Die häufigste Frage, die wir hören
«Dürfen wir das überhaupt?»
So beginnen fast alle Gespräche, wenn Geschäftsführer zum ersten Mal über KI-Agenten nachdenken. Die Kundenanfragen automatisieren, Belege verarbeiten, Daten abgleichen – das klingt gut. Aber was ist mit dem Datenschutz?
Die kurze Antwort: Ja, Sie dürfen. Aber nicht blindlings. Die Schweiz hat klare Regeln – und die sind weniger kompliziert, als viele befürchten.
Kein rechtsfreier Raum: Das Schweizer DSG gilt bereits für KI
Seit dem 1. September 2023 ist das revidierte Schweizer Datenschutzgesetz (DSG) in Kraft. Was viele nicht wissen: Es ist technologieneutral formuliert. Das heisst, es gilt für KI-gestützte Datenverarbeitung genauso wie für jede andere Software.
Der Eidgenössische Datenschutzbeauftragte (EDÖB) hat das im Mai 2025 nochmals bestätigt: Die bestehende Datenschutzgesetzgebung ist direkt auf KI anwendbar.
Die 4 wichtigsten Grundsätze für KI-Agenten
| Grundsatz | Was das für Ihren KI-Agenten bedeutet |
|---|---|
| Zweckbindung | Der Agent darf Daten nur für den definierten Zweck verarbeiten – z. B. Kundenanfragen beantworten, nicht heimlich Profile erstellen |
| Verhältnismässigkeit | Nur die nötigen Daten verarbeiten. Ein Buchungs-Agent braucht keine Gesundheitsdaten |
| Transparenz | Kunden müssen wissen, dass sie mit einem KI-Agenten kommunizieren |
| Privacy by Design | Datenschutz muss von Anfang an eingebaut sein – nicht nachträglich draufgeschraubt |
Automatisierte Entscheidungen (Art. 21 DSG)
Wenn Ihr KI-Agent Entscheidungen trifft, die eine Person wesentlich betreffen – zum Beispiel einen Serviceantrag ablehnt oder einen Preis berechnet – dann gilt:
- Sie müssen die Person informieren, dass die Entscheidung automatisch getroffen wurde
- Die Person kann ihre Sicht darlegen
- Auf Wunsch muss ein Mensch die Entscheidung überprüfen
Wichtig: Das Schweizer DSG verbietet automatisierte Entscheidungen nicht – es verlangt Transparenz und eine Überprüfungsmöglichkeit. Ein pragmatischer Ansatz, der gut zu KMU passt.
EU AI Act: Betrifft das auch Schweizer KMU?
Kurz: Möglicherweise ja. Der EU AI Act gilt seit dem 1. August 2024 und hat – wie die DSGVO – eine extraterritoriale Wirkung. Wenn Ihr KI-Agent Kunden in der EU bedient, können Sie betroffen sein.
Die gute Nachricht: Ihre typischen Einsatzbereiche sind unkritisch
| Einsatzbereich | Risikokategorie | Pflicht |
|---|---|---|
| Chatbot für Kundenanfragen | Begrenztes Risiko | Benutzer informieren, dass sie mit KI kommunizieren |
| Belegverarbeitung (Rechnungen, Quittungen) | Minimales Risiko | Praktisch keine besonderen Pflichten |
| Datenabgleich zwischen Systemen | Minimales Risiko | Praktisch keine besonderen Pflichten |
| KI-generierte Texte (z. B. Antwortvorschläge) | Begrenztes Risiko | Als KI-generiert kennzeichnen |
| Recruiting / CV-Screening | ⚠️ Hohes Risiko | Umfassende Compliance-Pflichten |
Die meisten KI-Agenten für KMU – Kundenanfragen, Belegverarbeitung, Datenabgleich – fallen unter minimales oder begrenztes Risiko. Die Hauptpflicht: Transparenz.
Die Falle: Wenn Sie KI für Personalentscheidungen einsetzen (Bewerbungen screenen, Mitarbeitende bewerten), landen Sie im Hochrisiko-Bereich. Hier gelten strenge Dokumentations-, Überwachungs- und Governance-Pflichten.
5 praktische Massnahmen für datenschutzkonforme KI-Agenten
1. Auftragsverarbeitungsvertrag (AVV) abschliessen
Wenn ein externer Anbieter Ihren KI-Agenten betreibt oder Daten verarbeitet, brauchen Sie einen AVV. Dieser regelt:
- Welche Daten verarbeitet werden
- Welche Sicherheitsmassnahmen gelten
- Was bei einer Datenpanne passiert
- Ob und welche Sub-Auftragsverarbeiter eingesetzt werden
Praxis-Tipp: Fragen Sie Ihren KI-Anbieter gezielt: «Werden unsere Daten zum Training von Modellen verwendet?» Die Antwort muss «Nein» sein – oder vertraglich ausgeschlossen werden.
2. Datenstandort klären
Wo werden die Daten verarbeitet? Das ist keine theoretische Frage.
- Schweiz oder EU/EWR: Ideal. Seit Januar 2024 hat die Schweiz eine bestätigte Angemessenheitsentscheidung der EU – Daten fliessen frei.
