Warum das revDSG für KI relevant ist
Der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) hat im Update 2024 klargestellt: das revidierte Datenschutzgesetz ist technologieneutral und damit ohne separate Anpassungen auf KI-Verarbeitungen anwendbar. Personendaten — also Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen — fallen unter das revDSG, sobald sie automatisiert verarbeitet werden. Eine KI-Anfrage an OpenAI mit einer Mail eines Kunden enthält Personendaten. Eine Belegerfassung mit Lieferanten-Daten enthält Personendaten. Ein Voice-Agent, der Anrufer-Stimmen verarbeitet, enthält Personendaten — und ggf. biometrische Daten als besonders schützenswerte Kategorie.
Die fünf zentralen Pflichten
Pflicht 1: Auftragsbearbeitungsvertrag (DPA) mit jedem Anbieter, der in Ihrem Auftrag Personendaten verarbeitet — OpenAI, Anthropic, Google, Swisscom (für Apertus), Hosting-Provider. Standardverträge der Anbieter sind meist OK, sollten aber geprüft werden. Pflicht 2: Transparenz — Betroffene wissen, dass ihre Daten verarbeitet werden, vom wem, zu welchem Zweck. Datenschutzerklärung pflegen. Pflicht 3: Zweckbindung — Daten dürfen nur für den deklarierten Zweck verarbeitet werden. Chat-Verläufe nicht heimlich für Modell-Training verwenden. Pflicht 4: TOM (technische und organisatorische Massnahmen) — Zugriffsbeschränkung, Verschlüsselung, Audit-Logging, Aufbewahrungsfristen. Pflicht 5: Rechte der Betroffenen — Auskunft, Berichtigung, Löschung, Widerspruch bei automatisierten Einzelentscheidungen.
Datentransfer in die USA — die DPF-Lage 2026
Viele KI-Anbieter (OpenAI, Anthropic, Google) sitzen in den USA. Datentransfer dorthin braucht eine Rechtsgrundlage. Stand Mai 2026: das Swiss-U.S. Data Privacy Framework (DPF) ist seit September 2024 in Kraft. Zertifizierte US-Anbieter (auf der DPF-Liste) bieten einen ausreichenden Schutz nach Schweizer Recht. ABER: Sie als Betreiber müssen prüfen, ob Ihr konkreter Anbieter zertifiziert ist (OpenAI, Anthropic und Microsoft sind es). Bei nicht zertifizierten Anbietern brauchen Sie Standardvertragsklauseln (SCC) als Rechtsgrundlage. Bei Verarbeitung besonders schützenswerter Daten ist die Hürde höher — hier ist EU- oder CH-Hosting deutlich risikoärmer.
Automatisierte Einzelentscheidungen — Art. 21 revDSG
Wenn eine KI eine Entscheidung mit Rechtswirkung oder erheblicher Bedeutung für die Person trifft (z.B. Kreditvergabe, Versicherungs-Tarifierung, automatisches Mahnverfahren, KI-basierte Entscheidung über Bewerbung) — gelten verschärfte Pflichten. (1) Betroffene Person muss über die Logik der Entscheidung informiert werden. (2) Recht auf menschliche Überprüfung. (3) Recht auf Stellungnahme. Die Praxis-Konsequenz: Human-in-the-Loop ist nicht nur gute Praxis, sondern bei wesentlichen Entscheidungen rechtliche Pflicht. TYTOS-Agenten haben standardmässig einen Eskalations-Knoten vor Entscheidungen mit Rechtswirkung.
Besonders schützenswerte Daten
revDSG Art. 5 lit. c definiert besonders schützenswerte Daten: religiöse, weltanschauliche, politische, gewerkschaftliche Ansichten, Gesundheit, Intimsphäre, Rassenzugehörigkeit, genetische Daten, biometrische Daten, Daten zu administrativen und strafrechtlichen Verfolgungen. Bei KI-Verarbeitung dieser Daten gelten strengere Pflichten: explizite Einwilligung, höhere TOM-Anforderungen, oft Schweizer Hosting empfohlen, in vielen Fällen ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich. Branchen mit hohem Anteil solcher Daten: Gesundheitswesen, Versicherung (Schaden mit Gesundheits-Aspekt), HR (Bewerbungen mit Gesundheits-Hinweisen), Anwaltskanzleien (Mandate mit strafrechtlichem Bezug).
Die DSFA-Pflicht (Datenschutz-Folgenabschätzung)
Eine DSFA ist erforderlich bei voraussichtlich hohem Risiko für die Persönlichkeit oder die Grundrechte. Bei KI typische Auslöser: automatisierte Einzelentscheidungen mit erheblicher Bedeutung, Verarbeitung besonders schützenswerter Daten in grossem Umfang, systematische Überwachung. Die DSFA enthält: Beschreibung des Vorhabens, Beurteilung der Notwendigkeit und Verhältnismässigkeit, Risiko-Identifikation für Betroffene, Massnahmen zur Risiko-Minderung. Bei verbleibendem hohem Risiko: vorherige Konsultation des EDÖB. Für viele KI-Projekte in Schweizer KMU mit moderaten Risiken ist eine DSFA nicht zwingend — aber eine strukturierte interne Risiko-Notiz immer empfehlenswert.
Praktische Umsetzungs-Checkliste
Bei jedem neuen KI-Use-Case in TYTOS-Projekten gehen wir diese Liste durch. (1) Werden Personendaten verarbeitet? — Wenn ja: weiter. (2) Welche Kategorien? — Standard oder besonders schützenswert? (3) Welcher Modell-Anbieter? — DPA prüfen, ggf. abschliessen. (4) Wo sitzt der Anbieter? — CH/EU/DPF-USA/andere? (5) Welche Aufbewahrungsfrist? — Default 30–90 Tage, dann automatische Löschung. (6) Audit-Logging eingebaut? — Wer hat wann was abgefragt/entschieden. (7) Eskalations-Knoten vor wesentlichen Entscheidungen? — Pflicht bei automatisierten Einzelentscheidungen. (8) Datenschutzerklärung aktualisiert? — KI-Verarbeitung muss erwähnt sein. (9) DSFA nötig? — Wenn hohes Risiko, ja.
Wo Sie weiterführende Beratung brauchen
TYTOS ist Technik-Partner mit revDSG-Praxis-Erfahrung, aber wir sind keine Anwälte. Bei folgenden Punkten empfehlen wir spezialisierte juristische Beratung: (1) DSFA mit verbleibendem hohem Risiko (EDÖB-Konsultation). (2) Branchenrechtliche Spezial-Pflichten (FINMA, BGFA, KKG). (3) Vertragsgestaltung bei komplexen Multi-Anbieter-Setups. (4) Klärung von Konflikten zwischen revDSG und ausländischen Anforderungen (US Cloud Act). Wir arbeiten regelmässig mit Schweizer Datenschutz-Anwälten zusammen und können gezielt empfehlen, wenn ein Mandat das braucht. Die meisten KMU-Standard-Anwendungen lassen sich aber ohne separate Anwalts-Mandate sauber umsetzen.