Wenn du Kund:innen in der Schweiz und der EU bedienst, lautet die kurze Antwort: DSGVO-konforme Prozesse decken etwa 85 % der revidierten Schweizer DSG-Anforderungen direkt ab – aber die restlichen 15 % entscheiden, ob dich Strafrecht oder Verwaltungsrecht trifft. Das revidierte Schweizer Datenschutzgesetz, seit dem 1. September 2023 vollständig wirksam, hält bewusst Nähe zur DSGVO – fügt aber zwei Zähne hinzu, die im EU-Recht fehlen: strafrechtliche Haftung für Einzelpersonen (nicht nur Unternehmen) und ein strengeres Einwilligungsregime beim Profiling. Für KI weicht die Schweiz noch stärker ab, denn es gibt kein Schweizer Äquivalent der EU-KI-Verordnung – noch nicht – was sowohl eine regulatorische Lücke als auch eine Wettbewerbschance für Schweiz-gehostete KI-Dienste schafft.
Dieser Leitfaden vergleicht revDSG und DSGVO für KI-Use-Cases direkt nebeneinander, listet die fünf konkreten Unterschiede auf, die deinen Aufbau ändern (Betroffenenrechte, Einwilligung, Strafen, Profiling, DSB-Pflichten), und gibt dir eine Entscheidungsmatrix für die drei häufigen KMU-Setups: nur-Schweiz, Schweiz+EU und EU-primär mit Schweizer Berührung. Quellen: PwC revFADP/DSGVO-Vergleich, Adnovum: 7 Unterschiede und die DLA-Piper-Übersicht zum Schweizer Datenschutz.
Die Kurzantwort für 5- bis 500-MA-KMU
Wenn dein KI-Stack DSGVO-konform und EU-gehostet ist, bist du für die Schweiz zu etwa 85 % abgedeckt – aber fünf revDSG-spezifische Punkte musst du noch adressieren: (1) strafrechtliche Haftungshinweise in Arbeitsverträgen leitender Entscheider:innen, (2) ausdrückliche Einwilligung beim Hochrisiko-Profiling (strenger als DSGVO), (3) ein:e Schweizer Vertreter:in, wenn du keine Schweizer Tochter hast, (4) EDÖB-spezifische Meldung von Datenschutzverletzungen innerhalb von 72 Stunden, und (5) aktualisierte AVV-Vorlagen mit Schweizer Recht neben DSGVO.
Was es in der Schweiz noch nicht gibt: ein Äquivalent zur EU-KI-Verordnung. Die Vernehmlassung zum Schweizer KI-Gesetz läuft im April 2026 – die meisten Beobachter:innen erwarten 2027–2028 als Inkrafttreten. Bis dahin haben deine KI-Risikoklassifizierung, Trainingsdaten-Dokumentation und Bias-Audit-Pflichten aus EU-KI-VO Art. 9–15 schlicht keine Schweizer Entsprechung. Das ist die regulatorische Lücke. Es bedeutet auch: Wer KI-Dienste aus der Schweiz in die Schweiz verkauft, hat aktuell weniger formale KI-Pflichten als die EU-Konkurrenz – ein Wettbewerbsfenster von 12 bis 24 Monaten.
DSG vs. DSGVO: das Side-by-Side, das für KI zählt
Die beiden Regimes überschneiden sich in der Absicht (personenbezogene Daten schützen, Betroffenen Kontrolle geben) und unterscheiden sich in der Durchsetzung (strafrechtlich vs. verwaltungsrechtlich), den Profiling-Schwellen (Schweiz ist strenger) und der KI-Spezifik (EU hat die KI-VO-Schicht, die Schweiz noch nicht). Die Tabelle deckt die Dimensionen ab, die deinen KI-Aufbau wirklich prägen.
| Dimension | EU-DSGVO | Schweizer revDSG | KI-Auswirkung |
|---|---|---|---|
| Strafregime | Verwaltungsgeldbußen bis €20 Mio. oder 4 % Welt-Umsatz | Strafrechtliche Bußen bis CHF 250.000 gegen Einzelpersonen | Senior-Entscheider:innen in CH persönlich haftbar |
| Profiling-Einwilligung | Einwilligung nur für vollautomatisierte Entscheidungen | Ausdrückliche Einwilligung für Hochrisiko-Profiling, auch ohne Vollautomatisierung | KI-Scoring-Tools brauchen expliziten CH-Einwilligungs-Flow |
| Besonders schützenswerte Daten | Rasse, Ethnie, Gesundheit, biometrische Identifikation, sexuelle Orientierung | Identisch + genetische Daten + biometrische Daten explizit | KI-Systeme mit Biometrie brauchen strengere CH-Schutzmaßnahmen |
| DSB-Pflicht | Pflicht für öffentliche Stellen + Massenverarbeitung | Empfohlen, nicht zwingend | CH-Firmen können schlanker fahren; bei Grenzverkehr trotzdem empfehlenswert |
| Meldung Datenschutzverletzung | 72 Stunden an Aufsichtsbehörde | "So bald wie möglich" an EDÖB (interpretiert ~72h) | Gleiche operative SLA, andere Adressat:innen |
| KI-VO-Schicht | EU-KI-VO Art. 9–15 greifen (Aug. 2026 Hochrisiko) | Noch kein Äquivalent – Vernehmlassung | 12–24 Monate CH-Wettbewerbsfenster für KI-Einsatz |
| Angemessenheit | Schweiz hat DSGVO-Angemessenheitsbeschluss (gegenseitig) | EU anerkannt, US-DPF Swiss-Extension für US-Transfers nötig | CH ↔ EU-KI-Datenströme OK, US-KI-Anbieter brauchen Swiss-DPF |
Mappe deine KI-Systeme in einem Schritt auf DSG und DSGVO
Eine 12-Minuten-KI-Governance-Bewertung zeigt, welche Schweizer und EU-Pflichten auf jedes deiner KI-Systeme greifen – und wo die revDSG-Überlagerung wirklich etwas am Aufbau ändert.
