Muss ich für jedes KI-System eine DSFA erstellen?

Nicht für jedes. Eine DSFA ist Pflicht, wenn die KI-Verarbeitung ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen mit sich bringt - z.B. bei automatisierter Entscheidungsfindung im HR oder Kreditwesen.

Darf ich Kundendaten zum Training von KI-Modellen verwenden?

Nur auf einer gültigen Rechtsgrundlage. In der Praxis setzen wir auf Anonymisierung der Trainingsdaten oder arbeiten mit synthetischen Daten. Bei personalisierten KI-Lösungen ist eine explizite Einwilligung oder ein berechtigtes Interesse erforderlich.

Was passiert bei einem Verstoss gegen das revDSG?

Bei vorsätzlichen Verstössen drohen Bussen bis CHF 250'000 gegen verantwortliche Privatpersonen. Zusätzlich kann der EDÖB Verfügungen erlassen und die Datenverarbeitung einschränken oder verbieten.

Compliance

RevDSG und KI: So navigieren Sie rechtssicher durch die Regulierung

Von Marina Nerandzic

29. Januar 2026

3 min Lesezeit

RevDSG und KI: So navigieren Sie rechtssicher durch die Regulierung

Seit dem 1. September 2023 gilt das revidierte Datenschutzgesetz (revDSG) in der Schweiz. Für Unternehmen, die KI-Systeme einsetzen oder planen, ergeben sich daraus spezifische Anforderungen. Dieser Leitfaden zeigt, was Sie beachten müssen.

Was ist das revDSG?

Das revidierte Datenschutzgesetz ist die Schweizer Antwort auf die DSGVO. Es stärkt die Rechte der betroffenen Personen, verschärft die Informationspflichten und führt hohe Bussgelder bei Verstössen ein. Für KI-Projekte besonders relevant: die Transparenzanforderungen bei automatisierten Einzelentscheidungen.

Wesentliche Neuerungen gegenüber dem alten DSG:

Erweiterte Informationspflicht bei der Beschaffung von Personendaten
Privacy by Design und Privacy by Default als Pflicht
Pflicht zur Datenschutz-Folgenabschätzung (DSFA) bei hohem Risiko
Meldepflicht bei Datenschutzverletzungen an den EDÖB
Bussen bis CHF 250'000 bei vorsätzlichen Verstössen

Warum ist das revDSG für KI besonders relevant?

KI-Systeme verarbeiten grosse Mengen an Daten, häufig auch Personendaten. Machine-Learning-Modelle werden auf historischen Daten trainiert und treffen automatisierte Entscheidungen. Beides berührt zentrale Bereiche des Datenschutzrechts.

Besonders heikel sind KI-Anwendungen in Bereichen wie HR (Bewerbungsauswahl), Kreditwürdigkeit, Versicherungsrisikobewertung und Kundenprofilierung. Hier kann eine automatisierte Entscheidung direkte Auswirkungen auf Personen haben.

5 zentrale Anforderungen für KI-Projekte

1. Transparenz und Informationspflicht

Betroffene Personen müssen wissen, dass ein KI-System ihre Daten verarbeitet. Informieren Sie aktiv über den Einsatz von KI, die verarbeiteten Datenarten und den Zweck der Verarbeitung. Dies gilt auch für bestehende Systeme, die nachträglich mit KI erweitert werden.

2. Zweckbindung und Datenminimierung

KI-Modelle dürfen nur mit Daten trainiert werden, die für den definierten Zweck erhoben wurden. Vermeiden Sie die Verwendung von Kundendaten für Trainingszwecke ohne explizite Grundlage. Setzen Sie auf Anonymisierung und synthetische Daten, wo immer möglich.

3. Datenschutz-Folgenabschätzung

Bei KI-Projekten mit hohem Risiko ist eine DSFA Pflicht. Dokumentieren Sie die Risiken systematisch: Welche Personendaten werden verarbeitet? Welche automatisierten Entscheidungen werden getroffen? Welche Auswirkungen haben diese auf Betroffene?

4. Recht auf Erklärung automatisierter Entscheidungen

Betroffene Personen haben das Recht, eine Erklärung zu verlangen, wenn eine automatisierte Einzelentscheidung sie erheblich betrifft. Stellen Sie sicher, dass Ihre KI-Systeme nachvollziehbare Entscheidungen treffen oder ein menschlicher Reviewprozess vorgeschaltet ist.

5. Datenhaltung in der Schweiz

Das revDSG stellt hohe Anforderungen an Datenübermittlungen ins Ausland. Für KI-Projekte bedeutet das: Bevorzugen Sie Schweizer Cloud-Anbieter und stellen Sie sicher, dass Trainingsdaten und Modelle in der Schweiz gehostet werden.

Praktische Umsetzung: Schritt für Schritt

Bestandsaufnahme: Erfassen Sie alle KI-Systeme und die verarbeiteten Personendaten
Risikoanalyse: Bewerten Sie jedes System nach Datenart, Entscheidungsauswirkung und Betroffenenkreis
DSFA durchführen: Für Hochrisiko-Systeme eine formale Folgenabschätzung erstellen
Informationspflicht umsetzen: Datenschutzerklärung aktualisieren, KI-Nutzung transparent kommunizieren
Technische Massnahmen: Swiss Hosting, Verschlüsselung, Zugangskontrolle implementieren

Checkliste für revDSG-konforme KI

Datenschutzerklärung deckt KI-Verarbeitung ab
DSFA für Hochrisiko-KI-Systeme vorhanden
Verarbeitungsverzeichnis enthält alle KI-Systeme
Trainingsdaten anonymisiert oder auf gültiger Rechtsgrundlage
Datenverarbeitung in der Schweiz oder in Ländern mit adäquatem Schutz
Menschlicher Reviewprozess bei automatisierten Entscheidungen definiert

Fazit

Das revDSG ist kein Hindernis für KI-Projekte, sondern ein Qualitätsmerkmal. Unternehmen, die von Anfang an datenschutzkonform arbeiten, schaffen Vertrauen bei Kunden und Partnern. Mit der richtigen Planung ist revDSG-konforme KI-Automatisierung effizient umsetzbar.

Nächster Schritt: Potenzial berechnen

ROI-Rechner

Berechnen Sie in 60 Sekunden, wie viel Ihr KMU durch KI-Automatisierung einsparen kann.

Einsparpotenzial berechnen →

AI-Readiness-Check

Finden Sie in 3 Minuten heraus, wie KI-bereit Ihr Unternehmen ist - mit individueller Roadmap.

Readiness prüfen →