Wer in einem Schweizer Unternehmen ein KI-Projekt startet, stösst sofort auf eine Frage: Welche Datenschutzregeln gelten — und wie unterscheiden sie sich von der DSGVO? Dieser Leitfaden fasst den Stand 2026 zusammen. Er ist keine Rechtsberatung.

Das revDSG gilt seit dem 1. September 2023

Das totalrevidierte Datenschutzgesetz (revDSG / nDSG) und die revidierte Datenschutz­verordnung (DSV) sind am 1. September 2023 ohne Übergangsfrist in Kraft getreten — bestehende Bearbeitungen mussten ab dem ersten Tag konform sein (kmu.admin.ch, datenrecht.ch). Es löste das Gesetz von 1992 ab.

Wichtige Pflichten, die KI-Vorhaben betreffen:

  • Informationspflicht: Über jede Beschaffung von Personendaten ist zu informieren, nicht nur über besonders schützenswerte Daten.
  • Bearbeitungsverzeichnis: Verantwortliche und Auftragsbearbeiter führen ein Verzeichnis; Unternehmen mit weniger als 250 Mitarbeitenden sind weitgehend ausgenommen, ausser bei risikoreichen oder umfangreichen Bearbeitungen besonders schützenswerter Daten.
  • Datenschutz-Folgenabschätzung (DSFA): nötig bei hohem Risiko für Persönlichkeit oder Grundrechte (recordinglaw.com).
  • Privacy by Design und by Default sowie eine Meldung von Datensicherheits­verletzungen an den EDÖB «so rasch als möglich» (nicht die fixe 72-Stunden-Frist der DSGVO) (pwc.ch).

Der entscheidende Unterschied zur DSGVO: die Sanktionen

Hier weicht die Schweiz deutlich ab. Es gibt keine DSGVO-artigen Verwaltungsbussen gegen Unternehmen. Stattdessen sieht das revDSG Strafbussen bis CHF 250’000 vor (Art. 60–63 DSG), die primär die verantwortliche natürliche Person treffen — Geschäftsleitung, Verantwortliche, Entscheidungsträger — und nur bei Vorsatz; fahrlässige Verstösse sind nicht strafbar (edoeb.admin.ch). Ein Unternehmen selbst kann nur bis CHF 50’000 gebüsst werden, und nur dann, wenn die Ermittlung der verantwortlichen Person unverhältnismässig wäre.

Wichtig auch: Der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) kann seit der Revision verbindliche Verfügungen erlassen (Bearbeitung stoppen, anpassen, löschen), aber selbst keine Bussen aussprechen — das tun kantonale Staatsanwaltschaften (edoeb.admin.ch).

AspektrevDSG (Schweiz)DSGVO (EU)
BussenStrafbussen bis CHF 250’000, meist gegen Personen, nur bei VorsatzVerwaltungsbussen bis 20 Mio. € / 4 % Umsatz gegen Firmen
AufsichtsbehördeEDÖB — verbindliche Verfügungen, aber keine BussenDatenschutzbehörden mit Bussenkompetenz
Meldefrist Datenpanne«so rasch als möglich»72 Stunden
VerzeichnispflichtKMU < 250 MA weitgehend ausgenommenweitgehend für alle

KI-Regulierung: Stand 2026

Die Schweiz ist nicht im EU-/EWR-Raum, daher gilt der EU AI Act nicht direkt — er kann aber extraterritorial greifen, wenn ein Schweizer Unternehmen KI-Systeme im EU-Markt platziert oder deren Output in der EU genutzt wird (cms.law).

Eigener Weg der Schweiz: Am 12. Februar 2025 entschied der Bundesrat einen sektoriellen Ansatz — explizit kein «Schweizer AI Act». Stattdessen soll bis Ende 2026 ein Umsetzungserlass zur Ratifizierung der KI-Konvention des Europarats ausgearbeitet werden (Lenz & Staehelin). Die Schweiz unterzeichnete die Konvention am 27. März 2025, die Ratifizierung ist aber noch nicht abgeschlossen (coe.int). Mit anderen Worten: 2026 gibt es kein horizontales Schweizer KI-Gesetz — das revDSG bleibt der zentrale Rahmen für KI mit Personendaten.

Was das für Ihr KI-Projekt heisst

Drei praktische Konsequenzen:

  1. Wo die Daten verarbeitet werden, ist eine Compliance-Frage — nicht nur eine technische. Wer das Bank- oder Berufsgeheimnis trägt, prüft die Datenhaltung in der Schweiz zuerst (siehe Datensouveränität: warum KI-Daten in der Schweiz bleiben sollten).
  2. Bei US-Cloud zählt die DPF-Zertifizierung des Anbieters — und der Restzweifel, der das CLOUD-Act-Risiko nie ganz ausschliesst.
  3. Architektur statt Verbot: Eine Plattform wie osFoundry erlaubt BYOK (eigener Modell-Schlüssel), Self-Hosting in der eigenen Cloud und lokale Inferenz — so bleibt die Datenhoheit beim Unternehmen, statt bei einem fremden SaaS-Anbieter.

dgm strukturiert KI-Projekte so, dass revDSG, DSFA und Geheimhaltungspflichten von Anfang an mitgedacht sind. Die fachliche Beurteilung im Einzelfall bleibt bei Ihnen und Ihrer Rechtsberatung — dgm liefert die technische Architektur und die Kontrollen dazu.