Zum Inhalt springen

Compliance · 19. April 2026 · Aktualisiert 19. April 2026

DSG und KI im Schweizer KMU - der praktische Leitfaden

Wie kleine und mittlere Schweizer Unternehmen ChatGPT, Claude und Copilot DSG-konform einsetzen. Mit Tool-Matrix, Entscheidungsbaum und Reglement-Vorlage.

Autor

ai-edu Team

KI-Schulungsexperten

Stand: April 2026. Dieser Beitrag ist ein praxisorientierter Überblick und ersetzt keine Rechtsberatung. Bei konkreten Auslegungsfragen - insbesondere bei sensitiven Personendaten oder automatisierten Einzelentscheidungen - empfehlen wir die Konsultation einer auf Datenschutz spezialisierten Kanzlei oder eine direkte Anfrage beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Schweizer Berglandschaft mit Nebel - Symbolbild fuer Orientierung in der DSG-Lage.
Das DSG will keine perfekte Datenkenntnis - es will nachvollziehbare Entscheidungen. Die Lage wirkt diffus; die Pflichten sind überschaubar. Bild: wirestock / Freepik

Seit dem Inkrafttreten des revidierten Datenschutzgesetzes (DSG) am 1. September 2023 ist klar: Wer Personendaten in einem KI-Tool verarbeitet, ist Verantwortlicher im Sinne des Gesetzes - auch wenn das Tool von OpenAI, Anthropic oder Microsoft betrieben wird. Für Schweizer KMU heisst das nicht, KI zu verbieten. Es heisst, fünf Pflichten ernst zu nehmen und sie operativ umzusetzen.

Was verlangt das DSG von einem KMU, das KI einsetzt?

Das DSG verlangt fünf Dinge, die jedes KI-Projekt im Schweizer KMU erfüllen muss: klaren Zweck, Zweckbindung, Transparenz, Datensparsamkeit und Datensicherheit. Keine perfekte Datenkenntnis, sondern nachvollziehbare Entscheidungen. Die fünf Prinzipien im Detail:

  1. Rechtmässigkeit und Treu und Glauben - die Verarbeitung muss einen erkennbaren Zweck haben (Art. 6 Abs. 2 DSG).
  2. Zweckbindung - Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden.
  3. Transparenz - Betroffene müssen wissen, dass und wofür ihre Daten verarbeitet werden (Art. 19 DSG, Informationspflicht).
  4. Datensparsamkeit - nur das Nötigste verarbeiten.
  5. Datensicherheit - angemessene technische und organisatorische Massnahmen (Art. 8 DSG).

Bei Auftragsverarbeitung (also wenn ein KI-Anbieter im Auftrag des Unternehmens Daten verarbeitet) braucht es zusätzlich einen schriftlichen Vertrag, der die Pflichten regelt - Art. 9 DSG. OpenAI, Anthropic und Microsoft bieten dafür standardisierte Data Processing Addenda (DPA) an.

Welche KI-Einsätze sind im KMU DSG-heikel?

Vier Konstellationen lösen DSG-Pflichten aus, alle anderen sind unkritisch. Nicht jeder ChatGPT-Prompt ist ein Compliance-Fall - diese vier aber sehr wohl:

1. Personendaten in Prompts

Sobald Mitarbeitende Namen, E-Mail-Adressen, Bewerbungsunterlagen oder Kunden-E-Mails in eine KI-Eingabe kopieren, beginnt eine Datenverarbeitung. Bei der Consumer-Version von ChatGPT (chatgpt.com ohne Team/Enterprise-Abo) werden diese Eingaben standardmässig zum Training verwendet - eine zweckwidrige Weiterverwendung im Sinne von Art. 6 Abs. 3 DSG.

Praktische Konsequenz: Free- und Plus-Tarife taugen für interne Brainstorms, nicht für Personendaten. Für reale KMU-Workflows gehören Team- oder Enterprise-Tarife mit ausgeschaltetem Trainings-Use auf den Tisch.

2. Cloud-Verarbeitung ausserhalb der Schweiz

DSG erlaubt die Bekanntgabe ins Ausland nur, wenn das Empfängerland einen angemessenen Datenschutz bietet (Art. 16 DSG). Die EDÖB-Staatenliste führt die EU/EWR-Staaten als angemessen - die USA jedoch nur unter dem Swiss-US Data Privacy Framework für zertifizierte Unternehmen.

