nLPD und KI: Pflichten für Schweizer KMU im Jahr 2026

Das neue Bundesgesetz über den Datenschutz (nLPD), das am 1. September 2023 in Kraft getreten ist, hat den rechtlichen Rahmen für den Einsatz von Künstlicher Intelligenz (KI) in Schweizer Unternehmen grundlegend verändert. Für Schweizer KMU stellt diese Regulierung sowohl eine Herausforderung in Bezug auf die Einhaltung der Vorschriften als auch eine Chance dar, sich durch ethische und transparente Praktiken zu differenzieren.

Da die Einführung von KI-Technologien in der Schweizer Wirtschaft immer schneller voranschreitet, ist es entscheidend, die konkreten Auswirkungen des nLPD auf Ihre KI-Projekte zu verstehen. Dieser Artikel erläutert die gesetzlichen Pflichten, die Risiken und die praktischen Maßnahmen, die Sie ergreifen sollten.

Rückblick: Was ist das nLPD?

Das neue Datenschutzgesetz (nLPD) ersetzt das veraltete Bundesgesetz von 1992, das den heutigen digitalen Herausforderungen nicht mehr gerecht wird. Es ist vom europäischen Datenschutzgesetz (DSGVO) inspiriert, behält jedoch spezifisch schweizerische Merkmale bei. Es stärkt die Rechte der betroffenen Personen und die Pflichten der Verantwortlichen erheblich.

Die grundlegenden Prinzipien für KI

Das nLPD basiert auf mehreren Prinzipien, die direkt auf KI-Systeme anwendbar sind:

Transparenz: Jede Person, deren Daten verarbeitet werden, muss darüber informiert werden.
Zweckbindung: Daten dürfen nur für den bei der Erhebung angegebenen Zweck verwendet werden.
Verhältnismäßigkeit: Es dürfen nur die unbedingt notwendigen Daten verarbeitet werden.
Richtigkeit: Daten müssen korrekt und aktuell sein.
Sicherheit: Technische und organisatorische Maßnahmen müssen die Daten angemessen schützen.

Diese Prinzipien gelten vollständig für KI-Systeme, sei es ein Chatbot, ein Kunden-Scoring-Tool oder ein Rekrutierungsalgorithmus.

Spezifische Pflichten für KMU, die KI nutzen

1. Verstärkte Informationspflicht

Wenn ein KMU ein KI-System einsetzt, das personenbezogene Daten verarbeitet, muss es die betroffenen Personen klar und verständlich informieren. Diese Informationen müssen Folgendes umfassen:

Die Identität des Verantwortlichen für die Datenverarbeitung
Den Zweck der automatisierten Verarbeitung
Die Kategorien der verarbeiteten Daten
Gegebenenfalls die Empfänger der Daten
Falls zutreffend, die Übermittlung von Daten ins Ausland

Konkretes Beispiel: Wenn Ihr KMU ein CRM mit KI-Funktionalitäten verwendet, um das Verhalten Ihrer Kunden zu analysieren, müssen Sie diese darüber informieren, dass ihre Interaktionen von einem Algorithmus analysiert werden, zu welchem Zweck dies geschieht und welche Daten verwendet werden.

2. Datenschutz-Folgenabschätzung (DPIA)

Artikel 22 des nLPD schreibt eine Datenschutz-Folgenabschätzung vor, wenn eine Verarbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen darstellt. KI-Systeme weisen häufig dieses Risikoniveau auf, insbesondere wenn sie:

Persönlichkeitsprofile erstellen
Sensible Daten in großem Umfang verarbeiten
Öffentlich zugängliche Räume systematisch überwachen
Automatisierte Entscheidungen treffen, die rechtliche Auswirkungen haben

Geschätzte Kosten: Eine vollständige DPIA für ein KI-Projekt kostet zwischen 3'000 und 15'000 CHF, eine überschaubare Investition im Vergleich zu möglichen Sanktionen.

3. Führung eines Verzeichnisses der Verarbeitungstätigkeiten

Jedes Unternehmen mit mehr als 250 Mitarbeitenden muss ein Verzeichnis der Verarbeitungstätigkeiten führen. Unterhalb dieser Schwelle gilt die Pflicht jedoch, wenn die Verarbeitung ein hohes Risiko darstellt – was bei KI häufig der Fall ist.

