KI & DSGVO: Compliance-sicher in der Schweiz

KI vs. Datenschutz: Das Dilemma in der Ära des AI Act

Stellen Sie sich vor: Ein Mitarbeiter in Ihrem Schweizer KMU nutzt ChatGPT, um Kundendaten zu analysieren. E-Mail-Adressen, Namen und Kaufhistorie werden in den Prompt kopiert. Ein harmloser Klick, der jedoch weitreichende Konsequenzen haben kann. Diese sensiblen Informationen landen auf Servern, womöglich in den USA, ohne einen gültigen Auftragsverarbeitungsvertrag (AVV) und ohne die explizite Zustimmung Ihrer Kunden. Was vor einigen Jahren bereits ein Problem darstellte, wird im Jahr 2026 zu einem noch grösseren Compliance-Risiko, da sich die Regulierungslandschaft dramatisch verschärft hat.

Die Realität im Jahr 2026 ist, dass die Einhaltung von KI- und Datenschutzvorschriften nicht mehr eine separate, vierteljährliche Übung sein kann. Vielmehr muss sie als integraler Bestandteil des gesamten Workflows von der Erkennung bis zur Behebung von Cybersicherheitsvorfällen verankert werden. Automation und KI selbst müssen so gesteuert werden, dass sie jederzeit Rechenschaftspflicht gegenüber Aufsichtsbehörden und Vorständen demonstrieren können. Der europäische AI Act, der nun einheitliche Rechtsrahmen für vertrauenswürdige KI schafft, legt den Schwerpunkt auf Datenschutz und verlangt von Hochrisikosystemen die Einhaltung strenger Risikomanagement- und Überwachungspflichten. Dies bedeutet, dass die blosse Nutzung von KI ohne tiefgreifendes Verständnis der Datensouveränität und -verarbeitung einen unmittelbaren Verstoss gegen die DSGVO und das Schweizer Datenschutzgesetz (DSG) darstellt.

Die Konsequenzen sind nicht nur theoretisch: Bussgelder können bis zu CHF 250'000 nach dem Schweizer Datenschutzgesetz oder 4% des weltweiten Jahresumsatzes nach der DSGVO betragen. Darüber hinaus drohen Reputationsschäden und der Verlust des Kundenvertrauens, was den langfristigen Geschäftserfolg gefährden kann. Für global agierende Unternehmen, insbesondere im Finanzsektor, vervielfacht sich die Komplexität. Ein einziger Datenvorfall erfordert möglicherweise die gleichzeitige Meldung unter DORA (Digital Operational Resilience Act), DSGVO und nationalen Rahmenwerken, jeweils mit unterschiedlichen Formaten und Fristen, wie Quellen aus dem Jahr 2026 betonen [1].

Die 3 Compliance-Säulen in der KI-Ära

Um die Herausforderungen der KI-Nutzung und des Datenschutzes erfolgreich zu meistern, stützen sich Unternehmen auf drei fundamentale Säulen. Diese bilden das Gerüst für eine robuste, zukunftssichere und vor allem rechtskonforme KI-Strategie, die den Anforderungen des AI Act und anderer Regulierungen gerecht wird.

Säule 1: Tool-Wahl – Wo landen Ihre Daten?

Die Entscheidung für das richtige KI-Tool ist der erste und oft entscheidende Schritt zur Gewährleistung der Datensicherheit und -konformität. Die geografische Lage der Server, die Art der Datenverarbeitung und die rechtlichen Rahmenbedingungen des Anbieters spielen eine zentrale Rolle. Im Jahr 2026, mit dem Inkrafttreten des AI Act und der zunehmenden Bedeutung von Datensouveränität, ist diese Wahl komplexer denn je.

Die Erneuerung des Datenkerns hin zu anpassungsfähigen KI-Datenfoundries ist für Unternehmen im Jahr 2026 nicht mehr optional, sondern die Grundlage, um den Anforderungen gerecht zu werden [3]. Die Institutionen, die erfolgreich sein werden, sind jene, die verstehen, dass der Datenkern nicht nur ein Speicherort ist, sondern eine agile Infrastruktur, die für KI-Anwendungen optimiert und gleichzeitig datenschutzkonform ist. Die Wahl des richtigen Tools muss diese Vision widerspiegeln.