Praktische Konsequenz: Tools mit reinem US-Hosting (Standard-ChatGPT, Standard-Claude) brauchen entweder eine zertifizierte Anbieter-Stellung im DPF, Standardvertragsklauseln, ausdrückliche Einwilligung der Betroffenen oder eine Verlagerung in eine EU-/CH-Region.

3. Automatisierte Einzelentscheidungen (Art. 21 DSG)

Wenn ein Algorithmus ohne menschliche Beteiligung über eine Person entscheidet - etwa bei automatischer Bewerbungsfilterung, Kreditabsagen oder Tarifierung - greift Art. 21 DSG: Betroffene haben Anspruch auf eine Stellungnahme und auf Überprüfung durch eine natürliche Person.

Praktische Konsequenz: Human-in-the-Loop ist nicht nur ein Designprinzip, sondern eine Rechtspflicht in Schweizer KMU-Kontexten. Eine KI darf vorsortieren, aber die Entscheidung muss ein Mensch treffen - und dokumentiert sein.

4. Sensitive Personendaten

Gesundheits-, Religions-, Gewerkschaftsdaten und biometrische Identifikatoren sind nach Art. 5 lit. c DSG besonders schützenswert. Wer solche Daten in KI-Tools einspeist, muss eine ausdrückliche Einwilligung einholen oder eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 22 DSG durchführen.

Praktische Konsequenz: Für HR-Workflows mit Krankheitsdaten, Versicherungs-Calls oder Treuhand-Mandate gilt: kein KI-Tool ohne dokumentierte DSFA und ohne explizit darauf zugeschnittenen DPA.

Welche KI-Dokumentation braucht welcher Einsatzfall?

Welche Dokumentation gilt, hängt an zwei Fragen: Werden Personendaten verarbeitet - und sitzt der Anbieter in einem Land mit angemessenem Datenschutz. Aus beiden Fragen ergibt sich ein knapper Entscheidungsbaum:

Werden Personendaten verarbeitet?
├── Nein → Keine DSG-Pflichten (z. B. öffentliche Recherche)
└── Ja
    ├── Sensitive Daten? → DSFA + ausdrückliche Einwilligung
    └── Reguläre Daten
        ├── Anbieter in CH/EU → DPA + Informationspflicht
        └── Anbieter in USA/Drittstaat
            ├── DPF-zertifiziert → DPA + Informationspflicht
            └── Nicht zertifiziert → Standardvertragsklauseln + DSFA

In der Praxis lassen sich 80 % der KMU-Anwendungsfälle (Texterstellung ohne Kundendaten, Recherche, Code-Review) ohne grösseren Aufwand abdecken - die anderen 20 % brauchen die volle Dokumentationskette.

Welche KI-Tools sind für Schweizer KMU DSG-konform einsetzbar?

Acht der gängigen KI-Anbieter im direkten DSG-Vergleich - Hosting-Region, Trainings-Use, DPA-Verfügbarkeit und Eignung für Personendaten in Schweizer KMU:

ToolHostingTrainings-UseDPA verfügbarDSG-tauglich für KMU
ChatGPT Free / PlusUSAStandardmässig jaNeinNicht für Personendaten
ChatGPT Team / EnterpriseUSA (DPF)AusJaJa, mit DPA + Information der Betroffenen
Azure OpenAI Serviceu. a. Switzerland North, Switzerland WestAusJa (Microsoft DPA)Ja, höchste Compliance-Stufe
Microsoft 365 CopilotDaten bleiben im M365-TenantAusJa (M365 DPA)Ja, wenn M365-Tenant bereits compliant
Claude (claude.ai Free/Pro)USAStandardmässig neinNein (Pro), Ja (Team/Enterprise)Pro nur für unkritische Inhalte
Claude API / EnterpriseUSA, EUNeinJaJa, mit DPA
Mistral Le Chat / La PlateformeEU (Frankreich)KonfigurierbarJaJa, EU-Hosting vereinfacht Bekanntgabe
Google Gemini WorkspaceEU-Region wählbarAus (Workspace)JaJa, mit Workspace-Tarif

