Alle Beiträge

Warum 0 % Datenabfluss für CH-Unternehmen wichtig ist

·4 Min. Lesezeit

von Vito Cudemo, Founder & IT Specialist

Das Problem: Ihre Mitarbeitenden nutzen ChatGPT bereits

Laut einer Studie von Microsoft und LinkedIn verwenden bereits über 75 % der Wissensarbeiter KI-Tools am Arbeitsplatz – die meisten davon ohne Wissen der IT-Abteilung. Das Phänomen nennt sich Shadow AI: Mitarbeitende laden Kundenlisten in ChatGPT, lassen Verträge zusammenfassen, generieren E-Mails mit echten Kundendaten oder analysieren Finanzzahlen mit kostenlosen KI-Tools.

Was vielen nicht bewusst ist: Jedes hochgeladene Dokument verlässt die Kontrolle des Unternehmens. Die Daten landen auf Servern in den USA, werden potenziell für Modelltraining verwendet und sind nicht mehr rückholbar.

Warum das rechtlich ein Problem ist

Das revidierte Schweizer Datenschutzgesetz (DSG), seit September 2023 in Kraft, stellt klare Anforderungen:

  • Personendaten dürfen nur zweckgebunden bearbeitet werden (Art. 6 DSG). Ein Upload auf ChatGPT zur Textzusammenfassung ist kein vereinbarter Zweck.
  • Die Übermittlung ins Ausland erfordert ein angemessenes Schutzniveau oder geeignete Garantien wie EDÖB-anerkannte Standardvertragsklauseln plus ergänzende technische Massnahmen (Art. 16 Abs. 1 und 2 DSG). Die USA gelten nur für Unternehmen, die im Swiss-U.S. Data Privacy Framework zertifiziert sind, als Land mit angemessenem Schutzniveau – OpenAI ist dort derzeit nicht zertifiziert.
  • Bei der kostenlosen ChatGPT-Version fehlt ein konformer Auftragsbearbeitungsvertrag (DPA) vollständig. OpenAI bietet zwar für die Enterprise-Version ein DPA mit Standardvertragsklauseln und Zero-Retention-Option an – das sind jedoch vertragliche Zusicherungen, keine technische Garantie, dass kein Byte die Schweiz verlässt. Dazu kommt: Ein Transfer Impact Assessment und ergänzende Massnahmen wären trotzdem nötig.

Wer haftet?

Wichtig zu wissen: Anders als bei der EU-DSGVO treffen die strafrechtlichen Bussen im Schweizer DSG primär natürliche Personen – also die verantwortliche Person im Unternehmen, typischerweise die Geschäftsführung oder die Person, die für die Datensicherheit zuständig ist (Art. 60–63 DSG). Die maximale Busse beträgt bis zu CHF 250'000. Das Unternehmen selbst kann subsidiär bis CHF 50'000 belangt werden.

Voraussetzung für eine Busse ist Vorsatz oder Eventualvorsatz – reine Fahrlässigkeit reicht nicht. Aber: Wer weiss, dass Mitarbeitende Kundendaten auf ChatGPT hochladen, und nichts dagegen unternimmt, bewegt sich schnell im Bereich des Eventualvorsatzes.

Die grössere Gefahr: nicht die Busse

In der Praxis sind die Bussen nach DSG noch selten und bewegen sich meist im niedrigen bis mittleren fünfstelligen Bereich. Das eigentliche Risiko liegt woanders:

  • Zivilklagen betroffener Kunden – wer nachweisen kann, dass seine Daten unkontrolliert weitergegeben wurden, kann Schadenersatz fordern.
  • Reputationsschaden – wird bekannt, dass ein Unternehmen Kundendaten an US-Cloud-Dienste weitergibt, ist das Vertrauen schnell zerstört. Besonders in regulierten Branchen wie Gesundheit, Treuhand oder Finanzdienstleistungen.
  • Strafregistereintrag – bereits ab Bussen über CHF 5'000 landet ein Eintrag im Strafregister der verantwortlichen Person.

Warum Verbote allein nicht funktionieren

Viele Unternehmen reagieren mit einem KI-Verbot in der Nutzungsrichtlinie. Das Problem: Es funktioniert nicht.

  1. Kontrolle ist nahezu unmöglich. ChatGPT läuft im Browser. Es gibt keinen installierten Client, den man sperren könnte. Selbst wenn man chat.openai.com blockiert, weichen Mitarbeitende auf Dutzende Alternativen aus – Claude, Gemini, Perplexity, Copilot und viele mehr.

  2. Der Produktivitätsdruck ist zu hoch. Mitarbeitende nutzen KI, weil sie damit schneller und besser arbeiten. Ein Verbot bestraft produktives Verhalten und wird deshalb unterlaufen.

  3. Mobile Geräte umgehen jede Sperre. Selbst mit Web-Filtern im Firmennetzwerk: Das private Smartphone mit der ChatGPT-App liegt neben dem Laptop.

Das Ergebnis: Ein Verbot verschiebt die Nutzung in den Untergrund, wo sie noch unkontrollierter stattfindet.

