DSB und nDSG bei KI: praktische Pflichten für Schweizer KMU (2026)
Die Rolle des Datenschutzbeauftragten (DSB) bei KI-Projekten im Schweizer KMU: nDSG Art. 8, DSFA-Pflicht, Register automatisierter Verarbeitungen, PFPDT-Audit.

DSB und nDSG bei KI: praktische Pflichten für Schweizer KMU (2026)
DerDatenschutzbeauftragte (DSB)ist seit dem Inkrafttreten desnDSGam 1. September 2023 ein unverzichtbarer Akteur in den KI-Projekten von Schweizer KMU. Dieser Praxisleitfaden richtet sich an DSBs, KMU-Führungskräfte und KI-Projektverantwortliche, die die Compliance von Anfang an in ihre Automatisierungsprojekte integrieren wollen — und nicht erst dann, wenn der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB / PFPDT) anklopft.
Für den allgemeinen Kontext:Pillar-Leitfaden zur KI-Automatisierung für Schweizer KMU.
Warum das nDSG KI-Projekte in Schweizer KMU direkt betrifft
Das revidierte Datenschutzgesetz (nDSG) ist kein bürokratisches Randthema — es definiert konkret, was Schweizer Unternehmen bei der Verarbeitung personenbezogener Daten tun dürfen, dokumentieren und offenlegen müssen. KI-Projekte sind davon in besonderem Mass betroffen, weil sie häufig personenbezogene Daten in grossem Umfang verarbeiten, automatisiert klassifizieren und für Entscheidungen nutzen.
Konkrete Beispiele, die unter das nDSG fallen: ein Chatbot, der Kundendaten speichert und auf dieser Basis Angebote personalisiert; ein OCR-System, das Lieferantenrechnungen mit Personendaten verarbeitet; ein KI-HR-Tool, das Bewerbungsprofile automatisch bewertet; ein Sprachassistent, der Gespräche aufzeichnet und transkribiert.
Das nDSG verlangt in all diesen Fällen nicht nur technische Sicherheitsmassnahmen, sondern auch Transparenz, dokumentierte Prozesse und klare Verantwortlichkeiten. Der DSB ist die Person, die sicherstellt, dass diese Anforderungen erfüllt werden.
DSB in der Schweiz: wann ist er obligatorisch?
Das nDSG macht den DSB für die meisten Schweizer KMUnicht obligatorisch. Er wird jedochdringend empfohlen— und in der Praxis oft unerlässlich — bei folgenden Situationen:
- Regelmässiger Verarbeitung besonders schützenswerter Daten (Gesundheit, religiöse Überzeugungen, genetische Daten, biometrische Daten)
- Mehr als 50 Mitarbeitenden mit umfangreicher digitalisierter Datenverarbeitung
- Automatisierter Profilerstellung von Kunden oder Mitarbeitenden (z.B. Scoring-Systeme, Verhaltensanalyse)
- KI-Projekten, die personenbezogene Daten verarbeiten und für automatisierte Entscheidungen nutzen
- Unternehmen, die Daten von EU-Bürgern verarbeiten und damit auch unter die DSGVO fallen
Ein externer DSB auf Mandatsbasis ist für KMU bis 50 Mitarbeitende oft die kosteneffizienteste Lösung: Er bringt juristisches Fachwissen, kennt die Behördenpraxis des PFPDT und ist institutionell unabhängig.
Die sieben DSB-Pflichten bei KI-Projekten
Pflicht 1 — Register der automatisierten Verarbeitungen (Art. 12 nDSG)
Das Verarbeitungsregister ist das Fundament jeder nDSG-Compliance. Es dokumentiert für jede automatisierte Verarbeitung: die Art der Verarbeitung, die betroffenen Datenkategorien, den Verarbeitungszweck, die Aufbewahrungsdauer und die technischen Sicherheitsmassnahmen.
Für KI-Projekte bedeutet das: Für jeden eingesetzten Chatbot, jeden automatisierten Workflow und jedes KI-Analyse-Tool ist ein Eintrag im Register zu führen. Dieses Register muss bei einem PFPDT-Audit jederzeit vorweisbar sein.
