← Blog/Datenschutz

DSG und KI-Telefonie: Was Sie wissen müssen

10 Min. Lesezeit
Schweizer Datenschutz-Symbolbild mit Schloss und Schweizer Flagge vor einem Bürogebäude

Wenn ein KI-Telefonassistent mit Ihren Kunden spricht, verarbeitet er personenbezogene Daten. Namen, Telefonnummern, Terminwünsche, möglicherweise Gesundheitsinformationen oder finanzielle Details. Was auf den ersten Blick wie eine rein technische Frage wirkt, ist in der Schweiz eine rechtliche Angelegenheit mit persönlichen Konsequenzen. Nicht für das Unternehmen als abstraktes Gebilde. Für Sie als Geschäftsführerin oder Geschäftsführer, ganz persönlich.

Viele Anbieter werben mit "DSGVO-Konformität" und suggerieren damit, dass Datenschutz erledigt sei. Für Schweizer Unternehmen ist das bestenfalls unvollständig, schlimmstenfalls gefährlich. Die Schweiz hat ein eigenes Gesetz mit eigenen Regeln und eigenen Sanktionen. Wer das ignoriert, riskiert mehr als eine Busse.

Kurz und bündig: Die Schweiz hat mit dem revidierten DSG (seit September 2023) ein eigenes Datenschutzgesetz, das sich in wesentlichen Punkten von der EU-DSGVO unterscheidet. Bei KI-Telefonie müssen Sie sechs konkrete Pflichten erfüllen, darunter die Informationspflicht gegenüber Anrufern und den Schutz besonders schützenswerter Daten. Die persönliche Strafbarkeit der Geschäftsführung mit Bussen bis CHF 250'000 macht Datenschutz zur Chefsache. Dieser Artikel erklärt die Anforderungen und gibt Ihnen eine Checkliste für die Anbieterauswahl.

Warum "DSGVO-konform" für Schweizer Unternehmen nicht reicht

"DSGVO-konform" klingt nach einer umfassenden Absicherung. Für Schweizer Unternehmen ist es das nicht. Die DSGVO ist die Datenschutz-Grundverordnung der Europäischen Union. Die Schweiz ist kein EU-Mitglied und hat mit dem Bundesgesetz über den Datenschutz (DSG) ein eigenständiges Gesetz, das seit dem 1. September 2023 in revidierter Fassung gilt.

Die beiden Gesetze überschneiden sich in vielen Bereichen, unterscheiden sich aber in entscheidenden Punkten.

Persönliche Strafbarkeit statt Unternehmensbussen. Der grösste Unterschied: Unter der DSGVO zahlen Unternehmen Bussen, oft in Millionenhöhe, aber niemand geht persönlich ins Risiko. Das Schweizer DSG dreht dieses Prinzip um. Artikel 60 bis 63 DSG sehen Strafbestimmungen vor, die sich gegen natürliche Personen richten. Konkret: gegen die Person, die für die Einhaltung verantwortlich ist. In den meisten KMU ist das die Geschäftsführerin oder der Geschäftsführer. Die Busse beträgt bis zu CHF 250'000. Das ist kein theoretisches Risiko, sondern eine strafrechtliche Sanktion, die ins Strafregister eingetragen wird.

Andere Aufsichtsbehörde. In der EU sind nationale Datenschutzbehörden zuständig. In der Schweiz ist es der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB). Die Verfahrenswege, Meldepflichten und Fristen unterscheiden sich.

Eigene Regeln für grenzüberschreitende Datenübermittlung. Die DSGVO und das DSG haben unterschiedliche Länderlisten und Angemessenheitsbeschlüsse. Ein Transfer, der unter der DSGVO erlaubt ist, kann unter dem DSG zusätzliche Massnahmen erfordern.

Wenn ein Anbieter nur "DSGVO-konform" ist, fehlt die spezifische DSG-Prüfung. Und damit fehlt Ihnen der Schutz, den Sie als Schweizer Unternehmen brauchen.

Welche 6 DSG-Anforderungen gelten bei KI-Telefonie?

Wenn Sie einen KI-Telefonassistenten einsetzen, müssen Sie sechs konkrete Anforderungen des DSG erfüllen. Keine davon ist optional, und jede hat praktische Konsequenzen für die Wahl Ihres Anbieters.

