Darf ich Kundendaten in ChatGPT eingeben? Was gilt in der Schweiz? Dieser Artikel erklärt, was das CH-DSG verlangt, warum Free- und Plus-Versionen für Geschäftsdaten ungeeignet sind – und was KMU konkret tun können.

Künstliche Intelligenz ist in Schweizer KMU angekommen. Laut der KMU-Arbeitsmarktstudie 2025 der AXA experimentieren zwei von drei Schweizer KMU bereits mit KI oder setzen sie produktiv ein. Doch der Umgang mit KI ist bei der Mehrheit der Unternehmen noch nicht klar geregelt. Die Frage, die viele Geschäftsführende und IT-Verantwortliche beschäftigt: Dürfen wir Kundendaten, Finanzzahlen oder interne Dokumente überhaupt in ChatGPT eingeben?

Was das Schweizer Datenschutzgesetz (CH-DSG) zu KI sagt

Das seit dem 1. September 2023 gültige revidierte Datenschutzgesetz (DSG) erwähnt KI nicht explizit – ist aber dennoch vollständig anwendbar. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat dies in mehreren Mitteilungen klargestellt: Das DSG ist technologieneutral formuliert und gilt damit auch für KI-gestützte Datenbearbeitungen.

«Das Datenschutzgesetz des Bundes (DSG) ist technologieneutral formuliert und demzufolge auch auf den Einsatz von KI-gestützten Datenbearbeitungen direkt anwendbar.» – EDÖB, Mitteilung vom 24. September 2025 (edoeb.admin.ch)

Das bedeutet: Wer als Unternehmen einen KI-Dienst eines Drittanbieters nutzt, handelt datenschutzrechtlich als Verantwortlicher. Folgende Pflichten gelten gemäss AXA-Rechtsexperte Marco S. Meier (Rechtsanwalt, spezialisiert auf IT- und Datenschutzrecht):

1
Informationspflicht: Transparenz über Zweck und Funktionsweise der KI-Datenbearbeitung
2
Auftragsbearbeitungsvertrag (AVV): Pflicht bei Inanspruchnahme eines Drittanbieters
3
Angemessenes Datenschutzniveau bei Datenübermittlung ins Ausland sicherstellen
4
Datenschutz-Folgenabschätzung bei hohem Risiko
5
Datensicherheit gewährleisten

Sanktionen treffen in der Schweiz nicht das Unternehmen, sondern die individuell verantwortliche Person. Bei Verstössen gegen das DSG droht eine Busse von bis zu CHF 250’000. (Quelle: AXA KMU-Blog, Oktober 2025)

Warum ChatGPT Free und Plus für Geschäftsdaten ungeeignet sind

Die kostenlosen oder für Privatkunden gedachten Versionen von ChatGPT sind für den geschäftlichen Einsatz mit vertraulichen Daten nicht geeignet. Die Hauptgründe:

1
Kein Auftragsbearbeitungsvertrag (AVV) verfügbar: Sobald Personendaten verarbeitet werden, verlangt das CH-DSG einen solchen Vertrag. Bei Free- und Plus-Versionen gibt es diesen nicht.
2
Datennutzung für Modelltraining: OpenAI kann Eingaben und Ausgaben zur Verbesserung der Modelle verwenden. Bekannt wurde dies u.a. durch den Samsung-Vorfall 2023, bei dem Mitarbeitende vertraulichen Quellcode in ChatGPT eingaben.
3
Keine Vertraulichkeitsgarantie: Es gibt keine vertragliche Zusicherung, dass Ihre Daten vertraulich behandelt werden.
4
Datenbearbeitung in den USA: Ohne entsprechende Vertragsgrundlage ist die Übermittlung von Personendaten in die USA datenschutzrechtlich problematisch.

Einen Auftragsbearbeitungsvertrag mit OpenAI können Sie erst ab der «ChatGPT Team»-Lizenz oder über die API abschliessen. Die Free- und Plus-Versionen bieten diese Möglichkeit nicht. (Quelle: openai.com/policies/data-processing-addendum, Stand Dezember 2025)

Was ist Schatten-KI – und warum ist sie gefährlicher als ChatGPT selbst?

Schatten-KI entsteht, wenn Mitarbeitende KI-Tools über private Accounts nutzen, weil keine offizielle Alternative vorhanden ist. Das ist selten böswillig – meist geht es um Produktivität. Die Konsequenz: Kundendaten, Finanzzahlen und interne Dokumente verlassen das Unternehmen unkontrolliert, ohne dass IT oder Geschäftsleitung davon wissen.

