Fragen rund um Datenschutz & KI
Datenschutz ist in einer zunehmend digitalisierten Welt kein Randthema mehr – besonders nicht beim Einsatz von Künstlicher Intelligenz. In diesem Bereich findest du Antworten auf die häufigsten Fragen zur DSGVO-DSG, zum sicheren Umgang mit personenbezogenen Daten und zur rechtskonformen Nutzung von KI-Tools.
Egal, ob du dich über rechtliche Grundlagen informierst, Unsicherheiten im Alltag klären oder deine datenschutzkonforme Praxis verbessern möchtest – diese Sammlung liefert dir verständliche und praxisnahe Erklärungen.
🔐 Datenschutz (DSGVO-Grundlagen, Rechte, Pflichten, Tools, Sicherheit)
Was ist die DSGVO überhaupt?
Die Datenschutz-Grundverordnung (DSGVO) ist ein EU-Gesetz zum Schutz personenbezogener Daten.
Gilt die DSGVO auch für Einzelpersonen oder nur für Firmen?
Sie gilt für alle, die personenbezogene Daten verarbeiten – auch Selbstständige.
Was bedeutet 'Verarbeitung personenbezogener Daten'?
Jede Handlung mit Daten, z. B. Erheben, Speichern, Löschen oder Weitergeben.
Welche Prinzipien der DSGVO muss ich immer beachten?
Zweckbindung, Datenminimierung, Transparenz, Sicherheit, Rechenschaftspflicht.
Was ist ein „Verantwortlicher“ im Sinne der DSGVO?
Die Person oder Organisation, die über die Datenverarbeitung entscheidet.
Brauche ich immer eine Einwilligung?
Nein – es gibt auch andere Rechtsgrundlagen wie Vertragserfüllung oder berechtigtes Interesse.
Was passiert bei Verstössen?
Es drohen Bußgelder bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes.
Was zählt als personenbezogenes Datum?
Alle Infos, die sich auf eine identifizierbare Person beziehen, z. B. Name, E-Mail, IP.
Ist eine IP-Adresse personenbezogen?
a, weil sie unter Umständen Rückschlüsse auf eine Person zulässt.
Sind Geschäftsdaten auch personenbezogen?
Ja – wenn sie sich auf eine Person beziehen, z. B. E-Mail-Adressen mit Namen.
Was ist mit Fotos oder Stimmen – gelten die als Daten?
Ja, Bilder und Tonaufnahmen zählen als personenbezogene Daten.
Wann gelten Daten als 'besonders sensibel'?
Z. B. Gesundheitsdaten, politische Meinungen, Religionszugehörigkeit.
Welche Rechte haben meine KundInnen oder NutzerInnen?
Recht auf Auskunft, Löschung, Berichtigung, Einschränkung, Widerspruch, Datenübertragbarkeit.
Wie funktioniert das Recht auf Auskunft?
Betroffene können anfragen, welche Daten gespeichert sind und wie sie verwendet werden.
Was ist das 'Recht auf Vergessenwerden'?
Das Recht, dass Daten unter bestimmten Bedingungen gelöscht werden.
Muss ich personenbezogene Daten löschen, wenn jemand das verlangt?
Ja – wenn keine andere Rechtsgrundlage zur Aufbewahrung besteht.
Wie schnell muss ich auf Datenschutzanfragen reagieren?
In der Regel innerhalb eines Monats.
Brauche ich ein Verzeichnis der Verarbeitungstätigkeiten?
Ja, wenn du regelmäßig personenbezogene Daten verarbeitest.
Was gehört in eine Datenschutzerklärung?
Kontakt, Zweck der Verarbeitung, Rechtsgrundlage, Betroffenenrechte, Drittlandübermittlung.
Muss ich mein Team oder Freelancer schulen?
Ja – alle mit Datenkontakt müssen datenschutzkonform handeln.
Was ist ein Datenschutz-Folgenabschätzungsbogen (DSFA)?
Ein Verfahren zur Bewertung von Risiken bei sensibler Datenverarbeitung.
Muss ich einen Datenschutzbeauftragten haben?
Nur bei umfangreicher, systematischer Verarbeitung – oft nicht bei Einzelpersonen.
Welche Sicherheitsmassnahmen sind DSGVO-konform?
Z. B. Verschlüsselung, Zugriffsbeschränkungen, Backups.
Reicht ein Passwort – oder braucht es mehr?
Starke Passwörter + Zwei-Faktor-Authentifizierung sind empfohlen.
Was ist eine Pseudonymisierung?
Daten werden so verändert, dass sie nicht direkt einer Person zugeordnet werden können.
Was tun bei einer Datenpanne?
Innerhalb von 72 Stunden an die Datenschutzbehörde melden.
Muss ich alle Tools auf Datenschutz prüfen?
Ja – du bist verantwortlich für die Wahl deiner Dienstleister.
Wann brauche ich eine Einwilligung – und wie sieht sie aus?
