Skip to main content
KI

KI-Compliance in der Schweiz: DSG, EU AI Act & was KMU beachten müssen

Wer KI im Unternehmen einsetzt, bewegt sich zwischen revidiertem Datenschutzgesetz und dem EU AI Act, der auch Schweizer Firmen treffen kann. Eine praxisnahe Einordnung der wichtigsten Pflichten ohne Juristendeutsch.

Daniel Müller12 Min. Lesezeit
KI-Compliance in der Schweiz: DSG, EU AI Act & was KMU beachten müssen

KI-Compliance klingt nach einem Thema für Grosskonzerne mit eigener Rechtsabteilung. Das ist ein gefährlicher Irrtum. Sobald ein KMU ein Sprachmodell mit Kundendaten füttert, einen Bewerber von einem Algorithmus vorsortieren lässt oder einen KI-Chatbot auf die Website stellt, ist es mittendrin im regulierten Raum. Die gute Nachricht: Mit Verständnis der Grundprinzipien und einigen pragmatischen Massnahmen lässt sich rechtssicher arbeiten, ohne dass jeder KI-Einsatz zum juristischen Grossprojekt wird.

Dieser Beitrag ordnet die Lage praxisnah ein. Er ersetzt keine Rechtsberatung im Einzelfall, denn die hängt stark von der konkreten Anwendung ab. Aber er gibt euch das Gerüst, um zu erkennen, wo ihr genauer hinschauen müsst und welche Fragen ihr eurem Datenschutzverantwortlichen oder Anwalt stellen solltet.

Zwei Regelwerke, ein Spielfeld

Schweizer Unternehmen müssen zwei Rahmen im Blick behalten, die nebeneinander wirken. Der erste ist das revidierte Schweizer Datenschutzgesetz, das seit September 2023 in Kraft ist. Es regelt nicht KI im Besonderen, aber es greift, sobald Personendaten bearbeitet werden, und das ist beim KI-Einsatz fast immer der Fall. Es ist damit das unmittelbar relevanteste Regelwerk für die meisten KMU.

Der zweite Rahmen ist der EU AI Act, das erste umfassende KI-Gesetz, das risikobasiert reguliert und schrittweise in Kraft tritt. Die zentrale Frage für Schweizer Firmen lautet: Betrifft mich das überhaupt? Die Antwort folgt einer ähnlichen Logik wie bei der DSGVO. Wer KI-Systeme in der EU auf den Markt bringt oder deren Ergebnisse in der EU eingesetzt werden, kann erfasst sein, auch ohne Sitz in der EU. Ein reiner Inlandbetrieb ohne EU-Bezug ist nicht direkt gebunden, tut aber gut daran, die Logik des AI Act als Orientierung zu kennen, weil sie sich als Massstab durchsetzt.

Marktortprinzip verstehen

Wie bei der DSGVO entscheidet nicht der Firmensitz allein, sondern wo die Wirkung eintritt. Ein Zürcher Unternehmen, das ein KI-Tool an EU-Kunden verkauft oder dessen KI-Ausgaben EU-Bürger betreffen, kann unter den EU AI Act fallen. Prüft den EU-Bezug eurer Anwendungen bewusst, statt ihn vorschnell auszuschliessen.

Die DSG-Pflichten beim KI-Einsatz konkret

Übersetzen wir das DSG in die Praxis. Mehrere Pflichten verdienen beim KI-Einsatz besondere Aufmerksamkeit.

Die erste ist die Transparenz. Betroffene Personen müssen erfahren, dass und wie ihre Daten bearbeitet werden. Wenn ein KI-Chatbot Kundendaten verarbeitet oder ein System Personendaten analysiert, gehört das in die Datenschutzerklärung und gegebenenfalls in eine direkte Information. Verdeckte KI-Verarbeitung ist ein Compliance-Risiko und ein Vertrauensbruch zugleich.

Die zweite ist die Rechtsgrundlage und Verhältnismässigkeit. Daten dürfen nur für klar bestimmte Zwecke und im nötigen Umfang bearbeitet werden. Der reflexhafte Impuls, einer KI möglichst viele Daten zu geben, kollidiert mit dem Grundsatz der Datensparsamkeit. Fragt bei jeder Anwendung: Welche Personendaten braucht das System wirklich, und lassen sie sich minimieren oder anonymisieren?

Die dritte ist die Datenschutz-Folgenabschätzung. Bei Bearbeitungen mit hohem Risiko für die Persönlichkeit der Betroffenen verlangt das DSG eine vorgängige Abschätzung der Folgen. KI-Systeme, die umfangreich Personendaten auswerten oder weitreichende Entscheidungen vorbereiten, fallen häufig in diese Kategorie. Diese Abschätzung ist kein Selbstzweck, sondern zwingt dazu, Risiken früh zu erkennen und zu entschärfen.

Die vierte betrifft die automatisierte Einzelentscheidung. Trifft ein System eine Entscheidung mit erheblichen Folgen für eine Person allein auf automatisierter Basis, etwa eine Kreditablehnung oder eine Bewerbervorsortierung, greifen besondere Informationspflichten und das Recht der betroffenen Person, ihren Standpunkt darzulegen. Das ist einer der heikelsten KI-Bereiche überhaupt und verdient besondere Sorgfalt.