Laut der KMU-Arbeitsmarktstudie 2025 der AXA hat nur rund ein Drittel der Schweizer KMU, die KI einsetzen, eine Datenschutzregelung für den Umgang mit KI. Bei kleinen KMU ist es sogar weniger als ein Viertel. In der Mehrheit der Betriebe entscheiden Mitarbeitende selbst, welches Tool sie wofür nutzen und welche Daten sie dort eingeben.

Ein Verbot von KI-Tools löst das Problem nicht – es verlagert es. Mitarbeitende, die keine sichere Alternative haben, weichen auf private Accounts aus. Das Risiko steigt, statt zu sinken.

Business-Versionen: Wann ist ChatGPT datenschutzkonform?

Die Business-Angebote von OpenAI bieten eine deutlich bessere Ausgangslage. Mit «ChatGPT Team» oder «ChatGPT Enterprise» steht ein Auftragsbearbeitungsvertrag zur Verfügung, und OpenAI sichert vertraglich zu, dass Geschäftsdaten nicht für das Training der Modelle verwendet werden.

1
ChatGPT Free / Plus: Kein AVV möglich – für Geschäftsdaten ungeeignet
2
ChatGPT Team: AVV verfügbar, keine Nutzung für Training – für die meisten KMU-Anwendungsfälle geeignet
3
ChatGPT Enterprise: AVV, erweiterte Sicherheitsoptionen, Single Sign-On – für grössere Unternehmen mit höheren Anforderungen
4
Microsoft 365 Copilot: Unterliegt den Geschäftsverträgen von Microsoft, AVV vorhanden – aber nur die teure Zusatzlizenz, nicht der «Gratis-Copilot» in Edge oder Windows

Auch bei Business-Versionen gilt: Die Datenbearbeitung findet oft in Rechenzentren in den USA statt. Obwohl durch das Swiss-US Data Privacy Framework rechtlich abgesichert, bevorzugen Firmen mit besonders sensiblen Daten eine Lösung mit Datenhaltung in der Schweiz oder Europa.

Was Schweizer KMU jetzt konkret tun können

Drei Massnahmen, die Sie unabhängig von Ihrer Unternehmensgrösse umsetzen können:

1
Datenkategorien klassifizieren: Öffentliche Daten, interne Geschäftsdaten und Personendaten unterscheiden – und festlegen, welche Kategorie in welches Tool eingegeben werden darf.
2
KI-Richtlinie erstellen: Schriftlich festhalten, welche Tools erlaubt sind, welche Datenkategorien eingegeben werden dürfen und wie mit KI-generierten Ergebnissen umzugehen ist. Laut AXA-Studie hat bisher weniger als ein Drittel der Schweizer KMU solche Regeln definiert.
3
Mitarbeitende schulen: Der grösste Hebel ist der Mensch. Kurze, verständliche Schulungen erklären das «Warum» hinter den Regeln und machen die Belegschaft zum Teil der Lösung.

KI sicher nutzen als Managed Service

KPX AG begleitet Schweizer KMU bei der datenschutzkonformen KI-Einführung – von der Richtlinie bis zur technischen Schutzschicht:

KI-Governance

KI sicher nutzen im Unternehmen

Governance-Schicht, KI-Richtlinie und Schulung als Managed Service – damit Ihr Team KI produktiv und datenschutzkonform einsetzt.

Security

Managed Security

Proaktiver Schutz vor Datenverlust, Schatten-IT und unbefugtem Datenzugriff – 24/7 überwacht.

Microsoft 365

Microsoft Copilot für KMU

Copilot einrichten, schulen und datenschutzkonform betreiben – als Managed Service von KPX.

Sie möchten KI in Ihrem Unternehmen datenschutzkonform einführen? KPX AG begleitet Sie von der Richtlinie bis zur technischen Umsetzung – praxisnah, ohne Buzzwords.

Jetzt Ihr Kostenloses Erstgespräch

Themen

ChatGPT Datenschutz Unternehmen SchweizChatGPT DSGVO konform SchweizKI Tools CH-DSG konformPersonendaten KI eingebenAuftragsbearbeitungsvertrag KISchatten-KI

Alle Artikel Kostenloses Erstgespräch vereinbaren