Eine Frau arbeitet konzentriert an ihrem Laptop, im Hintergrund ist ein Lager zu sehen.
Sicherheit und Recht

KI im Unternehmen nutzen, Datenschutz wahren: Expertenrat für Schweizer KMU

Geschrieben von Sara Amati 20.10.2025

Die Nutzung von Künstlicher Intelligenz (KI) in Schweizer KMU nimmt rasant zu. Zwei von drei Schweizer KMU experimentieren bereits mit KI oder setzen sie produktiv ein – doch der Umgang mit KI ist bei der Mehrheit der Unternehmen noch nicht klar geregelt, zeigt die diesjährige KMU-Arbeitsmarktstudie der AXA. Rechtsanwalt und Experte für IT- und Datenschutzrecht Marco S. Meier erklärt, wie Sie als KMU einen sicheren Umgang mit KI finden und das Risiko für Datenschutzverletzungen minimieren.

Betriebsrechtsschutz für Unternehmen

Warum ist Datenschutz im Umgang mit KI entscheidend?

Die Mehrheit der KMU sieht in der Anwendung von KI Chancen für Effizienz und Wachstum, Bedenken schwinden. Mit dieser Entwicklung einher geht die Herausforderung, die datenschutzkonforme Eingabe und Verarbeitung personenbezogener Daten in KI-Tools zu gewährleisten.

Das 2023 revidierte Datenschutzgesetz (DSG) verlangt eine transparente Datennutzung und Datensicherheit. Im Gesetz ist KI zwar nicht explizit erwähnt, gemäss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) müssen bei der Nutzung von KI jedoch dieselben Anforderungen erfüllt werden. Bei Verstössen drohen hohe Bussen und Reputationsschäden.

Das Problem: Nur ein Drittel der Schweizer KMU schreibt klare Regeln für den Umgang mit KI vor, wie die KMU-Arbeitsmarktstudie 2025 zeigt. In der Mehrheit der Firmen entscheiden Mitarbeitende selbst, welches Tool sie wofür nutzen und welche Daten sie dort eingeben – ohne sich der möglichen Konsequenzen bewusst zu sein. 

Expertenrat für KI und Datenschutzrecht

Marco S. Meier, Rechtsanwalt, MLaw, CIPP/E, Informatiker EFZ, zeigt im Interview auf, wo datenschutzrechtliche Stolperfallen bestehen, wer die Konsequenzen einer Datenschutzverletzung trägt und wie diese aussehen, und was Sie als KMU unternehmen können, um das Risiko von Datenschutzverletzungen zu minimieren.

  • Marco S. Meier
    Marco S. Meier

    Marco S. Meier, Rechtsanwalt, ist spezialisiert auf Informations- und Kommunikationstechnologierecht (ICT). Er berät und vertritt nationale und internationale Mandantinnen und Mandanten in sämtlichen Bereichen des IT-, Technologie-, Datenschutz-, Cyber-Security- und Immaterialgüterrechts sowie in technologiebezogenen Compliance-Fragen, wie beispielsweise dem Einsatz oder der Entwicklung von Künstlicher Intelligenz (KI).

Welche datenschutzrechtlichen Stolperfallen bestehen, wenn Mitarbeitende KI-Dienste nutzen?

In der Praxis zeigen sich beim Einsatz von KI-Diensten verschiedene datenschutzrechtliche Herausforderungen. Die grösste Gefahr bei der Nutzung von KI-Diensten durch Mitarbeitende ist, dass diese nicht wissen, welche Daten sie in einem spezifischen KI-Tool überhaupt eingeben dürfen. Eine essenzielle Massnahme, um Datenschutzverletzungen zu vermeiden, ist die gründliche Prüfung der KI-Dienste seitens des Unternehmens, bevor sie für die Nutzung freigegeben werden. Dadurch können klare Handlungsanweisungen für den datenschutzkonformen Umgang mit den KI-Diensten entwickelt und den Mitarbeitenden vermittelt werden.

Insofern empfiehlt es sich, den Mitarbeitenden klare Vorgaben zu machen, welche Dienste unter welchen Bedingungen genutzt und vor allem, welche Daten überhaupt in den jeweilige KI-Dienst eingegeben werden dürfen. Es stellt sich beispielsweise folgende Frage: Dürfen Personendaten oder geheimnisgeschützte Daten in ein KI-Tool eingegeben werden oder nicht?

