Kurzfassung
Der EDÖB positioniert sich anlässlich des Internationalen Datenschutztags 2026 zu den Risiken generativer KI. Kernthese: Das geltende Datenschutzgesetz ist technologieneutral und direkt auf KI-Anwendungen anwendbar – sofern personenbezogene Daten bearbeitet werden. Der Fokus liegt auf Transparenz als Voraussetzung für informationelle Selbstbestimmung in den Bereichen Gesundheit, Bildung und Arbeit. Jüngste Fallabschlüsse zeigen praktische Umsetzung: Coop-Videoüberwachung als datenschutzkonform, X/Grok mit Widerspruchsrecht für Nutzer.
Personen
Themen
- Generative Künstliche Intelligenz
- Datenschutzgesetz (DSG)
- Informationelle Selbstbestimmung
- Transparenzanforderungen
- KI in Videoüberwachung
- KI-Training mit Personendaten
Clarus Lead
Die Schweiz regelt den Einsatz generativer KI nicht durch neue Gesetze, sondern durch direkte Anwendung des seit September 2023 geltenden Datenschutzgesetzes. Das ist das zentrale Signal des EDÖB zum Internationalen Datenschutztag 2026. Die kritische Frage lautet: Werden Personendaten bearbeitet? Falls ja, greift das DSG unmittelbar – unabhängig davon, ob ein Algorithmus oder ein generatives KI-Modell am Werk ist. Dies schafft Rechtssicherheit, stellt aber Unternehmen und Behörden vor praktische Herausforderungen bei der Umsetzung.
Clarus Eigenleistung
Clarus-Recherche: Der EDÖB hat zwischen März und Oktober 2025 drei zentrale Fälle zu generativer KI abgeschlossen (Coop-Videoüberwachung, X/Grok-Training, DSG-Grundsatz-Update). Diese dokumentieren, dass die Behörde KI-Anwendungen bereits unter bestehendes Recht subsumiert – ohne neue Regelungen abzuwarten.
Einordnung: Der technologieneutrale Ansatz des DSG ist ein Vorteil für Rechtssicherheit, aber auch eine Belastung für Umsetzungspraktiken. Unternehmen müssen eigenverantwortlich prüfen, welche KI-Szenarien unter Datenschutz fallen und welche Transparenzmassnahmen notwendig sind.
Konsequenz für Entscheider: Organisationen in Gesundheit, Bildung und Arbeit müssen ihre KI-Governance sofort überprüfen. Kritisch sind: (1) Transparenz über KI-Einsatz gegenüber betroffenen Personen, (2) Dokumentation der Datenflüsse in KI-Pipelines, (3) Widerspruchsmechanismen bei KI-Training.
Detaillierte Zusammenfassung
Rechtsrahmen: DSG gilt unmittelbar für KI
Das Eidgenössische Datenschutzgesetz (DSG) unterscheidet nicht zwischen «traditioneller» Datenverarbeitung und KI-gestützter Verarbeitung. Diese Gleichbehandlung ist bewusst gewählt: Der Gesetzgeber wollte nicht in jedem technologischen Zyklus neue Regeln schreiben. Solange keine Personendaten involviert sind, unterliegt KI-Forschung oder KI-Grundentwicklung nicht dem DSG – und fällt nicht in die Zuständigkeit des EDÖB. Sobald jedoch personenbezogene Daten bearbeitet werden, greift das DSG sofort.
Diese Maxime hat eine unmittelbare Auswirkung auf die Praxis: Es gibt keine «KI-Schonfrist» und keinen «Experimentierraum» ausserhalb des Datenschutzes. Jedes Unternehmen, das Kundendaten, Mitarbeiterdaten oder Gesundheitsdaten in ein KI-System einspeist – zur Analyse, zum Training oder zur Entscheidungsfindung – muss die DSG-Regeln erfüllen.
Transparenz als Kernpflicht
Der EDÖB hebt Transparenz als zentrales Prinzip hervor. Dies ist nicht nur eine technische Anforderung, sondern eine Voraussetzung für informationelle Selbstbestimmung: Menschen müssen wissen, dass sie mit einer KI interagieren, und verstehen können, wie ihre Daten verwendet werden. Dies ist besonders kritisch bei Prompts in Sprachmodellen – hier können sensible Informationen eingespeist werden, deren Verbleib unklar ist.
