← Blog/Datenschutz

FADP-konform telefonieren mit KI: Was das revidierte DSG verlangt

10 Min. Lesezeit
Datenschutz und Compliance in der Schweiz — Serverraum und Paragraphenzeichen

Es ist ein ruhiger Dienstagnachmittag in einem Treuhandbüro an der Zürcher Bahnhofstrasse. Die Partnerin prüft am Bildschirm einen neuen KI-Telefondienst, der Mandantenanrufe entgegennehmen soll. Auf dem Schreibtisch liegt der Ordner "Datenschutz" — dicker als früher, seit das revidierte Datenschutzgesetz gilt. Die Mandantendaten sind heikel: Vermögensverhältnisse, Steuererklärungen, Firmenbeteiligungen, gelegentlich auch Scheidungen und Erbstreitigkeiten. Die Frage, die sie sich stellt, ist keine rein technische: Darf sie diese Daten überhaupt durch ein KI-System laufen lassen? Was ist nach Schweizer Recht zulässig, was nicht? Und wer haftet, wenn etwas schiefgeht?

Die Antwort ist konkreter, als viele Anbieter wahrhaben wollen. Das revidierte Bundesgesetz über den Datenschutz (DSG, international "FADP" für Federal Act on Data Protection) definiert klare Pflichten für Bearbeitungen mit KI. Wer diese kennt und umsetzt, kann KI-Telefonie rechtssicher einsetzen. Wer sie ignoriert, riskiert mehr als eine Busse: persönliche Strafbarkeit, Reputationsschaden, Verlust des Berufsgeheimnisses. Dieser Artikel führt Sie systematisch durch die Anforderungen.

Kurz und bündig: Das revidierte DSG gilt seit dem 1. September 2023. Für KI-Telefonie bedeutet das drei zentrale Pflichten: Transparenz (der Anrufer muss wissen, dass er mit einer KI spricht), Zweckbindung und Datenminimierung (keine Stimmprofile, keine biometrischen Voiceprints für Marketing) sowie klare Regeln für Auftragsbearbeiter und Datenexport. Parallel gilt für Unternehmen mit EU-Bezug der EU AI Act (Verordnung (EU) 2024/1689) seit August 2024. Die persönliche Busse nach DSG bis CHF 250'000 macht Compliance zur Chefsache. Eine 10-Punkte-Checkliste am Ende dieses Artikels hilft Ihnen bei der konkreten Umsetzung.

Das revidierte DSG in Kürze

Am 1. September 2023 trat das totalrevidierte Bundesgesetz über den Datenschutz (DSG) in Kraft. Es löste das Gesetz von 1992 ab und brachte die Schweiz auf ein Schutzniveau, das mit der EU-DSGVO weitgehend vergleichbar ist — nicht identisch, aber kompatibel. Das Ziel: die EU-Angemessenheitsentscheidung zu erhalten und gleichzeitig eigene Schweizer Prinzipien zu bewahren.

Die wichtigsten Neuerungen für Unternehmen, die KI einsetzen:

Informationspflicht bei der Beschaffung (Art. 19 DSG). Wer Personendaten erhebt, muss die betroffene Person aktiv darüber informieren. Zweck, Empfängerkategorien, Bekanntgabe ins Ausland — alles muss transparent sein. Bei KI-Telefonie bedeutet das: Eine Ansage zu Beginn des Gesprächs ist nicht optional, sondern gesetzlich geboten.

Verzeichnis der Bearbeitungstätigkeiten (Art. 12 DSG). Unternehmen müssen dokumentieren, welche Daten sie zu welchem Zweck, durch wen und wie lange bearbeiten. Ausgenommen sind KMU mit weniger als 250 Mitarbeitenden, sofern sie keine besonders schützenswerten Daten in grossem Umfang verarbeiten. In der Praxis empfiehlt der EDÖB jedem Unternehmen ein solches Verzeichnis.

Datenschutz-Folgenabschätzung, DSFA (Art. 22 DSG). Wenn eine Bearbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, braucht es eine DSFA. Bei KI-Systemen, die besonders schützenswerte Daten verarbeiten — etwa in Arztpraxen oder Kanzleien — ist das regelmässig der Fall.