Eine weitere Stolperfalle ist, dass Mitarbeitende auf eigene, privat genutzte KI-Tools ausweichen. Oft werden kostenlose Versionen genutzt, die vom Unternehmen weder geprüft noch freigegeben wurden. Durch die Eingabe von Personendaten können rasch Datenschutzverletzungen entstehen.

Um diesen Stolperfallen vorzubeugen, ist es unerlässlich, dass das Unternehmen sowohl eine sorgfältige Evaluation und Risikoanalyse der KI-Dienste vornimmt als auch klare Richtlinien für die interne Nutzung festlegt und entsprechende Schulungen durchführt.

  • Mit der AXA rundum geschützt
    Mit der AXA rundum geschützt

    Finden Sie heraus, welche Versicherungen Sie benötigen, um gut geschützt Ihrer Arbeit nachgehen zu können.

    Zum Versicherungscheck

Wer trägt die Verantwortung, wenn jemand im Unternehmen durch die Nutzung von KI das Datenschutzrecht verletzt?

Nutzt ein Unternehmen einen KI-Dienst eines Drittanbieters, handelt es datenschutzrechtlich als sogenannte Verantwortliche. Als Verantwortliche ist das Unternehmen dazu verpflichtet, die Einhaltung des Datenschutzgesetzes sicherzustellen.

Folgende Pflichten müssen durch das Unternehmen umgesetzt werden:

  • die Gewährleistung der Transparenz durch das Bereitstellen von Informationen (sog. Informationspflicht)
  • der Abschluss eines Auftragsverarbeitungsvertrags bei der Inanspruchnahme eines Drittanbieters
  • die Sicherstellung eines angemessenen Datenschutzniveaus bei der Übermittlung von Daten ins Ausland
  • gegebenenfalls die Durchführung einer Datenschutz-Folgenabschätzung
  • die Gewährleistung der Datensicherheit

Diese Pflichten, mit Ausnahme der Datenschutz-Folgenabschätzung, sind strafbewehrt, können also bei Nichterfüllung zu Sanktionen führen. Im Gegensatz zum europäischen Recht zielt die Bestrafung jedoch nicht auf das Unternehmen ab, sondern auf die individuell handelnde verantwortliche Person innerhalb des Unternehmens. 

Was sind die Konsequenzen einer Datenschutzrechtsverletzung?

Bei einer Verletzung des Datenschutzgesetzes droht der verantwortlichen Person im Unternehmen eine Busse von bis zu CHF 250'000. Ausnahmsweise kann das Unternehmen selbst gebüsst werden, nämlich dann, wenn die Ermittlung der verantwortlichen Personen unverhältnismässig wäre. In diesem Fall droht dem Unternehmen lediglich eine Busse von bis zu CHF 50'000. 

Bislang sind mir keine Bussen bekannt, die den Bussenrahmen ausgeschöpft haben. Datenschutzverstösse mit Sanktionen sind bis zum jetzigen Zeitpunkt ohnehin selten. 

Neben den Bussen verfügt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) seit der Revision des Schweizer Datenschutzgesetzes über erweiterte Kompetenzen. Er ist befugt, Untersuchungen einzuleiten und anzuordnen, dass bestimmte Datenbearbeitungsprozesse, wie beispielsweise der Einsatz von KI-Diensten, angepasst, unterbrochen oder eingestellt werden. In der Regel agiert der EDÖB vor einem formellen Untersuchungsverfahren auf informeller Ebene, indem er Verantwortliche auf einen Datenschutzverstoss hinweist und Anpassungen empfiehlt. Diese Massnahmen dienen dazu, das Unternehmen und die verantwortlichen Personen für den datenschutzkonformen Einsatz von KI in der Datenbearbeitung zu sensibilisieren und mögliche Risiken zu minimieren.

  • Ein Mann in einem blauen Pullover und einem Laptop in der Hand steht vor einem Server.
    Cybercrime: Ist Ihr Unternehmen rechtlich abgesichert?

    Cyberattacken, Datenverlust, Erpressung: Cyberkriminalität wirft auch rechtliche Fragen auf.

    Mehr erfahren

Wie kann Datenschutzrechtsverletzungen vorgebeugt werden? 