Dieses Verzeichnis muss dokumentieren:

Jedes verwendete KI-System und die verarbeiteten Daten
Die rechtliche Grundlage der Verarbeitung
Die getroffenen Sicherheitsmaßnahmen
Eventuell beteiligte Auftragsverarbeiter
Die Aufbewahrungsdauer der Daten

4. Recht auf menschliche Überprüfung

Ein zentraler Punkt für KMU, die KI in Entscheidungsprozessen einsetzen: Artikel 21 des nLPD gewährt betroffenen Personen das Recht, zu verlangen, dass eine automatisierte Entscheidung mit rechtlichen Auswirkungen von einem Menschen überprüft wird.

Konkret bedeutet dies, dass, wenn Ihr KI-System automatisch eine Bewerbung ablehnt, einen Kredit verweigert oder einen Tarif festlegt, die betroffene Person eine manuelle Überprüfung dieser Entscheidung verlangen kann.

Sanktionen bei Nichteinhaltung

Das nLPD sieht Geldstrafen von bis zu 250'000 CHF für verantwortliche natürliche Personen vor. Im Gegensatz zur DSGVO sind nicht die Unternehmen, sondern die Einzelpersonen (Geschäftsführer, IT-Verantwortliche) persönlich betroffen.

Die häufigsten Verstöße im Zusammenhang mit KI umfassen:

| Verstoß | Maximale Geldstrafe | |---|---| | Fehlende Information | 250'000 CHF | | Verletzung der Sorgfaltspflicht bei Auftragsverarbeitern | 250'000 CHF | | Nichteinhaltung der Mindestanforderungen an die Sicherheit | 250'000 CHF | | Unterlassung der Meldung von Datenschutzverletzungen | 250'000 CHF |

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) verfügt zudem über weitreichende Untersuchungsbefugnisse und kann die Änderung oder Einstellung einer nicht konformen Verarbeitung anordnen.

Praxisleitfaden: 7 Schritte zur nLPD-Konformität Ihrer KI-Projekte

Schritt 1: Kartierung Ihrer bestehenden KI-Verarbeitungen

Erstellen Sie zunächst eine vollständige Liste aller KI-Tools, die in Ihrem KMU verwendet werden. Dazu gehören auch SaaS-Lösungen mit KI-Funktionalitäten, selbst wenn der Anbieter diese nicht explizit hervorhebt.

Schritt 2: Bewertung der Risiken jeder Verarbeitung

Bewerten Sie für jedes identifizierte KI-System das Risikoniveau basierend auf den verarbeiteten Daten, dem Volumen, dem Zweck und den potenziellen Auswirkungen auf die betroffenen Personen.

Schritt 3: Aktualisierung Ihrer Datenschutzerklärungen

Ihre rechtlichen Hinweise und Datenschutzrichtlinien müssen ausdrücklich die Nutzung von KI, die verarbeiteten Daten und die Rechte der betroffenen Personen erwähnen.

Schritt 4: Überprüfung Ihrer Verträge mit KI-Anbietern

Jeder Anbieter von KI-Lösungen ist ein Auftragsverarbeiter im Sinne des nLPD. Ein Vertrag gemäß Artikel 9 muss die Beziehung regeln und insbesondere Sicherheitsmaßnahmen, Vertraulichkeitsverpflichtungen und Modalitäten zur Rückgabe oder Löschung der Daten festlegen.

Schritt 5: Sicherung grenzüberschreitender Datenflüsse

Viele KI-Tools (ChatGPT, Google Cloud AI, AWS) speichern ihre Daten in den USA. Das nLPD erfordert spezifische Garantien für solche Übermittlungen: Standardvertragsklauseln, Zertifizierungen oder ausdrückliche Einwilligungen.

Tipp: Bevorzugen Sie, wenn möglich, Lösungen, die in der Schweiz oder der EU gehostet werden. Für viele Anwendungsfälle gibt es lokale Alternativen.