1. Informationspflicht (Art. 19 DSG)

Sie sind verpflichtet, betroffene Personen über die Datenbearbeitung zu informieren. Bei einem KI-Telefonassistenten bedeutet das: Anrufende müssen erfahren, dass sie mit einer KI sprechen und dass das Gespräch verarbeitet wird. Eine knappe Ansage zu Beginn des Gesprächs reicht in der Regel aus, etwa: "Sie sprechen mit dem digitalen Assistenten der Praxis Müller. Das Gespräch wird zur Bearbeitung Ihres Anliegens verarbeitet." Transparenz ist nicht nur rechtlich geboten, sie schafft auch Vertrauen. Die meisten Anrufenden schätzen Ehrlichkeit und reagieren positiv.

2. Besonders schützenswerte Personendaten (Art. 5 DSG)

Das DSG unterscheidet zwischen gewöhnlichen Personendaten und besonders schützenswerten Daten. Dazu gehören unter anderem Daten über die Gesundheit, religiöse oder weltanschauliche Überzeugungen, Daten über Strafverfahren und Massnahmen der sozialen Hilfe. Für Arztpraxen ist das besonders relevant: Wenn ein Patient am Telefon Symptome schildert oder nach einem bestimmten Medikament fragt, verarbeitet der KI-Assistent Gesundheitsdaten. Für Treuhandbüros und Anwaltskanzleien gelten ähnliche Vorsichtsmassnahmen bei Finanz- und Rechtsdaten. Die Bearbeitung besonders schützenswerter Daten erfordert höhere Schutzmassnahmen.

3. Datenschutz-Folgenabschätzung, DSFA (Art. 22 DSG)

Eine Datenschutz-Folgenabschätzung ist obligatorisch, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Bei KI-Telefonie trifft das zu, wenn Sie besonders schützenswerte Daten in grösserem Umfang verarbeiten, etwa in einer Arztpraxis oder einer Kanzlei. Die DSFA dokumentiert die Risiken, bewertet sie und definiert Massnahmen zu deren Minimierung. Ihr Anbieter sollte Sie bei der Durchführung unterstützen oder eine Vorlage bereitstellen.

4. Bearbeitungsverzeichnis (Art. 12 DSG)

Unternehmen mit mehr als 250 Mitarbeitenden sind zur Führung eines Bearbeitungsverzeichnisses verpflichtet. Kleinere Unternehmen müssen ein Verzeichnis führen, wenn sie besonders schützenswerte Personendaten in grossem Umfang bearbeiten oder ein Profiling mit hohem Risiko durchführen. In der Praxis empfiehlt der EDÖB auch kleineren Unternehmen die Führung eines Verzeichnisses. Es dokumentiert, welche Daten zu welchem Zweck, durch wen und wie lange bearbeitet werden. Bei KI-Telefonie gehört der Assistent als Bearbeitungstätigkeit ins Verzeichnis.

5. Grenzüberschreitende Datenübermittlung (Art. 16-17 DSG)

Wenn Daten die Schweiz verlassen, brauchen Sie eine Rechtsgrundlage. Der Bundesrat führt eine Liste von Staaten, die ein angemessenes Datenschutzniveau gewährleisten. EU- und EWR-Staaten sind in der Regel unproblematisch. Transfers in die USA oder andere Drittstaaten erfordern zusätzliche Garantien, etwa Standardvertragsklauseln oder die ausdrückliche Einwilligung der betroffenen Person. Für KI-Telefonie ist die Frage entscheidend: Wo werden die Sprachdaten verarbeitet? Wo stehen die Server des Anbieters? Wo sitzen seine Unterauftragsbearbeiter? Ein Anbieter, der Sprachdaten über US-Server routet, schafft ein Problem, das Sie als Geschäftsführer persönlich tragen.

6. Persönliche Haftung (Art. 60-63 DSG)

Diesen Punkt können wir nicht genug betonen: Das Schweizer DSG richtet sich mit seinen Strafbestimmungen an natürliche Personen. Die Bussen bis CHF 250'000 treffen nicht das Unternehmen, sondern die verantwortliche Person. In einem KMU ist das typischerweise die Geschäftsleitung. Strafbar sind unter anderem die Verletzung der Informationspflicht, die unzulässige Datenübermittlung ins Ausland und die Verletzung der Sorgfaltspflichten. Das macht Datenschutz in der Schweiz zur persönlichen Angelegenheit jeder Geschäftsführerin und jedes Geschäftsführers. Mehr zur allgemeinen Einordnung von KI-Telefonassistenten finden Sie in unserem umfassenden Leitfaden.