Wenn keine andere Rechtsgrundlage vorliegt – freiwillig, informiert, dokumentiert.
Kann ich Daten auch ohne Einwilligung verarbeiten?
Ja, z. B. zur Vertragserfüllung oder bei berechtigtem Interesse.
Wie beweise ich, dass jemand eingewilligt hat?
Durch Protokolle, Checkboxen, Double-Opt-In etc. Deshalb sollen diese Belege behalten werden.
Wie lange ist eine Einwilligung gültig?
Bis zum Widerruf oder wenn sich der Zweck ändert.
🇨🇭 Häufige Fragen zum Schweizer Datenschutzgesetz (revDSG)
Was ist das revidierte Datenschutzgesetz (revDSG)?
Das revDSG ist das seit 1. September 2023 geltende Schweizer Datenschutzgesetz. Es stärkt die Rechte der betroffenen Personen und bringt Schweizer Unternehmen näher an die DSGVO heran.
Für wen gilt das revDSG?
Es gilt für alle Unternehmen und Personen, die in der Schweiz Personendaten bearbeiten – unabhängig von der Unternehmensgrösse.
Was zählt in der Schweiz als „Personendaten“?
Alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen – z. B. Name, E-Mail, IP-Adresse.
Was bedeutet „besonders schützenswerte Personendaten“ im revDSG?
Dazu gehören u. a. Gesundheitsdaten, religiöse Ansichten, politische Meinungen, biometrische Daten zur Identifikation, Daten über administrative oder strafrechtliche Verfolgungen.
Brauche ich für jede Datenbearbeitung eine Einwilligung?
Nein. Die Datenbearbeitung ist erlaubt, wenn sie verhältnismässig, zweckgebunden und transparent erfolgt – eine Einwilligung ist nur in bestimmten Fällen erforderlich.
🔑 Fälle, in denen eine Einwilligung notwendig oder empfohlen ist:
Bearbeitung besonders schützenswerter Personendaten, z. B.:
Gesundheitsdaten (z. B. Krankheitsverläufe)
religiöse oder politische Ansichten
biometrische Daten zur Identifikation (z. B. Gesichtserkennung)
genetische Daten
Profiling mit hohem Risiko
Wenn automatisierte Datenbearbeitung das Verhalten, die Interessen oder die Persönlichkeit systematisch bewertet (z. B. bei Kredit-Scores, Risikobewertungen) und daraus rechtliche oder erhebliche Auswirkungen entstehen.Übermittlung von Personendaten ins Ausland, wenn:
kein angemessenes Datenschutzniveau besteht und
keine Garantien (z. B. Standardvertragsklauseln) vorliegen
Zweckänderung der Datenbearbeitung, die nicht im Einklang mit dem ursprünglichen Zweck steht
→ Hier ist oft eine neue, freiwillige und informierte Einwilligung nötig.Fehlende gesetzliche Grundlage oder überwiegendes privates/öffentliches Interesse
→ Wenn weder Gesetz noch Interessenlage die Datenbearbeitung rechtfertigt.
📌 Wichtig:
Die Einwilligung muss freiwillig, informiert und ausdrücklich erfolgen (z. B. Checkbox, unterschriebenes Formular, Double-Opt-In). Eine stillschweigende Zustimmung reicht nicht.
Was ist ein Bearbeitungsverzeichnis – und brauche ich eines?
Ja. Unternehmen mit mehr als 250 Mitarbeitenden oder risikoreichen Bearbeitungen müssen ein Verzeichnis führen. Für kleine Unternehmen kann es empfehlenswert sein.
Was ist der Unterschied zwischen DSGVO und revDSG?
Die DSGVO ist umfassender und strenger. Das revDSG ist in der Schweiz anwendbar, betont aber auch Eigenverantwortung und verhältnismässige Umsetzung.
Welche Informationspflichten habe ich gegenüber Betroffenen?
Du musst klar informieren, welche Daten wofür erhoben werden, wer Zugriff hat und wie lange die Daten gespeichert werden.
Was ist eine Datenschutz-Folgenabschätzung im Schweizer Recht?
Eine DSFA ist nötig, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person darstellt – z. B. bei neuen Technologien oder Profiling.
Muss ich Datenschutzverletzungen melden?
Ja – bei hohem Risiko für die betroffene Person ist die Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) Pflicht.
Was ist der EDÖB?
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte ist die Aufsichtsbehörde in der Schweiz, zuständig für die Durchsetzung des Datenschutzgesetzes.
Gibt es Bußgelder bei Verstößen gegen das revDSG?
Ja – es drohen Bussen bis zu CHF 250’000, hauptsächlich gegen verantwortliche Personen bei vorsätzlichen Verstößen.
Muss ich meine Webseite anpassen?
Ja – du musst eine klare Datenschutzerklärung bereitstellen, Cookies korrekt einsetzen und Tracking offenlegen.
Was gilt bei der Datenübermittlung ins Ausland?
