Alle Artikel
Datenschutz

KI und Datenschutz: Was Schweizer KMU beim revDSG beachten müssen

von Sandro13. Juli 20265 Min

KI-Tools sind schnell ausprobiert, und genau darin liegt das Datenschutz-Risiko. Ein paar Kundendaten in ein Chatfenster kopiert, und schon verlassen sie unbemerkt den Betrieb. Dieser Artikel gibt dir eine Orientierung, worauf du beim Einsatz von KI im Rahmen des revidierten Schweizer Datenschutzgesetzes (revDSG) achten solltest, verständlich und ohne Panikmache. Das ist keine Rechtsberatung, sondern eine Landkarte, damit du weisst, welche Fragen du dir und deinem Anbieter stellen musst und wann es sich lohnt, eine Fachperson dazuzuholen.

Gilt das Datenschutzgesetz überhaupt, wenn ich nur ein KI-Tool nutze?

Ja, sobald Personendaten im Spiel sind. Das revDSG greift, sobald du Daten bearbeitest, die sich einer Person zuordnen lassen, und "bearbeiten" schliesst das Eingeben in ein KI-Tool ausdrücklich mit ein. Ein Name in einer E-Mail, die du zusammenfassen lässt, ist bereits ein Personendatum. Es spielt dabei keine Rolle, ob du ein grosses bekanntes Tool oder eine kleine App benutzt: Verantwortlich für die Daten bleibst du, nicht der Anbieter.

Wo landen meine Daten eigentlich, wenn ich sie eingebe?

Das ist die wichtigste und oft die am schwersten zu beantwortende Frage. Wenn du Text in ein KI-Tool eingibst, wird er in aller Regel an einen Server geschickt, der irgendwo auf der Welt stehen kann, häufig in den USA. Zwei Dinge solltest du deshalb vor dem Einsatz klären:

  • Standort der Server: Werden die Daten in der Schweiz, in der EU oder anderswo verarbeitet? Eine Verarbeitung ausserhalb der Schweiz ist nicht verboten, aber sie braucht eine Grundlage und im Zweifel besondere Sorgfalt.
  • Weiterverwendung zum Training: Nutzt der Anbieter deine Eingaben, um seine Modelle zu trainieren? Bei vielen kostenlosen Varianten ist das der Standard, bei Geschäfts- und Bezahlvarianten oft abschaltbar oder ausgeschlossen. Das steht in den Nutzungsbedingungen, nicht im Werbetext.

Wenn du diese zwei Punkte nicht sicher beantworten kannst, gehören keine Personendaten in das Tool.

Was ist eine Auftragsbearbeitung und warum betrifft sie mich?

Ein KI-Anbieter, der in deinem Auftrag Daten verarbeitet, ist rechtlich ein Auftragsbearbeiter, und dafür braucht es klare Regeln. Vereinfacht heisst das: Du bleibst der Chef über die Daten, der Anbieter darf sie nur für den vereinbarten Zweck nutzen und muss sie angemessen schützen. In der Praxis wird das über einen Vertrag zur Auftragsbearbeitung geregelt, den seriöse Anbieter für Geschäftskunden bereitstellen. Findest du bei einem Tool nichts dergleichen, ist das ein Warnzeichen, gerade wenn du sensible Daten damit bearbeiten willst.

Welche Daten sind besonders heikel?

Sensible Personendaten verlangen deutlich mehr Vorsicht als gewöhnliche. Dazu zählen zum Beispiel Gesundheitsdaten, Angaben zu religiösen oder politischen Ansichten, Daten über Sozialhilfe oder Strafverfahren sowie biometrische Daten. Für einen Treuhänder gehören auch detaillierte Finanzunterlagen in die vorsichtige Kategorie. Faustregel: Je mehr eine Information einer Person schaden könnte, wenn sie nach aussen dringt, desto weniger gehört sie ungeprüft in ein KI-Tool. Im Zweifel anonymisieren, also Namen und eindeutige Angaben vorher entfernen, oder ganz darauf verzichten.

Muss ich meine Kunden informieren, dass ich KI einsetze?

Transparenz ist einer der Kerngedanken des revDSG, also im Grundsatz ja. Menschen haben ein Recht darauf zu wissen, was mit ihren Daten passiert. Das musst du nicht bei jeder einzelnen Anwendung ankündigen, aber deine Datenschutzerklärung sollte ehrlich abbilden, dass und wofür du solche Dienste nutzt und wohin die Daten dabei fliessen können. Eine klare, verständliche Formulierung schafft Vertrauen und ist einfacher, als es klingt. Der Aufwand steckt weniger im Text als in der ehrlichen Bestandsaufnahme, welche Tools du überhaupt im Einsatz hast.

Eine kurze Checkliste vor dem ersten Einsatz

Bevor du ein neues KI-Tool mit echten Daten fütterst, geh diese Punkte einmal durch. Das dauert keine Viertelstunde und erspart dir die meisten Probleme:

  1. Sind in den Daten Namen oder andere Personendaten enthalten? Wenn ja, kann ich sie vorher entfernen?
  2. Weiss ich, wo der Anbieter die Daten verarbeitet und ob er sie zum Training nutzt?
  3. Gibt es für Geschäftskunden einen Vertrag zur Auftragsbearbeitung?
  4. Handelt es sich um sensible Daten? Dann lieber anonymisieren oder ganz verzichten.
  5. Bildet meine Datenschutzerklärung ab, was hier passiert?
  6. Habe ich im Team eine einfache Regel, was rein darf und was nicht?

Wenn du bei einem Punkt hängen bleibst, ist das kein Grund aufzugeben, sondern das Signal, vorher kurz nachzuhaken oder eine Fachperson zu fragen.

Wann sollte ich wirklich eine Rechtsberatung beiziehen?

Immer dann, wenn systematisch sensible Daten im Spiel sind oder viel auf dem Spiel steht. Für den gelegentlichen Einsatz mit unkritischen Texten reicht gesunder Menschenverstand und diese Checkliste meist aus. Sobald du aber Gesundheits- oder Finanzdaten regelmässig durch ein KI-Tool schickst, eine grössere Datenmenge verarbeitest oder unsicher bist, ob ein Auslandtransfer sauber geregelt ist, lohnt sich das Gespräch mit einer auf Datenschutz spezialisierten Person. Das kostet einmal etwas, verhindert aber Fehler, die später deutlich teurer werden können.

Datenschutz beim KI-Einsatz ist selten kompliziert, wenn man vorher kurz nachdenkt statt nachher zu reparieren. Meistens geht es darum, unnötige Personendaten gar nicht erst in ein Tool zu geben und zu wissen, mit wem man es zu tun hat. Wenn du magst, schauen wir bei PeakProcess in einem kostenlosen Erstgespräch gemeinsam an, welche deiner geplanten KI-Anwendungen unkritisch sind und wo du in der Region Winterthur oder Zürich besser vorher genauer hinschaust. Ohne Verpflichtung und ohne Fachchinesisch.

Klingt relevant für dich?

Besprich deinen konkreten Fall im kostenlosen Erstgespräch. 30 Minuten, online, unverbindlich.