Pflicht 2 — Datenschutz-Folgenabschätzung, DSFA (Art. 22 nDSG)
Die DSFA ist obligatorisch bei Verarbeitungen mithohem Risikofür die Grundrechte der betroffenen Personen. Im KI-Kontext betrifft das insbesondere: Chatbots mit Entscheidungsfunktion, KI-HR-Systeme für Bewerbungsbeurteilungen, Videoanalyse- und Gesichtserkennung, Kreditscoring- und Bonitätsbewertungssysteme sowie halbautomatisierte Entscheidungen mit erheblichen Auswirkungen auf betroffene Personen.
Die DSFA ist ein strukturierter Prozess: Beschreibung der Verarbeitung → Bewertung der Notwendigkeit und Verhältnismässigkeit → Identifikation der Risiken → Definition der Massnahmen zur Risikominderung. Sie wird dokumentiert und beim DSB hinterlegt.
Pflicht 3 — Information der betroffenen Personen (Art. 19 nDSG)
Wenn Ihr KI-System automatisierte Entscheidungen trifft oder an solchen mitwirkt, sind die betroffenen Personen klar und verständlich darüber zu informieren. Das gilt für Kunden, die mit einem KI-Chatbot interagieren, für Bewerber, deren Profile automatisiert bewertet werden, und für Mitarbeitende, deren Leistungsdaten von einem KI-System analysiert werden.
Die Information muss zugänglich sein — nicht versteckt in 40-seitigen Allgemeinen Geschäftsbedingungen, sondern an der Stelle, wo die Interaktion stattfindet. Ein kurzer Hinweis «Dieser Chat wird von einer KI bearbeitet» und ein Link zur Datenschutzerklärung genügen in den meisten Fällen.
Pflicht 4 — Widerspruchsrecht (Art. 21 nDSG)
Betroffene Personen haben das Recht, einer automatisierten Entscheidung zu widersprechen und eine menschliche Überprüfung zu verlangen. Ihr KI-System muss dafür ein einfaches Verfahren bereitstellen: eine sichtbare Schaltfläche «Menschlichen Kontakt anfordern», ein dokumentiertes Überprüfungsverfahren und klare Antwortfristen (Empfehlung: maximal 5 Arbeitstage).
Pflicht 5 — Technische Sicherheit (Art. 8 nDSG)
Das nDSG verlangt angemessene technische und organisatorische Massnahmen zum Schutz personenbezogener Daten. Im KI-Kontext bedeutet das konkret: Verschlüsselung aller Datenübertragungen (TLS 1.3), Hosting in der Schweiz oder EU, strenge Zugangskontrolle mit Multi-Faktor-Authentifizierung, regelmässige Rotation von API-Keys und Token, und Protokollierung aller Zugriffe auf sensitive Daten.
Pflicht 6 — Verträge mit KI-Unterauftragsverarbeitern
Jeder externe KI-Dienst, der personenbezogene Daten verarbeitet, ist ein Unterauftragsverarbeiter. Mit jedem dieser Anbieter — OpenAI, Anthropic, Mistral, Microsoft, Google — ist einDatenverarbeitungsvertrag (DPA)abzuschliessen. Diese Verträge müssen aufbewahrt und auf Anfrage des PFPDT vorgelegt werden können. Zudem ist eine vollständige Kartografie der Datenflüsse zu erstellen: Welche Daten gehen an welchen Dienst, in welchem Land werden sie verarbeitet, wie lange werden sie gespeichert?
Pflicht 7 — Meldung von Datenschutzverletzungen (Art. 24 nDSG)
Bei einer Datenschutzverletzung mit hohem Risiko für die betroffenen Personen besteht eine Meldepflicht gegenüber dem PFPDT. Die empfohlene Frist orientiert sich an der europäischen DSGVO:72 Stundenindividueller Projektumfang. Das setzt voraus, dass Ihr Unternehmen einen Incident-Response-Prozess hat: Wer wird intern sofort informiert? Wer entscheidet über die PFPDT-Meldung? Was wird dokumentiert?
Drei Praxisbeispiele: nDSG und KI in Schweizer KMU
Personalvermittlung in Zürich (18 Mitarbeitende)
Eine Zürcher Personalvermittlung nutzt seit 2025 ein KI-System, das Bewerbungsprofile analysiert und nach definierten Kriterien vorsortiert. individueller Projektumfang, die den Zugang zu einer Beschäftigung beeinflusst, war eine DSFA zwingend. Das Unternehmen hat einen externen DSB mandatiert, der die DSFA durchgeführt, das Verarbeitungsregister aufgebaut und eine Datenschutzerklärung für Bewerber verfasst hat. Ergebnis: vollständige nDSG-Konformität, dokumentiertes Widerspruchsrecht für Bewerber, und kein erhöhtes Haftungsrisiko bei einer potenziellen Rekrutierungsbeschwerde.