Daten dürfen nur übermittelt werden, wenn das Zielland einen angemessenen Datenschutz gewährleistet oder geeignete Garantien bestehen (z. B. Standardvertragsklauseln).
Gilt das revDSG auch für ausländische Unternehmen?
Ja – wenn sie Daten von Personen mit Wohnsitz in der Schweiz bearbeiten, gilt das Schweizer Recht.
Was ist der EDÖB – und welche Rolle spielen die kantonalen Datenschutzbeauftragten?
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die oberste nationale Aufsichtsbehörde für den Datenschutz bei Bundesbehörden sowie privaten Unternehmen, sofern kein kantonales Recht greift.
Daneben hat jeder Kanton eine eigene Datenschutzaufsicht – den sogenannten kantonalen Datenschutzbeauftragten. Diese Stellen sind zuständig für die Kontrolle und Beratung bei der Bearbeitung von Personendaten durch kantonale oder kommunale Behörden sowie kantonal geregelte Institutionen (z. B. Schulen, Spitäler).
Privatpersonen können sich bei Anliegen zur Datenbearbeitung durch Behörden ihres Wohnkantons an den jeweiligen kantonalen Datenschutzbeauftragten wenden.
🤖 Künstliche Intelligenz & Datenschutz
Dürfen KI-Tools mit personenbezogenen Daten gefüttert werden?
Nur mit Rechtsgrundlage – z. B. Einwilligung oder Vertrag.
Darf ich ChatGPT oder andere KI-Tools mit echten Kundendaten nutzen?
Nur, wenn der Anbieter DSGVO-konform ist und du eine Rechtsgrundlage hast.
Was ist ein Auftragsverarbeiter – z. B. OpenAI, Google etc.?
Ein Dienstleister, der in deinem Auftrag Daten verarbeitet.
Muss ich KI-Tools in meinem Verzeichnis der Verarbeitungstätigkeiten aufführen?
Ja, sofern sie personenbezogene Daten verarbeiten.
Was ist ein Transfer in ein Drittland – und warum ist das heikel?
Wenn Daten ausserhalb der EU verarbeitet werden – dort gelten oft andere Standards.
Wie erkenne ich datenschutzfreundliche KI-Tools?
Achte auf europäische Anbieter, Datenschutzsiegel, Datenschutzerklärung.
Muss ich meine KundInnen über die KI-Nutzung informieren?
Ja – Transparenz ist ein Grundprinzip der DSGVO – DSG
Gibt es KI-Tools, die datenschutz-konform sind?
Ja – z. B. Tools mit Serverstandort EU oder der Schweiz und Datenschutzvereinbarungen haben.
Was muss ich dokumentieren, wenn ich KI einsetze?
Welche Tools du nutzt, welche Daten verarbeitet werden, Rechtsgrundlagen.
Wie kann ich KI nutzen, ohne personenbezogene Daten zu verarbeiten?
Indem du Fantasiedaten, anonymisierte Beispiele oder interne Texte nutzt.
Was mache ich mit alten Chatverläufen mit Kundendaten?
Löschen oder pseudonymisieren – je nach Rechtsgrundlage.
Wie erkenne ich, ob ein Tool Daten speichert oder weitergibt?
In der Datenschutzerklärung oder durch direkte Rückfrage beim Anbieter.
Wie informiere ich meine KundInnen transparent über KI?
In der Datenschutzerklärung, im Angebot, in AGBs oder direkt beim Kontakt.
Allgemein & Ausblick (Rechtsentwicklung, Orientierungshilfe, neue Gesetze)
Was mache ich, wenn ich unsicher bin?
Rat bei Datenschutz-Profis holen – im Zweifel eher zurückhaltend handeln.
Was ist der EU AI Act – und was bedeutet er für mich?
Ein neues Gesetz zur Regulierung von KI – ab 2025 stufenweise wirksam.
Gilt der AI Act auch für kleine Anbieter?
Ja – je nach Risikokategorie der eingesetzten KI.
Was ist der European Accessibility Act (EAA)?
Eine EU-Richtlinie zur Barrierefreiheit digitaler Angebote – ab Juni 2025 verpflichtend.
Werden Datenschutzregeln bald strenger?
Ja – v. a. bei KI, Gesundheitsdaten und internationalen Transfers.
Welche Entwicklungen sollte ich beobachten?
AI Act, EAA, neue EU-Vorgaben zu Cybersicherheit und ePrivacy.
René Rudolf Sonderegger
Datenschützer, Kursleiter
Ich bin René Sonderegger, zertifizierter Datenschutzberater und Kursentwickler. Mein Ziel ist es, Datenschutz verständlich und praxisnah zu vermitteln – für alle, die keine eigene Rechtsabteilung haben.
15-Minuten-Audit anfragen
Du bist unsicher, wo du stehst?
In einem kostenlosen 15-Minuten-Gespräch klären wir, was du wirklich brauchst.Newsletter für Praxiswissen für Datenschutz, Sicherheit & KI