- US-Cloud-Anbieter: Vorsicht. Auch mit Schweizer Rechenzentrum unterliegen US-Unternehmen dem CLOUD Act. Das kann zu Konflikten mit dem Datenschutz führen.
- Schweizer Hosting: Anbieter wie Infomaniak, Safe Swiss Cloud oder Exoscale bieten Hosting unter Schweizer Recht – maximale Kontrolle.
3. Transparenz einbauen
Informieren Sie Ihre Kunden, wenn sie mit einem KI-Agenten kommunizieren. Das ist nicht nur Pflicht – es schafft Vertrauen.
Typische Umsetzung:
- Hinweis im Chat: «Sie kommunizieren mit unserem KI-Assistenten. Ein Mitarbeiter kann jederzeit übernehmen.»
- In der Datenschutzerklärung: Abschnitt zu automatisierter Datenverarbeitung
4. Menschliche Überprüfung ermöglichen
Bauen Sie einen «Human-in-the-Loop» ein. Das heisst:
- Bei unsicheren Antworten eskaliert der Agent an einen Menschen
- Kunden können jederzeit eine menschliche Bearbeitung verlangen
- Wichtige Entscheidungen (Preiskalkulation, Vertragszusagen) werden von einem Menschen freigegeben
5. Datenschutz-Folgenabschätzung prüfen
Wenn Ihr KI-Agent in grossem Umfang personenbezogene Daten verarbeitet oder neue Technologien einsetzt, kann eine Datenschutz-Folgenabschätzung (DSFA) nötig sein. Bei hohem Restrisiko muss der EDÖB konsultiert werden.
Für die meisten KMU-Einsätze (FAQ-Bot, Belegverarbeitung) ist das typischerweise nicht erforderlich. Aber bei sensiblen Daten (Gesundheit, Finanzen) lohnt sich eine kurze Prüfung.
Warum die Schweiz einen Vorteil hat
Drei Faktoren machen den Standort Schweiz attraktiv für den KI-Einsatz:
1. EU-Angemessenheit: Seit Januar 2024 bestätigt. Daten fliessen problemlos zwischen der Schweiz und der EU – kein bürokratischer Overhead.
2. Pragmatisches Gesetz: Das Schweizer DSG ist weniger restriktiv als die DSGVO. Automatisierte Entscheidungen sind erlaubt (mit Informationspflicht), kein obligatorischer Datenschutzbeauftragter, und die Bussgelder sind massvoll (max. CHF 250'000).
3. Lokale Infrastruktur: Schweizer Cloud-Anbieter ermöglichen Datenverarbeitung unter Schweizer Recht – ohne CLOUD-Act-Risiko.
Ein wichtiger Unterschied: Wer zahlt die Busse?
| Schweizer DSG | EU-DSGVO | |
|---|---|---|
| Busse richtet sich gegen | Die verantwortliche natürliche Person (z. B. CEO) | Das Unternehmen |
| Maximale Busse | CHF 250'000 | EUR 20 Mio. oder 4 % des Jahresumsatzes |
Das bedeutet: In der Schweiz trägt der Geschäftsführer persönlich Verantwortung. Ein Grund mehr, Datenschutz von Anfang an richtig zu machen.
Was kommt noch?
Die Schweiz steht nicht still:
- Im Februar 2025 hat der Bundesrat die Ratifizierung der Europaratskonvention zu KI und Menschenrechten angekündigt
- Ein Umsetzungsgesetz wird bis Ende 2026 erwartet
- Der Ansatz ist sektorspezifisch – für den öffentlichen Sektor strenger als für die Privatwirtschaft
Die Richtung ist klar: Mehr Regulierung kommt, aber fokussiert auf Hochrisiko-Anwendungen. Für typische KMU-Automatisierung ändert sich voraussichtlich wenig.
Checkliste: Ist Ihr KI-Projekt datenschutzkonform?
- Verarbeitet der Agent nur Daten, die für den Zweck nötig sind?
- Wissen Ihre Kunden, dass sie mit KI kommunizieren?
- Können Kunden eine menschliche Überprüfung verlangen?
- Haben Sie einen AVV mit Ihrem KI-Anbieter?
- Wissen Sie, wo die Daten verarbeitet werden (Schweiz/EU)?
- Werden Ihre Daten nicht zum Modell-Training verwendet?
- Ist ein «Human-in-the-Loop» für wichtige Entscheidungen eingebaut?
Wenn Sie alle sieben Punkte abhaken können, sind Sie auf einem guten Weg.
Fazit: Datenschutz ist kein Hindernis – sondern ein Qualitätsmerkmal
Die regulatorische Lage für KI-Agenten in der Schweiz ist klar und handhabbar. Die meisten KMU-Einsätze – Kundenanfragen, Belegverarbeitung, Datenabgleich – fallen unter minimales oder begrenztes Risiko.
Der Schlüssel: Transparenz, Verhältnismässigkeit und ein sauberer Auftragsverarbeitungsvertrag. Wer das von Anfang an einbaut, spart sich später Ärger – und schafft Vertrauen bei Kunden und Mitarbeitenden.
Unsicher, ob Ihr KI-Projekt die Anforderungen erfüllt? Wir prüfen das im Erstgespräch gemeinsam – kostenlos und unverbindlich.
