Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (DSG). Eine der häufig übersehenen Konsequenzen: Das DSG ist technologieneutral formuliert und gilt damit direkt für KI-gestützte Datenbearbeitungen – ohne dass eine separate KI-Gesetzgebung nötig wäre. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat das in einem aktualisierten Leitfaden vom 8. Mai 2025 ausdrücklich bestätigt. Wer als Kanzlei oder Inhouse Legal Team KI-Tools einsetzt, steht damit rechtlich auf klarem Boden – vorausgesetzt, die eingesetzten Werkzeuge und internen Prozesse halten die Anforderungen des DSG ein.
Was das DSG für KI-Anwendungen konkret bedeutet
Das DSG schützt Personendaten natürlicher Personen. Dazu gehören seit der Revision auch genetische und biometrische Daten als besonders schützenswerte Datenkategorien. Für KI-Systeme ist das relevant, weil personenbezogene Daten an mehreren Stellen im KI-Lebenszyklus verarbeitet werden können: als Trainingsdaten, zur Kontextualisierung, als Benutzereingabe und als KI-generierter Output.
Das DSG verlangt von Unternehmen und Behörden, die KI einsetzen, konkrete Massnahmen. Die wichtigsten sind:
Transparenzpflicht: Wer KI-gestützte Datenbearbeitungen durchführt, muss über Zweck, Funktionsweise und Datenquellen informieren. Nutzerinnen und Nutzer haben das Recht zu wissen, ob sie mit einer Maschine kommunizieren und ob ihre Eingaben für das Modelltraining verwendet werden.
Privacy by Design und Privacy by Default: Art. 7 DSG schreibt vor, dass Datenschutz bereits in der Entwicklungs- und Planungsphase berücksichtigt werden muss – nicht erst beim Rollout. Für externe KI-Tools bedeutet das: Vor der Beschaffung muss geprüft werden, ob das System diese Anforderungen erfüllt.
Datenschutz-Folgenabschätzung (DSFA): Art. 22 DSG verlangt eine DSFA, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeits- oder Grundrechte der betroffenen Personen mit sich bringt. Hochrisiko-KI-Anwendungen sind grundsätzlich zulässig, aber nur mit angemessenen Schutzmassnahmen.
Meldepflicht bei Datenschutzverletzungen: Nach Art. 24 DSG müssen Datenschutzverletzungen dem EDÖB so rasch als möglich gemeldet werden – aber nur, wenn sie voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führen. Anders als die DSGVO (72-Stunden-Frist, ausgelöst bereits durch ein einfaches Risiko) setzt das DSG damit eine höhere Schwelle und keine fixe Frist.
Verbotene KI-Anwendungen unter dem DSG
Das DSG verbietet Anwendungen, die gezielt darauf ausgelegt sind, die Privatsphäre und das Recht auf informationelle Selbstbestimmung zu untergraben. Der EDÖB nennt explizit Massen-Echtzeit-Gesichtserkennung im öffentlichen Raum und Social Scoring – also die umfassende Verhaltensüberwachung und Bewertung von Personen – als Beispiele. Diese Praktiken sind primär aus autoritären Staatssystemen bekannt, aber die Abgrenzung ist für Compliance-Verantwortliche trotzdem relevant.
Der Schweizer Regulierungsrahmen: DSG statt AI Act
Im Gegensatz zur EU hat die Schweiz bisher kein dediziertes KI-Gesetz. Der Bundesrat hat die Konvention des Europarats über KI und Menschenrechte (angenommen am 17. Mai 2024) am 27. März 2025 unterzeichnet. Eine Ratifikation ist geplant; die Vernehmlassungsvorlage wird bis Ende 2026 erwartet. Federführend für die rechtliche Regulierung sind das Eidgenössische Justiz- und Polizeidepartement (EJPD) und das Bundesamt für Justiz (BJ), gemeinsam mit UVEK und EDA. Das Bundesamt für Kommunikation (BAKOM) hat im Februar 2025 die initiale Auslegeordnung erstellt und arbeitet aktuell an nicht-rechtlich verbindlichen Begleitmassnahmen.