Die Schweizer KI-VO-Lücke: Risiko oder Chance?
Die Schweiz hat im April 2026 kein in Kraft getretenes KI-spezifisches Gesetz, und die Vernehmlassung des Bundesrats deutet auf einen prinzipienbasierten Ansatz hin, nicht auf das EU-Risikoklassifizierungsmodell. Für KMU, die KI-Produkte aus der Schweiz betreiben, ist das ein echter Wettbewerbsvorteil – für die nächsten 12 bis 24 Monate. Danach landet das Schweizer Recht voraussichtlich irgendwo zwischen EU-KI-VO und den Prinzipien der KI-Konvention des Europarats, mit branchenspezifischen Überlagerungen (Finanzen, Gesundheit, Beschäftigung).
Praktische Konsequenz: Bau nicht gegen das fehlende Schweizer KI-Gesetz. Bau gegen die EU-KI-VO-Hochrisiko-Anforderungen als Baseline, auch im reinen Schweiz-Betrieb. Wenn das Schweizer Gesetz kommt, wird es DSGVO-ähnlich angemessen oder strenger als der EU-Benchmark sein – niemals schwächer. Die Kosten der Überkonformität sind ein verlorenes Wettbewerbsfenster. Die Kosten der Unterkonformität sind ein Neubau unter regulatorischem Druck mit schrumpfender Zeitleiste. Wähle den günstigeren Fehler.
Das strafrechtliche Detail, das in keinem Vendor-Pitch auftaucht
Nach Art. 60–61 revDSG können Einzelpersonen – nicht nur Unternehmen – strafrechtliche Bußen bis CHF 250.000 für vorsätzliche oder grob fahrlässige Verstöße erhalten. Das ist der größte strukturelle Unterschied zur DSGVO, in der die persönliche Haftung von Führungskräften praktisch nicht existiert. Praktische Konsequenzen: Deine CISO, deine Datenschutzbeauftragte und der/die KI-System-Owner stehen jetzt namentlich auf einer Liste. Ihre Schweizer Arbeitsverträge brauchen eine ausdrückliche Freistellungsklausel und eine D&O-Police, die strafrechtliche Verteidigungskosten ausdrücklich abdeckt (die meisten tun das standardmäßig nicht). Wer 2026 in der Schweiz für diese Rollen einstellt: rechne damit, dass Kandidat:innen das verhandeln – zu Recht.
Umsetzung: 5 Unterschiede, die deinen Aufbau ändern
Wenn dein Stack DSGVO-reif ist, sind das die fünf konkreten Änderungen, die das revDSG erzwingt. Keine ist isoliert teuer – zusammen sind es ein halber Tag Anwaltsarbeit plus Vertragsupdates.
1. Schweizer Recht in bestehende AVV einfügen
Deine bestehenden DSGVO-AVV brauchen eine revDSG-Überlagerungsklausel: "Dieser AVV wird im Sinne des revDSG ausgelegt, soweit Schweizer Betroffene verarbeitet werden; im Konfliktfall gilt das strengere Regime." Einseitiges Addendum, einmal pro Anbieter unterzeichnet.
2. Schweizer Vertreter:in benennen, wenn keine CH-Niederlassung
Wenn du Daten Schweizer Betroffener verarbeitest und keine Schweizer Tochter hast, musst du nach Art. 14 revDSG eine:n Vertreter:in in der Schweiz benennen. Service-Anbieter gibt es ab CHF 200–600 pro Monat. Gleiche Struktur wie Art. 27 DSGVO-Vertretung – andere Jurisdiktion, separate Benennung.
3. Profiling-Einwilligung für CH-User:innen verschärfen
KI-Scoring, Empfehlungssysteme und verhaltensanalytische Auswertungen für Schweizer User:innen brauchen ausdrückliche Einwilligung – nicht berechtigtes Interesse, nicht Vertragserfüllung – unter revDSG. Füge eine Schweiz-spezifische Einwilligungsschicht im Cookie-Banner / Signup-Flow hinzu, die bei Schweizer IP oder Adresse greift. Die meisten CMP-Tools (Usercentrics, OneTrust, Cookiebot) unterstützen dieses Geo-Routing nativ.