Der Klassiker: Daten in fremden KI-Diensten

Der häufigste Stolperstein im KMU-Alltag ist banal und doch riskant: Mitarbeitende geben Kundendaten, Verträge oder interne Dokumente in einen öffentlichen KI-Dienst ein, um sich Arbeit zu erleichtern. Damit verlassen Personendaten unkontrolliert das Unternehmen, möglicherweise auf Server ausserhalb der Schweiz und der EU, und werden je nach Dienst sogar zum Training verwendet.

Hier sind zwei Massnahmen entscheidend. Erstens braucht es klare interne Regeln, welche Daten in welche Tools eingegeben werden dürfen und welche niemals. Eine kurze, verständliche KI-Nutzungsrichtlinie verhindert die meisten Vorfälle. Zweitens gehört für jeden produktiven Einsatz ein Geschäftsplan mit Datenschutzgarantie her, der vertraglich ausschliesst, dass eure Daten gespeichert oder fürs Training genutzt werden, idealerweise mit Datenverarbeitung in der Schweiz oder der EU. Mit dem Anbieter ist zudem in der Regel ein Auftragsbearbeitungsvertrag abzuschliessen, der die Pflichten regelt.

Pragmatische Compliance in fünf Schritten

Compliance muss kein lähmendes Bürokratiemonster sein. Ein pragmatisches Vorgehen bringt die meisten KMU rasch auf einen verteidigbaren Stand.

Erstens, Inventur: Erstellt ein Verzeichnis aller KI-Anwendungen im Betrieb, samt der Frage, welche Personendaten dabei verarbeitet werden. Man kann nur regeln, was man kennt, und viele Anwendungen entstehen schleichend ohne formale Entscheidung.

Zweitens, Risiko einordnen: Markiert die Anwendungen, die heikle Daten verarbeiten oder Entscheidungen über Menschen vorbereiten. Genau dort liegt das Risiko, und genau dort lohnt sich die genauere Prüfung samt allfälliger Folgenabschätzung.

Drittens, Verträge prüfen: Stellt sicher, dass für jeden externen KI-Dienst die nötigen Datenschutzgarantien und Auftragsbearbeitungsverträge vorliegen. Privat-Abos für Firmendaten sind hier das klassische Versäumnis.

Viertens, Transparenz schaffen: Bringt eure Datenschutzerklärung auf den Stand, der den KI-Einsatz abdeckt, und sorgt dort für Klarheit, wo betroffene Personen direkt informiert werden müssen.

Fünftens, Verantwortung klären: Bestimmt eine Person, die für KI-Compliance zuständig ist, und etabliert eine einfache Richtlinie für den Umgang mit KI-Tools. Eine Belegschaft, die weiss, was erlaubt ist, ist der beste Schutz.

Die ehrliche Einordnung

KI-Compliance in der Schweiz ist 2026 anspruchsvoll, aber beherrschbar. Das revidierte DSG liefert das tägliche Gerüst, der EU AI Act setzt den Massstab für alle mit EU-Bezug und darüber hinaus. Wer die Grundprinzipien versteht, ein ehrliches Inventar führt, sensible Anwendungen sorgfältig behandelt und Transparenz lebt, ist auf einem guten Weg, ohne sich in Bürokratie zu verlieren.

Der grösste Fehler ist, das Thema zu ignorieren, weil man sich für zu klein hält. Datenschutzverletzungen und intransparenter KI-Einsatz kosten nicht nur potenzielle Bussen, sondern vor allem das Vertrauen der Kundschaft, das im Schadensfall schwer zurückzugewinnen ist. Compliance ist hier weniger eine Last als eine Form von Sorgfalt, die zur Marke wird. Für die konkrete Ausgestaltung im Einzelfall lohnt sich der Beizug einer fachkundigen Datenschutzberatung, denn die Details entscheiden, und die Regulierung entwickelt sich weiter.

Häufige Fragen

Gilt der EU AI Act auch für Schweizer Unternehmen?+

Er kann gelten. Schweizer Firmen, die KI-Systeme in der EU anbieten oder deren Ergebnisse in der EU genutzt werden, fallen unter den EU AI Act, ähnlich wie beim Marktortprinzip der DSGVO. Wer ausschliesslich im Inland und ohne EU-Bezug tätig ist, ist nicht direkt erfasst, sollte die Vorgaben aber als Orientierung kennen.

Was verlangt das revidierte Schweizer DSG beim KI-Einsatz?+

Das revidierte DSG verlangt unter anderem Transparenz über die Datenbearbeitung, eine Rechtsgrundlage, Datensparsamkeit und bei hohem Risiko eine Datenschutz-Folgenabschätzung. Beim KI-Einsatz heisst das konkret: dokumentieren, welche Personendaten wofür verarbeitet werden, und besonders auf automatisierte Einzelentscheidungen achten.

Muss ich Kunden informieren, wenn ich KI einsetze?+

In vielen Fällen ja. Werden Personendaten mit KI bearbeitet, greifen die Transparenzpflichten des DSG. Bei automatisierten Einzelentscheidungen mit erheblichen Folgen bestehen zusätzliche Informations- und teils Mitwirkungsrechte der betroffenen Person. Transparenz ist hier nicht nur Pflicht, sondern auch Vertrauensfrage.

Über den Autor

Daniel Müller

Senior Developer & SEO-Stratege

Daniel Müller ist Senior Developer und SEO-Stratege bei DLM Digital in Zürich. Mit über 10 Jahren Erfahrung in Webentwicklung, SEO, GEO/AEO und KI-Integration begleitet er Schweizer KMU bei der digitalen Transformation. Im DLM Magazin schreibt er über KI, Vibe Coding und moderne Suchmaschinen-Sichtbarkeit.

Weiterlesen