Wenn du Kund:innen in der Schweiz und der EU bedienst, lautet die kurze Antwort: DSGVO-konforme Prozesse decken etwa 85 % der revidierten Schweizer DSG-Anforderungen direkt ab – aber die restlichen 15 % entscheiden, ob dich Strafrecht oder Verwaltungsrecht trifft. Das revidierte Schweizer Datenschutzgesetz, seit dem 1. September 2023 vollständig wirksam, hält bewusst Nähe zur DSGVO – fügt aber zwei Zähne hinzu, die im EU-Recht fehlen: strafrechtliche Haftung für Einzelpersonen (nicht nur Unternehmen) und ein strengeres Einwilligungsregime beim Profiling. Für KI weicht die Schweiz noch stärker ab, denn es gibt kein Schweizer Äquivalent der EU-KI-Verordnung – noch nicht – was sowohl eine regulatorische Lücke als auch eine Wettbewerbschance für Schweiz-gehostete KI-Dienste schafft.
Dieser Leitfaden vergleicht revDSG und DSGVO für KI-Use-Cases direkt nebeneinander, listet die fünf konkreten Unterschiede auf, die deinen Aufbau ändern (Betroffenenrechte, Einwilligung, Strafen, Profiling, DSB-Pflichten), und gibt dir eine Entscheidungsmatrix für die drei häufigen KMU-Setups: nur-Schweiz, Schweiz+EU und EU-primär mit Schweizer Berührung. Quellen: PwC revFADP/DSGVO-Vergleich, Adnovum: 7 Unterschiede und die DLA-Piper-Übersicht zum Schweizer Datenschutz.
Die Kurzantwort für 5- bis 500-MA-KMU
Wenn dein KI-Stack DSGVO-konform und EU-gehostet ist, bist du für die Schweiz zu etwa 85 % abgedeckt – aber fünf revDSG-spezifische Punkte musst du noch adressieren: (1) strafrechtliche Haftungshinweise in Arbeitsverträgen leitender Entscheider:innen, (2) ausdrückliche Einwilligung beim Hochrisiko-Profiling (strenger als DSGVO), (3) ein:e Schweizer Vertreter:in, wenn du keine Schweizer Tochter hast, (4) EDÖB-spezifische Meldung von Datenschutzverletzungen innerhalb von 72 Stunden, und (5) aktualisierte AVV-Vorlagen mit Schweizer Recht neben DSGVO.
Was es in der Schweiz noch nicht gibt: ein Äquivalent zur EU-KI-Verordnung. Die Vernehmlassung zum Schweizer KI-Gesetz läuft im April 2026 – die meisten Beobachter:innen erwarten 2027–2028 als Inkrafttreten. Bis dahin haben deine KI-Risikoklassifizierung, Trainingsdaten-Dokumentation und Bias-Audit-Pflichten aus EU-KI-VO Art. 9–15 schlicht keine Schweizer Entsprechung. Das ist die regulatorische Lücke. Es bedeutet auch: Wer KI-Dienste aus der Schweiz in die Schweiz verkauft, hat aktuell weniger formale KI-Pflichten als die EU-Konkurrenz – ein Wettbewerbsfenster von 12 bis 24 Monaten.
DSG vs. DSGVO: das Side-by-Side, das für KI zählt
Die beiden Regimes überschneiden sich in der Absicht (personenbezogene Daten schützen, Betroffenen Kontrolle geben) und unterscheiden sich in der Durchsetzung (strafrechtlich vs. verwaltungsrechtlich), den Profiling-Schwellen (Schweiz ist strenger) und der KI-Spezifik (EU hat die KI-VO-Schicht, die Schweiz noch nicht). Die Tabelle deckt die Dimensionen ab, die deinen KI-Aufbau wirklich prägen.