Die Gewährleistung des datenschutzkonformen Einsatzes von KI-Tools in KMU beginnt mit der Sensibilisierung. Um Datenschutzrechtsverletzungen vorzubeugen, sollten Mitarbeitende regelmässig geschult und über Risiken im Umgang mit Personendaten und KI-Tools aufgeklärt werden. Die Sensibilisierung soll einerseits sicherstellen, dass das Thema Datenschutz frühzeitig in neue Projekte wie die Einführung eines KI-Dienstes einfliesst. Andererseits trägt sie dazu bei, dass das Bewusstsein für die Risiken im Umgang mit Personendaten und KI-Tools geschärft wird.

Ferner ist in der Praxis neben einer internen Datenschutzrichtline, die den allgemeinen Umgang mit Personendaten im Unternehmen regelt, eine spezifische KI-Richtlinie empfehlenswert, auf deren Basis die Governance-Struktur im Umgang mit KI geschaffen werden kann. In der KI-Richtlinie wird beispielsweise festgelegt, welche KI-Dienste mit welchen Daten (z. B. Personendaten, besonders schützenswerte Daten, geheimnisgeschützte Daten etc.) genutzt werden dürfen und wie mit den generierten Ergebnissen des KI-Dienstes umgegangen werden muss. Auch ethische Leitlinien im Unternehmen (z.  B. in Bezug auf Themen wie Transparenz, Fairness, Nichtdiskriminierung oder menschliche Prüfung) sollten darin verankert werden.

Welche Tipps haben Sie zur datenschutzkonformen Nutzung von KI(-Tools) für KMU?

Um die datenschutzkonforme Nutzung von KI-Tools zu gewährleisten, gilt es, vor dem Einsatz eines KI-Tools zentrale Abklärungen vorzunehmen:

  • Eine umfassende Risikoanalyse, die auch die Aspekte der Datenschutzkonformität berücksichtigt – beispielsweise auf der Basis einer erweiterten Datenschutz-Folgenabschätzung
  • Eine sorgfältige Prüfung des KI-Anbieters sowie die saubere Ausarbeitung der vertraglichen Grundlagen bzw. eine Prüfung der Vertragsgrundlagen, auch dann, wenn die Verhandlung der Vertragsbedingungen schwierig erscheint
  • Ermittlung der vertraglichen Risiken und ggf. ein Entgegenwirken mit internen Richtlinien oder technischen Mitteln und Einschränkungen

Neben den rechtlichen Risiken empfiehlt es sich, beim Einsatz von KI-Tools auch die technischen Aspekte zu berücksichtigen, um mögliche Risiken zu erkennen und Datenschutzverletzungen zu vermeiden.

Massnahmen für die datenschutzkonforme Nutzung von KI-Tools im Unternehmen

  • Sensibilisierung und Schulung der Mitarbeitenden: Regelmässige Schulungen stellen sicher, dass Mitarbeitende Risiken kennen, KI-Dienste verantwortungsvoll nutzen und Datenschutz von Beginn an in Projekte einfliesst.
  • Erstellung einer spezifischen KI-Richtlinie: Klare Regeln schaffen – mit Vorgaben zum Umgang mit Daten, KI-generierten Ergebnissen und ethischen Leitplanken.
  • Durchführung von umfassenden Risikoanalysen: Prüfung der KI-Anbieter und der Verträge sowie die Implementierung technischer Sicherheitsmassnahmen vor dem Einsatz des KI-Dienstes, um Risiken frühzeitig zu erkennen und zu minimieren.