Säule 2: Prozess-Design – Human-in-the-Loop

Die Faszination der Künstlichen Intelligenz liegt in ihrer Fähigkeit zur Automatisierung und Entscheidungsfindung. Doch gerade bei der Verarbeitung personenbezogener oder geschäftskritischer Daten ist es im Jahr 2026 unerlässlich, den Menschen als letzte Instanz in den Entscheidungsprozess einzubinden. Der AI Act unterstreicht diese Notwendigkeit, indem er spezifische Anforderungen an die menschliche Aufsicht bei Hochrisiko-KI-Systemen stellt.

Die Integration von Compliance in den Erkennungs- und Behebungsprozess von Cybersicherheitsvorfällen, wie aktuelle Analysen für 2026 hervorheben, bedeutet, dass menschliche Aufsicht nicht nur eine nachträgliche Kontrolle ist, sondern ein aktiver Bestandteil des Systems. Dies gilt insbesondere für Situationen, in denen die KI weitreichende Entscheidungen mit potenziell schwerwiegenden Auswirkungen trifft. Die Regel "KI schlägt vor, Mensch entscheidet" ist hierbei die goldene Norm.

KI sollte niemals alleine entscheiden bei:

• **Personenbezogenen Daten:** Gemäss DSGVO Art. 22 sind automatisierte Einzelentscheidungen, die rechtliche Wirkung entfalten oder Personen in ähnlicher Weise erheblich beeinträchtigen, nur unter strengen Voraussetzungen zulässig und erfordern oft menschliches Eingreifen oder das Recht auf menschliche Überprüfung.
• **Vertragsabschlüssen, Kündigungen oder Ablehnungen:** KI kann Risiken identifizieren oder Entwürfe erstellen, die finale Entscheidung liegt jedoch immer beim Menschen, um Fairness, Transparenz und Rechtskonformität zu gewährleisten.
• **Kreditwürdigkeitsprüfungen oder Versicherungseinstufungen:** Hier sind die Auswirkungen auf das Individuum besonders hoch. Menschliche Überprüfung ist entscheidend, um Diskriminierung zu vermeiden und die Einhaltung von Finanzmarktregulierungen (wie DORA für Finanzdienstleister) sicherzustellen.

Die menschliche Intervention stellt sicher, dass die von der KI generierten Ergebnisse kritisch hinterfragt, auf ihre Korrektheit und Fairness überprüft und im Kontext der jeweiligen Situation angepasst werden können. Dies minimiert nicht nur rechtliche Risiken, sondern fördert auch das Vertrauen in die KI-Systeme.

Säule 3: Dokumentation – Die Nachweispflicht als Rückgrat der Compliance

In der komplexen Welt der KI und des Datenschutzes ist umfassende und präzise Dokumentation nicht nur eine bürokratische Pflicht, sondern das Rückgrat jeder Compliance-Strategie. Der AI Act und die DSGVO fordern eine transparente und nachvollziehbare Verarbeitung von Daten und den Einsatz von KI-Systemen. Für 2026 wird prognostiziert, dass Compliance nicht länger eine separate, vierteljährliche Übung sein darf, sondern automatisch als Nebenprodukt der Vorfallbehandlung generiert werden muss [1]. Dies erfordert eine tiefgreifende Integration von Dokumentationsprozessen in den Betriebsablauf.

Die Fähigkeit, Rechenschaftspflicht gegenüber Aufsichtsbehörden und Vorständen zu demonstrieren, hängt direkt von der Qualität und Verfügbarkeit Ihrer Dokumentation ab. Eine "adaptable AI data foundry" kann hierbei eine wichtige Rolle spielen, indem sie den Datenkern so gestaltet, dass er die Anforderungen an Transparenz und Nachvollziehbarkeit erfüllt [3].

