nDSG und EU AI Act Schweiz: Zwei Regelwerke — was gilt wann?
Das nDSG (revidiertes Datenschutzgesetz, Art. 21) regelt automatisierte Einzelfall-Entscheidungen für Schweizer Unternehmen. Der EU AI Act gilt zusätzlich für alle Schweizer Firmen mit EU-Berührung (Marktortprinzip). Beide überlappen sich, ergänzen sich aber auch — dieser Leitfaden zeigt was, wann und wie zusammen umsetzbar ist.
Schweizer Unternehmen müssen sich mit zwei Regelwerken auseinandersetzen: dem nationalen revidierten Datenschutzgesetz (nDSG) und — wenn sie EU-Berührung haben — dem EU AI Act. Beide regulieren KI-Systeme, aber auf unterschiedliche Weise.
Was das nDSG bei KI regelt (Art. 21)
Art. 21 nDSG ist der zentrale Artikel für KI im Schweizer Recht. Er regelt automatisierte Einzelentscheidungen:
"Wenn eine Entscheidung ausschliesslich automatisiert ergeht und für die betroffene Person mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt, muss der Verantwortliche sie informieren und auf Verlangen die Möglichkeit zur Stellungnahme einräumen."
Konkret bedeutet das für CH-Unternehmen:
- Informationspflicht: Wenn eine KI-Entscheidung erheblich ist (z.B. Kreditverweigerung, Bewerbungsabsage), muss die betroffene Person aktiv informiert werden.
- Stellungnahmerecht: Auf Anfrage muss eine menschliche Überprüfung möglich sein.
- Anwendungsbereich: Nur bei rein automatisierten Entscheidungen ohne menschliche Beteiligung.
- Ausnahmen: Wenn die Entscheidung für den Vertragsabschluss/-erfüllung notwendig ist UND ausreichende Schutzmassnahmen bestehen.
Art. 21 nDSG ist inhaltlich ähnlich zu Art. 22 DSGVO, aber mit eigenen Schweizer Spezifika.
Was der EU AI Act zusätzlich regelt
Der EU AI Act greift bei allen KI-Systemen — nicht nur bei automatisierten Einzelentscheidungen mit Rechtsfolge.
Geltungsbereich für Schweizer Unternehmen:
- Marktortprinzip (Art. 2 Abs. 1): Wenn dein KI-System in der EU in Verkehr gebracht wird oder Output in der EU verwendet wird, gilt der AI Act.
- EU-Kunden: Hast du EU-Geschäft, gilt der AI Act für entsprechende KI-Systeme.
- EU-Mitarbeitende: Hast du Mitarbeitende in der EU, gilt der AI Act für KI-Systeme die diese betreffen.
- Pure CH-Unternehmen ohne EU-Bezug: Der AI Act gilt nicht direkt — aber das nDSG und sektorale Regeln (FINMA, BAG) bleiben.
Überschneidungen: Wo beide gelten
Bei einem typischen Fall — z.B. eine CH-Firma nutzt ein KI-Recruiting-Tool für EU-Kandidaten — gelten beide gleichzeitig:
| Anforderung | nDSG Art. 21 | EU AI Act |
|---|---|---|
| Information vor Entscheidung | Ja | Ja (Art. 26 Abs. 11) |
| Recht auf menschliche Überprüfung | Ja | Implizit (Art. 14) |
| Risikoklassifikation des Systems | — | Ja (Art. 6) |
| Technische Dokumentation | — | Ja (Annex IV) |
| Logging | Implizit | Ja (Art. 12) |
| Konformitätsbewertung | — | Ja (Art. 43) |
Praktisch: Wer das nDSG erfüllt, hat eine Basis — aber der AI Act geht in vielen Punkten deutlich weiter.
Unterschiede
nDSG-spezifisch (gilt zusätzlich zum EU AI Act):
- Schweizer Datenexport-Regeln (Art. 16-19 nDSG)
- EDÖB als Aufsichtsbehörde
- DSFA-Pflicht nach Art. 22 nDSG
EU AI Act-spezifisch (gilt nicht im rein-CH Kontext):
- Risikoklassifikation (Verboten/Hoch/Begrenzt/Minimal)
- Annex III Hochrisiko-Kategorien
- CE-Kennzeichnung und Konformitätsbewertung
- EU-Datenbank-Registrierung
- KI-Literacy nach Art. 4
Handlungsempfehlung nach CH-Profil
Profil 1 — Reines Schweizer KMU ohne EU-Bezug:
- nDSG vollständig umsetzen
- KI-Inventar erstellen (für sich selbst, nicht regulatorisch zwingend)
- Sektorale Regeln beachten (FINMA, BAG)
- AI Act als Best Practice referenzieren — nicht zwingend
Profil 2 — CH-KMU mit EU-Geschäft (häufigster Fall):
- nDSG + AI Act parallel
- Beim EU-Geschäft: AI Act vollständig
- KI-Inventar mit Klassifikation nach EU AI Act
- Bewerbende und Kunden DSGVO-konform informieren
Profil 3 — CH-Tech-Anbieter mit EU-Kunden:
- nDSG + AI Act parallel
- Du bist Provider unter EU AI Act
- Volle Provider-Pflichten (Art. 16) für EU-Markt
- Konformitätserklärung notwendig
Was tun in den nächsten 90 Tagen?
Tage 1-30:
- Inventarisierung aller KI-Systeme
- Identifikation: Welche haben EU-Bezug?
- Klassifikation jedes Systems
Tage 31-60:
- Bewerber-/Kunden-Information aktualisieren (nDSG Art. 21 + EU AI Act Art. 26)
- DSFA für Hochrisiko-Systeme aufsetzen
- KI-Literacy Schulung planen
Tage 61-90:
- Lieferanten-Befragungen senden
- Vertragsklauseln prüfen
- Audit-Trail aufsetzen
Häufig gestellte Fragen
Gilt der EU AI Act direkt in der Schweiz?+
Direkt nein — die Schweiz übernimmt EU-Verordnungen nicht automatisch. Indirekt ja, durch das Marktortprinzip: wer EU-Kunden, EU-Output oder EU-Mitarbeitende hat, ist betroffen. Reine CH-Unternehmen ohne EU-Bezug sind primär dem nDSG unterworfen.
Reicht nDSG-Compliance für EU AI Act aus?+
Nein. Das nDSG (Art. 21) regelt automatisierte Einzelentscheidungen — der EU AI Act regelt alle KI-Systeme mit Klassifikation, Konformitätsbewertung und technischer Dokumentation. nDSG ist eine Basis, AI Act geht deutlich weiter.
Wer ist EDÖB im KI-Kontext?+
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte ist die Schweizer Aufsichtsbehörde für nDSG. Bei KI-Systemen mit Personendaten ist er zuständig. Für reine EU AI Act Aspekte (ohne Personenbezug) gibt es in der Schweiz keine spezifische Behörde — das ist eine offene Frage.
Brauche ich eine DSFA und eine FRIA?+
Möglicherweise beide. Die DSFA (Datenschutz-Folgenabschätzung nach Art. 22 nDSG) ist bei hohem Risiko für Personendaten Pflicht. Die FRIA (Fundamental Rights Impact Assessment nach Art. 27 EU AI Act) ist für bestimmte Hochrisiko-Systeme — vor allem öffentliche Stellen. Beide können sich ergänzen, ersetzen sich aber nicht.
Direkt prüfen — kostenlos
Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.
Kostenloser EU AI Act Check →Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.
Zuletzt aktualisiert: Mai 2026