Der Schweizer Ansatz verfolgt drei erklärte Ziele: Innovationsförderung, Schutz der Grundrechte einschliesslich der wirtschaftlichen Freiheit, und Aufbau von öffentlichem Vertrauen in KI-Systeme. Bis ein schweizspezifisches KI-Gesetz in Kraft tritt, bleibt das DSG das primäre rechtliche Instrument.
Für Unternehmen mit Bezug zur EU gilt: Das DSG ist eng am DSGVO-Modell ausgerichtet und hat damit zur erneuerten Angemessenheitsentscheidung der EU für die Schweiz beigetragen (bestätigt am 15. Januar 2024). Wer DSG-konform ist, ist in vielen Punkten auch DSGVO-nah aufgestellt – aber nicht zwingend vollständig äquivalent.
DSG vs. DSGVO: Die wichtigsten Unterschiede für Legal Teams
Wer Mandate mit EU-Bezug betreut oder KI-Tools für die ganze Unternehmensgruppe evaluiert, vergleicht beide Regimes regelmässig. Die Frameworks sind eng verwandt, weichen aber an mehreren entscheidenden Stellen voneinander ab:
Thema | Schweizer DSG | EU-DSGVO |
|---|---|---|
Bussen | Bis 250’000 CHF gegen verantwortliche natürliche Personen (z.B. Geschäftsleitung) | Bis 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes gegen das Unternehmen |
Meldefrist Datenschutzverletzung | «So rasch als möglich», keine fixe Frist | 72 Stunden ab Kenntnis |
Meldeschwelle | Nur bei hohem Risiko für Persönlichkeit/Grundrechte | Bereits bei einfachem Risiko |
Grundprinzip der Datenbearbeitung | Erlaubnis mit Verbotsvorbehalt | Verbot mit Erlaubnisvorbehalt |
Datenschutzberater | Fakultativ | In vielen Fällen Pflicht (Art. 37 DSGVO) |
Schutzbereich | Nur natürliche Personen | Nur natürliche Personen |
Auskunftsrecht | Art. 25 DSG | Art. 15 DSGVO |
Für KI-Anwendungen heisst das konkret: Wer DSGVO-konforme Prozesse hat, erfüllt damit viele DSG-Pflichten – muss aber bei Bussenrisiko (persönliche Haftung der Geschäftsleitung), Meldefristen und der grundsätzlichen Beweislast die Schweizer Eigenheiten kennen.
Warum Legal Teams besonders genau hinschauen müssen
Legal Teams verarbeiten täglich hochsensible Daten: Vertragsdokumente, Mandanteninformationen, Due-Diligence-Unterlagen, HR-Daten. Wenn diese Inhalte in KI-Tools eingespeist werden, stellen sich sofort datenschutzrechtliche Fragen: Wo werden die Daten gespeichert? Wer hat Zugriff? Werden Eingaben für das Training verwendet?
Die AXA KMU-Arbeitsmarktstudie 2025 zeigt das Ausmass: 34 % der Schweizer KMU integrieren KI bewusst, ein weiterer Teil experimentiert oder hat punktuell Erfahrung damit, und 29 % haben KI noch nie genutzt. Bei den KMU, die KI tatsächlich einsetzen, hat aber nur rund ein Drittel klare interne Regeln zum datenschutzkonformen Umgang mit KI definiert. In den meisten Betrieben entscheiden Mitarbeitende selbst, welche Tools sie verwenden und welche Daten sie eingeben. Das ist aus Datenschutzsicht ein erhebliches Risiko.