Was Sie im Kontext der KI-Nutzung dokumentieren müssen:

1. **Verzeichnis der Verarbeitungstätigkeiten (DSGVO Art. 30):** Erweitern Sie dieses Verzeichnis um alle KI-gestützten Verarbeitungsvorgänge. Beschreiben Sie detailliert, welche Daten die KI verarbeitet, zu welchem Zweck, welche Kategorien von betroffenen Personen betroffen sind, wo die Daten gespeichert werden und welche Sicherheitsmassnahmen implementiert sind.
2. **Auftragsverarbeitungsverträge (AVV) mit allen KI-Anbietern:** Jeder externe KI-Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet, benötigt einen AVV. Dieser muss präzise regeln, welche Daten verarbeitet werden dürfen, wie die Datensicherheit gewährleistet wird, welche Subunternehmer eingesetzt werden und wie die Daten nach Beendigung des Vertrags behandelt werden. Stellen Sie sicher, dass EU-Standardvertragsklauseln enthalten sind, wo dies erforderlich ist.
3. **Datenschutz-Folgenabschätzung (DSFA) bei Hochrisiko-Einsatz (DSGVO Art. 35):** Wenn der Einsatz von KI voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt – beispielsweise bei der Verarbeitung sensibler Daten, grossflächiger Überwachung oder automatisierten Entscheidungen – ist eine DSFA zwingend. Diese muss potenzielle Risiken bewerten und Massnahmen zu deren Minderung aufzeigen. Der AI Act wird die Anforderungen an solche Risikobewertungen für Hochrisiko-KI-Systeme weiter präzisieren.
4. **Mitarbeiter-Schulungen und Guidelines:** Dokumentieren Sie, wann und wie Ihre Mitarbeiter im Umgang mit KI geschult wurden. Legen Sie klare Richtlinien fest, welche Daten in KI-Systeme eingegeben werden dürfen und welche nicht, und wie der "Human-in-the-Loop"-Prozess zu erfolgen hat. Diese Schulungen und internen Vorgaben sind entscheidend, um menschliche Fehler zu minimieren und die Einhaltung der Richtlinien im Alltag zu gewährleisten.
5. **Audit-Logs und Nachvollziehbarkeit:** Implementieren Sie Systeme, die die Interaktionen mit KI-Systemen protokollieren. Diese Audit-Logs sollten aufzeigen, welche Daten eingegeben wurden, welche Ergebnisse die KI geliefert hat und wann menschliche Entscheidungen getroffen wurden. Dies ist besonders wichtig für die Rechenschaftspflicht und die Fähigkeit, Compliance als Nebenprodukt der Incident-Behandlung zu generieren.

Eine lückenlose Dokumentation beweist nicht nur Ihre Compliance, sondern dient auch als wertvolle Ressource für interne Audits und die kontinuierliche Verbesserung Ihrer KI-Strategie.

Branchen-spezifische Anforderungen im Fokus 2026

Die allgemeingültigen Compliance-Säulen werden in spezifischen Branchen durch zusätzliche, oft strengere Vorschriften ergänzt. Im Jahr 2026 erfordern der AI Act, DORA und nationale Gesetze eine präzisere Anpassung der KI-Nutzung an die jeweiligen Sektor-Anforderungen.

Gesundheitswesen (KVG, HMG, AI Act)

Das Gesundheitswesen arbeitet mit den wohl sensibelsten Daten überhaupt. Patientendaten unterliegen höchsten Schutzanforderungen durch das Krankenversicherungsgesetz (KVG), das Heilmittelgesetz (HMG) und die DSGVO/DSG. Der AI Act wird zudem spezifische Anforderungen an KI-Systeme stellen, die als Medizinprodukte eingestuft werden oder im Gesundheitsbereich als Hochrisiko-KI-Systeme gelten [4].

• Anforderung: Patientendaten müssen in der Schweiz oder in der EU auf Servern verarbeitet werden, die höchsten Sicherheitsstandards genügen. Eine Übermittlung in Drittstaaten, auch mit DPF, ist bei besonders schützenswerten Daten oft kritisch zu prüfen und meist nur mit expliziter Einwilligung und zusätzlichen Massnahmen möglich.
• Lösung: Infomaniak EURIA oder Self-Hosted LLMs auf Schweizer Servern sind hier die bevorzugte Wahl. Diese bieten die grösstmögliche Kontrolle über die Daten.
• Use Case: Die Zusammenfassung von Arztbriefen oder die Unterstützung bei Diagnosen durch KI-Modelle. Hierbei ist entscheidend, dass die KI lediglich Vorschläge generiert ("KI schreibt"), die abschliessende Prüfung, Korrektur und Freigabe jedoch immer durch den Arzt erfolgt ("Arzt prüft"). Die Forschung zeigt "vorsichtigen Optimismus bei Grundmodellen in der medizinischen Bildgebung, die Datenschutz und Innovation in Einklang bringen" [4], was die Notwendigkeit von spezialisierten, datenschutzkonformen Lösungen unterstreicht.

