Datenschutz & KI — der nüchterne Leitfaden für Schweizer KMU

Was darf man, was nicht, wo liegen die echten Risiken? Ein Praxis-Leitfaden ohne Panik, mit den drei Fragen, die jeder Geschäftsführer beantworten sollte.

Der Datenschutz wird oft als Bremse für KI-Projekte beschrieben. In den meisten Fällen ist das falsch — was bremst, ist Unklarheit über das eigene Datenmodell. Wer weiss, welche Daten er wo hat und wer darauf zugreift, kann KI in der Schweiz ohne grosse Reibung einführen.

## Frage 1: Welche Daten verlassen das Haus?

Klassifizieren Sie Ihre Daten in drei Stufen: öffentlich (Marketingtexte, Produktkataloge), intern (Offerten, Projektpläne, Mitarbeitende ohne Personalien) und sensitiv (Personalakten, Gesundheitsdaten, Kundendaten mit Personenbezug). Für Stufe 1 ist ChatGPT okay. Für Stufe 2 wird es schon eng — hier braucht es mindestens einen Geschäftsvertrag, idealerweise eine selbstgehostete Lösung. Für Stufe 3 ist die einzige saubere Antwort: On-Premises oder ein Schweizer/EU-Anbieter ohne US-Mutter.

## Frage 2: Wer ist Verantwortlicher im Sinne des DSG?

Das neue Schweizer Datenschutzgesetz unterscheidet zwischen Verantwortlichem (Sie) und Auftragsbearbeiter (z.B. der KI-Anbieter). Sie bleiben verantwortlich, auch wenn die Verarbeitung bei OpenAI passiert. Das heisst: Sie brauchen einen DPA (Data Processing Agreement), Sie müssen die betroffenen Personen informieren, und Sie müssen Auskunftsbegehren beantworten können — auch über Daten, die im Modell verschwunden sind.

## Frage 3: Wie ist das Modell vertraglich eingebunden?

Lesen Sie die AGB. Trainiert der Anbieter auf Ihren Daten? Kann er den Service einseitig ändern? Was passiert bei einer Rechtshilfeanfrage aus dem Ausland? Diese drei Punkte trennen seriöse Anbieter von Mogelpackungen.

Wer diese drei Fragen sauber beantworten kann, hat 80% der Datenschutz-Compliance erledigt. Der Rest ist Dokumentation.