Data Breach Notification (Art. 24 DSG). Bei einer Verletzung der Datensicherheit, die voraussichtlich ein hohes Risiko mit sich bringt, muss der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) so rasch wie möglich informiert werden. Als Orientierung gilt eine Frist von 72 Stunden — ohne formalen Zwang, aber als Best Practice.

Persönliche Strafbarkeit (Art. 60-63 DSG). Anders als die DSGVO, die Unternehmen büsst, richtet das DSG seine Strafbestimmungen gegen natürliche Personen. Die Busse beträgt bis zu CHF 250'000 und wird ins Strafregister eingetragen. Betroffen ist die Person, die für die Einhaltung verantwortlich ist — in KMU typischerweise die Geschäftsführung.

Aufsicht durch den EDÖB. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte kann Untersuchungen einleiten, Massnahmen anordnen und Verstösse zur Strafverfolgung überweisen. Seine Leitfäden sind in der Praxis die massgebende Auslegungsquelle.

Was beim Telefonieren mit KI konkret passiert

Um die rechtliche Einordnung zu verstehen, muss man wissen, was technisch geschieht, wenn ein KI-Telefonassistent einen Anruf entgegennimmt. Der Datenfluss läuft typischerweise in sechs Schritten ab:

Schritt 1 — Netzbetreiber. Der Anruf trifft über Swisscom, Sunrise oder Salt auf einer Telefonnummer ein und wird via SIP-Trunk an den KI-Dienstleister weitergeleitet. Dabei entstehen Metadaten: Rufnummer des Anrufers, Zeitpunkt, Dauer, Standort (grob, über die Vorwahl).

Schritt 2 — Speech-to-Text (STT). Das eingehende Audio wird in Echtzeit in Text umgewandelt. Dieser Vorgang läuft typischerweise auf Servern in Europa (Deutschland, Irland, Niederlande). Die Verarbeitung ist transient: Das Audio wird kurz verarbeitet und anschliessend verworfen, nur das Transkript bleibt.

Schritt 3 — Large Language Model (LLM). Das Transkript geht an ein Sprachmodell, das die Absicht erkennt, die passende Antwort formuliert oder eine Aktion auslöst (Termin buchen, Rückruf notieren, weiterleiten). Anbieter wie Anthropic, OpenAI oder Google bieten EU-Hosting mit Zero-Retention-Modi.

Schritt 4 — Text-to-Speech (TTS). Die Antwort wird in Sprache zurückgewandelt. Auch hier wird das erzeugte Audio nach der Wiedergabe verworfen.

Schritt 5 — Ausgabe. Der Anrufer hört die Antwort, spricht weiter, und der Zyklus wiederholt sich.

Schritt 6 — Persistente Speicherung. Am Ende des Gesprächs bleibt in der Regel ein Transkript, eine Zusammenfassung und strukturierte Daten (gebuchter Termin, hinterlassene Nachricht). Diese Daten landen in einer Datenbank — idealerweise in der Schweiz.

Welche Daten fallen dabei an? Audio ist eindeutig personenbezogen. Das Transkript enthält möglicherweise besondere Kategorien — Gesundheits-, Anwalts- oder Finanzdaten, wenn der Anrufer Symptome schildert, eine Rechtsfrage stellt oder seine Vermögenslage erwähnt. Metadaten (Nummer, Zeit, Dauer) sind ebenfalls Personendaten.

Die wichtigste Unterscheidung für das DSG: persistente versus transiente Verarbeitung. Transient bedeutet, dass Daten nur für die Sekunden der Verarbeitung im Arbeitsspeicher liegen und danach verworfen werden. Persistent bedeutet dauerhafte Speicherung. Für die Wahl des Serverstandorts ist diese Unterscheidung zentral: Transiente Verarbeitung auf EU-Servern ist in der Regel unproblematisch. Persistente Speicherung sollte in der Schweiz erfolgen, jedenfalls wenn besonders schützenswerte Daten betroffen sind.

Drei zentrale DSG-Anforderungen an KI-Telefonie

(a) Transparenz und Informationspflicht (Art. 19/20 DSG)

Wer mit einer KI spricht, hat ein Recht zu wissen, dass er mit einer KI spricht. Das ist keine akademische Position, sondern Praxis des EDÖB. In seinen Leitfäden zum revidierten DSG stellt die Aufsichtsbehörde klar: Bei automatisierten Systemen, die mit Menschen interagieren, ist eine explizite Offenlegung Teil der Informationspflicht nach Art. 19 DSG.