Die Einhaltung dieser Vorgaben ist nicht nur rechtlich bindend, sondern auch ethisch von grösster Bedeutung, um das Vertrauen der Patienten zu wahren.

Finanzdienstleister (FINMA, DORA, AI Act)

Die Finanzbranche ist durch die Eidgenössische Finanzmarktaufsicht (FINMA) und internationale Vorschriften wie DORA (Digital Operational Resilience Act) und den AI Act stark reguliert. Transparenz, Nachvollziehbarkeit, Risikokontrollen und die Meldepflicht bei Vorfällen stehen im Vordergrund. Für globale Finanzgruppen multipliziert sich die Komplexität, da ein einziger Vorfall die gleichzeitige Meldung unter DORA, DSGVO und nationalen Rahmenwerken erfordern kann, jeweils mit unterschiedlichen Formaten und Fristen [1].

• Anforderung: Höchste Standards bei der Datenintegrität, Sicherheit und Nachvollziehbarkeit. KI-Systeme müssen so konzipiert sein, dass ihre Entscheidungswege transparent und auditierbar sind.
• Lösung: Der Einsatz von EU-gehosteten LLMs in Kombination mit umfassenden Audit-Logs und strikten Human-Freigabeprozessen ist hier essenziell. Die Möglichkeit, jeden Schritt der KI-gestützten Verarbeitung nachzuvollziehen, ist ein Muss.
• Use Case: KI-gestützte Betrugserkennung (Fraud Detection). Die KI erkennt Anomalien in Transaktionsmustern und schlägt potenzielle Betrugsfälle vor ("KI erkennt Anomalien"). Die endgültige Überprüfung und Entscheidung über Massnahmen obliegt jedoch immer der Compliance-Abteilung oder einem spezialisierten Analysten ("Compliance prüft"). Dies ist entscheidend, um Fehlentscheidungen zu vermeiden und die regulatorischen Anforderungen an die Entscheidungsfindung zu erfüllen.

Die Integration von Compliance in den Erkennungs- und Behebungsworkflow von Cybersicherheitsoperationen ist für Finanzdienstleister im Jahr 2026 von entscheidender Bedeutung, um die Rechenschaftspflicht gegenüber Regulierungsbehörden und Vorständen zu gewährleisten.

Anwälte & Treuhänder (Berufsgeheimnis, Mandantenvertraulichkeit)

Für Anwälte und Treuhänder ist das Berufsgeheimnis und die Mandantenvertraulichkeit das höchste Gut. Verstösse können nicht nur rechtliche Konsequenzen haben, sondern auch die berufliche Existenz gefährden. Die Nutzung von KI-Tools muss daher extrem vorsichtig und unter strikter Einhaltung dieser Prinzipien erfolgen.

• Anforderung: Absolute Vertraulichkeit und Schutz der Klientendaten. Die Daten dürfen keinesfalls in die Hände Dritter gelangen oder für das Training von KI-Modellen verwendet werden.
• Lösung: Schweizer Hosting oder EU-Hosting mit strikter Datentrennung und der Gewissheit, dass die Daten nicht für das Training der Modelle verwendet werden. Self-Hosted LLMs sind hier oft die sicherste Option.
• Use Case: Vertragsanalyse. Eine KI kann grosse Mengen an Verträgen durchsuchen, um Risikoklauseln, Inkonsistenzen oder fehlende Informationen zu identifizieren ("KI markiert Risiken"). Die abschliessende rechtliche Bewertung, Beratung und Entscheidung über das weitere Vorgehen trifft jedoch stets der Anwalt oder Treuhänder ("Anwalt entscheidet").

Die Auswahl des richtigen KI-Tools und die Implementierung robuster Prozesse sind hier entscheidend, um das Vertrauen der Mandanten zu erhalten und berufsrechtliche Standards zu erfüllen.

