Rechtskonformer Einsatz von KI in Schweizer Unternehmen — vom ChatGPT-Prompt bis zur automatisierten Entscheidung. Wir bringen revDSG, EU AI Act und Schatten-KI im Alltag unter einen Hut.
Mit der breiten Verfügbarkeit von ChatGPT, Microsoft Copilot, Claude und ähnlichen Tools landen Personendaten täglich in fremden Systemen — oft ohne ausreichende vertragliche Grundlage. Das revDSG verlangt seit 1. September 2023 unter anderem Informationspflichten bei automatisierten Einzelentscheidungen (Art. 21) und eine Datenschutz-Folgenabschätzung bei neuen Technologien mit hohem Risiko (Art. 22). Hinzu kommt: Schweizer Unternehmen, deren KI-Output in der EU genutzt wird, fallen ab 2026 unter den europäischen AI Act.
Die meisten Datenschutzverletzungen mit KI passieren nicht durch böse Absicht, sondern durch ungeklärte Spielregeln. Mitarbeitende kopieren Kundendaten in ChatGPT, HR setzt Bewerber-Screening-Tools ein, der Vertrieb nutzt KI-Sprachassistenten für Telefonate — alles ohne dokumentierte Grundlage. Das sind die häufigsten Stolperfallen, die wir bei Audits sehen.
Von der Bestandsaufnahme bis zur Schulung — wir machen Ihren KI-Einsatz rechtssicher, ohne Innovation auszubremsen.
Welche KI-Tools nutzen Mitarbeitende heute schon? Wir erfassen Schatten-KI, bewerten Datenflüsse und priorisieren nach Risiko.
Verbindliche Regeln für Mitarbeitende: Welche Daten dürfen in welche Tools? Wie werden Outputs überprüft? Dokumentiert und prüfbar.
Folgenabschätzung für hochrisikoreiche KI-Anwendungen (Scoring, automatisierte Entscheide, biometrische Erkennung) — revDSG-Art.-22-konform.
Praxisnahe Mitarbeiterschulungen mit echten Beispielen — was darf in den Prompt, was nicht. Reduziert Schatten-KI nachweislich.
Pauschalverbote für KI funktionieren in der Praxis nicht — Mitarbeitende nutzen ChatGPT & Co. ohnehin, einfach unter dem Radar. Das Risiko erhöht sich, weil keine Spielregeln existieren. Eine pragmatische KI-Richtlinie definiert dagegen klar: Welche Tools sind freigegeben (z.B. mit Enterprise-Vertrag), welche Daten dürfen rein (keine Personendaten, keine Geschäftsgeheimnisse), wer prüft die Outputs vor der Nutzung.
Besonders heikel sind automatisierte Einzelentscheidungen — etwa Bewerber-Vorauswahl durch KI, Bonitätsprüfungen oder automatische Vertragsablehnungen. Hier verlangt das revDSG (Art. 21) eine aktive Information der betroffenen Person und das Recht auf Stellungnahme. Wer das übersieht, riskiert Beschwerden beim EDÖB und Reputationsschäden — wir sehen das bereits bei den ersten Fällen in der Schweiz.
Für Schweizer Unternehmen mit EU-Kundschaft kommt ab 2026 zusätzlich der EU AI Act zum Tragen. Hochrisiko-KI-Systeme (Verordnung 2024/1689) müssen u.a. Risikomanagement, Datenqualität, menschliche Aufsicht und technische Dokumentation nachweisen. Wir helfen, beide Welten zusammenzuführen: revDSG-Anforderungen im Kerngeschäft Schweiz, AI-Act-Konformität für die EU-Schnittstelle — ohne doppelte Dokumentation.
Antworten auf die häufigsten Fragen unserer Kundinnen und Kunden.
Ja — mit Regeln. Die kostenlose Variante eignet sich nicht für Personendaten oder Geschäftsgeheimnisse, weil Prompts standardmässig zum Modelltraining verwendet werden können. Mit einem Enterprise-Abo (OpenAI, Microsoft Copilot for Business o.ä.) und einer klaren internen Richtlinie ist KI-Einsatz revDSG-konform machbar.
Ja, wenn der Output Ihres KI-Systems in der EU genutzt wird (Marktortprinzip, ähnlich DSGVO). Klassische Beispiele: Sie betreiben ein KI-gestütztes Bewerber-Tool und EU-ansässige Bewerber durchlaufen es; oder Sie verkaufen Software mit KI-Features an EU-Kunden. In diesen Fällen müssen Sie die Hochrisiko-Anforderungen erfüllen — wir prüfen die Anwendbarkeit pro Use-Case.
Nein. Eine DSFA ist nach revDSG Art. 22 erforderlich, wenn der KI-Einsatz ein hohes Risiko für Persönlichkeit oder Grundrechte birgt — z.B. bei Scoring, automatisierten Einzelentscheidungen, biometrischer Erkennung oder umfangreicher Profilbildung. Für tägliche Routine-Anwendungen (z.B. Textzusammenfassungen ohne Personendaten) reicht eine dokumentierte Richtlinie.