Schritt 6: Dokumentation Ihrer automatisierten Entscheidungsprozesse

Für jede automatisierte Entscheidung durch KI, die erhebliche Auswirkungen auf Personen hat, dokumentieren Sie die Funktionsweise des Algorithmus, die verwendeten Kriterien und den Mechanismus für die menschliche Überprüfung.

Schritt 7: Schulung Ihrer Mitarbeitenden

Die Einhaltung des nLPD ist nicht nur Aufgabe der Rechtsabteilung. Jeder Mitarbeitende, der KI-Tools verwendet, muss die Grundprinzipien des Datenschutzes und die einzuhaltenden Best Practices verstehen.

Der besondere Fall der generativen KI

Der Einsatz generativer KI-Tools (ChatGPT, Claude, Midjourney) durch Mitarbeitende eines KMU stellt spezifische Herausforderungen dar:

Risiko unbeabsichtigter Offenlegung: Daten, die in ein generatives KI-Tool eingegeben werden, können zur Modellschulung verwendet werden. Es sollte ausdrücklich verboten werden, personenbezogene oder vertrauliche Daten einzugeben.
Hosting außerhalb der Schweiz: Die meisten dieser Tools werden in den USA gehostet, was zusätzliche Garantien erfordert.
Mangelnde Kontrolle über Ergebnisse: Die generierten Inhalte können fehlerhafte oder voreingenommene Informationen enthalten, was potenziell die Haftung des Unternehmens betrifft.

Eine Nutzungsrichtlinie für generative KI, die von der Geschäftsleitung genehmigt und allen Mitarbeitenden kommuniziert wird, ist ein absolutes Minimum.

Verknüpfung mit der europäischen KI-Verordnung (AI Act)

Obwohl die Schweiz nicht direkt an die seit 2024 schrittweise in Kraft tretende europäische KI-Verordnung (AI Act) gebunden ist, müssen Schweizer KMU, die in die EU exportieren oder europäische Kunden bedienen, diese berücksichtigen. Die Anforderungen des AI Act in Bezug auf Transparenz, Risikomanagement und menschliche Aufsicht ergänzen den Rahmen des nLPD sinnvoll.

Darüber hinaus hat der Bundesrat angekündigt, an einem spezifischen Regulierungsrahmen für KI zu arbeiten, der sich möglicherweise an der europäischen Herangehensweise orientiert. Sich bereits jetzt an bewährte Praktiken zu halten, ist eine kluge präventive Investition.

Budget für die nLPD-Konformität eines KI-Projekts

| Posten | Geschätzte Kosten (CHF) | |---|---| | Initiales Compliance-Audit | 2'000 – 5'000 | | Datenschutz-Folgenabschätzung (DPIA) | 3'000 – 15'000 | | Aktualisierung der juristischen Dokumente | 1'500 – 4'000 | | Schulung der Mitarbeitenden | 1'000 – 3'000 | | Jährliche Begleitung | 2'000 – 8'000 | | Gesamtkosten im ersten Jahr | 9'500 – 35'000 |

Diese Beträge, obwohl signifikant, sind weit niedriger als mögliche Sanktionen und stellen eine Investition in das Vertrauen Ihrer Kunden und Partner dar.

Fazit

Die nLPD-Konformität im Rahmen von KI-Projekten ist für Schweizer KMU keine Option, sondern eine gesetzliche Verpflichtung mit erheblichen persönlichen Sanktionen. Über die regulatorischen Anforderungen hinaus bietet ein verantwortungsvoller Umgang mit KI einen echten Wettbewerbsvorteil in einem Schweizer Markt, in dem Vertrauen ein zentraler Wert ist.

Das Wichtigste ist, nicht auf einen Vorfall zu warten, um zu handeln. Ein proaktiver, strukturierter und der Größe Ihres Unternehmens angepasster Ansatz ermöglicht es Ihnen, die Vorteile von KI voll auszuschöpfen und gleichzeitig die Rechte Ihrer Kunden, Mitarbeitenden und Partner zu respektieren.

Möchten Sie die nLPD-Konformität Ihrer KI-Projekte bewerten? Fordern Sie Ihr kostenloses Audit an und erhalten Sie eine personalisierte Diagnose innerhalb von 48 Stunden.

Externe Ressource

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) — Leitfaden nLPD