Cloud-basierte KI-Dienste wie ChatGPT, Claude und Gemini haben sich in zahlreichen Unternehmen als Arbeitswerkzeuge etabliert. Gleichzeitig unterschätzen viele Organisationen die datenschutzrechtlichen Anforderungen, die mit dem Einsatz dieser Technologien einhergehen.
Die folgenden fünf Fakten verdeutlichen, weshalb personenbezogene Daten nicht ohne Weiteres an Cloud-KI-Anbieter übermittelt werden dürfen und welche Massnahmen Unternehmen in der Schweiz, Deutschland und Österreich ergreifen sollten, um DSG- und DSGVO-konform zu arbeiten.
1. Empfindliche Sanktionen bei unzulässiger Datenübermittlung an Cloud-KI
Sowohl die DSGVO (EU/EWR) als auch das Schweizer DSG sehen erhebliche Sanktionen bei Datenschutzverstössen vor – mit unterschiedlichen Ansätzen:
DSGVO – Art. 83 Abs. 5
Bussgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes gegen das Unternehmen.
DSG (Schweiz) – Art. 60–66
Strafrechtliche Sanktionen: Bussen bis CHF 250'000 gegen die verantwortliche Einzelperson – nicht gegen das Unternehmen.
Die Durchsetzungspraxis belegt die Relevanz: 2023 leitete die italienische Datenschutzbehörde ein Verfahren gegen OpenAI ein. 2024 folgten Prüfverfahren in Deutschland, Frankreich und Österreich. In der Schweiz überwacht der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragte) die Einhaltung des DSG und kann Untersuchungen einleiten.
Schweizer Besonderheit: Im Gegensatz zur DSGVO, die Unternehmen mit Bussgeldern belegt, richtet sich das Schweizer DSG mit strafrechtlichen Sanktionen direkt gegen die verantwortlichen natürlichen Personen – etwa Geschäftsführer oder Datenschutzbeauftragte.
2. Datenspeicherung durch Cloud-KI-Anbieter als datenschutzrechtliches Risiko
Eingaben an ChatGPT werden standardmässig von OpenAI gespeichert und können für das Training zukünftiger Modelle herangezogen werden. Dies hat wesentliche datenschutzrechtliche Konsequenzen – sowohl unter der DSGVO als auch unter dem Schweizer DSG:
Drittlandübermittlung
Personenbezogene Daten werden an Server ausserhalb des EU-/CH-Rechtsraums übertragen. Dies verstösst gegen Art. 44–49 DSGVO sowie gegen Art. 16–18 DSG (Schweizer Voraussetzungen für die Bekanntgabe ins Ausland).
Eingeschränktes Löschrecht
Daten, die in ein Sprachmodell eingeflossen sind, lassen sich nicht gezielt entfernen. Das Recht auf Löschung (Art. 17 DSGVO / Art. 32 DSG) ist in der Praxis nicht vollständig durchsetzbar.
Auch die in den Einstellungen verfügbare Opt-Out-Funktion schafft keine vollständige Abhilfe: Die Daten werden nach wie vor an die Server des Anbieters übertragen und dort für mindestens 30 Tage vorgehalten.
Hinweis: Diese Problematik betrifft nicht ausschliesslich ChatGPT. Sämtliche Cloud-KI-Dienste – darunter Google Gemini, Claude (Anthropic) und Microsoft Copilot – unterliegen denselben datenschutzrechtlichen Anforderungen, sobald personenbezogene Daten die eigene Infrastruktur verlassen.
3. Auch die unternehmensinterne Nutzung von Cloud-KI unterliegt dem Datenschutzrecht
Ein verbreiteter Irrtum lautet, dass DSGVO und DSG bei rein interner Nutzung von Cloud-KI keine Anwendung fänden. Diese Annahme ist unzutreffend.
Sowohl die DSGVO als auch das Schweizer DSG greifen stets, wenn personenbezogene Daten verarbeitet werden – unabhängig davon, ob die Verarbeitung für interne oder externe Zwecke erfolgt. Massgeblich sind folgende Fragen:
- Enthält die Eingabe personenbezogene Daten wie Namen, E-Mail-Adressen oder Anschriften?
- Werden diese Daten an einen Dritten – den Cloud-KI-Anbieter – übermittelt?
- Liegt eine gültige Rechtsgrundlage für diese Übermittlung vor (Art. 6 DSGVO / Art. 31 DSG)?
