Incognify
AnmeldenKostenlos testen
Alle Beiträge
Grundlagen 29. März 2026 8 Min. Lesezeit

5 DSG- & DSGVO-Fakten 2026, die jedes Unternehmen kennen muss

5 DSG- & DSGVO-Fakten 2026, die jedes Unternehmen kennen muss

Cloud-basierte KI-Dienste wie ChatGPT, Claude und Gemini haben sich in zahlreichen Unternehmen als Arbeitswerkzeuge etabliert. Gleichzeitig unterschätzen viele Organisationen die datenschutzrechtlichen Anforderungen, die mit dem Einsatz dieser Technologien einhergehen.

Die folgenden fünf Fakten verdeutlichen, weshalb personenbezogene Daten nicht ohne Weiteres an Cloud-KI-Anbieter übermittelt werden dürfen und welche Massnahmen Unternehmen in der Schweiz, Deutschland und Österreich ergreifen sollten, um DSG- und DSGVO-konform zu arbeiten.

1. Empfindliche Sanktionen bei unzulässiger Datenübermittlung an Cloud-KI

Sowohl die DSGVO (EU/EWR) als auch das Schweizer DSG sehen erhebliche Sanktionen bei Datenschutzverstössen vor – mit unterschiedlichen Ansätzen:

DSGVO – Art. 83 Abs. 5

Bussgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes gegen das Unternehmen.

DSG (Schweiz) – Art. 60–66

Strafrechtliche Sanktionen: Bussen bis CHF 250'000 gegen die verantwortliche Einzelperson – nicht gegen das Unternehmen.

Die Durchsetzungspraxis belegt die Relevanz: 2023 leitete die italienische Datenschutzbehörde ein Verfahren gegen OpenAI ein. 2024 folgten Prüfverfahren in Deutschland, Frankreich und Österreich. In der Schweiz überwacht der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragte) die Einhaltung des DSG und kann Untersuchungen einleiten.

Schweizer Besonderheit: Im Gegensatz zur DSGVO, die Unternehmen mit Bussgeldern belegt, richtet sich das Schweizer DSG mit strafrechtlichen Sanktionen direkt gegen die verantwortlichen natürlichen Personen – etwa Geschäftsführer oder Datenschutzbeauftragte.

2. Datenspeicherung durch Cloud-KI-Anbieter als datenschutzrechtliches Risiko

Eingaben an ChatGPT werden standardmässig von OpenAI gespeichert und können für das Training zukünftiger Modelle herangezogen werden. Dies hat wesentliche datenschutzrechtliche Konsequenzen – sowohl unter der DSGVO als auch unter dem Schweizer DSG:

Drittlandübermittlung

Personenbezogene Daten werden an Server ausserhalb des EU-/CH-Rechtsraums übertragen. Dies verstösst gegen Art. 44–49 DSGVO sowie gegen Art. 16–18 DSG (Schweizer Voraussetzungen für die Bekanntgabe ins Ausland).

Eingeschränktes Löschrecht

Daten, die in ein Sprachmodell eingeflossen sind, lassen sich nicht gezielt entfernen. Das Recht auf Löschung (Art. 17 DSGVO / Art. 32 DSG) ist in der Praxis nicht vollständig durchsetzbar.

Auch die in den Einstellungen verfügbare Opt-Out-Funktion schafft keine vollständige Abhilfe: Die Daten werden nach wie vor an die Server des Anbieters übertragen und dort für mindestens 30 Tage vorgehalten.

Hinweis: Diese Problematik betrifft nicht ausschliesslich ChatGPT. Sämtliche Cloud-KI-Dienste – darunter Google Gemini, Claude (Anthropic) und Microsoft Copilot – unterliegen denselben datenschutzrechtlichen Anforderungen, sobald personenbezogene Daten die eigene Infrastruktur verlassen.

3. Auch die unternehmensinterne Nutzung von Cloud-KI unterliegt dem Datenschutzrecht

Ein verbreiteter Irrtum lautet, dass DSGVO und DSG bei rein interner Nutzung von Cloud-KI keine Anwendung fänden. Diese Annahme ist unzutreffend.

Sowohl die DSGVO als auch das Schweizer DSG greifen stets, wenn personenbezogene Daten verarbeitet werden – unabhängig davon, ob die Verarbeitung für interne oder externe Zwecke erfolgt. Massgeblich sind folgende Fragen:

  • Enthält die Eingabe personenbezogene Daten wie Namen, E-Mail-Adressen oder Anschriften?
  • Werden diese Daten an einen Dritten – den Cloud-KI-Anbieter – übermittelt?
  • Liegt eine gültige Rechtsgrundlage für diese Übermittlung vor (Art. 6 DSGVO / Art. 31 DSG)?