Hinweis zu Azure Switzerland Regions: Microsoft betreibt mit Switzerland North (Zürich) und Switzerland West (Genf) zwei Cloud-Regionen mit Datenresidenz innerhalb der Schweiz. Azure OpenAI ist in beiden Regionen verfügbar - für KMU mit erhöhten Datenschutz-Anforderungen oder regulierten Branchen oft die einfachste Wahl. (Azure-Geographies-Übersicht)

Die Tabelle ist eine Momentaufnahme. Konditionen, Trainings-Defaults und Hosting-Optionen ändern sich - vor Vertragsunterzeichnung gehört das aktuelle DPA des Anbieters auf den Tisch der Datenschutzverantwortlichen.

Was gehört in ein KI-Einsatz-Reglement für ein Schweizer KMU?

Ein KI-Einsatz-Reglement braucht fünf Sektionen, nicht mehr: Geltungsbereich, erlaubte Datenarten, Tool-Freigabe, Transparenz und Schulung. Das ersetzt nicht das Gesetz, schafft aber Klarheit für Mitarbeitende und Nachweisbarkeit gegenüber dem EDÖB. Für die meisten Schweizer KMU reicht folgendes Gerüst:

  1. Geltungsbereich und Begriffe - Welche Tools sind erlaubt, welche verboten? Was ist ein “KI-System” im Sinne dieses Reglements? Mitarbeiter mit privaten ChatGPT-Konten gelten ebenfalls als im Auftrag des Unternehmens handelnd, sobald sie geschäftliche Daten eingeben - das gehört in den Geltungsbereich.

  2. Erlaubte und verbotene Datenarten - Personendaten von Kunden ohne Pseudonymisierung? Verboten in Free-Tarifen. Sensitive Daten (Gesundheit, Religion, Strafdaten)? Nur nach schriftlicher Freigabe der Datenschutzverantwortlichen.

  3. Auswahl und Freigabe von Tools - Wer entscheidet, welche KI-Tools im Unternehmen genutzt werden dürfen? In der Regel IT-Leitung gemeinsam mit Geschäftsleitung. Neue Tools brauchen ein internes Onboarding-Protokoll: Hosting-Region geprüft, DPA unterschrieben, Trainings-Use deaktiviert.

  4. Transparenz nach aussen und innen - Wann und wie werden Kunden, Bewerber, Mitarbeitende über den KI-Einsatz informiert? Mindestens: Chatbot-Disclaimer auf der Website, Bewerbungsformular-Hinweis bei automatisierter Vorsortierung, Hinweis im Mitarbeiterhandbuch.

  5. Schulung und Dokumentation - Wer wird wann geschult? Welche Schulungs-Nachweise werden für eine EDÖB-Prüfung archiviert? Faustregel: einmal jährlich Pflicht-Update, neue Mitarbeiter im Onboarding.

Diese fünf Sektionen passen auf 5–7 A4-Seiten. Wer mehr will, schreibt am Ziel vorbei - ein Reglement, das niemand liest, schützt nichts.

Was hat die EDÖB zu KI bisher öffentlich signalisiert?

Die EDÖB hat bisher keine KI-spezifische Verfügung erlassen, aber in Stellungnahmen und Empfehlungen drei klare Linien gezogen:

  • Anwendbarkeit ist klar: Generative KI ist keine rechtsfreie Zone. Die bestehenden DSG-Pflichten gelten unverändert.
  • Transparenzpflicht wird ernst genommen: Wenn KI-Systeme Entscheidungen vorbereiten, die Menschen betreffen, muss das für Betroffene erkennbar sein.
  • Internationale Datenflüsse stehen im Fokus: Bei US-basierten Anbietern wird die DPF-Zertifizierung oder eine alternative Garantie-Konstruktion erwartet.

Wer die EDÖB-Newsletter abonniert oder die jährlichen Tätigkeitsberichte verfolgt, erkennt frühzeitig, wo die Aufsicht hinschaut.

FAQ für Geschäftsleitung, HR und IT

Geschäftsleitung: Wir nutzen ChatGPT Plus seit Monaten. Müssen wir alle Eingaben rückwirkend dokumentieren? Nein. DSG verlangt keine rückwirkende Dokumentation, aber die Datenschutzpraxis muss ab heute nachvollziehbar sein. Sinnvoll ist ein Stichtag, ab dem ein Tool-Reglement gilt, plus eine kurze interne Mitteilung an alle Mitarbeitenden.

