Compliance Pillar
revDSG-konforme KI in Schweizer Unternehmen
Was das revidierte Datenschutzgesetz konkret für KI-Nutzung bedeutet. Und wie du pragmatisch konform wirst, ohne Anwalts-Theater.
⚠️ Dieser Guide ist Orientierung, keine Rechtsberatung.
Konkrete revDSG-Konformität für dein Unternehmen kann nur ein Schweizer Anwalt mit Fokus Datenschutz beurteilen. Wir beschreiben, wie wir bei Waldsee mit KI-Implementierungen zu revDSG umgehen. Deine Rechtsabteilung oder Datenschutzbeauftragte:r muss die finale Beurteilung machen.
Was ist revDSG
Das revidierte Datenschutzgesetz, in Kraft seit 1. September 2023, ersetzt das alte DSG. Es ist nicht identisch mit der EU-DSGVO, aber stark angelehnt. Wichtigste Punkte für KI-Nutzung: Bearbeitungs-Verzeichnis, Information der Betroffenen, Auftragsdatenverarbeitung-Verträge mit Drittlands-Anbietern, Risiko-Abwägungen bei automatisierten Entscheidungen.
Quelle: fedlex.admin.ch.
Was bedeutet revDSG konkret für KI-Nutzung
1: Bearbeitungs-Verzeichnis
Du musst wissen, welche Personendaten in welchen Tools verarbeitet werden. Wenn Mitarbeitende ChatGPT mit Mandantendaten füttern, gehört das ins Verzeichnis. Shadow KI macht das unmöglich. Daher Punkt 1: KI-Inventur.
2: Auftragsdatenverarbeitung
Cloud-KI mit US-Anbieter (OpenAI, Anthropic, Microsoft) = Datenübermittlung in Drittland. Braucht: Datenübermittlungs-Vertrag (DPA), Risikobewertung, ggf. zusätzliche Schutzmassnahmen.
3: Information der Betroffenen
Wenn Personendaten via KI verarbeitet werden, müssen Betroffene informiert sein. Datenschutz-Erklärung muss KI-Nutzung erwähnen.
4: Automatisierte Einzelentscheidungen
Wenn KI alleine entscheidet (Bewerbung, Kreditvergabe), greift Art. 21 revDSG: Informations-Pflicht und Recht auf menschliche Überprüfung.
5: Datensicherheit
Technisch-organisatorische Massnahmen (TOMs). Bei KI heisst das u. a.: Zugriff kontrolliert, Logs vorhanden, kein Datenfluss in Schatten-Tools.
Pragmatische Konformitäts-Wege
Weg A: Cloud-KI mit DPA
- ChatGPT Enterprise / Microsoft Copilot mit Datenübermittlungs-Vertrag
- Information der Betroffenen via Datenschutz-Erklärung
- Bearbeitungs-Verzeichnis pflegen
- Schulung der Mitarbeitenden, was rein darf, was nicht
- Funktioniert für viele Office-Workflows
Weg B: On-Prem-KI
- Hardware bei dir vor Ort (z. B. Lenovo ThinkStation PGX)
- Keine Drittland-Übermittlung. Punkt.
- Bearbeitungs-Verzeichnis trotzdem pflegen
- Information der Betroffenen trotzdem
- Strukturell einfacher konform
Weg C: Hybrid
- Sensitive Workflows on-prem, generische in Cloud
- Klare Spielregeln, welche Daten wo
Was du als Geschäftsleitung konkret tun solltest
- KI-Inventur: Wer nutzt was? (Stunde im Führungskreis reicht)
- Spielregeln: 1-Seiten-„KI-Hausordnung" für Mitarbeitende
- Sanktioniertes Tool: ChatGPT Enterprise mit DPA, Copilot, oder on-prem
- Datenschutz-Erklärung anpassen: KI-Nutzung erwähnen
- Bearbeitungs-Verzeichnis pflegen: laufend halten
Häufige Fragen
Ist ChatGPT in der Schweiz illegal?
Nein. Mit Datenübermittlungs-Vertrag und korrekter Information der Betroffenen revDSG-konform nutzbar. „Illegal" ist sie nicht.
Brauche ich Swiss-hosted KI?
Nicht zwingend. Schweiz-Hosting löst Drittland-Frage strukturell, ist aber nicht die einzige Konformitäts-Option.
Was ist mit der EU-DSGVO?
Wenn du Daten von EU-Bürgern verarbeitest, gilt zusätzlich DSGVO. Für reine CH-Datenflüsse reicht revDSG.
Brauche ich eine:n Datenschutzbeauftragte:n?
revDSG verpflichtet nur in bestimmten Fällen. Empfehlung: jemand intern verantwortlich, externer Anwalt mit an Bord.
Wie hoch sind die Bussen?
Bussen-Höhe variiert je nach Tatbestand. Konkrete Bandbreite und persönliche vs. unternehmens-bezogene Haftung bitte mit Schweizer Anwalt verifizieren.
Kann revDSG-konforme KI ohne On-Prem?
Ja, mit DPA-Vertrag und sauberer Konfiguration. On-Prem ist eine Option, nicht die einzige.