Konkret bedeutet das für KI-Telefonie:

  • Die Ansage muss zu Gesprächsbeginn erfolgen, nicht erst nach Minuten.
  • Sie muss verständlich sein: "Sie sprechen mit unserem digitalen Assistenten" oder "Sie sind mit einem KI-Assistenten verbunden". Ein verschachtelter AGB-Hinweis reicht nicht.
  • Sie darf nicht deaktivierbar sein — weder vom Kunden noch vom Anbieter. Eine optionale Transparenz ist keine Transparenz.
  • Sie sollte in der Sprache des Anrufers erfolgen, wenn das System mehrsprachig ist.

Der Vorteil dieser Pflicht: Sie schafft Vertrauen. Studien zur Kundenakzeptanz zeigen, dass ehrliche Offenlegung eher positiv wirkt als negativ — vorausgesetzt, die KI funktioniert gut.

(b) Zweckbindung und Datenminimierung (Art. 6 DSG)

Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde. Für KI-Telefonie heisst das: Die Daten dürfen für die Beantwortung der Anfrage, für die Weiterleitung an den richtigen Mitarbeiter, für die Terminbuchung und für die interne Dokumentation genutzt werden. Nicht aber für Marketing, für die Profilbildung über Mandanten oder für das Training von Drittsystemen.

Besonders heikel sind biometrische Merkmale. Die menschliche Stimme ist einzigartig und kann theoretisch zur Identifikation genutzt werden. Voiceprints — digitale Stimmfingerabdrücke — gelten dann als biometrische Daten im Sinne von Art. 5 DSG, wenn sie zur eindeutigen Identifikation einer Person eingesetzt werden. Das würde die Bearbeitung zu einer Bearbeitung besonders schützenswerter Personendaten machen, mit entsprechend strengen Anforderungen.

Saubere KI-Telefonie vermeidet diese Situation vollständig. Keine Stimmprofile, keine Wiedererkennung, keine biometrische Identifikation. Die Stimme wird verarbeitet, um Sprache zu verstehen — nicht, um Personen zu identifizieren. Das Transkript wird zur Beantwortung genutzt, nicht zur Profilbildung. Wenn Ihr Anbieter von "Voice-ID" oder "Stimmauthentifizierung" spricht, sollten Sie genau hinsehen und eine DSFA durchführen.

(c) Auftragsbearbeiter und Datenexport (Art. 9, 16-17 DSG)

Ein KI-Telefonassistent ist in aller Regel ein Auftragsbearbeiter nach Art. 9 DSG. Er verarbeitet Personendaten in Ihrem Auftrag. Das verlangt einen schriftlichen Auftragsbearbeitungsvertrag (AVV/DPA), der Zweck, Umfang, Dauer, Sicherheitsmassnahmen und Unterauftragsbearbeiter regelt.

Die Subprozessoren-Kette ist bei KI-Telefonie typischerweise länger als gedacht. Beteiligt sind:

  • Telefonie-Provider (Telnyx, Twilio, Vonage) für den SIP-Trunk.
  • STT-Anbieter (Deepgram, Google, Azure) für die Spracherkennung.
  • LLM-Anbieter (Anthropic, OpenAI, Google) für die Sprachverarbeitung.
  • TTS-Anbieter (ElevenLabs, Google, Azure) für die Sprachausgabe.
  • Cloud-Infrastruktur (AWS, GCP, Supabase) für Datenbank und Hosting.

Jeder dieser Dienste ist ein Auftragsbearbeiter — und jeder einzelne muss im Verzeichnis nach Art. 12 DSG dokumentiert sein. Seriöse Anbieter publizieren eine öffentliche Subprozessoren-Liste und kündigen Änderungen mit Frist an.

Beim Datenexport gilt: Die Schweiz verlangt ein angemessenes Schutzniveau im Empfängerstaat (Art. 16 DSG). Der EDÖB führt eine Liste der Staaten mit angemessenem Schutz. Für EU- und EWR-Staaten ist das unproblematisch. Für die USA gilt das Data Privacy Framework (DPF) als Grundlage, sofern der empfangende Dienstleister zertifiziert ist. Für andere Drittstaaten sind Standardvertragsklauseln (SCC) oder Binding Corporate Rules nötig. Ein Anbieter, der Daten ungeprüft in Drittstaaten verarbeitet, schafft Ihnen ein Compliance-Problem, das Sie persönlich verantworten.

