So betrifft das Schweizer Datenschutzgesetz KI-Anwendungen

In der Schweiz gibt es kein Gesetz, welches den Umgang mit künstlicher Intelligenz (KI) explizit regelt. Der Bundesrat entschied zwar, die KI-Konventionen des Europarats ins Schweizer Gesetz zu übernehmen. Erste Umsetzungsvorschläge will er aber erst Ende 2026 in die Vernehmlassung schicken.

Natürlich heisst das nicht, dass KI-Tüftler nach Belieben Anwendungen entwickeln und veröffentlichen dürfen. Grenzen setzen ihnen die bestehenden, nicht KI-spezifischen Gesetze. Welche Grenzen im Bereich des Datenschutzes bestehen, erläutert der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) in einem jüngst veröffentlichten Update. Darin weist er darauf hin, dass das Schweizer Datenschutzgesetz (DSG), welches seit September 2023 in einer revidierten Fassung gilt, technologieneutral formuliert wurde. Darin enthaltene Vorschriften seien auch bei KI-gestützten Datenbearbeitungen einzuhalten – unabhängig von den zukünftigen Regulierungen.

Transparenz und Widerspruch

Hersteller, Anbieter und Verwender von KI-Produkten haben demnach die gesetzliche Pflicht, "bereits bei der Entwicklung neuer Technologien und bei der Planung ihres Einsatzes sicherzustellen, dass die betroffenen Personen über ein möglichst hohes Mass an digitaler Selbstbestimmung verfügen", schreibt der Beauftragte. Angesichts dieser Vorgaben des DSG müssten die Hersteller, Anbieter und Verwender von KI-Systemen den Zweck, die Funktionsweise und die Datenquellen der auf KI beruhenden Bearbeitungen transparent machen.

Mit diesem gesetzlichen Anspruch auf Transparenz eng verbunden ist auch ein Recht auf Widerspruch. Demnach haben betroffene Personen den Anspruch, einer automatischen Datenbearbeitung zu widersprechen oder zu verlangen, dass automatisierte Einzelentscheidungen von einem Menschen überprüft werden. Dies sehe das DSG ausdrücklich vor, fügt der EDÖB hinzu.

Zu Fällen, in denen ein Anwender direkt mit einem KI-Modell kommuniziert, erklärt die Behörde, dass Nutzerinnen und Nutzer ein gesetzliches Recht haben, "zu erfahren, ob sie mit einer Maschine sprechen oder korrespondieren und ob die von ihnen eingegebenen Daten zur Verbesserung der selbstlernenden Programme oder zu weiteren Zwecken weiterbearbeitet werden." Auch die Verwendung von Programmen, welche die Verfälschung von Gesichtern, Bildern oder Sprachnachrichten von identifizierbaren Personen ermöglichen, müsse stets deutlich erkennbar sein – "soweit sie sich im konkreten Fall nicht aufgrund strafrechtlicher Verbote als gänzlich unrechtmässig erweist", so der EDÖB.

Social Scoring ist verboten

Nach DSG seien KI-gestützte Datenbearbeitungen mit hohen Risiken zwar grundsätzlich zulässig, allerdings nur mit angemessenen Schutzmassnahmen für betroffene Personen. Das Gesetz verlangt in solchen Fällen eine sogenannte "Datenschutz-Folgenabschätzung", wie der EDÖB erklärt.

Schliesslich benennt die Behörde auch die Anwendungen, die datenschutzrechtlich verboten sind. Es sind jene, "die geradezu auf eine Aushöhlung der vom DSG geschützten Privatsphäre und informationellen Selbstbestimmung abzielen". Konkret handelt es sich dabei etwa um "die flächendeckende Gesichtserkennung in Echtzeit oder die umfassende Observation und Bewertung der Lebensführung, das so genannte Social Scoring." Entsprechende KI-basierte Datenbearbeitungen seien in autoritär regierten Staaten zu beobachten.

Im März 2025 veröffentlichte der EDÖB das Ergebnis seiner Abklärung betreffend die Nutzung von Personendaten von X (ehemals Twitter) zum Training der KI Grok. Die Behörde kam zum Schluss, dass X die Vorgaben des DSG bezüglich der Verarbeitung von Daten erfüllt. Dies gilt übrigens auch für die von Meta vorgesehene Verarbeitung von Nutzerdaten für seine KI.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.