Wie prüfen Sie einen KI-Anbieter auf DSG-Konformität?

Nicht jeder Anbieter, der sich als datenschutzkonform bezeichnet, ist es auch nach Schweizer Massstäben. Bevor Sie einen KI-Telefonassistenten einsetzen, sollten Sie folgende Punkte systematisch prüfen.

Schweizer Handelsregistereintrag: Ist der Anbieter in der Schweiz registriert und damit dem Schweizer Recht unterstellt? Ein Sitz im Ausland bedeutet nicht automatisch ein Problem, erschwert aber die Durchsetzung Ihrer Rechte im Streitfall.

Datenstandort Schweiz oder EU/EWR: Unterscheiden Sie zwischen dauerhafter Datenspeicherung und transienter Verarbeitung. Kundendaten, Transkriptionen und Gesprächszusammenfassungen sollten in der Schweiz gespeichert sein. Transiente Sprach- und KI-Verarbeitung auf europäischen Servern (z.B. Deutschland) ist akzeptabel, solange keine dauerhafte Speicherung im Ausland stattfindet. Entscheidend: Keine Verarbeitung über US-Server ohne zusätzliche Garantien.

Veröffentlichte Datenschutzerklärung: Hat der Anbieter eine öffentlich zugängliche, aktuelle Datenschutzerklärung, die spezifisch auf das DSG eingeht? Achten Sie darauf, dass nicht nur die DSGVO, sondern explizit das Schweizer DSG erwähnt wird.

Auftragsbearbeitungsvertrag (AVV/DPA) verfügbar: Wenn ein Anbieter Daten in Ihrem Auftrag bearbeitet, brauchen Sie einen Auftragsbearbeitungsvertrag nach Art. 9 DSG. Seriöse Anbieter stellen diesen Vertrag proaktiv zur Verfügung.

Liste der Unterauftragsbearbeiter publiziert: Nutzt der Anbieter Drittanbieter für Spracherkennung, Cloud-Infrastruktur oder andere Dienste? Diese Unterauftragsbearbeiter müssen transparent gemacht werden, denn die Datenschutzkette ist nur so stark wie ihr schwächstes Glied.

Unterstützung bei DSFA: Bietet der Anbieter Hilfe bei der Durchführung einer Datenschutz-Folgenabschätzung? Gerade für Arztpraxen, Kanzleien und Treuhandbüros ist dies relevant, da dort regelmässig besonders schützenswerte Daten anfallen.

Datenschutz-Ansprechperson benannt: Gibt es einen klar benannten Datenschutzverantwortlichen beim Anbieter, an den Sie sich bei Fragen wenden können? Ein Kontaktformular reicht nicht. Sie brauchen eine Person, die Ihre Fragen kompetent und zeitnah beantwortet.

Verwenden Sie diese Checkliste systematisch bei jedem Anbieter, den Sie evaluieren. Wer bei mehr als einem Punkt keine klare Antwort liefert, sollte nicht in die engere Auswahl kommen. Einen detaillierten Vergleich der Kosten und Leistungen verschiedener Ansätze finden Sie in unserem Artikel Was kostet ein KI-Telefonassistent in der Schweiz?.

fonea ausprobieren: Schweizer KI-Telefonassistent in 10 Minuten einrichten, kein Anruf geht mehr verloren. Jetzt starten

Wann gelten Sprachaufnahmen als biometrische Daten?

Ein Aspekt, der häufig übersehen wird: Sprachaufnahmen können als biometrische Daten gelten. Die menschliche Stimme ist einzigartig und kann theoretisch zur Identifikation einer Person genutzt werden. Ob Sprachaufnahmen tatsächlich als biometrische Daten im Sinne des DSG eingestuft werden, hängt vom Zweck der Bearbeitung ab.

Wenn Stimmmerkmale gezielt zur Identifikation einer Person verarbeitet werden, etwa durch Stimmerkennung für die Authentifizierung, handelt es sich um biometrische Daten und damit um besonders schützenswerte Personendaten. Werden Sprachaufnahmen hingegen nur zur Transkription genutzt und anschliessend gelöscht, ist die Einstufung weniger eindeutig.