Wie der EDÖB Datenschutz beim KI-Training beurteilt, zeigt seine Vorabklärung zu X (ehemals Twitter) und dem KI-Modell Grok: X hatte am 16. Juli 2024 ein Opt-out für die Nutzung öffentlicher Posts zum KI-Training eingeführt. Am 20. März 2025 schloss der EDÖB seine Vorabklärung mit dem Ergebnis ab, dass X mit dieser Opt-out-Möglichkeit die Anforderungen des DSG erfüllt. Der Fall zeigt: Der EDÖB akzeptiert ein wirksames Opt-out als zulässige Grundlage für die Nutzung öffentlich zugänglicher Daten zum KI-Training – verlangt aber Transparenz über die Praxis.
Wie DSG-konforme KI-Tools für Legal Teams aussehen
Ein KI-Tool, das im rechtlichen Umfeld eingesetzt wird, sollte konkret folgende Eigenschaften mitbringen:
Kein Daten-Retention: Eingaben und Dokumente werden nicht dauerhaft gespeichert. CASUS, eine Schweizer Legal-AI-Plattform für Kanzleien und Inhouse Legal Teams, arbeitet mit Zero Data Retention – nach der Verarbeitung werden keine Daten gespeichert.
Kein Human Review: Inhalte werden nicht von menschlichen Mitarbeitenden des Anbieters eingesehen. CASUS bietet einen Abuse Monitor Opt-out, sodass keine menschliche Überprüfung der Eingaben stattfindet.
Hosting in der Schweiz oder EU: Daten dürfen nicht in Drittstaaten ohne angemessenes Datenschutzniveau übertragen werden. CASUS hostet ausschliesslich in der Schweiz und der EU – keine Datenübertragung in die USA.
Transparenz über Verarbeitung: Nutzende sollten verstehen können, was mit ihren Eingaben geschieht.
Diese Punkte sind keine Marketingversprechen, sondern technische und vertragliche Voraussetzungen für einen rechtskonformen KI-Einsatz im Rechtsbereich.
Praktische Konsequenzen für Kanzleien und Legal Teams
Wer KI-Tools für Vertragsanalyse, Due Diligence oder Legal Research einsetzt, sollte intern drei Fragen klären:
Erstens: Welche Daten werden in das Tool eingespeist? Wenn es personenbezogene Daten natürlicher Personen sind – und das ist in juristischen Dokumenten fast immer der Fall – greift das DSG.
Zweitens: Ist eine DSFA notwendig? Bei hochrisikoreichen Verarbeitungen ja. Für Standard-Vertragsanalyse ohne Profilbildung ist das Risiko oft tiefer, aber eine Prüfung ist trotzdem empfohlen.
Drittens: Hat das Unternehmen interne Richtlinien für den KI-Einsatz? Laut AXA-Studie haben rund zwei Drittel der KI-nutzenden Schweizer KMU keine klaren Datenschutzregeln für den KI-Einsatz definiert. Verstösse gegen das DSG können bei vorsätzlichen Pflichtverletzungen zu Bussen bis 250’000 CHF gegen verantwortliche natürliche Personen führen – plus Reputationsschäden.
Der AI Data Room von CASUS unterstützt bei der Verarbeitung grosser Dokumentenmengen und erkennt dabei personenbezogene Daten wie Namen, E-Mail-Adressen, IDs oder Bankdaten – und priorisiert sensible Datenkategorien. Das erleichtert die Vorbereitung für Anonymisierungsprozesse, bevor Dokumente weitergegeben werden.
Für die juristische Recherche zu datenschutzrechtlichen Fragen bietet CASUS einen Legal Research-Modus, der auf Gesetzen, Rechtsprechung und juristisch belastbaren Quellen basiert und strukturierte, nachvollziehbare Ergebnisse liefert – keine allgemeinen Internetantworten.
CASUS als datenschutzkonforme Option
CASUS ist eine Schweizer Legal-AI-Plattform, die direkt in Microsoft Word oder als Web-App genutzt werden kann. Die Plattform bietet Module für Vertragsanalyse (Risk & Quality Review), Dokumentenvergleich (Benchmark), juristisches Proofreading (Proofread) und KI-gestützten Chat mit Dokumenten (AI Chat).