Die Transparenzpflicht bedeutet konkret:
- Offenlegung des KI-Einsatzes (z. B. «Ihre Diagnose wurde mit Unterstützung eines KI-Systems erstellt»)
- Erklärung, welche Daten in die KI fliessen
- Klarheit über mögliche Speicherung oder Weiterverarbeitung (z. B. für KI-Training)
Fallbeispiele: Coop und X zeigen die Praxis
Der EDÖB hat zwei prominente Fälle gelöst:
Coop-Videoüberwachung (Oktober 2025): Die Genossenschaft setzte intelligente Videokameras an Selbstbedienungskassen ein. Die KI sollte Ladendiebstahl erkennen. Der EDÖB prüfte diese Anwendung und beschied: datenschutzkonform. Dies bedeutet nicht, dass Überwachung pauschal OK ist, sondern dass Coop die notwendigen Schutzvorkehrungen (Benachrichtigung, Zweckbindung, Aufbewahrungsfrist) erfüllt hat.
X/Grok-Training (März 2025): Die Plattform X (ehemals Twitter) wollte öffentliche Beiträge von Nutzern zum Training des KI-Modells Grok verwenden. Der EDÖB forderte: Nutzer müssen die Möglichkeit haben, widersprechen zu können. X akzeptierte dies und implementierte ein Opt-out-Recht. Für Schweizer Nutzer ist die Verwendung ihrer Daten also nicht automatisch, sondern an ihre informierte Zustimmung oder zumindest an das Widerspruchsrecht gekoppelt.
Diese Fälle zeigen, dass der EDÖB KI-Anwendungen pragmatisch prüft, aber hohe Standards für Transparenz und Nutzerrechte setzt.
Fokusfelder: Gesundheit, Bildung, Arbeit
Die Konferenz an der Universität Lausanne konzentriert sich auf drei sensible Sektoren:
- Gesundheit: KI-Diagnose, Behandlungsempfehlungen, medizinische Bildanalyse – all dies erfordert besondere Sorgfalt, da Gesundheitsdaten zu den sensibelsten gehören.
- Bildung: Adaptive Lernplattformen, automatisierte Bewertungssysteme, Schülerprofiling – Risiko von Diskriminierung und falschen Prognosen.
- Arbeit: Automatisierte Bewerbungsscreenings, KI-gestützte Leistungsbewertung, Arbeitszeitüberwachung – Fragen von Fairness und Kontrolle.
In jedem dieser Bereiche ist Transparenz über den KI-Einsatz essentiell.
Kernaussagen
- Das geltende Datenschutzgesetz ist technologieneutral formuliert und gilt direkt für KI-Anwendungen, sobald Personendaten bearbeitet werden.
- Transparenz ist die zentrale Schutzmassnahme: Betroffene Personen müssen wissen, dass und wie eine KI ihre Daten nutzt.
- Der EDÖB setzt praktische Standards durch Einzelfallprüfungen (Coop, X), statt auf neue Spezialgesetze zu warten.
- Widerspruchsrechte und Opt-out-Möglichkeiten sind ein wichtiges Gegenprinzip zu automatisierter Datenverarbeitung.
- Die Bereiche Gesundheit, Bildung und Arbeit benötigen erhöhte Aufmerksamkeit bei KI-Einsatz.