| Dimension | EU-DSGVO | Schweizer revDSG | KI-Auswirkung |
|---|---|---|---|
| Strafregime | Verwaltungsgeldbußen bis €20 Mio. oder 4 % Welt-Umsatz | Strafrechtliche Bußen bis CHF 250.000 gegen Einzelpersonen | Senior-Entscheider:innen in CH persönlich haftbar |
| Profiling-Einwilligung | Einwilligung nur für vollautomatisierte Entscheidungen | Ausdrückliche Einwilligung für Hochrisiko-Profiling, auch ohne Vollautomatisierung | KI-Scoring-Tools brauchen expliziten CH-Einwilligungs-Flow |
| Besonders schützenswerte Daten | Rasse, Ethnie, Gesundheit, biometrische Identifikation, sexuelle Orientierung | Identisch + genetische Daten + biometrische Daten explizit | KI-Systeme mit Biometrie brauchen strengere CH-Schutzmaßnahmen |
| DSB-Pflicht | Pflicht für öffentliche Stellen + Massenverarbeitung | Empfohlen, nicht zwingend | CH-Firmen können schlanker fahren; bei Grenzverkehr trotzdem empfehlenswert |
| Meldung Datenschutzverletzung | 72 Stunden an Aufsichtsbehörde | "So bald wie möglich" an EDÖB (interpretiert ~72h) | Gleiche operative SLA, andere Adressat:innen |
| KI-VO-Schicht | EU-KI-VO Art. 9–15 greifen (Aug. 2026 Hochrisiko) | Noch kein Äquivalent – Vernehmlassung | 12–24 Monate CH-Wettbewerbsfenster für KI-Einsatz |
| Angemessenheit | Schweiz hat DSGVO-Angemessenheitsbeschluss (gegenseitig) | EU anerkannt, US-DPF Swiss-Extension für US-Transfers nötig | CH ↔ EU-KI-Datenströme OK, US-KI-Anbieter brauchen Swiss-DPF |
Mappe deine KI-Systeme in einem Schritt auf DSG und DSGVO
Eine 12-Minuten-KI-Governance-Bewertung zeigt, welche Schweizer und EU-Pflichten auf jedes deiner KI-Systeme greifen – und wo die revDSG-Überlagerung wirklich etwas am Aufbau ändert.
Die Schweizer KI-VO-Lücke: Risiko oder Chance?
Die Schweiz hat im April 2026 kein in Kraft getretenes KI-spezifisches Gesetz, und die Vernehmlassung des Bundesrats deutet auf einen prinzipienbasierten Ansatz hin, nicht auf das EU-Risikoklassifizierungsmodell. Für KMU, die KI-Produkte aus der Schweiz betreiben, ist das ein echter Wettbewerbsvorteil – für die nächsten 12 bis 24 Monate. Danach landet das Schweizer Recht voraussichtlich irgendwo zwischen EU-KI-VO und den Prinzipien der KI-Konvention des Europarats, mit branchenspezifischen Überlagerungen (Finanzen, Gesundheit, Beschäftigung).
Praktische Konsequenz: Bau nicht gegen das fehlende Schweizer KI-Gesetz. Bau gegen die EU-KI-VO-Hochrisiko-Anforderungen als Baseline, auch im reinen Schweiz-Betrieb. Wenn das Schweizer Gesetz kommt, wird es DSGVO-ähnlich angemessen oder strenger als der EU-Benchmark sein – niemals schwächer. Die Kosten der Überkonformität sind ein verlorenes Wettbewerbsfenster. Die Kosten der Unterkonformität sind ein Neubau unter regulatorischem Druck mit schrumpfender Zeitleiste. Wähle den günstigeren Fehler.
Das strafrechtliche Detail, das in keinem Vendor-Pitch auftaucht
Nach Art. 60–61 revDSG können Einzelpersonen – nicht nur Unternehmen – strafrechtliche Bußen bis CHF 250.000 für vorsätzliche oder grob fahrlässige Verstöße erhalten. Das ist der größte strukturelle Unterschied zur DSGVO, in der die persönliche Haftung von Führungskräften praktisch nicht existiert. Praktische Konsequenzen: Deine CISO, deine Datenschutzbeauftragte und der/die KI-System-Owner stehen jetzt namentlich auf einer Liste. Ihre Schweizer Arbeitsverträge brauchen eine ausdrückliche Freistellungsklausel und eine D&O-Police, die strafrechtliche Verteidigungskosten ausdrücklich abdeckt (die meisten tun das standardmäßig nicht). Wer 2026 in der Schweiz für diese Rollen einstellt: rechne damit, dass Kandidat:innen das verhandeln – zu Recht.
Umsetzung: 5 Unterschiede, die deinen Aufbau ändern
Wenn dein Stack DSGVO-reif ist, sind das die fünf konkreten Änderungen, die das revDSG erzwingt. Keine ist isoliert teuer – zusammen sind es ein halber Tag Anwaltsarbeit plus Vertragsupdates.
