KI und Datenschutz in der Schweiz: Was KMU beachten müssen

9 Min. Lesezeit Roger Gloor

In 30 Sekunden

  • nDSG beachten: Persönliche Strafbarkeit bis CHF 250’000 bei Datenschutzverstössen.
  • Grundregel: Keine Personendaten (AHV, Löhne, Kundenlisten) in kostenlose KI-Tools eingeben.
  • So geht’s richtig: Schweizer Anbieter für sensible Daten, AVV abschliessen, KI-Nutzungsrichtlinie erstellen.

KI-Tools wie ChatGPT, Microsoft Copilot oder KI-gestützte Buchhaltungssoftware sind aus dem KMU-Alltag kaum noch wegzudenken. Sie sparen Zeit, reduzieren Fehler und eröffnen neue Möglichkeiten. Doch mit der Nutzung stellt sich eine zentrale Frage: Was passiert eigentlich mit den Daten, die ich in diese Tools eingebe? Erfahren Sie in unserem Überblick der 8 besten KI-Tools für KMU, welche Lösungen datenschutzkonform sind. Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (nDSG) – und das hat direkte Auswirkungen auf den KI-Einsatz in Ihrem Unternehmen.

Das revidierte Datenschutzgesetz (nDSG): Was sich geändert hat

Das neue Datenschutzgesetz hat den Schweizer Datenschutz grundlegend modernisiert und näher an die europäische DSGVO herangeführt. Für KMU, die KI-Tools einsetzen, sind vor allem diese Punkte relevant:

Die wichtigsten Änderungen im Überblick

  • Nur noch natürliche Personen: Das nDSG schützt ausschliesslich Daten von natürlichen Personen – juristische Personen sind nicht mehr erfasst.
  • Erweiterte Informationspflicht: Sie müssen betroffene Personen informieren, wenn deren Daten bearbeitet werden – auch durch KI-Tools.
  • Privacy by Design & Default: Datenschutz muss von Anfang an in Systeme und Prozesse eingebaut werden (Art. 7 nDSG).
  • Datenschutz-Folgenabschätzung (DSFA): Bei hohem Risiko für die Persönlichkeit ist eine DSFA zwingend – KI-Einsatz kann ein solches Risiko darstellen.
  • Persönliche Strafbarkeit: Bussen bis CHF 250’000 treffen neu die verantwortlichen natürlichen Personen – nicht das Unternehmen.

«Wer Personendaten bearbeitet, hat sich rechtmässig zu verhalten und hat die Bearbeitung so auszugestalten, dass sie verhältnismässig ist.» – Art. 6 Abs. 2 nDSG (sinngemäss)

Welche Daten verarbeiten KI-Tools wirklich?

Nicht jedes KI-Tool ist gleich problematisch. Der entscheidende Unterschied liegt in der Art der Daten, die verarbeitet werden, und wo diese Verarbeitung stattfindet. Wenn Sie konkrete Lösungen zur Digitalisierung Ihrer Prozesse suchen, lesen Sie auch unseren Artikel über 5 KMU-Prozesse, die Sie sofort automatisieren sollten.

Personendaten vs. Sachdaten

Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen: Name, AHV-Nummer, E-Mail-Adresse, Gehaltsdaten, Gesundheitsinformationen. Sachdaten hingegen beziehen sich auf Dinge, Prozesse oder Unternehmen ohne Personenbezug: aggregierte Umsatzzahlen, allgemeine Branchenanalysen, technische Dokumentationen.

Unproblematisch: Sachdaten in KI-Tools

  • Allgemeine Fragen zu Buchhaltungsregeln stellen
  • Marketing-Texte für Produkte erstellen lassen
  • Anonymisierte Kennzahlen analysieren
  • Code oder technische Dokumentation prüfen
  • Vorlagen ohne persönliche Daten generieren

Kritisch: Personendaten in KI-Tools

  • Mitarbeiterdaten (Namen, Löhne, AHV-Nummern) eingeben
  • Kundenlisten mit E-Mail-Adressen analysieren lassen
  • Patientenakten oder Mandantendossiers hochladen
  • Bewerbungsunterlagen durch KI bewerten lassen
  • Gesundheitsdaten oder Betreibungsinformationen verarbeiten

Typische KI-Tools und ihre Datenverarbeitung

Wo landen Ihre Daten?

  • ChatGPT (OpenAI): US-Server. Kostenlose Version kann Eingaben für Modelltraining verwenden. Team-/Enterprise-Versionen bieten Opt-out.
  • Microsoft Copilot (365): Microsoft-Cloud, für Geschäftskunden teils in der EU. Daten werden laut Microsoft nicht für Training genutzt.
  • Google Gemini: US-basierte Verarbeitung. Workspace-Versionen bieten strengere Datenschutzvereinbarungen.
  • Schweizer Buchhaltungs-KI (Abacus, Bexio): Hosting in der Schweiz, unterliegen dem nDSG direkt. Sicherste Variante für Finanzdaten.