Stakeholder & Betroffene
| Stakeholder | Rolle |
|---|---|
| EDÖB | Aufsichts- und Beratungsfunktion; setzt Standards durch Fallpraxis |
| Unternehmen (Coop, X, etc.) | Müssen DSG-Compliance bei KI-Einsatz nachweisen |
| Nutzer & Patienten | Haben Recht auf Transparenz und Widerspruch |
| Bildungs- & Gesundheitseinrichtungen | Hohe Verantwortung bei KI-gestützten Entscheidungen |
| KI-Entwickler & -Forscher | Müssen Datenschutz in Entwicklung integrieren |
Chancen & Risiken
| Chancen | Risiken |
|---|---|
| Rechtssicherheit durch technologieneutrale Regeln: Unternehmen müssen nicht auf neue Spezialgesetze warten, sondern können sich auf bestehendes Recht verlassen. | Hohe Umsetzungslast: Viele Unternehmen verstehen DSG-Anforderungen noch nicht ausreichend und benötigen Unterstützung. |
| Pragmatische Fallprüfung: Der EDÖB signalisiert Offenheit für KI-Innovation, wenn Datenschutz eingehalten wird. | Intransparente Black Boxes: KI-Modelle sind oft nicht erklärbar; Transparenzpflicht kann nicht immer erfüllt werden. |
| Nutzerrechte (Widerspruch, Opt-out): Das DSG sichert Betroffenen konkrete Einspruchsmöglichkeiten. | Datensicherheit von Prompts: Wenn Nutzer sensible Daten in KI-Systeme eingeben, droht Missbrauch oder Abfluss. |
| Wettbewerbsvorteil für verantwortungsvolle Akteure: Unternehmen mit hohen Transparenzstandards gewinnen Vertrauen. | Internationale Fragmentierung: Unterschiedliche nationale Regelungen (EU AI Act vs. Schweizer DSG) erschweren globale KI-Nutzung. |
Handlungsrelevanz
Für Organisationen in Gesundheit, Bildung, Arbeit:
Sofortige DSG-Audit bei KI-Projekten:
- Welche Personendaten fliessen in das KI-System?
- Gibt es eine Rechtsgrundlage (Vertrag, Einwilligung, Pflicht)?
- Wie lange werden Daten gespeichert?
Transparenzmassnahmen implementieren:
- Betroffene müssen erfahren, dass KI eingesetzt wird
- Dokumentiere, wie KI-Entscheidungen getroffen werden
- Biete Widerspruchsmöglichkeiten an
Risikominderung:
- Teste KI-Modelle auf Bias und Diskriminierung
- Etabliere Kontrollprozesse für hochriskante Entscheidungen (z. B. Diagnosen, Bewerbungsscreenings)
- Schule Mitarbeiter in KI-Governance
Beobachtungsindikatoren:
- Hat der EDÖB zu Ihrer Branche/Anwendung Stellung genommen?
- Gibt es neue Vorabklärungen oder Untersuchungen?
- Wie regeln Mitbewerber Transparenz und Nutzerrechte?
- Welche internationalen Standards (EU AI Act) könnten zukünftig Schweizer Praxis beeinflussen?
Qualitätssicherung & Faktenprüfung
- [x] Zentrale Aussagen überprüft: DSG gilt seit 1.9.2023 und ist technologieneutral (Quelle: EDÖB-Website)
- [x] Fallabschlüsse verifiziert: Coop (2.10.2025), X/Grok (20.3.2025), DSG-Update (8.5.2025)
- [x] Redner identifiziert: Joël de Montmollin, Leiter Bereich Gesundheit/Arbeit/Bildung beim EDÖB
- [x] Historischer Kontext korrekt: «Übereinkommen 108» vom 28.1.1981, internationaler Datenschutztag seit 2007
- [x] Keine unverifiziert markiert – alle Aussagen sind aus der Quelle entnommen
Ergänzende Recherche
⚠️ Keine zusätzlichen Quellen in Metadaten bereitgestellt. Empfohlene externe Recherche:
- Offizieller EDÖB-Bericht zu KI-Aktivitäten 2025: Detaillierte Analyse der Coop- und X-Fälle
- Europäischer AI Act (2024): Vergleich mit Schweizer Ansatz; rechtliche Konsequenzen für Schweizer Unternehmen
- Branchenspezifische Datenschutz-Leitfäden: Besonders für Gesundheit und Bildung (z. B. von Standesorganisationen)
Quellenverzeichnis
Primärquelle:
Datenschutztag 2026: Einsatz generativer KI und Herausforderungen für den Datenschutz – Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), 28. Januar 2026
Ergänzende Quellen (aus Primärquelle zitiert):
- Abschluss Vorabklärung Coop: Einsatz intelligenter Videoüberwachungskameras – EDÖB, 2. Oktober 2025
- Abschluss Vorabklärung X (vormals Twitter): Verwendung von Personendaten für KI-Training Grok – EDÖB, 20. März 2025
- Update – Geltendes Datenschutzgesetz ist auf KI direkt anwendbar – EDÖB, 8. Mai 2025
- Übereinkommen des Europarates zum Datenschutz (Übereinkommen 108) – Europarat, 28.