IAPMESuisse
|Von Laurent Duplat, KI & KMU-Berater

DSB und nDSG bei KI: praktische Pflichten für Schweizer KMU (2026)

Die Rolle des Datenschutzbeauftragten (DSB) bei KI-Projekten im Schweizer KMU: nDSG Art. 8, DSFA-Pflicht, Register automatisierter Verarbeitungen, PFPDT-Audit.

DSB und nDSG bei KI: praktische Pflichten für Schweizer KMU (2026)

Der Datenschutzbeauftragte (DSB) ist seit dem Inkrafttreten des nDSG am 1. September 2023 ein unverzichtbarer Akteur in den KI-Projekten von Schweizer KMU. Dieser Praxisleitfaden richtet sich an DSBs, KMU-Führungskräfte und KI-Projektverantwortliche, die die Compliance von Anfang an integrieren wollen.

Für den allgemeinen Kontext: Pillar-Leitfaden zur KI-Automatisierung für Schweizer KMU.

1. DSB in der Schweiz: wann ist er obligatorisch?

Das nDSG macht den DSB für die meisten Schweizer KMU nicht obligatorisch. Er wird jedoch dringend empfohlen bei:

  • Regelmässiger Verarbeitung sensibler Daten (Gesundheit, religiöse Meinungen, genetische Daten).
  • Mehr als 50 Mitarbeitenden und umfangreicher digitalisierter Verarbeitung.
  • Automatisierter Profilerstellung von Kunden oder Mitarbeitenden.
  • KI-Projekten, die personenbezogene Daten verarbeiten.

2. Die 7 DSB-Pflichten bei KI

Pflicht 1 — Register der automatisierten Verarbeitungen (Art. 12 nDSG)

Pflichtinhalt: Art der automatisierten Verarbeitungen, betroffene Datenkategorien, Zwecke, Aufbewahrungsdauer, technische Sicherheitsmassnahmen.

Pflicht 2 — DSFA (Datenschutz-Folgenabschätzung, Art. 22 nDSG)

Obligatorisch bei hohem Risiko: Chatbots, Agenten mit halbautomatisierten Entscheidungen, KI-HR, Videoanalyse.

Pflicht 3 — Information der betroffenen Personen (Art. 19 nDSG)

Klare und zugängliche Information bei teilweiser oder vollständiger automatisierter Entscheidung.

Pflicht 4 — Widerspruchsrecht (Art. 21 nDSG)

Einfaches Verfahren: Schaltfläche «Menschlichen Kontakt», Überprüfungsanfrage-Verfahren, dokumentierte Antwortfristen.

Pflicht 5 — Technische Sicherheit (Art. 8 nDSG)

Verschlüsselung, CH/EU-Hosting, starkes Zugangsmanagement, regelmässige Token-Rotation.

Pflicht 6 — KI-Unterauftragsverarbeiter

DPA mit jedem KI-Anbieter (OpenAI, Anthropic, Mistral, Microsoft, Google). Cartographie der Datenflüsse.

Pflicht 7 — Verletzungsmeldung (Art. 24 nDSG)

PFPDT-Meldung bei hohem Risiko. Empfohlene Frist: 72 Stunden.

3. Interner DSB vs. externer DSB für Schweizer KMU

| Kriterium | Intern | Extern | |---|---|---| | Kosten | Teilzeit- oder Vollzeitstelle | Monatliche Pauschale | | Unternehmenswissen | Hoch | Begrenzter | | Unabhängigkeit | Schwieriger zu gewährleisten | Hoch | | Relevant für | KMU 50+ | KMU 5–50 |

4. Fazit

Ein gut integrierter DSB ist ein Beschleuniger für KI-Projekte in Schweizer KMU, kein Hemmnis. Er sichert die rechtliche Grundlage, beruhigt Kunden und bereitet PFPDT-Audits vor.

Weiterführende Links

Zurück zum Blog