Die Architektur ist explizit auf den Schweizer und europäischen Rechtsmarkt ausgerichtet: Hosting in der Schweiz und der EU, keine Datenweitergabe in die USA, Zero Data Retention und kein Human Review. Damit erfüllt die Plattform die technischen Grundvoraussetzungen für einen DSG-konformen Einsatz im Legal-Bereich.
Wer nach einer KI-Lösung sucht, die sich mit dem Schweizer Datenschutzrecht verträgt, kann CASUS kostenlos testen: app.getcasus.com/signup.
FAQ
Gilt das Schweizer DSG für KI-Anwendungen?
Ja. Das DSG ist technologieneutral formuliert und gilt direkt für jede KI-gestützte Datenbearbeitung. Der EDÖB hat das in einem aktualisierten Leitfaden vom 8. Mai 2025 ausdrücklich bestätigt.
Braucht die Schweiz ein eigenes KI-Gesetz?
Noch nicht in Kraft. Die Schweiz hat am 27. März 2025 die Europaratskonvention über KI unterzeichnet. Die Vernehmlassungsvorlage wird bis Ende 2026 erwartet. Bis dahin bleibt das DSG das massgebliche Instrument.
Wann ist eine Datenschutz-Folgenabschätzung (DSFA) für KI-Projekte notwendig?
Eine DSFA nach Art. 22 DSG ist erforderlich, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeits- oder Grundrechte betroffener Personen mit sich bringt. Das betrifft insbesondere KI-Anwendungen mit umfangreicher Profilbildung oder automatisierter Einzelentscheidung.
Welche KI-Anwendungen sind unter dem DSG verboten?
Verboten sind Anwendungen, die gezielt darauf ausgelegt sind, die Privatsphäre und informationelle Selbstbestimmung zu untergraben. Der EDÖB nennt Massen-Echtzeit-Gesichtserkennung und Social Scoring als klare Beispiele.
Darf eine Kanzlei Mandantendaten in KI-Tools eingeben?
Das kommt auf das Tool an. Entscheidend sind: Wo werden die Daten gespeichert? Werden Eingaben für das Modelltraining verwendet? Gibt es Human Review? Eine Kanzlei muss sicherstellen, dass das eingesetzte Tool DSG-konform ist – insbesondere kein Daten-Retention und kein US-Hosting.
Was bedeutet “Zero Data Retention” im KI-Kontext?
Zero Data Retention bedeutet, dass eingegebene Daten und Dokumente nach der Verarbeitung nicht dauerhaft gespeichert werden. Das ist eine technische Voraussetzung, um das Recht auf Datenlöschung und Zweckbindung nach DSG einhalten zu können.
Wie unterscheidet sich das Schweizer DSG vom EU-DSGVO?
Das DSG ist eng am DSGVO-Modell ausgerichtet, was 2024 zur erneuerten Angemessenheitsentscheidung der EU für die Schweiz geführt hat. Praxisrelevante Unterschiede: Bussen treffen unter dem DSG primär verantwortliche natürliche Personen (Geschäftsleitung) mit bis zu 250’000 CHF, während die DSGVO Unternehmen mit bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes belegen kann. Datenschutzverletzungen sind unter dem DSG ohne fixe Frist «so rasch als möglich» und nur bei hohem Risiko zu melden, während die DSGVO eine 72-Stunden-Frist bereits bei einfachem Risiko vorsieht. Das DSG folgt dem Prinzip der Erlaubnis mit Verbotsvorbehalt, die DSGVO dem umgekehrten Prinzip. Ein Datenschutzberater ist unter dem DSG fakultativ, unter der DSGVO in vielen Fällen Pflicht.
Wie können Legal Teams intern KI-Risiken reduzieren?
Konkret empfehlen sich: Vorabprüfung jedes KI-Tools auf Datenschutzkonformität, klare interne Richtlinien zu erlaubten Dateneingaben, Schulung der Mitarbeitenden und – wo möglich – Anonymisierung von Personendaten vor der KI-Verarbeitung.