Fallbeispiel: Personalabteilung
Eine Mitarbeiterin der Personalabteilung nutzt ChatGPT, um ein Bewerbungsgespräch zusammenzufassen. Die Eingabe enthält den Namen, die Qualifikationen und die Gehaltsvorstellung des Bewerbers. Obwohl die resultierende Zusammenfassung ausschliesslich intern verwendet wird, erfolgte eine Übermittlung personenbezogener Daten an OpenAI – ohne Rechtsgrundlage. In der Schweiz könnte die verantwortliche Person nach Art. 60 ff. DSG persönlich strafrechtlich belangt werden.
4. Unkontrollierte Datenübermittlung durch Mitarbeitende als Compliance-Risiko
Erhebungen zeigen, dass über 60 Prozent der Beschäftigten in wissensintensiven Berufen KI-Werkzeuge am Arbeitsplatz einsetzen – vielfach ohne offizielle Genehmigung oder unternehmensinterne Richtlinie.
Typische Anwendungsszenarien, bei denen personenbezogene Daten an Cloud-KI-Dienste übermittelt werden:
| Anwendungsfall | Betroffene Datenkategorien |
|---|---|
| Zusammenfassung von E-Mails | Absender, Empfänger, Kundendaten im Nachrichtentext |
| Prüfung von Verträgen | Vertragsparteien, Anschriften, Vertragskonditionen |
| Bearbeitung von Support-Anfragen | Kundennamen, E-Mail-Adressen, Bestellnummern |
| Auswertung von Bewerbungen | Name, Lebenslaufdaten, Gehaltsvorstellungen |
Shadow AI als organisatorisches Risiko
Nutzen Beschäftigte KI-Werkzeuge ohne Kenntnis der IT-Abteilung, entsteht eine unkontrollierte Datenverarbeitung – sogenannte Shadow AI. Die datenschutzrechtliche Verantwortung verbleibt nach DSGVO beim Unternehmen. In der Schweiz haftet nach dem DSG zusätzlich die verantwortliche natürliche Person persönlich.
5. Anonymisierung als rechtssichere Grundlage für den Einsatz von Cloud-KI
Sowohl die DSGVO (Erwägungsgrund 26) als auch das Schweizer DSG stellen klar: Datenschutzvorschriften finden auf anonymisierte Daten keine Anwendung. Werden personenbezogene Daten vor der Übermittlung an einen Cloud-KI-Dienst vollständig anonymisiert, entfallen sämtliche datenschutzrechtlichen Einschränkungen – in der Schweiz, Deutschland und Österreich gleichermassen.
Incognify setzt genau an dieser Stelle an und ermöglicht einen strukturierten Anonymisierungsprozess:
Texteingabe
Der zu verarbeitende Text wird in Incognify eingegeben.
Automatische Erkennung
Incognify identifiziert sämtliche personenbezogenen Daten automatisch.
Anonymisierung
Alle erkannten Datenpunkte werden durch neutrale Platzhalter ersetzt.
Cloud-KI-Nutzung
Der anonymisierte Text kann ohne datenschutzrechtliche Bedenken an Cloud-KI-Dienste übermittelt werden.
Re-Identifikation
Optional lassen sich die Platzhalter im KI-Output durch die Originaldaten ersetzen.
Kontextbasierte Erkennung
Incognify erkennt Personennamen, Adressen, Organisationen und weitere sensible Informationen automatisch anhand des Textzusammenhangs.
Mustererkennung
Strukturierte Datenformate wie E-Mail-Adressen, IBAN-Nummern, Telefonnummern und IP-Adressen werden zusätzlich durch Mustererkennung erfasst.
Hinweis zur Datenverarbeitung: Incognify verarbeitet sämtliche Daten lokal oder auf der unternehmenseigenen Infrastruktur. Personenbezogene Daten verlassen zu keinem Zeitpunkt die Organisation – die Anonymisierung erfolgt vor der Übermittlung an Cloud-KI-Dienste.
Fazit
Weder die DSGVO noch das Schweizer DSG verbieten den Einsatz von Cloud-KI – sie untersagen die unkontrollierte Verarbeitung personenbezogener Daten. Unternehmen in der Schweiz, Deutschland und Österreich, die vor der Übermittlung an KI-Dienste eine vollständige Anonymisierung sicherstellen, können ChatGPT und vergleichbare Werkzeuge rechtssicher nutzen.
Incognify automatisiert die Erkennung und Anonymisierung personenbezogener Daten – ohne manuellen Aufwand, ohne Spezialkenntnisse und ohne das Risiko eines Datenschutzverstosses.