Blog

nDSG und AI: Was du wissen musst

5. April 2026 · 7 min Lesezeit

Seit dem 1. September 2023 gilt das revidierte Schweizer Datenschutzgesetz (nDSG). Es betrifft jedes Unternehmen, das Personendaten verarbeitet — auch wenn AI Agents die Verarbeitung übernehmen. Gerade dann.

Viele Unternehmen setzen AI ein, ohne sich bewusst zu sein, dass ihre Agents Personendaten verarbeiten. Ein Agent, der E-Mails beantwortet, verarbeitet Namen und Adressen. Ein Agent, der Rechnungen erstellt, verarbeitet Kundendaten. Ein Agent, der Bewerbungen screent, verarbeitet besonders schützenswerte Daten.

Was das nDSG von dir verlangt

Informationspflicht

Du musst betroffene Personen informieren, wenn ihre Daten verarbeitet werden — auch durch AI Agents. Das bedeutet: Wenn dein Support-Agent eine Kundenanfrage bearbeitet, muss der Kunde wissen, dass AI im Spiel ist. Transparenz ist nicht optional.

Zweckbindung

Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden. Wenn ein Kunde dir seine E-Mail für eine Bestellung gibt, darf dein Marketing-Agent sie nicht automatisch in den Newsletter aufnehmen. Ohne explizite Einwilligung.

Datensicherheit

Du bist verantwortlich für die Sicherheit der Daten — auch wenn ein AI Agent sie verarbeitet. Das heisst: Verschlüsselung, Zugriffskontrollen, Audit Logs. Nicht irgendwann. Ab Tag 1.

Recht auf Auskunft und Löschung

Jede Person kann verlangen zu erfahren, welche Daten über sie gespeichert sind. Und sie kann deren Löschung verlangen. Dein AI-System muss das ermöglichen. Automatisch und nachvollziehbar.

Warum die meisten AI-Plattformen durchfallen

Die Mehrheit der AI-Tools auf dem Markt wurde in den USA entwickelt. GDPR-Compliance? Vielleicht. nDSG-Compliance? Fehlanzeige. Die Unterschiede sind subtil, aber relevant:

Datenexport: Viele Plattformen speichern Daten auf US-Servern. Das nDSG stellt strenge Anforderungen an die Übermittlung ins Ausland. Ohne angemessenes Datenschutzniveau im Zielland brauchst du Standardvertragsklauseln oder eine explizite Einwilligung.

Profiling: Das nDSG reguliert automatisierte Einzelentscheidungen strenger als die GDPR. Wenn dein Agent Bonitätseinschätzungen oder Risikobeurteilungen macht, brauchst du spezifische Schutzmassnahmen.

Wie KaderOS Compliance einbaut

Lokale Datenhaltung: Deine Daten verlassen nie deine Maschine. Kein US-Cloud-Provider. Kein Datenexport.

Automatische Dokumentation: Jeder Agent protokolliert, welche Daten er verarbeitet. Du hast jederzeit ein aktuelles Verarbeitungsverzeichnis.

Confidence Gates: Bei sensiblen Daten eskaliert der Agent automatisch. Keine autonome Verarbeitung von besonders schützenswerten Daten ohne deine Freigabe.

Lösch-Workflows: Auf Knopfdruck werden alle Daten einer Person aus dem System entfernt. Über alle Agents hinweg.

Praktische Checkliste

1. Erstelle ein Verarbeitungsverzeichnis für jeden Agent. Welche Daten? Welcher Zweck? Wie lange gespeichert?

2. Informiere Kunden und Partner, dass AI-Agents eingesetzt werden. Am besten in deiner Datenschutzerklärung.

3. Implementiere Lösch-Workflows. Ein Kunde verlangt Löschung? In 30 Tagen muss alles weg sein.

4. Prüfe regelmässig, ob deine Agents nur die Daten verarbeiten, die sie brauchen. Datenminimierung ist Pflicht.

5. Nutze lokale Datenhaltung. Je weniger Daten das Haus verlassen, desto weniger Risiko.

Fazit

Das nDSG ist kein Hindernis für AI. Es ist ein Qualitätsmerkmal. Unternehmen, die AI datenschutzkonform einsetzen, bauen Vertrauen auf. Bei Kunden, Partnern und dem EDÖB. Und mit KaderOS ist Compliance kein Aufwand, sondern ein Feature.

Weiterlesen

nDSG-konforme AI Agents

KaderOS: Lokal. Dokumentiert. Compliant. Ab CHF 0.

Auf die Waitlist