ChatGPT Datenschutz Schweiz: Wenn KI-Chats auf Google landen

Sep. 30, 2025

Einleitung

Ende Juli 2025 sorgte ein Vorfall international für Aufsehen: Private Konversationen aus ChatGPT wurden in der Google-Suche auffindbar. Was für viele Nutzerinnen und Nutzer ein Schock war, war für Juristinnen und Juristen eher erwartbar. Denn wer sensible Daten in externe KI-Systeme eingibt, muss stets damit rechnen, dass diese Informationen ausser Kontrolle geraten.

Der Vorfall wirft grundlegende Fragen auf: Wie steht es um den ChatGPT Datenschutz in der Schweiz? Welche rechtlichen Rahmenbedingungen gelten – und welche Massnahmen müssen Unternehmen ergreifen, um sich vor ähnlichen Risiken zu schützen?

Rechtlicher Rahmen: DSG, DSGVO und Europarats-Konvention

Die Bearbeitung von Personendaten in der Schweiz richtet sich nach dem revidierten Datenschutzgesetz (revDSG). Dieses verlangt unter anderem, dass Unternehmen eine rechtmässige Grundlage, Transparenz und angemessene Sicherheitsmassnahmen gewährleisten (Art. 6 ff. DSG).

Auch auf europäischer Ebene sind die Vorgaben streng: Die Datenschutz-Grundverordnung (DSGVO) verlangt in Art. 5 DSGVO Datenminimierung, Zweckbindung und Vertraulichkeit.

Hinzu kommt der Europarats-Übereinkommen 108+ über den Datenschutz sowie die geplante EU AI Act

Risiken beim Einsatz von KI

Der Fall zeigt deutlich, welche Risiken beim unbedachten Einsatz externer KI-Systeme entstehen:

  • Datenabfluss: Inhalte von Konversationen können in Trainingsdaten oder Suchindizes gelangen.

  • Kontrollverlust: Nutzerinnen und Nutzer wissen oft nicht, wo ihre Daten gespeichert oder weiterverarbeitet werden.

  • Haftung: Unternehmen tragen die Verantwortung für Datenschutzverletzungen – auch dann, wenn Mitarbeitende unbedacht sensible Informationen in ein KI-Tool eingeben.

Chancen durch klare Leitlinien

KI-Tools bieten zweifellos enorme Chancen: effizientere Prozesse, schnelle Recherchen, kreative Unterstützung im Büroalltag. Entscheidend ist, ob Unternehmen klare Leitplanken schaffen.

Dazu gehören:

  • Verträge modernisieren: Lieferanten- und Cloud-Verträge müssen Klauseln zum KI-Einsatz enthalten.

  • Informationen klassifizieren: Welche Daten dürfen in KI-Systeme? Welche sind tabu?

  • Interne Leitlinien: Eine KI-Weisung gibt Mitarbeitenden klare Handlungsanweisungen.

  • Sensibilisierung: Schulungen und E-Learning-Module stellen sicher, dass Mitarbeitende die Risiken kennen.

Mehr zu praxisnahen Weiterbildungsangeboten finden Sie in unserem E-Learning-Bereich

Praxisbeispiel: Energie- und Digitalisierungsbranche

Gerade im Energiesektor, wo sensible Verbrauchsdaten anfallen, ist der Umgang mit KI besonders heikel. Ein unkontrollierter Einsatz von ChatGPT kann dazu führen, dass vertrauliche Smart-Meter-Daten oder strategische Projektinformationen offengelegt werden.

Unsere Praxis zeigt: Unternehmen, die frühzeitig Governance-Strukturen und Transparenzmassnahmen einführen, können KI erfolgreich einsetzen, ohne die Einhaltung des revDSG oder des Stromversorgungsgesetzes (StromVG) zu gefährden.

Mehr dazu erfahren Sie auch in unserem Bereich Energie & Digitalisierung

Fazit: Verantwortung übernehmen

Der Vorfall vom Juli 2025 macht klar: ChatGPT Datenschutz in der Schweiz ist kein Randthema, sondern zentral für den sicheren Einsatz von KI.

Unternehmen, die KI einführen, müssen die Risiken kennen, rechtliche Anforderungen berücksichtigen und ihre Organisation mit pragmatischen Massnahmen absichern.

KI ist ein mächtiges Werkzeug – aber nur sicher, wenn Unternehmen Verantwortung übernehmen.

Wir begleiten Sie bei der Einführung von KI-Tools – Kompetent, Effizienz und Transparenz.

Hier die Kolumne: KI im Büro – Komfort trifft auf Verantwortung

Silvia Mathys

lic. iur. Senior Beraterin

lic. iur. Silvia Mathys hat 2004 ihr rechtswissenschaftliches Studium an der Universität Basel abgeschlossen und war seither in verschiedenen Unternehmen, unter anderem in der Finanzbranche, der Industrie sowie im Technologiebereich, tätig. Sie spezialisierte sich auf die rechtliche Begleitung und Umsetzung im Bereich Datenschutz und Compliance. Neben ihrer Tätigkeit bei internationalen Konzernen bringt sie langjährige Erfahrung in der Beratung, Schulung und Implementierung datenschutzrechtlicher Vorgaben (inkl. DSGVO) mit. Zu ihren Stärken gehören ihre fundierte Fachkompetenz, ihre praxisorientierte Arbeitsweise sowie ihre breite Erfahrung im internationalen Umfeld.

Bruno Schnarwiler

Konsulent Informationssicherheit

Bruno Schnarwiler ist ein Experte in Wirtschaftsinformatik mit über 30 Jahren Erfahrung als Auditor, Projektmanager, Berater und Führungskraft. Mit Abschlüssen als Eidg. Dipl. Wirtschaftsinformatiker, CISA und ISO 27001 Lead Auditor verfügt er über Fachkenntnisse in Informationssicherheit, Krisen- und Risikomanagement sowie digitalen Archivierungslösungen. Er hatte Schlüsselrollen wie Leiter IT-Revision und Risikomanagement in einer Bank, Leiter Softwareentwicklung und Berater für Sicherheit. Diese Tätigkeiten gaben ihm umfassende Einblicke in Branchen und Prozesse. Er trägt zur Implementierung sicherer IT-Umgebungen, Optimierung interner Kontrollsysteme und Entwicklung nachhaltiger Lösungen bei, die moderne Anforderungen erfüllen.
Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alex Wild

Student

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sebastian Andres

Student, Content Manager

Sebastian Andres begann 2019 sein Studium der Rechtswissenschaften an der Universität Zürich, wo er voraussichtlich 2026 den Masterabschluss erlangen wird. Erste praktische Erfahrungen sammelte er bei der Digt AG, wo er in der Vertragsgestaltung tätig war und daneben auch Aufgaben im Bereich Content Management übernahm. Bei der ADMG AG, bei der er seit 2024 arbeitet, erwarb er anschliessend vertiefte Kenntnisse in Zivil-, Verwaltungs-, Handels- und Wirtschaftsrecht. Seit 2025 ist er zudem bei der Balthasar Legal AG als Content Manager tätig.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.