1. Schweizer Recht in bestehende AVV einfügen
Deine bestehenden DSGVO-AVV brauchen eine revDSG-Überlagerungsklausel: "Dieser AVV wird im Sinne des revDSG ausgelegt, soweit Schweizer Betroffene verarbeitet werden; im Konfliktfall gilt das strengere Regime." Einseitiges Addendum, einmal pro Anbieter unterzeichnet.
2. Schweizer Vertreter:in benennen, wenn keine CH-Niederlassung
Wenn du Daten Schweizer Betroffener verarbeitest und keine Schweizer Tochter hast, musst du nach Art. 14 revDSG eine:n Vertreter:in in der Schweiz benennen. Service-Anbieter gibt es ab CHF 200–600 pro Monat. Gleiche Struktur wie Art. 27 DSGVO-Vertretung – andere Jurisdiktion, separate Benennung.
3. Profiling-Einwilligung für CH-User:innen verschärfen
KI-Scoring, Empfehlungssysteme und verhaltensanalytische Auswertungen für Schweizer User:innen brauchen ausdrückliche Einwilligung – nicht berechtigtes Interesse, nicht Vertragserfüllung – unter revDSG. Füge eine Schweiz-spezifische Einwilligungsschicht im Cookie-Banner / Signup-Flow hinzu, die bei Schweizer IP oder Adresse greift. Die meisten CMP-Tools (Usercentrics, OneTrust, Cookiebot) unterstützen dieses Geo-Routing nativ.
4. Arbeitsverträge der Senior-Daten- und KI-Rollen anpassen
Rollen mit persönlicher strafrechtlicher Haftung unter revDSG (CISO, DSB, KI-System-Owner, Head of Data) brauchen eine Freistellungsklausel + Übernahme strafrechtlicher Verteidigungskosten in deiner D&O-Police. Standard-D&O schließt Strafverfahren oft aus – schriftlich beim Versicherer bestätigen lassen. Kosten: CHF 0–2.000 Policenanpassung pro Rolle pro Jahr.
5. Separaten EDÖB-Meldekanal für Datenschutzverletzungen einrichten
Dein bestehender DSGVO-Breach-SOP routet an die federführende Aufsichtsbehörde. Der EDÖB ist ein separater Kanal: Vorfälle mit Schweizer Betroffenen müssen "so bald wie möglich" (interpretiert: 72 Stunden) an den EDÖB gemeldet werden. Ergänze deinen Incident-Response-Runbook: parallele Meldung, nicht sequenziell.
Entscheidungsmatrix nach Unternehmens-Setup
Drei Setups decken ~95 % der KMU ab, mit denen wir arbeiten. Die richtige Vorgehensweise unterscheidet sich stark – das falsche Setup wählen heißt entweder zu viel für Vertretungen und Einwilligungen ausgeben, die du rechtlich nicht brauchst, oder zu wenig auszugeben und persönliche Haftung für Senior:innen mitzuschleppen.
| Setup | Hauptregime | Was du ergänzen musst | Was du dir sparen kannst |
|---|---|---|---|
Nur Schweiz (keine EU-Kunden) | revDSG | EDÖB-Meldungen, D&O mit Strafhaftungs-Deckung, AVV-Vorlagen unter Schweizer Recht | DSB-Pflicht, 4 %-Welt-Umsatz-Strafenmodellierung, EU-Vertretung |
Schweiz + EU (häufigster KMU-Fall) | Beide – strengeres Regime gewinnt | Alle fünf revDSG-Punkte oben + DSGVO-Compliance, plus Schweizer Vertretung | Fast nichts – das aufwendigste Setup |
EU-primär, gelegentliche CH-Berührung | DSGVO mit revDSG-Überlagerung | AVV-Schweiz-Addendum, geo-gerouteter Consent für CH-IPs, EDÖB-Breach-Kanal | Schweizer Vertretung, wenn du unter CHF 250k Umsatz aus CH bleibst (Niedrig-Schwelle) |
KI-Readiness-Check – Schweiz + EU spezifisch
In 12 Minuten herausfinden, welche KI-Compliance-Pflichten dich wirklich treffen. Inklusive Schweizer Punkten, die die meisten generischen Checks übersehen.