IT-Dienstleister in Basel (32 Mitarbeitende)
Ein Basler IT-Dienstleister hat für seine Kunden einen KI-gestützten Support-Chatbot entwickelt, der Ticketanfragen bearbeitet und klassifiziert. individueller Projektumfang, Kontaktdaten, Problembeschreibung) verarbeitet, mussten für jeden Kunden separate Einträge im Verarbeitungsregister erstellt werden. Der interne DSB — ein IT-Mitarbeitender mit Zusatzausbildung — hat zudem die DPAs mit den KI-Anbietern geprüft und sichergestellt, dass die Daten im EU-Raum verbleiben. Aufwand: rund 20 Stunden für die initiale Dokumentation, danach laufende Pflege von zwei bis drei Stunden pro Monat.
Arztpraxis-Netzwerk in der Romandie (8 Praxen)
Ein Verbund von acht Arztpraxen in der Westschweiz hat ein KI-System für die Terminplanung und Patientenkommunikation eingeführt. individueller Projektumfangbesonders schützenswerte Datennach nDSG Art. 5 lit. c gelten, war der Anforderungskatalog besonders streng: vollständiges CH-Hosting (Infomaniak), verschlüsselte Datenübertragung, ausdrückliche Einwilligung der Patienten, monatliche Sicherheitsüberprüfungen. Ein externer DSB wurde beauftragt, der die gesamte Compliance-Dokumentation erstellt hat und halbjährlich eine Überprüfung durchführt.
Interner DSB vs. externer DSB für Schweizer KMU
| Kriterium | Interner DSB | Externer DSB | | --- | --- | --- | | individueller Projektumfang | Teilzeit- oder Vollzeitstelle | Monatliche Pauschale | | Unternehmenswissen | Hoch | Begrenzt, aufzubauen | | Unabhängigkeit | Schwieriger zu gewährleisten | Strukturell hoch | | Verfügbarkeit | Jederzeit im Haus | Nach Vereinbarung | | Relevant für | KMU 50+ mit hohem Datenvolumen | KMU 5–50 Mitarbeitende | | Haftung | Intern getragen | Extern versichert |
Für die meisten Schweizer KMU ist der externe DSB auf Mandatsbasis die pragmatischere Lösung: Er kostet deutlich weniger als eine Vollzeitstelle, bringt spezialisiertes Datenschutz-Know-how mit und ist institutionell unabhängig, was seine Wirksamkeit gegenüber der Geschäftsleitung stärkt.
Praktische Checkliste: KI-Projekt nDSG-ready machen
Bevor Sie ein KI-Projekt in Betrieb nehmen, sollten folgende Punkte geklärt sein:
- [ ] Verarbeitungsregister-Eintrag erstellt (Art. 12)
- [ ] DSFA durchgeführt (wenn hohes Risiko)
- [ ] DPA mit allen KI-Anbietern abgeschlossen
- [ ] Datenflusskartierung erstellt (welche Daten wohin)
- [ ] Datenschutzerklärung aktualisiert
- [ ] Widerspruchsverfahren für Betroffene dokumentiert
- [ ] Technische Sicherheitsmassnahmen implementiert (TLS, Zugangskontrolle)
- [ ] Incident-Response-Prozess definiert
- [ ] Schulung der betroffenen Mitarbeitenden durchgeführt
Eine Begleitung bei dieser Checkliste bieten wir in unseremKI-Schulungsprogramm für KMUan.
FAQ: nDSG und KI im Schweizer KMU
Was passiert, wenn ein Schweizer KMU das nDSG bei KI-Projekten nicht einhält?Das PFPDT kann Sachverhaltsabklärungen einleiten und Empfehlungen aussprechen. Bei schwerwiegenden Verstössen — insbesondere bei der Verletzung von Meldepflichten oder der unzulässigen Verarbeitung besonders schützenswerter Daten — sind Bussen von bis zu individueller Projektumfangöglich. Neben dem finanziellen Risiko steht der Reputationsschaden: Kunden, die erfahren, dass ihre Daten unrechtmässig verarbeitet wurden, sind schwer zurückzugewinnen.