Der EU AI Act und die Schweiz

Parallel zum DSG gilt seit August 2024 der EU AI Act (Verordnung (EU) 2024/1689), das weltweit erste umfassende KI-Gesetz. Die Schweiz ist nicht direkt gebunden — aber viele Schweizer KMU sind betroffen.

Extra-territoriale Wirkung. Der AI Act folgt dem Marktortprinzip: Wer Dienste oder Produkte in der EU anbietet oder KI-Outputs in der EU wirksam werden lässt, fällt unter das Gesetz. Ein Zürcher Treuhandbüro mit deutschen Mandanten, eine Genfer Kanzlei mit EU-Klientel, eine Luzerner Arztpraxis mit grenznahen Patienten — alle können unter den AI Act fallen.

Risikoklassen. Der AI Act unterteilt KI-Systeme in vier Klassen: unannehmbares Risiko (verboten), hohes Risiko (strenge Auflagen), begrenztes Risiko (Transparenzpflichten) und minimales Risiko (frei). KI-Telefonassistenten fallen in aller Regel in die Kategorie "begrenztes Risiko": Sie müssen transparent machen, dass der Anrufer mit einer KI spricht (Art. 50 AI Act). Kein Verbot, keine Zertifizierung, kein Konformitätsbewertungsverfahren.

Hochrisiko nur in Ausnahmefällen. Hochrisiko-KI betrifft spezifische Anwendungen in Anhang III: kritische Infrastruktur, Bildung, Beschäftigung, Kreditwürdigkeitsprüfung, Strafverfolgung. Ein KI-Telefonassistent für Terminbuchung, Informationsauskunft oder Anrufweiterleitung fällt nicht darunter.

Zeitleiste. Die Transparenzpflichten nach Art. 50 wurden im August 2024 beschlossen und gelten ab 2. August 2026 vollumfänglich. Die Pflichten für Hochrisiko-Systeme folgen ab August 2027. Für Schweizer KMU mit EU-Bezug ist der August 2026 das entscheidende Datum.

Zusammenspiel mit DSG. Die gute Nachricht: DSG-Informationspflicht (Art. 19) und AI-Act-Transparenzpflicht (Art. 50) lassen sich mit einer einzigen Ansage erfüllen. Wer heute DSG-konform arbeitet, hat 70-80% der AI-Act-Anforderungen bereits abgedeckt. Eine tiefere Analyse finden Sie in unserem Artikel EU AI Act: Was Schweizer KMU wissen müssen.

Möchten Sie die Subprozessoren-Liste für Ihren Compliance-Ordner? Sie finden sie unter fonea.ch/subprocessors.

Checkliste: DSG-konforme KI-Telefonie (10 Punkte)

Diese zehn Punkte können Sie systematisch abarbeiten. Wenn bei mehr als zwei Punkten keine klare Antwort vorliegt, ist der Anbieter nicht geeignet.

1. KI-Offenlegung aktiviert? Hört der Anrufer zu Beginn jedes Gesprächs, dass er mit einem KI-Assistenten spricht? Ist die Ansage nicht deaktivierbar? 2. Subprozessoren-Liste verfügbar? Publiziert der Anbieter eine öffentliche, aktuelle Liste aller Unterauftragsbearbeiter (STT, LLM, TTS, Cloud)? 3. DPA / Auftragsbearbeitungsvertrag unterzeichnet? Haben Sie einen schriftlichen Vertrag nach Art. 9 DSG, der Zweck, Sicherheit und Subprozessoren regelt? 4. Serverstandorte geklärt? Wissen Sie, wo persistente Daten gespeichert werden (idealerweise Schweiz) und wo transiente Verarbeitung stattfindet (EU/EWR akzeptabel)? 5. Aufbewahrungsfristen definiert? Wie lange werden Transkripte, Zusammenfassungen und Audio gespeichert? Ist die Frist dokumentiert und begrenzt? 6. DSFA bei heiklen Branchen durchgeführt? Wenn Sie in Medizin, Recht, Treuhand oder Versicherung arbeiten: Liegt eine Datenschutz-Folgenabschätzung nach Art. 22 DSG vor? 7. Verzeichnis der Bearbeitungen geführt? Ist der KI-Telefonassistent als Bearbeitungstätigkeit dokumentiert (Zweck, Datenkategorien, Empfänger, Fristen)? 8. Meldewege bei Data Breach etabliert? Wissen Sie, wie Sie bei einem Sicherheitsvorfall den EDÖB informieren? Hat Ihr Anbieter einen dokumentierten Breach-Prozess? 9. Einwilligung dokumentiert, wo nötig? Bei besonders schützenswerten Daten oder automatisierten Einzelentscheidungen: Haben Sie die Einwilligung dokumentiert? 10. Recht auf Auskunft und Löschung operationalisiert? Können Sie auf Anfrage einer betroffenen Person deren Daten herausgeben oder löschen — innerhalb von 30 Tagen?