Die juristische Literatur in der Schweiz tendiert zur Vorsicht. Der EDÖB empfiehlt, Sprachdaten mit erhöhter Sorgfalt zu behandeln. In der Praxis bedeutet das für KI-Telefonie: Sprachaufnahmen sollten schnellstmöglich transkribiert und die Audiodaten danach gelöscht werden. Eine langfristige Speicherung von Sprachaufnahmen ist ohne ausdrückliche Einwilligung der betroffenen Person nicht empfehlenswert. Informieren Sie Anrufende darüber, dass das Gespräch verarbeitet wird, und stellen Sie sicher, dass Ihr Anbieter Audiodaten nicht länger als nötig aufbewahrt.

Dieser Punkt wird in Zukunft an Bedeutung gewinnen. Die Technologie entwickelt sich schnell, und die rechtliche Einordnung von KI-generierten Stimmdaten ist ein aktives Feld der juristischen Diskussion. Wer heute konservativ und transparent handelt, ist auf der sicheren Seite.

So geht fonea mit Datenschutz um

fonea ist ein Schweizer Unternehmen mit Sitz in Lachen (SZ) und Eintrag im Schweizer Handelsregister. Datenschutz nach dem DSG ist für uns keine Zusatzleistung, sondern Grundvoraussetzung.

Klare Datentrennung: Schweiz für Speicherung, EU für Verarbeitung. Alle dauerhaft gespeicherten Daten, also Kundendaten, Transkriptionen und Gesprächszusammenfassungen, werden ausschliesslich in der Schweiz bei Supabase gehostet. Sprach- und KI-Verarbeitung (Telnyx, ElevenLabs, Google, Anthropic) erfolgt transient auf europäischen Servern in Deutschland. Transient bedeutet: Die Daten werden verarbeitet, nicht dauerhaft gespeichert. Diese Architektur kombiniert Schweizer Datensouveränität für Ihre Kundendaten mit leistungsfähiger KI-Verarbeitung im europäischen Rechtsraum.

Transparenz als Prinzip. Unsere Datenschutzerklärung ist öffentlich zugänglich und geht spezifisch auf das Schweizer DSG ein. Wir dokumentieren klar, welche Daten wir bearbeiten, zu welchem Zweck und wie lange. Unsere vollständige Subprozessorliste ist jederzeit einsehbar.

Auftragsbearbeitungsvertrag. Für alle Kunden stellen wir einen Auftragsbearbeitungsvertrag (AVV/DPA) bereit, der die Datenbearbeitung im Auftrag nach Art. 9 DSG regelt. Darin sind auch unsere Unterauftragsbearbeiter aufgelistet.

Informationspflicht eingebaut. Jeder Anruf bei einem fonea-Kunden beginnt mit einem transparenten Hinweis, dass der Anrufende mit einem KI-Assistenten spricht. Die Informationspflicht nach Art. 19 DSG ist damit automatisch erfüllt.

Datenminimierung. Wir bearbeiten nur die Daten, die für die Erledigung des Anliegens tatsächlich erforderlich sind. Audiodaten werden transkribiert und nicht langfristig gespeichert.

Unterstützung bei Compliance. Für Kunden in sensiblen Branchen, insbesondere Arztpraxen und Kanzleien, unterstützen wir bei der Dokumentation und bei Fragen zur DSFA.

Datenschutz ist kein Feature, das man an- oder abschaltet. Es ist die Grundlage für Vertrauen. Und Vertrauen ist, gerade in der Schweiz, die wichtigste Geschäftswährung. Wenn Sie mehr über die allgemeinen Möglichkeiten von KI-Telefonassistenten erfahren möchten, empfehlen wir unseren umfassenden Leitfaden. Und wenn Sie fonea selbst ausprobieren möchten: Starten Sie Ihre 30-Tage-Geld-zurück-Garantie.