Gilt das nDSG auch für KI-Tools, die ich als SaaS von einem US-Anbieter nutze?Ja. Sobald ein Schweizer Unternehmen über ein Tool personenbezogene Daten von Schweizer oder EU-Bürgern verarbeitet, gilt das nDSG — unabhängig davon, wo der Anbieter seinen Sitz hat. Sie als Verantwortlicher sind in der Pflicht, sicherzustellen, dass der Anbieter einen DPA abschliesst und die Daten in der Schweiz oder EU verarbeitet. Viele grosse Anbieter (Microsoft, Google, OpenAI) bieten standardisierte DPAs an, die Sie herunterladen und aufbewahren müssen.
Kann ich als KMU-Inhaber selbst als DSB fungieren?Formell ist das möglich, individueller Projektumfang. In der Praxis ist es jedoch problematisch, wenn die Geschäftsleitung gleichzeitig die Datenverarbeitungen verantwortet und diese kontrollieren soll. Für Unternehmen mit KI-Projekten, die personenbezogene Daten verarbeiten, empfehlen wir mindestens eine externe DSB-Beratung, um die Compliance-Grundlagen korrekt zu dokumentieren.
Fazit: Der DSB als Beschleuniger, nicht als Bremse
Ein gut integrierter Datenschutzbeauftragter ist für Schweizer KMU kein Kostenfaktor, sondern einstrategischer Enabler. Er ermöglicht es, KI-Projekte schneller und rechtssicher umzusetzen, stärkt das Vertrauen von Kunden und Mitarbeitenden und bereitet das Unternehmen auf PFPDT-Audits vor. Wer Compliance als nachgelagerte Pflicht behandelt, zahlt später mehr — in Form von Nachbesserungen, Anwaltshonoraren und Reputationsschäden.
Möchten Sie wissen, wie Ihr KI-Projekt nDSG-konform aufgestellt wird?Vereinbaren Sie jetzt Ihrkostenloses 30-Minuten-Beratungsgesprächmit unserem Expertenteam. Wir analysieren Ihre aktuelle KI-Situation und zeigen Ihnen den direkten Weg zur Compliance.
Weiterführende Links
Methode und Verlässlichkeit
Dieser Leitfaden ist mit den IAPME-Suisse-Pillar-Seiten und den wichtigsten Quellen für Schweizer KMU verbunden.
- Schweizer Bundesquellen für Regulierung, Daten, Innovation und Cybersicherheit.
- Anerkannte Beratungsunternehmen für KI-Adoption, Agenten und Governance.
- Interne Verlinkung zu Fachleitfäden, damit die Lektüre im KMU-Kontext bleibt.
Referenzquellen
- KMU-Portal des Bundes - künstliche Intelligenz
Schweizer Bundesquelle zu KI-Chancen für KMU.
Bundesquelle
- KMU-Portal des Bundes - Digitalisierung der KMU
Bundesreferenz zu Digitalisierung und Wettbewerbsfähigkeit von Schweizer KMU.
Bundesquelle
- EDÖB - Datenschutzrecht gilt für KI
Schweizer Bundesbehörde zur Anwendbarkeit des Datenschutzrechts auf KI.
Bundesquelle
- Google Search Central - hilfreiche, verlässliche Inhalte
Offizielle Referenz für hilfreiche, belegte und nutzerorientierte Inhalte.
Offizielle Quelle
- Google Search Central - generative Suche
Offizieller Google-Leitfaden für Sichtbarkeit in Search und generativen Erlebnissen.
Offizielle Quelle
- Google Search Central - strukturierte Daten für Artikel
Offizielle Referenz, damit Google Artikel, Titel, Bilder und Daten besser versteht.
Offizielle Quelle
- Europäische Kommission - KI-Regulierungsrahmen
Institutionelle Referenz zu Governance, Transparenz und KI-Pflichten in Europa.
Offizielle Quelle
- McKinsey - State of AI
Beratungsperspektive auf KI-Adoption, Skalierung und Governance-Praktiken.
Beratung
Unsere KI-Agentur in Ihrer Stadt
Kontakt
Erzahlen Sie uns von Ihrem KI-Projekt
Beschreiben Sie Ihr Ziel, Ihren KMU-Kontext und die Workflows, die automatisiert werden sollen.