5 typische Fehler an der DSG/DSGVO-Naht
Aus Audit-Arbeit und Onboarding-Gesprächen mit Schweizer + EU-KMU 2025/2026 wiederholen sich fünf Fehler. Drei davon fallen erst im Audit auf – und sind dann 10× so teuer wie das vorausschauende Vermeiden.
— Aus Audit-Arbeit mit Schweizer + EU-KMU, 2025–2026Die Kosten, das revDSG als "DSGVO-light" zu behandeln, sind nicht die Audit-Strafe. Es ist die Senior-Datenschutz-Kandidatin, die die Strafhaftungsklausel liest und das Angebot ablehnt.
5 Regeln für DSG + DSGVO bei KI
DSGVO-Reife deckt ~85 % von revDSG ab. Die 15 % sind dort, wo Audits einschlagen – nicht überspringen.
Bau gegen EU-KI-VO-Hochrisiko-Anforderungen, auch im reinen CH-Betrieb. Das Schweizer Gesetz wird auf oder über EU-Niveau landen.
Persönliche Strafhaftung ist real. Senior-Verträge und D&O-Schutz vor dem Angebot anpassen.
Swiss-US-DPF-Erweiterung für jeden US-KI-Anbieter mit CH-Betroffenen-Daten bestätigen. Nur EU-Zertifizierung reicht nicht.
Nutze die 12–24-Monate-Lücke ohne Schweizer KI-Gesetz als Deployment-Fenster – nicht als dauerhafte Ausnahme.
KI-Compliance in der Schweiz und in der EU: Vergleich Pflicht für Pflicht
KI-Compliance-Anforderungen in der Schweiz und nach EU-DSGVO sehen oberflächlich ähnlich aus und gehen bei KI-Diensten deutlich auseinander. Beide Regime schützen personenbezogene Daten, verlangen eine Rechtsgrundlage und gewähren Auskunfts-, Berichtigungs- und Löschungsrechte. Die Unterschiede, die bei einem KI-Dienst in beiden Märkten ins Gewicht fallen, sind vier: grenzüberschreitende Datentransfers (die Schweiz steht seit 2024 auf der EU-Angemessenheitsliste, aber DSG-Transferregeln weichen im Detail ab), Profiling-Einwilligung (das Schweizer DSG kennt explizite Einwilligungs-Auslöser bei Hochrisiko-Profiling, die DSGVO über Interessen-Abwägung löst), Rechte bei automatisierter Entscheidung (Art. 21 revDSG gewährt engere Rechte als Art. 22 DSGVO) und das Fehlen einer Schweizer KI-Verordnung (die EU-KI-Verordnung gilt für KI-Produkte im EU-Markt unabhängig vom Anbieter-Sitz, aber die Schweiz hat 2026 keine vergleichbare verbindliche KI-Gesetzgebung — nur Hinweise des Bundesamts für Justiz und der EDÖB).
Für KI-Unternehmen mit Schweiz- und EU-Geschäft ist die praktische Antwort: Du brauchst beide Regime abgedeckt, kannst aber eine integrierte Compliance-Haltung fahren, wenn du sie pro Thema auf die strengere Regel auslegst. Die Tabelle unten zeigt die vier Divergenzpunkte gegenüber; die FAQ am Ende beantwortet die konkreten Fragen, die KI-Anbieter zur Compliance in beiden Rechtsräumen stellen.
| Thema für KI-Dienste | Schweizer DSG (revDSG, in Kraft seit Sep 2023) | EU-DSGVO + KI-Verordnung |
|---|---|---|
| Grenzüberschreitende Datentransfers | Schweiz seit 2024 auf EU-Angemessenheitsliste; DSG-Transferregeln gelten zusätzlich bei Empfängern außerhalb der EU | DSGVO Kapitel V + EDPB 03/2024 + Data-Privacy-Framework-Angemessenheit bei US-Empfängern |
| Profiling-Einwilligung | Ausdrückliche Einwilligung bei Hochrisiko-Profiling (Art. 6 + Art. 30 revDSG) | DSGVO Art. 6 Interessen-Abwägung oder ausdrückliche Einwilligung je nach Kontext |
| Rechte bei automatisierter Entscheidung für KI-Dienste | Art. 21 revDSG enger als Art. 22 DSGVO; Recht beschränkt auf Entscheidungen mit Rechtswirkung | DSGVO Art. 22 + KI-VO Art. 86 Recht auf Erklärung bei Hochrisiko-KI-Systemen |
| KI-spezifische Regulierung (jenseits Datenschutz) | Keine Schweizer KI-Verordnung 2026; nur Hinweise von EDÖB und Bundesamt für Justiz | EU-KI-Verordnung voll anwendbar auf KI-Produkte im EU-Markt; Hochrisiko-Stichtag 2. Aug. 2026 |
| Sanktionen bei KI-Compliance-Verstößen | Bis zu 250.000 CHF (individuell; strafrechtliche Verantwortung der zuständigen Personen) | Bis zu 35 Mio. Euro oder 7 % Welt-Umsatz (KI-VO verbotene Praktiken); 20 Mio. oder 4 % (DSGVO) |
KI-Dienste unter Schweizer Datenschutzgesetz und DSGVO: Was sich konkret unterscheidet
Wenn du einen KI-Dienst betreibst, der sowohl Personen in der Schweiz als auch in der EU berührt — typisch bei SaaS, Beratung, Recruiting-Plattformen, HR-Tools, KI-gestütztem Kundensupport — lautet die praktische Frage, was du tatsächlich anders tun musst. Vier operative Divergenzen zählen am meisten.