Das US Cloud Act Problem

Eines der grössten Datenschutzrisiken liegt nicht im KI-Tool selbst, sondern im Standort des Anbieters. US-Cloudanbieter können unter dem US Cloud Act (2018) unter bestimmten Umständen verpflichtet werden, Daten an US-Behörden herauszugeben – auch wenn diese ausserhalb der USA gespeichert sind.

Das bedeutet: Selbst wenn Microsoft, Google oder Amazon Ihre Daten in einem Rechenzentrum in Zürich speichern, könnten US-Behörden theoretisch Zugriff verlangen. Für KMU mit besonders schützenswerten Personendaten (Gesundheitsdaten, Finanzdaten, Anwaltsdossiers) ist das ein erhebliches Risiko.

Praxis-Tipp

Für sensible Daten (Lohndaten, Mandantenakten, Patientendaten) setzen Sie auf Schweizer Anbieter, die keiner ausländischen Jurisdiktion unterstehen. Für allgemeine Aufgaben ohne Personenbezug können internationale Cloud-Tools bedenkenlos eingesetzt werden – sofern eine Auftragsverarbeitungsvereinbarung (AVV) vorliegt.

Werden Ihre Daten zum Training verwendet?

Eine der häufigsten Fragen: «Liest die KI meine Daten mit, um daraus zu lernen?» Die Antwort ist differenziert:

Datennutzung nach Anbieter

  • ChatGPT Free/Plus: Eingaben können standardmässig für Modelltraining verwendet werden. Opt-out unter Einstellungen möglich.
  • ChatGPT Team/Enterprise: Daten werden laut OpenAI nicht für Training genutzt. Vertraglich zugesichert.
  • Microsoft Copilot (Geschäft): Kein Training mit Kundendaten laut Vertragsbedingungen.
  • Claude (Anthropic): Bei API- und Team-Nutzung kein Training. Bei der kostenlosen Webversion ist Opt-out möglich.
  • Schweizer Anbieter: Unterliegen dem nDSG. Prüfen Sie die AGB und den AVV auf explizite Aussagen zur Datennutzung.

Wichtig

Ein «Opt-out» in den Einstellungen reicht aus datenschutzrechtlicher Sicht nicht immer. Wenn Sie Personendaten verarbeiten, brauchen Sie eine vertragliche Grundlage (AVV/DPA), die klar regelt, dass keine Daten für Trainingszwecke genutzt werden. Kostenlose Versionen bieten in der Regel keine solche Vereinbarung.

Automatisierte Einzelentscheidungen (Art. 21 nDSG)

Art. 21 nDSG gibt betroffenen Personen das Recht, nicht einer Entscheidung unterworfen zu werden, die ausschliesslich auf einer automatisierten Bearbeitung beruht und mit einer Rechtsfolge oder erheblichen Beeinträchtigung verbunden ist.

Wenn Sie KI einsetzen, um Bewerbungen vorzuselektieren, Kreditanträge zu prüfen oder Versicherungsleistungen zu entscheiden, muss die betroffene Person:

  1. Über die automatisierte Entscheidung informiert werden
  2. Die Möglichkeit haben, ihren Standpunkt darzulegen
  3. Verlangen können, dass die Entscheidung von einer natürlichen Person überprüft wird

Empfehlung

Nutzen Sie KI als Entscheidungshilfe, nicht als alleinige Entscheidungsinstanz. Ein KI-Tool kann eine Bewerbung analysieren und Empfehlungen aussprechen – die finale Entscheidung sollte immer ein Mensch treffen.

Branchenspezifische Besonderheiten

Je nach Branche gelten beim KI-Einsatz zusätzliche Anforderungen:

Treuhänder und Buchhalter

  • Mandantendaten dürfen nicht in öffentliche KI-Tools eingegeben werden
  • Lohndaten, AHV-Nummern und Steuerinformationen sind besonders schützenswerte Personendaten
  • Branchenspezifische Sorgfaltspflichten gemäss EXPERTsuisse-Standesregeln
  • Empfehlung: Schweizer Buchhaltungssoftware mit integrierter KI verwenden

Ärzte und Gesundheitsberufe

  • Patientendaten sind besonders schützenswerte Personendaten
  • Zusätzlich gilt das Arztgeheimnis (Art. 321 StGB) – strafrechtlich relevant
  • KI nur mit anonymisierten Daten oder auf zertifizierten Schweizer Plattformen

Anwälte und Notare

  • Das Anwaltsgeheimnis (Art. 13 BGFA) verbietet Weitergabe an Dritte – auch an KI-Anbieter
  • Cloud-basierte KI für mandatsbezogene Informationen ist hochproblematisch
  • Empfehlung: Nur lokal betriebene KI-Modelle oder spezialisierte Legal-Tech mit Schweizer Hosting

