiz am 27. März 2025 unterzeichnet) ist der erste rechtlich verbindliche internationale Vertrag über KI. Seine Ratifizierung durch das Schweizer Parlament wird formelle zusätzliche Verpflichtungen begründen.

Häufige Fragen

Gilt das DSG für KI-Tools wie ChatGPT oder Copilot, die im Unternehmen eingesetzt werden?

Ja. Sobald diese Tools personenbezogene Daten identifizierbarer natürlicher Personen verarbeiten (Namen, E-Mails, Informationen über Mitarbeiter oder Kunden), findet das nDSG Anwendung. Das Unternehmen, das diese Tools nutzt, ist für die Bearbeitung verantwortlich. Es muss sicherstellen, dass der Zweck dokumentiert ist, die betroffenen Personen informiert sind und die Daten nicht zu vom Anbieter nicht vorgesehenen Zwecken weiterverwendet werden. Eine Überprüfung der Vertragsbedingungen des Anbieters ist unerlässlich, insbesondere hinsichtlich des Datenspeicherorts und der Weiterverwendung für das Modelltraining.

Muss mein Unternehmen einen Datenschutzbeauftragten benennen, um KI einzusetzen?

Das nDSG macht den Datenschutzbeauftragten nicht unter denselben Bedingungen obligatorisch wie die DSGVO. Es wird jedoch dringend empfohlen, einen Datenschutzverantwortlichen zu benennen oder zu mandatieren, wenn Ihr Unternehmen KI-Systeme einsetzt, die personenbezogene Daten in grossem Umfang oder sensible Daten verarbeiten. Dieser Verantwortliche kann intern oder extern sein (Rechtsberater, Spezialist). Seine Aufgaben: Konformität überwachen, DSFAs durchführen, Anfragen betroffener Personen bearbeiten und bei Bedarf die Verbindung zum EDÖB herstellen.

Was ist eine DSFA und in welchen Fällen ist sie für ein KI-Projekt obligatorisch?

Eine Datenschutz-Folgenabschätzung (DSFA) ist eine dokumentierte Bewertung der Risiken, die eine Datenbearbeitung für die Rechte und Freiheiten der betroffenen Personen mit sich bringt. Sie ist unter dem nDSG obligatorisch, wenn die Bearbeitung voraussichtlich ein hohes Risiko darstellt: Verarbeitung sensibler Daten in grossem Umfang, umfangreiches Profiling, automatisierte Entscheidungen mit erheblichen Auswirkungen oder systematische Überwachung. Für die meisten ambitionierten Unternehmens-KI-Projekte (HR-KI, Kunden-Scoring, Verhaltensanalyse) ist eine DSFA erforderlich. Sie muss vor dem Einsatz durchgeführt werden.

Kann man ein KI-Modell mit Kunden- oder Mitarbeiterdaten des Unternehmens trainieren?

Ja, unter Bedingungen. Zunächst muss eine gültige Rechtsgrundlage für diese neue Bearbeitung vorliegen (die ursprüngliche Datenerhebung genügt nicht, wenn der Zweck ein anderer war). Die betroffenen Personen müssen über diese Verwendung informiert werden. Sind die Daten sensibel, ist eine ausdrückliche Einwilligung oder eine andere starke Rechtsgrundlage erforderlich. Der Modellstandort ist entscheidend: Ein Modell, das auf Servern ausserhalb der Schweiz oder des EWR gehostet wird, bedeutet eine internationale Datenübermittlung mit zusätzlichen Garantieanforderungen. Die Dokumentation dieser Entscheidungen in Ihrem Bearbeitungsverzeichnis ist unerlässlich.

Welche KI-Praktiken sind durch das nDSG verboten?

Das nDSG erstellt keine abschliessende Liste, aber der EDÖB hat klargestellt, dass bestimmte Anwendungen unvereinbar mit den von ihm geschützten Grundrechten sind: allgemeine Echtzeit-Gesichtserkennung in öffentlichen Räumen, Systeme zur sozialen Bewertung (Social Scoring), die das Verhalten von Einzelpersonen systematisch bewerten, sowie jede Erhebung oder Verarbeitung biometrischer oder sensibler Daten ohne solide Rechtsgrundlage. Der EU AI Act, der bestimmte dieser Praktiken ausdrücklich verbietet, kann indirekt auf Schweizer Unternehmen anwendbar sein, die Daten von EU-Einwohnern verarbeiten.