Praxis-Checkliste: Ist Ihr KI-Einsatz compliant im Jahr 2026?

Die rasante Entwicklung der KI und die sich ständig ändernde Rechtslage erfordern eine kontinuierliche Überprüfung und Anpassung Ihrer Compliance-Strategie. Nutzen Sie diese Checkliste, um den aktuellen Status Ihres KI-Einsatzes zu bewerten und potenzielle Risiken zu identifizieren.

1. Datenfluss dokumentieren und verstehen

• Welche Daten verarbeitet die KI? Erfassen Sie präzise, ob es sich um Namen, E-Mails, Finanzdaten, Gesundheitsinformationen oder andere sensible Daten handelt. Eine genaue Klassifizierung ist der erste Schritt zur Risikobewertung.
• Wo landen die Daten? Identifizieren Sie die geografische Speicherung der Daten (USA, EU, Schweiz). Dies ist entscheidend für die Beurteilung der anwendbaren Datenschutzgesetze und der Notwendigkeit von Transfermechanismen wie dem DPF oder Standardvertragsklauseln.
• Wer hat Zugriff? Klären Sie, welche Parteien ausser Ihrem Unternehmen Zugriff auf die Daten haben (KI-Anbieter, deren Subunternehmer, Dritte). Jeder Zugriffspunkt muss datenschutzrechtlich abgesichert sein.

2. Auftragsverarbeitungsverträge (AVV) prüfen und abschliessen

• Haben Sie mit jedem KI-Anbieter einen gültigen AVV? Ein AVV ist zwingend erforderlich, sobald ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet. Ohne AVV agieren Sie datenschutzrechtlich in einem Graubereich mit hohem Bussgeldrisiko.
• Steht im AVV alles Notwendige? Überprüfen Sie, ob der AVV Regelungen zur Datenlöschung, eine Liste der Subunternehmer des KI-Anbieters und gegebenenfalls die EU-Standardvertragsklauseln enthält, um die Datenübermittlung in Drittländer abzusichern.

3. Mitarbeiter schulen und klare Guidelines etablieren

• Wissen alle Mitarbeiter, welche Daten NICHT in ChatGPT oder ähnliche Tools gehören? Regelmässige und verständliche Schulungen sind unerlässlich, um das Bewusstsein für Datenschutzrisiken zu schärfen.
• Gibt es klare, schriftliche Guidelines? Eine kurze, einseitige Checkliste mit Do's und Don'ts (z.B. "Keine Kundennamen, nur anonymisierte Daten in öffentliche KI-Tools eingeben") kann Missverständnisse vermeiden und die Einhaltung fördern.

4. Human-in-the-Loop sicherstellen und dokumentieren

• Trifft die KI jemals Entscheidungen ohne menschliche Freigabe? Wenn ja, müssen Sie dies kritisch hinterfragen. Im Jahr 2026 und unter dem AI Act ist die menschliche Aufsicht bei Entscheidungen mit rechtlicher Wirkung oder erheblicher Beeinträchtigung zwingend.
• Falls ja: Führen Sie eine Datenschutz-Folgenabschätzung (DSFA) durch und informieren Sie die betroffenen Kunden transparent über die automatisierte Entscheidungsfindung sowie deren Rechte.

Weiterführende Ressourcen

• EDÖB Schweiz - Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
• schnellstart.ai Compliance-Beratung - Unterstützung bei der Integration und Auditierung von KI-Systemen
• lhubertreuhand.ch - Expertise für DSGVO-konforme Treuhand-Prozesse und Datenschutzberatung
• TNW | The heart of tech - Why 2026 will be the year of governed cybersecurity AI [1]
• Nature - Cautious optimism on foundation models in medical imaging balancing privacy and innovation [4]

Über schnellstart.ai: Wir unterstützen Schweizer KMU dabei, die Möglichkeiten der Künstlichen Intelligenz verantwortungsvoll und gesetzeskonform zu nutzen – von der strategischen Tool-Wahl über die Implementierung von AVVs bis hin zur Durchführung umfassender Datenschutz-Audits. Unser Ziel ist es, Ihnen zu helfen, die Chancen der KI sicher zu ergreifen.