Verzeichnis der Verarbeitungstätigkeiten und Rechtsgrundlage. Nach DSGVO führst du ein Verzeichnis nach Art. 30 plus dokumentierte Rechtsgrundlage je Verarbeitungszweck. Nach Schweizer DSG führst du ein Verzeichnis der Bearbeitungstätigkeiten mit vergleichbarer Struktur, aber engeren Ausnahmen — KMU unter 250 Beschäftigten können eine Teilbefreiung beanspruchen, die die DSGVO nicht kennt. Bei KI-Diensten dokumentierst du das Verzeichnis einmal mit Überschriften für beide Regime und führst eine einzige Quelle der Wahrheit.
Datenschutz-Folgenabschätzung. DSGVO Art. 35 DSFA plus EDPB-Vorlage 2026 gilt für Hochrisiko-KI-Verarbeitung. Das Schweizer DSG Art. 22 verlangt unter funktional ähnlichen Umständen eine Datenschutz-Folgenabschätzung, aber die Auslöser-Schwellen und die EDÖB-Erwartungen weichen im Detail ab. Praktische Antwort: Erstelle eine DSFA, die beide Regime erfüllt — EDPB-Struktur plus EDÖB-spezifische Ergänzungen.
Dokumentation grenzüberschreitender Datentransfers. Der EU-Angemessenheitsbeschluss 2024 für die Schweiz hat das Erfordernis von Standardvertragsklauseln für EU-Schweiz-Transfers entfernt. Transfers aus der Schweiz in Nicht-EU- und nicht-anerkannte Länder (insbesondere USA) brauchen weiterhin DSG-spezifische Transfermechanismen. Transfer-Impact-Assessments nach EDPB 03/2024 funktionieren für beide Richtungen, wenn der Geltungsbereich korrekt gewählt ist.
Sanktionen. DSGVO-Bußgelder bis 20 Mio. Euro oder 4 % Welt-Umsatz; EU-KI-Verordnung bis 35 Mio. Euro oder 7 % bei verbotenen Praktiken. Schweizer DSG-Sanktionen sind kleiner (250.000 CHF), tragen aber persönliche strafrechtliche Verantwortung für die zuständige Person — ein struktureller Unterschied, der die Risiko-Behandlung Schweizer Rechtsteams verändert. Für KI-Dienste in beiden Märkten modellierst du zuerst die DSGVO-Exposition und dann die Schweizer Strafrechts-Exposition.
Bilde deine KI-Compliance über Schweiz und EU ab
Kostenlose achtminütige KI-Governance-Bewertung bildet deinen KI-Einsatz gegen das Schweizer DSG, die EU-DSGVO und die EU-KI-Verordnung ab. Findet Divergenz-Punkte, fehlende Dokumentation und die regimeübergreifenden Lücken, die Auditoren zuerst markieren.
![DSGVO & KI-Verordnung: Die Compliance-Checkliste für KI-Teamassistenten [2026]](https://www.teamazing.com/wp-content/uploads/2026/03/ai-governance-in-companies.jpg)
![KI-Vertrauen der Mitarbeitenden: Die Linie zwischen Entwicklung und Überwachung [2026]](https://www.teamazing.com/wp-content/uploads/2026/04/employee-ai-trust-confidentiality.jpg)