Fallbeispiel: Personalabteilung

Eine Mitarbeiterin der Personalabteilung nutzt ChatGPT, um ein Bewerbungsgespräch zusammenzufassen. Die Eingabe enthält den Namen, die Qualifikationen und die Gehaltsvorstellung des Bewerbers. Obwohl die resultierende Zusammenfassung ausschliesslich intern verwendet wird, erfolgte eine Übermittlung personenbezogener Daten an OpenAI – ohne Rechtsgrundlage. In der Schweiz könnte die verantwortliche Person nach Art. 60 ff. DSG persönlich strafrechtlich belangt werden.

4. Unkontrollierte Datenübermittlung durch Mitarbeitende als Compliance-Risiko

Erhebungen zeigen, dass über 60 Prozent der Beschäftigten in wissensintensiven Berufen KI-Werkzeuge am Arbeitsplatz einsetzen – vielfach ohne offizielle Genehmigung oder unternehmensinterne Richtlinie.

Typische Anwendungsszenarien, bei denen personenbezogene Daten an Cloud-KI-Dienste übermittelt werden:

AnwendungsfallBetroffene Datenkategorien
Zusammenfassung von E-MailsAbsender, Empfänger, Kundendaten im Nachrichtentext
Prüfung von VerträgenVertragsparteien, Anschriften, Vertragskonditionen
Bearbeitung von Support-AnfragenKundennamen, E-Mail-Adressen, Bestellnummern
Auswertung von BewerbungenName, Lebenslaufdaten, Gehaltsvorstellungen

Shadow AI als organisatorisches Risiko

Nutzen Beschäftigte KI-Werkzeuge ohne Kenntnis der IT-Abteilung, entsteht eine unkontrollierte Datenverarbeitung – sogenannte Shadow AI. Die datenschutzrechtliche Verantwortung verbleibt nach DSGVO beim Unternehmen. In der Schweiz haftet nach dem DSG zusätzlich die verantwortliche natürliche Person persönlich.

5. Anonymisierung als rechtssichere Grundlage für den Einsatz von Cloud-KI

Sowohl die DSGVO (Erwägungsgrund 26) als auch das Schweizer DSG stellen klar: Datenschutzvorschriften finden auf anonymisierte Daten keine Anwendung. Werden personenbezogene Daten vor der Übermittlung an einen Cloud-KI-Dienst vollständig anonymisiert, entfallen sämtliche datenschutzrechtlichen Einschränkungen – in der Schweiz, Deutschland und Österreich gleichermassen.

Incognify setzt genau an dieser Stelle an und ermöglicht einen strukturierten Anonymisierungsprozess:

1

Texteingabe

Der zu verarbeitende Text wird in Incognify eingegeben.

2

Automatische Erkennung

Incognify identifiziert sämtliche personenbezogenen Daten automatisch.

3

Anonymisierung

Alle erkannten Datenpunkte werden durch neutrale Platzhalter ersetzt.

4

Cloud-KI-Nutzung

Der anonymisierte Text kann ohne datenschutzrechtliche Bedenken an Cloud-KI-Dienste übermittelt werden.

5

Re-Identifikation

Optional lassen sich die Platzhalter im KI-Output durch die Originaldaten ersetzen.

Kontextbasierte Erkennung

Incognify erkennt Personennamen, Adressen, Organisationen und weitere sensible Informationen automatisch anhand des Textzusammenhangs.

Mustererkennung

Strukturierte Datenformate wie E-Mail-Adressen, IBAN-Nummern, Telefonnummern und IP-Adressen werden zusätzlich durch Mustererkennung erfasst.

Hinweis zur Datenverarbeitung: Incognify verarbeitet sämtliche Daten lokal oder auf der unternehmenseigenen Infrastruktur. Personenbezogene Daten verlassen zu keinem Zeitpunkt die Organisation – die Anonymisierung erfolgt vor der Übermittlung an Cloud-KI-Dienste.

Fazit

Weder die DSGVO noch das Schweizer DSG verbieten den Einsatz von Cloud-KI – sie untersagen die unkontrollierte Verarbeitung personenbezogener Daten. Unternehmen in der Schweiz, Deutschland und Österreich, die vor der Übermittlung an KI-Dienste eine vollständige Anonymisierung sicherstellen, können ChatGPT und vergleichbare Werkzeuge rechtssicher nutzen.

Incognify automatisiert die Erkennung und Anonymisierung personenbezogener Daten – ohne manuellen Aufwand, ohne Spezialkenntnisse und ohne das Risiko eines Datenschutzverstosses.

Das könnte dich auch interessieren

Teilen

Sprechen Sie mit uns

Fragen zur Einführung, zum Datenschutz oder zu Enterprise-Optionen? Schreiben Sie uns — wir beraten Sie zu Pilotprojekt, Sicherheitsprüfung und Rollout.

E-Mail: mail@incognify.appWeb: incognify.appMobil:

Newsletter

Bleiben Sie informiert über Datenschutz-Updates, neue Funktionen und praxisnahe Tipps zur sicheren Datenverarbeitung in der Schweiz, Deutschland und Österreich.