Checkliste: 10 Punkte vor dem KI-Einsatz

Ihre KI-Datenschutz-Checkliste

  1. Dateninventar erstellen: Welche Daten sollen in das KI-Tool fliessen? Sind Personendaten darunter?
  2. Rechtsgrundlage prüfen: Einwilligung, Vertrag oder berechtigtes Interesse?
  3. Serverstandort klären: Schweiz, EU oder USA?
  4. AVV abschliessen: Auftragsverarbeitungsvereinbarung mit dem Anbieter vorhanden?
  5. Trainingsdaten-Nutzung prüfen: Opt-out aktivieren, vertragliche Grundlage sicherstellen.
  6. DSFA durchführen: Datenschutz-Folgenabschätzung bei besonders schützenswerten Daten.
  7. Informationspflicht erfüllen: Mitarbeitende und Kunden über KI-Einsatz informieren.
  8. Zugriffsrechte definieren: Wer darf das KI-Tool nutzen? Welche Daten dürfen eingegeben werden?
  9. Löschkonzept erstellen: Wie und wann werden Daten beim KI-Anbieter gelöscht?
  10. Mitarbeitende schulen: Wissen alle, welche Daten in KI-Tools eingegeben werden dürfen?

Praxis-Tipp

Erstellen Sie eine einfache KI-Nutzungsrichtlinie für Ihr Unternehmen: eine Seite, die klar regelt, welche KI-Tools erlaubt sind, welche Daten eingegeben werden dürfen und wer Ansprechperson ist. Das schützt vor Datenschutzverstössen und gibt Mitarbeitenden Sicherheit.

So setzt MRG Treuhand KI datenschutzkonform ein

Wir bei MRG Treuhand nutzen KI-Tools aktiv – und nehmen den Datenschutz dabei sehr ernst:

Unsere KI-Datenschutz-Grundsätze

  • Strikte Datentrennung: Mandantendaten gelangen nie in öffentliche KI-Tools.
  • KI als Assistent: Jede KI-Empfehlung wird von Fachpersonen geprüft.
  • Transparenz: Unsere Kunden wissen, wo und wie wir KI einsetzen.
  • Kontinuierliche Überprüfung: Regelmässige Evaluation unserer KI-Tools.
  • Schulung: Unser gesamtes Team ist im sicheren Umgang mit KI geschult.

Wir unterstützen auch unsere Kunden: von der Tool-Auswahl über Nutzungsrichtlinien bis zur Datenschutz-Folgenabschätzung. Denn Digitalisierung und Datenschutz sind kein Widerspruch – sie gehören zusammen.

Möchten Sie KI in Ihrem Unternehmen einsetzen und sicherstellen, dass Sie datenschutzkonform unterwegs sind? Erfahren Sie mehr über unsere Digitalisierungslösungen oder unseren Datenschutz-Ansatz.

Häufig gestellte Fragen

Darf ich Kundendaten in ChatGPT eingeben?

Grundsätzlich nein, wenn es sich um Personendaten handelt. In der kostenlosen Version werden Eingaben möglicherweise für Modelltraining verwendet. Nutzen Sie für sensible Daten Schweizer Anbieter oder mindestens die Enterprise-Version mit Opt-out.

Was bedeutet der US Cloud Act für Schweizer KMU?

US-Cloudanbieter können unter dem US Cloud Act unter bestimmten Umständen verpflichtet werden, Daten an US-Behörden herauszugeben – auch wenn die Server in der Schweiz stehen. Für besonders schützenswerte Daten empfehlen wir daher Schweizer Anbieter.

Brauche ich ein KI-Reglement für mein Unternehmen?

Ja, wir empfehlen ein internes KI-Nutzungsreglement. Es definiert, welche Daten in welche Tools eingegeben werden dürfen, und schützt Ihr Unternehmen vor Datenschutzverletzungen und Haftungsrisiken.

Weiterführende Ratgeber

Brauchen Sie Unterstützung?

Als Digitalisierungspartner begleiten wir Ostschweizer KMU beim sicheren Einsatz von KI-Tools – von der Tool-Auswahl über Datenschutzberatung bis zur Mitarbeiterschulung. Jetzt Kontakt aufnehmen.


Passende Dienstleistungen

Buchhaltung Digital und transparent Firmengründung GmbH oder AG gründen Alle Dienstleistungen Unser komplettes Angebot
Roger Gloor - Gruender MRG Treuhand

Autor

Roger Gloor

Gründer & Geschäftsführer, MRG Treuhand GmbH

IT-Experte mit Hintergrund in Handwerk, Gastronomie und Finance. Einer der ersten Absolventen des Schweizer Bildungsgangs zum AI Business Specialist (eidg. FA). Begleitet KMU in der Ostschweiz bei Buchhaltung, Steuern und Digitalisierung. Mitglied bei Swiss Accounting.

Fragen zu diesem Thema?

In einem kostenlosen Erstgespräch klären wir Ihre individuelle Situation – persönlich und unverbindlich.

Kostenloses Erstgespräch anfragen

Das könnte Sie auch interessieren

KI & Automatisierung

Die 8 besten KI-Tools für Schweizer KMU in 2026

9 Min. Lesezeit
KI & Automatisierung

KI in der Buchhaltung: Was Schweizer KMU 2026 wissen müssen

9 Min. Lesezeit
Alle Ratgeber-Artikel