4. Arbeitsverträge der Senior-Daten- und KI-Rollen anpassen
Rollen mit persönlicher strafrechtlicher Haftung unter revDSG (CISO, DSB, KI-System-Owner, Head of Data) brauchen eine Freistellungsklausel + Übernahme strafrechtlicher Verteidigungskosten in deiner D&O-Police. Standard-D&O schließt Strafverfahren oft aus – schriftlich beim Versicherer bestätigen lassen. Kosten: CHF 0–2.000 Policenanpassung pro Rolle pro Jahr.
5. Separaten EDÖB-Meldekanal für Datenschutzverletzungen einrichten
Dein bestehender DSGVO-Breach-SOP routet an die federführende Aufsichtsbehörde. Der EDÖB ist ein separater Kanal: Vorfälle mit Schweizer Betroffenen müssen "so bald wie möglich" (interpretiert: 72 Stunden) an den EDÖB gemeldet werden. Ergänze deinen Incident-Response-Runbook: parallele Meldung, nicht sequenziell.
Entscheidungsmatrix nach Unternehmens-Setup
Drei Setups decken ~95 % der KMU ab, mit denen wir arbeiten. Die richtige Vorgehensweise unterscheidet sich stark – das falsche Setup wählen heißt entweder zu viel für Vertretungen und Einwilligungen ausgeben, die du rechtlich nicht brauchst, oder zu wenig auszugeben und persönliche Haftung für Senior:innen mitzuschleppen.
| Setup | Hauptregime | Was du ergänzen musst | Was du dir sparen kannst |
|---|---|---|---|
Nur Schweiz (keine EU-Kunden) | revDSG | EDÖB-Meldungen, D&O mit Strafhaftungs-Deckung, AVV-Vorlagen unter Schweizer Recht | DSB-Pflicht, 4 %-Welt-Umsatz-Strafenmodellierung, EU-Vertretung |
Schweiz + EU (häufigster KMU-Fall) | Beide – strengeres Regime gewinnt | Alle fünf revDSG-Punkte oben + DSGVO-Compliance, plus Schweizer Vertretung | Fast nichts – das aufwendigste Setup |
EU-primär, gelegentliche CH-Berührung | DSGVO mit revDSG-Überlagerung | AVV-Schweiz-Addendum, geo-gerouteter Consent für CH-IPs, EDÖB-Breach-Kanal | Schweizer Vertretung, wenn du unter CHF 250k Umsatz aus CH bleibst (Niedrig-Schwelle) |
KI-Readiness-Check – Schweiz + EU spezifisch
In 12 Minuten herausfinden, welche KI-Compliance-Pflichten dich wirklich treffen. Inklusive Schweizer Punkten, die die meisten generischen Checks übersehen.
5 typische Fehler an der DSG/DSGVO-Naht
Aus Audit-Arbeit und Onboarding-Gesprächen mit Schweizer + EU-KMU 2025/2026 wiederholen sich fünf Fehler. Drei davon fallen erst im Audit auf – und sind dann 10× so teuer wie das vorausschauende Vermeiden.
— Aus Audit-Arbeit mit Schweizer + EU-KMU, 2025–2026Die Kosten, das revDSG als "DSGVO-light" zu behandeln, sind nicht die Audit-Strafe. Es ist die Senior-Datenschutz-Kandidatin, die die Strafhaftungsklausel liest und das Angebot ablehnt.
5 Regeln für DSG + DSGVO bei KI
DSGVO-Reife deckt ~85 % von revDSG ab. Die 15 % sind dort, wo Audits einschlagen – nicht überspringen.
Bau gegen EU-KI-VO-Hochrisiko-Anforderungen, auch im reinen CH-Betrieb. Das Schweizer Gesetz wird auf oder über EU-Niveau landen.
Persönliche Strafhaftung ist real. Senior-Verträge und D&O-Schutz vor dem Angebot anpassen.
Swiss-US-DPF-Erweiterung für jeden US-KI-Anbieter mit CH-Betroffenen-Daten bestätigen. Nur EU-Zertifizierung reicht nicht.
Nutze die 12–24-Monate-Lücke ohne Schweizer KI-Gesetz als Deployment-Fenster – nicht als dauerhafte Ausnahme.
![DSGVO & KI-Verordnung: Die Compliance-Checkliste für KI-Teamassistenten [2026]](https://www.teamazing.com/wp-content/uploads/2026/03/ai-governance-in-companies.jpg)
![KI-Vertrauen der Mitarbeitenden: Die Linie zwischen Entwicklung und Überwachung [2026]](https://www.teamazing.com/wp-content/uploads/2026/04/employee-ai-trust-confidentiality.jpg)