HR: Dürfen wir Bewerbungen von einer KI vorfiltern lassen? Ja, aber mit Bedingungen: Die Bewerber müssen darüber informiert sein (Hinweis im Stelleninserat genügt), die Endentscheidung muss durch eine Person getroffen werden, und Bewerber haben Anspruch auf Begründung und Überprüfung (Art. 21 DSG).

IT: Müssen wir vom Standard-ChatGPT auf Azure OpenAI Switzerland wechseln? Wenn Personendaten regelmässig verarbeitet werden: ja, oder zumindest auf ChatGPT Enterprise mit DPA und ausgeschaltetem Trainings-Use. Wenn das Tool nur für nicht-personenbezogene Aufgaben genutzt wird (Code-Snippets, Marketing-Texte ohne Kundendaten), reicht der Plus-Tarif mit klarer interner Regel.

Geschäftsleitung: Brauchen wir wirklich einen Datenschutzberater? Bei reinen KMU mit weniger als 250 Mitarbeitenden ist ein interner Datenschutzberater nach DSG nicht zwingend (Art. 10 Abs. 1 DSG), aber empfohlen. Bei sensitiven Daten oder Profiling mit hohem Risiko wird die Empfehlung zur Pflicht.

HR: Was ist mit privaten KI-Tools auf Geschäftsgeräten? Heikel. Wer auf einem Firmen-Laptop ChatGPT mit privaten Mitteln nutzt und dabei Geschäftsdaten eingibt, schafft eine ungeregelte Auftragsverarbeitung. Saubere Lösung: zentral gemanagte Tool-Lizenzen plus klares Verbot privater KI-Konten für geschäftliche Inhalte.

Welche Schritte stehen für Schweizer KMU als Nächstes an?

Drei konkrete Schritte in den nächsten 30 Tagen bringen ein KMU von DSG-Graubereich in Nachweisbarkeit. KI-Compliance ist kein einmaliges Projekt, aber der erste Monat entscheidet über die spätere Last:

  1. Inventarisierung - Welche KI-Tools werden im Unternehmen heute schon verwendet? (Oft mehr als die Geschäftsleitung weiss.)
  2. Tarif-Audit - Sind die genutzten Tools auf einer Stufe, die Personendatenverarbeitung erlaubt? Wenn nicht: Upgrade auf Team/Enterprise oder Wechsel zu einer CH-/EU-Region.
  3. Reglement-Entwurf - 5–7 Seiten nach dem Gerüst oben, von IT und Datenschutzverantwortlichen abgenommen, durch Geschäftsleitung freigegeben.

In unseren Schulungen für Schweizer KMU arbeiten wir genau diese drei Schritte mit Ihrem Team durch - vom Tool-Audit über die Reglement-Entwurf bis zur Mitarbeiter-Schulung. DSG-konform und ohne juristisches Buzzword-Bingo.

Quellen und Vertiefung:

Schlagworte

#DSG #Datenschutz #Compliance #EDÖB #KMU

Verwandte Insights

  1. 01

    ChatGPT im Unternehmen: 6 Fehler, die Sie vermeiden sollten

    Die häufigsten Fehler beim ChatGPT-Einsatz im Schweizer KMU - von fehlenden Richtlinien bis zur DSG-Pflichtverletzung. Mit konkreten Lösungsschritten.

    Strategie · 10. November 2024

    Lesen →
  2. 02

    Prompt Engineering: So holen Sie das Maximum aus ChatGPT und Claude

    Die fünf Grundprinzipien guter Prompts und drei fortgeschrittene Techniken - mit konkreten Beispielen für HR, Finanzen und Vertrieb im Schweizer KMU.

    Tutorial · 25. Oktober 2024

    Lesen →
  3. 03

    GPT Image 2: OpenAIs neues Bildmodell mit Thinking Mode

    ChatGPT Images 2.0 ist da: Thinking Mode, 99% Text-Rendering, konsistente Bildserien. Was GPT Image 2 für Schweizer KMU bedeutet.

    KI-Tools · 22. April 2026

    Lesen →