Key Takeaways

  • Das Schweizer DSG ist nicht die DSGVO. "DSGVO-konform" reicht für Schweizer Unternehmen nicht aus. Sie brauchen spezifische DSG-Konformität.
  • Persönliche Strafbarkeit bis CHF 250'000. Anders als in der EU richtet sich das DSG mit Bussen gegen die verantwortliche Einzelperson, nicht gegen das Unternehmen.
  • 6 Pflichten bei KI-Telefonie. Von der Informationspflicht bis zur grenzüberschreitenden Datenübermittlung: Jede Pflicht hat praktische Konsequenzen für die Anbieterwahl.
  • Sprachaufnahmen verdienen besondere Aufmerksamkeit. Sie können als biometrische Daten gelten. Transkribieren und löschen ist die sicherste Praxis.
  • Nutzen Sie die Checkliste. Sieben Fragen an jeden Anbieter: Wer mehr als eine offenlässt, gehört nicht auf Ihre Shortlist.
  • Datenschutz ist Vertrauensarbeit. In der Schweiz ist Vertrauen die Basis jeder Geschäftsbeziehung. Transparenz beim Datenschutz stärkt dieses Vertrauen.

Häufig gestellte Fragen

Muss ich Anrufende darüber informieren, dass sie mit einer KI sprechen?

Ja. Art. 19 DSG verpflichtet Sie zur Information über die Datenbearbeitung. Wenn ein KI-Assistent das Gespräch führt, ist das eine wesentliche Information für den Anrufenden. Eine kurze Ansage zu Gesprächsbeginn erfüllt diese Pflicht und wird von den meisten Anrufenden als professionell empfunden.

Gilt die DSGVO auch für Schweizer Unternehmen?

Die DSGVO kann für Schweizer Unternehmen gelten, wenn sie Waren oder Dienstleistungen an Personen in der EU anbieten oder das Verhalten von Personen in der EU beobachten. In diesem Fall müssen Sie beide Gesetze einhalten, das DSG und die DSGVO. Für rein auf die Schweiz ausgerichtete KMU ist primär das DSG relevant.

Brauche ich als kleines KMU wirklich eine Datenschutz-Folgenabschätzung?

Eine DSFA ist Pflicht, wenn Ihre Datenbearbeitung ein hohes Risiko birgt. Bei KI-Telefonie in einer Arztpraxis, die regelmässig Gesundheitsdaten verarbeitet, ist das in der Regel der Fall. Für einen Handwerksbetrieb, der nur Terminanfragen entgegennimmt, ist das Risiko geringer. Im Zweifel empfiehlt sich eine Kurzprüfung.

Was passiert, wenn mein KI-Anbieter Daten in die USA überträgt?

Die USA gelten nach dem DSG nicht als Land mit angemessenem Datenschutzniveau. Eine Übermittlung ist nur zulässig, wenn zusätzliche Garantien bestehen, etwa Standardvertragsklauseln oder die ausdrückliche Einwilligung der betroffenen Personen. Prüfen Sie die Unterauftragsbearbeiter Ihres Anbieters genau. Wenn US-Server beteiligt sind, brauchen Sie eine klare Rechtsgrundlage.

Kann ich persönlich bestraft werden, wenn mein Unternehmen gegen das DSG verstösst?

Ja. Das ist einer der wesentlichsten Unterschiede zur DSGVO. Art. 60-63 DSG sehen Bussen bis CHF 250'000 gegen die verantwortliche natürliche Person vor. In einem KMU trifft das typischerweise die Geschäftsleitung. Diese Bussen werden zudem ins Strafregister eingetragen.

Quellen

  • Bundesgesetz über den Datenschutz (DSG), revidierte Fassung ab 1. September 2023: fedlex.admin.ch
  • Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Leitfaden zum revidierten DSG: edoeb.admin.ch
  • EDÖB, Staatenliste Datenschutzniveau: edoeb.admin.ch
  • Schweizer Anwaltsverband, Praxisleitfaden Datenschutz für KMU (2024): swisslegal.ch
  • Niklaus Oberholzer, Kommentar zu den Strafbestimmungen des DSG, Jusletter (2023): jusletter.weblaw.ch
  • Datenschutzpartner, DSFA-Vorlage Schweiz (2024): datenschutzpartner.ch
datenschutzdsgkicomplianceschweiztelefon

Nie wieder einen Anruf verpassen

fonea beantwortet Ihre Anrufe 24/7 in allen Schweizer Landessprachen. Ab CHF 90/Monat.

Jetzt starten

30 Tage Geld-zurück-Garantie. Monatlich kündbar.

+41 55 547 00 91