Privacy by Design ist kein neues Konzept — aber in der Praxis scheitern viele Unternehmen daran. Das Schweizer DSG (Art. 7) und die DSGVO (Art. 25) machen es zur Pflicht: Datenschutz muss von Anfang an in Systeme und Prozesse eingebaut werden. Mit KI-gestützter Anonymisierung wird dieser Grundsatz endlich praktisch umsetzbar.
Was Art. 7 DSG und Art. 25 DSGVO konkret fordern
Beide Normen verlangen dasselbe: Datenschutz darf nicht nachträglich «aufgeklebt» werden. Er muss in die Architektur von Systemen und in die Gestaltung von Prozessen eingebettet sein — bevor die erste Zeile Code geschrieben und bevor die erste Datei verarbeitet wird.
Art. 7 DSG (Schweiz)
Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen. Der Verantwortliche ist verpflichtet, geeignete technische und organisatorische Massnahmen zu treffen.
Art. 25 DSGVO (Deutschland / EU)
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Gilt für alle Verantwortlichen, die Daten von EU-Bürgern verarbeiten.
DSG AT (Österreich)
Setzt Art. 25 DSGVO direkt um. Die österreichische Datenschutzbehörde (DSB) prüft die Einhaltung im Rahmen von Audits und Beschwerdevorgängen.
Praxisrelevanz: Art. 7 DSG und Art. 25 DSGVO sind nicht nur Designprinzipien — ihre Verletzung kann zu Bussgeldern führen. In Deutschland und Österreich bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes (Art. 83 Abs. 4 DSGVO). In der Schweiz treffen Bussen nach Art. 60 ff. DSG die verantwortliche Einzelperson mit bis zu CHF 250'000.
Privacy by Design in der Praxis: Die sieben Grundprinzipien
Ann Cavoukian hat Privacy by Design in sieben Grundprinzipien definiert. Diese sind heute die Basis für die Auslegung von Art. 7 DSG und Art. 25 DSGVO:
Wie Incognify Privacy by Design konkret umsetzt
Incognify ist als Privacy-by-Design-Werkzeug konzipiert. Statt Datenschutz nachzurüsten, macht Incognify die Anonymisierung zum ersten Schritt jedes Cloud-KI-Workflows.
Anonymisierung vor dem Upload
Personendaten werden entfernt, bevor ein Text eine Cloud-KI erreicht — nicht danach.
Datenschutzfreundliche Voreinstellung
Standardmässig wird jeder Text auf Personendaten geprüft. Nutzer müssen nichts aktivieren.
Keine Speicherung von Klartextdaten
Incognify speichert keine unverschlüsselten Personendaten. Was anonymisiert wird, bleibt anonym.
Dokumentierbarkeit
Jede Anonymisierung ist nachvollziehbar — für Audits durch EDÖB, deutsche Behörden und die österreichische DSB.
Praxisbeispiel: Cloud-KI im Unternehmen datenschutzkonform einführen
Ein mittelständisches Unternehmen in der Schweiz will ChatGPT für die interne Wissensdatenbank nutzen. In den Dokumenten stecken Kundennamen, Vertragssummen und AHV-Nummern. Privacy by Design verlangt: Vor der Integration muss ein technischer Schutz implementiert werden.
Mit Incognify fliesst der Prozess so: Dokument einlesen → automatische Erkennung aller Personendaten → Anonymisierung → anonymisierter Text geht an ChatGPT. Das Unternehmen erfüllt Art. 7 DSG, Art. 25 DSGVO und die entsprechenden österreichischen Anforderungen — ohne zusätzlichen Entwicklungsaufwand.
Privacy by Design ist keine Wahl mehr
Art. 7 DSG und Art. 25 DSGVO machen Privacy by Design zur Pflicht. Für Unternehmen in der Schweiz, Deutschland und Österreich bedeutet das: Wer Cloud-KI nutzt, ohne Personendaten zu schützen, verstösst gegen das Gesetz — und riskiert Bussgelder sowie Reputationsschäden.
Incognify macht Privacy by Design zum Standard — automatisch, bei jedem Prompt.