Darf ich ChatGPT für Kundendaten nutzen?

Ja, ABER: 1) Enterprise-Plan nutzen (nicht Free/Plus - die haben keine AVV-Option), 2) AVV mit OpenAI abschliessen, 3) Keine hochsensiblen Daten (Gesundheit, Finanzen) ohne Anonymisierung, 4) Kunden informieren (falls KI Entscheidungen trifft). Für sensible Branchen: Lieber EU/CH-Alternativen (Claude EU, Infomaniak EURIA).

Was ist ein AVV und brauche ich einen?

AVV = Auftragsverarbeitungsvertrag. Pflicht (DSGVO Art. 28), wenn ein Dienstleister (z.B. OpenAI, Google) personenbezogene Daten für Sie verarbeitet. Inhalt: Datenschutz-Massnahmen, Subunternehmer-Liste, Löschpflichten. Die meisten KI-Anbieter bieten AVVs an (Enterprise-Pläne) - einfach anfordern und unterschreiben.

Sind Open-Source-LLMs automatisch DSGVO-konform?

Nein! Auch Self-Hosted LLMs (Llama, Mistral) müssen DSGVO-konform betrieben werden: EU/CH-Server, sichere Infrastruktur, Zugriffskontrolle, Logs. Vorteil: Volle Datenkontrolle (nichts verlässt Ihr System). Nachteil: Sie sind verantwortlich für Security, Updates, Backups.

Was ist der EU AI Act und betrifft er die Schweiz?

EU AI Act (ab 2025): Reguliert KI-Systeme nach Risiko (minimal, begrenzt, hoch, unakzeptabel). Hochrisiko (z.B. Kredit-Scoring, Bewerbungsauswahl): Strenge Auflagen. Schweiz ist NICHT direkt betroffen, aber: Wenn Sie mit EU-Kunden arbeiten oder EU-Daten verarbeiten, müssen Sie compliant sein.

KI & DSGVO: Compliance-sicher in der Schweiz

KI vs. Datenschutz: Das Dilemma

Szenario: Sie nutzen ChatGPT, um Kundendaten zu analysieren. Ein Mitarbeiter kopiert E-Mail-Adressen, Namen, Kaufhistorie in den Prompt.

Problem: Diese Daten landen auf OpenAI-Servern in den USA. Ohne AVV. Ohne Kundenzustimmung. DSGVO-Verstoss.

Konsequenz: Bussgelder bis CHF 250'000 (DSG) bzw. 4% Jahresumsatz (DSGVO).

Die gute Nachricht:

Mit den richtigen Tools und Prozessen können Sie KI datenschutzkonform nutzen - auch in regulierten Branchen.

Die 3 Compliance-Säulen

Säule 1: Tool-Wahl - Wo landen Ihre Daten?

3 Optionen:

Option A: US-Tools mit Data Privacy Framework

OpenAI ChatGPT (seit Sept. 2024 zertifiziert)
Anthropic Claude (EU-Datenzentren verfügbar)
Google Gemini (Multi-Region-Support)
Voraussetzung: AVV abschliessen, Enterprise-Plan, keine sensiblen Daten

Option B: EU-gehostete Tools

Aleph Alpha (Deutschland)
Mistral AI (Frankreich)
Vorteil: DSGVO-Compliance out-of-the-box
Nachteil: Teilweise teurer, weniger Features

Option C: Schweizer Hosting (höchste Sicherheit)

Infomaniak EURIA (Schweizer LLM)
Custom-Deployment via schnellstart.ai (Self-Hosted LLMs)
Ideal für: Gesundheit, Finanzen, Anwälte

Säule 2: Prozess-Design - Human-in-the-Loop

Nie KI alleine entscheiden lassen bei:

Personenbezogenen Daten (DSGVO Art. 22 - automatisierte Einzelentscheidungen)
Vertragsabschlüssen, Kündigungen, Ablehnungen
Kreditwürdigkeitsprüfungen, Versicherungseinstufungen

Regel: KI schlägt vor, Mensch entscheidet.

Säule 3: Dokumentation - Nachweispflicht

Was Sie dokumentieren müssen:

Verzeichnis der Verarbeitungstätigkeiten (DSGVO Art. 30)
Auftragsverarbeitungsverträge (AVV) mit allen KI-Anbietern
Datenschutz-Folgenabschätzung (DSFA) bei Hochrisiko-Einsatz
Mitarbeiter-Schulungen (wann dürfen sie KI nutzen, wann nicht?)

Branchen-spezifische Anforderungen

Gesundheitswesen (KVG, HMG)

Anforderung: Patientendaten nur auf Schweizer Servern
Lösung: Infomaniak EURIA, Self-Hosted LLMs
Use Case: Arztbriefe zusammenfassen (KI schreibt, Arzt prüft)

Finanzdienstleister (FINMA)

Anforderung: Transparenz, Nachvollziehbarkeit, Risikokontrollen
Lösung: EU-LLMs + Audit-Logs + Human-Freigabe
Use Case: Fraud Detection (KI erkennt Anomalien, Compliance prüft)

Anwälte & Treuhänder

Anforderung: Berufsgeheimnis, Mandantenvertraulichkeit
Lösung: Schweizer Hosting oder EU mit strikter Datentrennung
Use Case: Vertragsanalyse (KI markiert Risiken, Anwalt entscheidet)

Praxis-Checkliste: Ist Ihr KI-Einsatz compliant?

1. Datenfluss dokumentieren

Welche Daten verarbeitet die KI? (Namen, E-Mails, sensible Infos?)
Wo landen die Daten? (USA, EU, Schweiz?)
Wer hat Zugriff? (KI-Anbieter, Subunternehmer?)

2. AVV prüfen

Haben Sie mit jedem KI-Anbieter einen AVV?
Steht drin: Datenlöschung, Subunternehmer-Liste, EU-Standardvertragsklauseln?

3. Mitarbeiter schulen

Wissen alle, welche Daten NICHT in ChatGPT gehören?
Gibt es klare Guidelines? (z.B. "Keine Kundennamen, nur anonymisierte Daten")

4. Human-in-the-Loop sicherstellen

Trifft KI jemals Entscheidungen ohne menschliche Freigabe?
Falls ja: DSFA durchführen + Kunden informieren

Ihre nächsten Schritte:

Datenfluss für Ihre KI-Tools dokumentieren (30 Min mit ChatGPT/Claude)
AVVs mit allen Anbietern prüfen (falls fehlend: anfordern)
Mitarbeiter-Guidelines erstellen (1-seitige Checkliste reicht)
Falls Hochrisiko-Bereich: DSFA durchführen (lassen) oder Datenschutzberater einbeziehen

Weiterführende Ressourcen

EDÖB Schweiz - Datenschutzbeauftragter
schnellstart.ai Compliance-Audit
lhubertreuhand.ch - DSGVO-konforme Treuhand-Prozesse

Über schnellstart.ai: Wir helfen Schweizer KMU, KI compliant einzusetzen - von der Tool-Wahl über AVVs bis zum Datenschutz-Audit.