Drucken Sie diese Liste aus, heften Sie sie in Ihren Compliance-Ordner und gehen Sie sie einmal pro Jahr durch.

Besondere Branchen: Medizin, Recht, Treuhand

Für Branchen mit Berufsgeheimnissen ist der Einsatz von KI besonders sensibel. Das DSG ist nur ein Teil der Compliance — das Berufsrecht kommt hinzu.

Medizin (StGB Art. 321). Das Patientengeheimnis schützt alle Informationen, die ein Arzt in Ausübung seines Berufs erfährt. Eine Verletzung ist strafbar mit Freiheits- oder Geldstrafe. Ein KI-Telefonassistent darf keine medizinische Beratung leisten und keine Diagnose stellen. Zulässig ist: Terminbuchung, Adressänderung, allgemeine Praxisinformation, Weiterleitung dringender Fälle. Details in unserem Leitfaden KI-Telefonassistent Arztpraxis.

Recht (BGFA Art. 13). Das Anwaltsgeheimnis ist absolut und gilt zeitlich unbegrenzt. Der Einsatz von KI erfordert besondere Sorgfalt bei der Wahl der Subprozessoren und bei der Datenhaltung. Viele Kanzleien beschränken den KI-Assistenten bewusst auf Erstkontakt-Szenarien: Terminanfrage, Rückrufwunsch, allgemeine Kostenauskunft. Die inhaltliche Mandatsbearbeitung bleibt zwingend in der Kanzlei. Mehr dazu: KI-Telefonassistent Anwaltskanzlei.

Treuhand. Das Berufsgeheimnis der Treuhänder ist kantonal geregelt und in einzelnen Standesregeln (TREUHAND|SUISSE) festgeschrieben. Finanzdaten sind zwar nicht per se besonders schützenswert im Sinne von Art. 5 DSG, aber das Vertrauensverhältnis erfordert höchste Sorgfalt. Der Assistent darf Informationen sammeln und weiterleiten, aber keine Steuer- oder Bilanzberatung liefern. Details in unserem Treuhand-Leitfaden.

Die gemeinsame Regel: Die KI darf nicht selbst beraten. Sie sammelt Informationen, beantwortet allgemeine Fragen und leitet weiter. Die fachliche Verantwortung bleibt beim Menschen.

Wie fonea die DSG-Anforderungen erfüllt

fonea wurde für den regulierten Schweizer Markt gebaut. Die wichtigsten Compliance-Bausteine:

  • Schweizer Hosting. Alle persistent gespeicherten Daten — Transkripte, Zusammenfassungen, Kundendaten — liegen auf Servern in der Schweiz (Supabase Zürich).
  • Transiente EU-Verarbeitung. STT, LLM und TTS laufen auf europäischen Servern in Deutschland. Audio wird nicht dauerhaft gespeichert.
  • EDÖB-konforme Ansage. Jeder fonea-Anruf beginnt mit einer KI-Offenlegung. Die Ansage ist fix eingebaut und erfüllt Art. 19 DSG und Art. 50 AI Act gleichzeitig.
  • Subprozessoren-Liste öffentlich. Die vollständige Liste aller Unterauftragsbearbeiter ist unter fonea.ch/subprocessors einsehbar. Änderungen kündigen wir mit 30 Tagen Vorlauf an.
  • DPA Standard. Jeder Kunde erhält einen Auftragsbearbeitungsvertrag nach Art. 9 DSG. Standardmässig, ohne Aufpreis.
  • SCC bei Bedarf. Wo Subprozessoren in Drittstaaten involviert sind (z.B. DPF-zertifizierte US-Anbieter), sind Standardvertragsklauseln und technische Schutzmassnahmen vereinbart.
  • Keine Voiceprints, keine Profilbildung. Die Stimme wird für die Sprachverarbeitung genutzt, nicht für biometrische Identifikation oder Marketing.