Welche Optionen haben Schweizer KMU?

Option 1: Nutzungsrichtlinie + Schulung

Der Minimumansatz: Eine klare Policy, die definiert, was erlaubt ist und was nicht. Kombiniert mit regelmässiger Schulung.

  • Vorteile: Kostengünstig, schnell umsetzbar.
  • Nachteile: Basiert auf Vertrauen. Keine technische Durchsetzung. Schützt nicht vor versehentlichen Uploads. Die persönliche Haftung der Geschäftsführung bleibt bestehen.
  • Geeignet für: Unternehmen, die KI noch wenig nutzen und Zeit gewinnen wollen.

Option 2: Enterprise-Lizenzen (ChatGPT Enterprise, Copilot for Microsoft 365)

Grosse Anbieter bieten Enterprise-Versionen mit DPA, Standardvertragsklauseln und Zero-Retention-Optionen an. OpenAI trainiert bei der Enterprise-Version keine Modelle mit Ihren Daten.

  • Vorteile: Vertraute Oberfläche, einfach ausrollbar. Vertraglicher Rahmen (DPA mit SCCs) vorhanden.
  • Nachteile: Seit 2025 bietet OpenAI für einige Enterprise-Kunden Data Residency in Europa an (Speicherung at rest in der EU), was das Risiko weiter senkt. Der Cloud Act und die fehlende DPF-Zertifizierung bleiben jedoch bestehen. Es braucht ein Transfer Impact Assessment und ergänzende technische Massnahmen, um DSG-konform zu sein. Das ist machbar, aber aufwendig und nie zu 100 % risikolos.
  • Geeignet für: Unternehmen mit moderatem Schutzbedarf, die den administrativen Aufwand für Compliance stemmen können.

Option 3: Eigene KI-Plattform (On-Premise oder Schweizer Hosting)

Die einzige Option, die auf Architekturebene garantiert, dass Daten die Schweiz nicht verlassen – nicht durch Verträge, sondern durch Technik.

  • Vorteile: Volle Datenkontrolle. DSG-konform by design. Keine Abhängigkeit von US-Anbietern. Anpassbar an eigene Prozesse und Wissensbasis.
  • Nachteile: Höherer Initialaufwand. Braucht einen Partner, der die Plattform aufbaut und betreibt.
  • Geeignet für: Unternehmen mit Kundendaten, regulatorischen Anforderungen oder dem Anspruch, KI produktiv und sicher zu nutzen.

Wie wir das bei Solity lösen

Wir haben genau für dieses Problem unsere Enterprise-KI-Plattform gebaut. Der Ansatz:

  • Schweizer Hosting oder on-premise – Daten verlassen die Schweiz nicht, oder bleiben sogar auf Ihrer eigenen Infrastruktur.
  • 0 % Datenabfluss, technisch garantiert – Kein API-Call an OpenAI, Google oder Anthropic. Die Modelle laufen lokal.
  • Massgeschneiderte KI-Agenten pro Abteilung: Ein Agent für den Support, einer für HR, einer für Marketing – jeweils mit Zugriff auf die relevante Wissensbasis, und nur diese.
  • Volle IT-Kontrolle – Ihre IT-Abteilung (oder wir als Managed-IT-Partner) bestimmt, wer Zugriff hat, welche Daten eingespeist werden und welche Modelle zum Einsatz kommen.

Der entscheidende Punkt: Statt KI zu verbieten, geben Sie Ihren Mitarbeitenden ein Werkzeug, das produktiv und sicher ist. Die Nutzung findet nicht mehr im Schatten statt, sondern kontrolliert und DSG-konform.

Fazit: Handeln statt hoffen

Die Frage ist nicht, ob Ihre Mitarbeitenden KI nutzen – sondern ob Sie es wissen und kontrollieren können. Ein KI-Verbot löst das Problem nicht. Enterprise-Lizenzen mit DPA und SCCs reduzieren das Risiko erheblich, eliminieren es aber nicht vollständig – die Daten liegen physisch in den USA, und der Cloud Act bleibt.

Wer besonders schützenswerte Kundendaten verarbeitet oder in regulierten Branchen arbeitet, braucht eine Lösung, bei der Daten architekturbedingt nicht abfliessen können. Wer mit weniger sensiblen Daten arbeitet, kann mit Enterprise-Lizenzen und sauberer Compliance gut fahren – sollte aber wissen, wo die Grenzen liegen.

Wir zeigen Ihnen in 30 Minuten, wie eine sichere KI-Lösung für Ihr Unternehmen aussehen kann – kostenlos und unverbindlich. Kontaktieren Sie uns.

Weitere Beiträge

KI verändert gerade alles – und die meisten schauen noch zu

Die neuesten KI-Modelle erledigen komplexe Aufgaben selbständig. Softwareentwicklung wird in 12 Monaten grundlegend anders aussehen. Was das für KMU bedeutet – und warum wir unsere Kunden aktiv darauf vorbereiten.

Read more

Ein Gespräch, das Klarheit bringt.

Wir zeigen Ihnen, wie moderne IT und smarte Automatisierung Ihr Unternehmen entlasten können.