Was sind die Sanktionen bei Verletzung des nDSG im KI-Kontext?

Das nDSG sanktioniert natürliche Personen, nicht direkt das Unternehmen. Bussen können bis zu 250'000 CHF pro Verletzung erreichen. Führungskräfte, IT-Verantwortliche und beteiligte Mitarbeiter sind persönlich exponiert. Die am stärksten sanktionierbaren Verstösse: betroffene Personen nicht informieren, eine Datenverletzung nicht melden oder gegen die Regeln zu automatisierten Einzelentscheidungen verstossen. Für die Einleitung eines Verfahrens ist eine Strafanzeige erforderlich. Das Reputationsrisiko ist oft besorgniserregender als die Busse selbst.

Gelten nDSG und DSGVO gleichzeitig für mein Schweizer Unternehmen?

Das hängt von Ihrer Tätigkeit ab. Wenn Sie Daten von EU-Einwohnern (Kunden, Partner, Interessenten) verarbeiten, gilt die DSGVO für diese Bearbeitungen, unabhängig davon, ob Ihr Unternehmen in der Schweiz sitzt. Das nDSG gilt für alle Bearbeitungen von Daten von Personen in der Schweiz. In der Praxis müssen viele Schweizer Unternehmen beide Rahmen einhalten. Die gute Nachricht: Beide sind weitgehend aufeinander abgestimmt, und eine gut aufgebaute Konformitätspolitik deckt beide ab, sofern die wenigen Unterschiede berücksichtigt werden (Sanktionen, Datenschutzbeauftragter, Meldefristen).

Betrifft der europäische AI Act in der Schweiz ansässige Unternehmen?

Der EU AI Act gilt in der Schweiz nicht direkt, da sie kein EU-Mitglied ist. Wenn Ihr Unternehmen jedoch KI-Systeme auf dem europäischen Markt anbietet oder wenn Ihre Systeme Auswirkungen auf Personen in der EU haben, können die Regeln des AI Act für Sie gelten. Darüber hinaus hat die Schweiz das Rahmenübereinkommen des Europarats zur KI (März 2025) unterzeichnet, dessen Ratifizierung ergänzende Pflichten einführen wird, insbesondere für Hochrisiko-KI-Systeme.

Wie wählt man einen nDSG-konformen KI-Anbieter?

Drei Hauptkriterien: der Datenspeicherort (Server in der Schweiz oder in der EU/dem EWR bevorzugen, um nicht regulierte internationale Übermittlungen zu vermeiden), die Richtlinie zur Weiterverwendung von Daten (verwendet der Anbieter Ihre Daten zum Training seiner Modelle? Wenn ja, auf welcher Rechtsgrundlage?), und die vertragliche Transparenz (kann der Anbieter ein Unterauftragsverarbeiterverzeichnis, einen AVV und dokumentierte Sicherheitsgarantien vorlegen?). Open-Source-Modelle, die auf Ihrer eigenen oder einer europäischen Infrastruktur betrieben werden, bieten in der Regel die beste Antwort auf diese drei Kriterien.

Gilt das nDSG für intern eingesetzte Open-Source-KI-Modelle?

Ja. Das nDSG gilt für den Verantwortlichen, d.h. für Ihr Unternehmen, unabhängig von der Art des Modells (Open Source oder proprietär, intern oder extern gehostet). Wenn Ihr Open-Source-Modell personenbezogene Daten verarbeitet, gelten alle Pflichten des nDSG: Information, Verhältnismässigkeit, Sicherheit, DSFA bei hohem Risiko usw. Der Vorteil intern eingesetzter Open-Source-Modelle besteht gerade darin, dass Sie die vollständige Kontrolle über die Daten haben und das Risiko einer ungewollten Übermittlung an Dritte eliminieren.

Ein KI-Projekt, das Ihre Daten respektiert?

Sprechen wir über Ihren Fall. Wir bauen unter Wahrung der Datenresidenz.

Individuelle Demo anfordern

Erzählen Sie uns von Ihrem Team und wir melden uns innerhalb von 24 Stunden.

Wir geben Ihre Daten niemals weiter. Erwarten Sie eine Antwort innerhalb von 24 Stunden.

KI und LPD/nLPD in der Schweiz | Was das bedeutet (Leitfaden)