Fazit: Datenschutzkonforme Anwendung von KI im Unternehmen

Abschliessend ist festzuhalten, dass der Einsatz von Künstlicher Intelligenz in Schweizer KMU eine Vielzahl von Chancen bietet, jedoch auch datenschutzrechtliche Herausforderungen mit sich bringt. Um datenschutzkonform mit KI umzugehen, sind gezielte Massnahmen auf Unternehmensebene unerlässlich. Die Schaffung klarer Richtlinien, die Sensibilisierung und Schulung der Mitarbeitenden sowie die Durchführung umfassender Risikoanalysen sind entscheidende Schritte, um den Einsatz von KI in Unternehmen datenschutzkonform zu gestalten. Angesichts der wachsenden Bedeutung von KI ist es für Schweizer KMU von essenzieller Bedeutung, die Weichen für einen verantwortungsvollen und rechtlich konformen Umgang mit dieser Technologie zu stellen. Datenschutz und KI müssen Hand in Hand gehen, um langfristigen Erfolg und gesellschaftliche Akzeptanz zu gewährleisten. Unternehmen, die in diesem Bereich proaktiv agieren, können nicht nur potenzielle Risiken minimieren, sondern auch das Vertrauen von Kundinnen und Kunden, Partnerinnen, Partnern und Mitarbeitenden stärken. Eine aktuelle und klar formulierte Datenschutzerklärung ist dabei ein zentraler Bestandteil zur Schaffung von Transparenz und Vertrauen. Letztlich ist ein ganzheitlicher und verantwortungsvoller Umgang mit KI im Sinne des Datenschutzes ein wesentlicher Faktor für die Zukunftsfähigkeit von Schweizer KMU.

Häufig gestellte Fragen zum Thema Datenschutz beim Einsatz von KI

Müssen Schweizer KMU besondere Datenschutzregeln beachten, wenn sie KI einsetzen?

Ja. Neben dem Schweizer DSG können auch die strikteren Vorgaben der EU-DSGVO sowie des EU AI Act gelten – je nach Kundschaft und Tätigkeitsfeld.

Was regeln die DSGVO und der EU AI Act – und inwiefern betrifft uns das als Schweizer KMU?

Die DSGVO regelt den Datenschutz und die Verarbeitung personenbezogener Daten in der EU. Auch Schweizer Unternehmen müssen sich daran halten, wenn sie Daten von EU-Bürgerinnen und -Bürgern verarbeiten.

Der EU AI Act betrifft speziell den Einsatz von KI und stellt sicher, dass hochriskante KI-Systeme transparent, sicher und datenschutzkonform arbeiten. Wenn Schweizer KMU KI-Dienste einsetzen, die EU-Bürgerinnen und -Bürger betreffen oder die in der EU gehostet werden, müssen sie diese Vorschriften ebenfalls beachten.

Was bedeutet das Swiss-U.S. Data Privacy Framework für Schweizer Unternehmen?

Es erlaubt seit dem 15. September 2024 den Datentransfer in die USA ohne zusätzliche Schutzmechanismen, sofern der US-Anbieter zertifiziert ist. Somit können Daten in die Tools solcher Anbieter eingegeben werden, wenn alle weiteren Voraussetzungen erfüllt sind.

Dürfen wir Kundendaten in KI-Tools wie ChatGPT eingeben?

Nur, wenn Sie eine Business-Version mit Auftragsverarbeitungsvertrag (AVV) nutzen und erkennbar ist, dass der Anbieter zertifiziert ist und DSG-konform agiert. Im Zweifel geben Sie lieber keine vertraulichen oder sensiblen Daten in KI-Tools ein.

Was passiert mit unseren Daten, wenn sie in KI-Tools eingegeben werden?

Viele Anbieter nutzen Eingaben zum Training ihrer Modelle. Verlässliche Tools bieten Opt-out-Optionen, insbesondere in der Pro-/Enterprise-Version. Informieren Sie sich vorher über die entsprechenden Konditionen und wählen Sie, wann immer möglich, diese Option, um Ihre Daten zu schützen.

Drei Personen mit Bauhelmen aus der Vogelperspektive schauen sich gemeinsam einen Bauplan an.

Im Ernstfall gut beraten und abgesichert

Die Rechtsschutzversicherung der AXA berät Sie vorbeugend und ist im Ernstfall an Ihrer Seite.

Jetzt absichern

Geschrieben von:

Sara Amati

Sara Amati ist Content Managerin bei der AXA und recherchiert für Sie spannende Inhalte rund um die Themen Versicherung und Vorsorge.

Verwandte Artikel

Sicherheit und Recht
Cybercrime: Ist Ihr Unternehmen rechtlich abgesichert?
26.09.2025 Heike Gross
Sicherheit und Recht
Cyberangriff: Wie kann ich mein Unternehmen schützen?
26.09.2025 Nadine Graf
Sicherheit und Recht
Datenschutzgesetz in der Schweiz: Alle wichtigen Infos
18.09.2025 Simona Audia