flossels.ch
«InsightsDatenschutz & KI

Datenschutzkonforme KI in der Schweiz: was das nDSG verlangt

Das revidierte Datenschutzgesetz (revDSG, oft nDSG genannt) gilt seit 2023, und viele Unternehmen zögern bei KI aus Sorge, es zu verletzen. Die gute Nachricht: KI und Datenschutz sind kein Widerspruch. Entscheidend ist, wie Daten verarbeitet werden, wo die Modelle laufen und was protokolliert wird.

KI und Datenschutz sind kein Widerspruch

Viele Unternehmen zögern bei KI aus Sorge, das revidierte Datenschutzgesetz zu verletzen. Die Sorge ist verständlich, aber sie führt oft zur teuersten aller Reaktionen: gar nichts zu tun und den Nutzen ganz liegen zu lassen.

Dabei sind KI und Datenschutz kein Widerspruch. Es kommt darauf an, wie Daten verarbeitet werden, wo die Modelle laufen und was protokolliert wird. Wer diese drei Fragen sauber beantwortet, kann KI produktiv nutzen und trotzdem regelkonform bleiben.

Wichtig zu wissen: Das Gesetz verbietet KI nicht. Es verlangt Sorgfalt, und Sorgfalt lässt sich planen, gerade wenn man sie von Anfang an mitdenkt, statt am Ende nachzurüsten.

Was das revDSG konkret verlangt

Das revidierte Datenschutzgesetz, revDSG oder oft nDSG genannt, gilt seit dem 1. September 2023 und ist eng an die europäische DSGVO angelehnt. Es verlangt eine Rechtsgrundlage für die Bearbeitung, Transparenz gegenüber betroffenen Personen, Datensparsamkeit, angemessene Sicherheit sowie Privacy by Design und Privacy by Default.

Dazu kommen konkrete Pflichten: ein Verzeichnis der Bearbeitungstätigkeiten, unter Umständen eine Datenschutz-Folgenabschätzung bei hohem Risiko und die Meldung von Datenschutzverletzungen an den EDÖB, den eidgenössischen Datenschutzbeauftragten. Betroffene haben Rechte auf Auskunft, Berichtigung und Löschung.

Der Rahmen hat Zähne: Bei vorsätzlichen Verletzungen, etwa von Informations- oder Sorgfaltspflichten, drohen Geldstrafen von bis zu CHF 250'000, und zwar gegen die verantwortliche Person, nicht nur das Unternehmen. Das Gesetz gilt zudem extraterritorial, also auch für Anbieter im Ausland, deren Bearbeitung sich in der Schweiz auswirkt.

Der kritische Punkt: wo laufen die Modelle?

Viele KI-Dienste senden Daten an Server in anderen Ländern, oft in die USA. Das ist nicht automatisch verboten, aber es braucht eine saubere Grundlage. Seit dem 15. September 2024 gilt hier eine wichtige Erleichterung: Der Bundesrat hat den USA über das Swiss-US Data Privacy Framework eine angemessene Datenschutz-Ausstattung zuerkannt.

Praktisch bedeutet das: An US-Unternehmen, die unter diesem Framework zertifiziert sind, dürfen Personendaten ohne zusätzliche Schutzvorkehrungen übermittelt werden. An nicht zertifizierte Anbieter braucht es weiterhin Standardvertragsklauseln und eine Risikoabschätzung des Transfers.

Der sicherste Weg für sensible Daten bleibt trotzdem EU- oder CH-Hosting. Dann bleibt die Verarbeitung in einem Rechtsraum, dessen Regeln du kennst, und viele heikle Transferfragen stellen sich gar nicht erst.

Pseudonymisierung als wirksamster Hebel

Der wirksamste technische Hebel überhaupt ist, Personendaten zu pseudonymisieren, bevor ein Modell sie überhaupt sieht. Namen, Adressen und andere identifizierende Angaben werden durch Platzhalter ersetzt; das Modell arbeitet mit dem Inhalt, nicht mit der Identität.

Das zahlt direkt auf zwei Kernforderungen des Gesetzes ein: Datensparsamkeit und angemessene technische Sicherheit. Du bekommst den Nutzen der KI, ohne dass echte Personendaten unnötig durch fremde Systeme laufen.

Nach der Verarbeitung lassen sich die Platzhalter kontrolliert wieder zuordnen, dort, wo es gebraucht wird. So bleibt der Nutzen erhalten, ohne dass Rohdaten unkontrolliert das Unternehmen verlassen, und Datenschutz wird vom Bremsklotz zu einer Eigenschaft des Systems.

Wie es in der Praxis aussieht, und was du zuerst klären solltest

Zusammengesetzt sieht datenschutzkonforme KI so aus: Personendaten werden vor der Verarbeitung pseudonymisiert, Modelle laufen in EU- oder CH-Rechenzentren, Zugriffe sind protokolliert, und es gibt klare Regeln, welche Daten wie lange gespeichert werden. Genau nach diesen Prinzipien ist Gardeo gebaut, unser eigenes KI-SaaS: nDSG- und DSGVO-konform, mit automatischer Pseudonymisierung, EU-Hosting und Zugang zu über 20 Modellen.

Wir kennen die Fragen von Aufsicht und IT-Sicherheit also nicht aus Folien, sondern aus dem täglichen Produktivbetrieb. Was wir empfehlen, setzen wir selbst um, jeden Tag, mit echten Nutzern und echten Daten.

Bevor du ein KI-Projekt startest, kläre drei Dinge: Welche Personendaten sind im Spiel? Wo dürfen sie verarbeitet werden? Und wer hat Zugriff auf die Ergebnisse? Ein kurzes KI-Potenzial- und Datenschutz-Audit beantwortet das früh, und Datenschutz früh zu klären ist deutlich günstiger, als eine fertige Lösung nachträglich konform zu machen.

Planen wir dein Projekt.

Jedes erfolgreiche Projekt beginnt mit Klarheit. Buche ein kurzes Gespräch: kein Verkaufsgespräch, sondern eine ehrliche Einschätzung deiner Idee.