Ist KI datenschutzkonform (DSG)?

Ja — für die grosse Mehrheit der Schweizer KMU lässt sich KI sauber DSG-konform umsetzen: durch Auftragsverarbeitungsverträge, europäische oder lokale Sprachmodelle und eine bewusste Tool-Auswahl. Bei besonders schützenswerten Daten — etwa in Anwaltskanzleien oder Arztpraxen — kommunizieren wir offen, auf welche Tools verzichtet wird.

Wie läuft ein KI-Projekt konkret ab?

Drei Schritte: Ich schaue mir den Betrieb an (Standortbestimmung, schriftlich), wir bauen es gemeinsam auf deine Abläufe, ich übergebe es deinem Team. Kein Dauervertrag dazwischen.

Was automatisierst du bewusst nicht?

Das Verkaufsgespräch, die Reklamation, alles wo der Ton über den Auftrag entscheidet. Ein Bot, der hier „mitredet“, spart dir keine Zeit, er kostet dich Kunden. Diese Grenze ist Teil meiner Empfehlung, nicht das Kleingedruckte.

Datenschutz & DSG

KI und Datenschutz (DSG): Was Schweizer KMU wissen müssen

Q: Wie steht es um den Datenschutz — DSG?

Sobald Kundenanfragen mit Namen und Anliegen verarbeitet werden, sind das Personendaten nach dem revidierten DSG. Heisst: Bearbeitung in der Schweiz oder EU, klare Zweckbindung, kein Mittraining fremder Modelle mit deinen Daten. Ein generischer SaaS-Bot, der die Daten irgendwohin schickt, ist hier oft das eigentliche Risiko.

Q: Wie ist das mit dem Datenschutz, Stichwort DSG?

Sobald Kunden- oder Mitarbeiterdaten im Spiel sind, greift das revidierte DSG: Bearbeitung in der Schweiz oder EU, klare Zweckbindung, kein Mittraining fremder Modelle mit deinen Daten. Das ist kein Grund, es zu lassen — aber ein Grund, es von Anfang an richtig aufzusetzen statt nachträglich zu flicken.

20. Mai 2026·5 Min. Lesezeit

Datenschutz ist der häufigste Einwand wenn es um KI geht. Oft aus Unsicherheit — nicht weil es wirklich ein Problem wäre.

Der Reflex ist verständlich: Wer als Inhaber für Kundendaten verantwortlich ist, will nichts falsch machen — schon gar nicht, wenn „KI“ nach Black Box klingt. Aber zwischen dem berechtigten Anspruch, sauber zu arbeiten, und dem pauschalen „das geht doch nicht wegen DSG“ liegt ein grosser Unterschied. Im einen Fall macht man es richtig. Im anderen verzichtet man auf einen Hebel, der einem zusteht.

Für die meisten KMU ist DSG kein Hindernis

Wer KI-Tools korrekt einsetzt, kann DSG-konform arbeiten. Der wichtigste Schritt ist ein Auftragsverarbeitungsvertrag (AVV) mit dem jeweiligen Anbieter — dieser regelt, wie Daten verarbeitet werden und wer dafür verantwortlich ist. Die meisten grossen Anbieter stellen AVVs zur Verfügung.

Konkret bedeutet das: Wenn deine KI Kundennamen, Anliegen und Telefonnummern verarbeitet, hast du im Hintergrund einen Vertrag, der festhält, was der Anbieter darf und was nicht. Die zentralen Punkte sind fast immer dieselben — Bearbeitung in der Schweiz oder EU, klare Zweckbindung, kein Mittraining fremder Modelle mit deinen Daten — und sie sind heute Standard, nicht Sonderwunsch. Wer das beim Einrichten beachtet, hat den grössten Teil der Hausaufgaben erledigt.

Wenn Daten besonders schützenswert sind

Für Anwaltskanzleien, Arztpraxen oder Betriebe mit besonders sensiblen Kundendaten gelten strengere Anforderungen. Dort wird die Tool-Auswahl angepasst — europäische oder lokal betriebene Sprachmodelle, die keine Daten ausserhalb der Schweiz oder der EU verarbeiten. Das schränkt manchmal den Funktionsumfang ein, ist aber machbar.

Für eine Hausverwaltung, die mit Mieter- und Eigentümerdaten arbeitet, gelten andere Massstäbe als für ein Coiffeurgeschäft, das Terminanfragen entgegennimmt. Für eine Anwaltskanzlei oder Arztpraxis sind sie nochmals strenger. Das heisst nicht, dass KI dort ausgeschlossen ist — es heisst, dass die Tool-Auswahl an die Anforderung angepasst werden muss, statt umgekehrt. Manchmal verzichtet man auf einen bequemen Cloud-Dienst zugunsten einer lokal oder europäisch betriebenen Lösung; manchmal lässt man einzelne Funktionen weg. Was möglich ist, hängt am Datentyp — nicht an „KI ja oder nein“.

Was das in der Praxis bedeutet

Jede Lösung wird von Anfang an mit Blick auf Datenschutz konzipiert. Welche Daten fliessen wohin, welche Tools kommen zum Einsatz, wo braucht es einen AVV — das wird vor dem Aufbau geklärt, nicht nachher.

Konkret heisst das: Die Frage „wo fliessen welche Daten hin“ steht vor der Frage „welches Tool benutzen wir“. Eine KI, die sauber konzipiert ist, verarbeitet nur, was sie verarbeiten muss; Daten, die nicht gebraucht werden, werden gar nicht erst erhoben. Das ist nicht nur DSG, das ist gute Architektur — und es ist viel einfacher, wenn man es von Anfang an so anlegt, als wenn man es nachträglich aus einer fertigen Lösung herausoperieren muss.

Wer das nicht von Anfang an mitdenkt, baut sich später ein zweites Problem ein: nicht nur, dass es technisch hakt, sondern dass jeder Anpassungsschritt zur Rechtsfrage wird. Das ist einer der Punkte, an denen KI-Projekte schleichend zum Erliegen kommen — siehe Warum KI-Einführungen im Kleinbetrieb scheitern. Genau deshalb gehört Datenschutz in den Bau, nicht in den Anhang.

Die ehrliche Einschätzung

DSG ist lösbar. Wer mit dem Argument „Datenschutz“ KI pauschal ablehnt, verzichtet auf Effizienz ohne echten Schutzgewinn. Wer es sauber umsetzt, hat beides.

Die Frage ist also nicht, ob KI im Schweizer KMU datenschutzkonform möglich ist — sie ist es —, sondern wie genau das in deinem Betrieb aussieht. Welche Tools kommen in Frage, wo braucht es einen AVV, wo wird bewusst auf etwas verzichtet, weil die Datenart es verlangt. Diese Entscheidungen treffen sich nicht aus dem Bauch heraus, sondern mit Blick auf konkrete Abläufe — und genau das gehört in eine seriöse Vorbereitung.

Der nächste Schritt

Wenn du wissen willst, wie DSG bei dir konkret aussieht — welche Tools in Frage kommen, wo ein AVV nötig ist, was bewusst weggelassen wird — ist genau das Teil dessen, was in einer Standortbestimmung schriftlich geklärt wird. Vor dem Bau, nicht erst danach.

Wie das in deinem Betrieb aussähe, klären wir am besten in einer kurzen Mail. Antwort innerhalb eines Werktags, von mir persönlich. Wer das baut, steht auf Über mich.