Mehr zu unseren Sicherheitsmassnahmen finden Sie in der Subprozessoren-Liste und in der Datenschutzerklärung.

Häufige Missverständnisse

Drei Mythen begegnen uns in Verkaufsgesprächen regelmässig. Alle drei sind falsch.

"KI = Cloud = USA = verboten." Falsch. Das DSG verbietet Datenexporte nicht pauschal. Es verlangt ein angemessenes Schutzniveau oder zusätzliche Garantien. Für die USA existiert mit dem Data Privacy Framework (DPF) seit Juli 2023 ein Rahmen, den die EU-Kommission als angemessen anerkannt hat und auf den sich die Schweiz in Teilen stützen kann. Dazu kommen Standardvertragsklauseln (SCC) und technische Massnahmen wie Verschlüsselung und Zero-Retention-Modi. Ein gut konfigurierter Anbieter kann US-Dienste einsetzen, ohne das DSG zu verletzen — vorausgesetzt, die Dokumentation stimmt.

"DSGVO-konform reicht für die Schweiz." Falsch. DSGVO-Konformität deckt viele Anforderungen ab, aber nicht alle. Die Schweiz hat eigene Staaten-Listen, eigene Meldewege (EDÖB statt nationaler EU-Aufsicht), eigene Strafbestimmungen (persönliche Haftung nach Art. 60-63 DSG) und teils andere Rechte der betroffenen Person. Ein Anbieter, der nur mit "GDPR compliant" wirbt, ohne das DSG zu erwähnen, hat seine Hausaufgaben nicht gemacht.

"Wir sind KMU, das DSG gilt für uns nicht." Falsch. Das DSG kennt keinen Grössen-Schwellenwert. Jede natürliche oder juristische Person, die Personendaten bearbeitet, ist verantwortlich — vom Einzelunternehmen bis zum Konzern. Ausnahmen gibt es nur bei einzelnen Pflichten: Das Bearbeitungsverzeichnis (Art. 12) ist für Unternehmen mit unter 250 Mitarbeitenden nur dann Pflicht, wenn besonders schützenswerte Daten in grossem Umfang bearbeitet werden. Alle anderen Pflichten — Informationspflicht, Zweckbindung, Sicherheit, Meldepflicht bei Data Breach — gelten ausnahmslos.

Zusammenfassung und nächste Schritte

Das revidierte DSG ist seit über zwei Jahren in Kraft. Die Schonfrist ist vorbei. Wer heute einen KI-Telefondienst einsetzt, muss die Anforderungen vollständig erfüllen — nicht weil das Risiko einer Busse theoretisch besteht, sondern weil das Vertrauen Ihrer Kunden davon abhängt.

Die drei konkreten nächsten Schritte: Erstens, prüfen Sie mit der 10-Punkte-Checkliste, wie Ihr aktueller oder geplanter Anbieter abschneidet. Zweitens, holen Sie die Subprozessoren-Liste und den DPA in Ihren Compliance-Ordner. Drittens, dokumentieren Sie den KI-Telefonassistenten im Verzeichnis der Bearbeitungstätigkeiten. Der Zeitaufwand: ein halber Tag. Der Gewinn: Rechtssicherheit und ruhiger Schlaf.

Bereit für DSG-konforme Telefonie? Starten Sie mit fonea. [Jetzt starten →](https://fonea.ch/signup)

Häufige Fragen (FAQ)

Reicht die GDPR-Konformität für die Schweiz?

Nein. Die DSGVO und das DSG überschneiden sich in vielen Bereichen, sind aber nicht identisch. Das DSG kennt eine persönliche Strafbarkeit der verantwortlichen Person (bis CHF 250'000), eigene Staaten-Listen für den Datenexport, den EDÖB als Aufsichtsbehörde und teils andere Rechte der betroffenen Person. Ein Anbieter, der nur "GDPR compliant" ist, hat seine Schweizer Hausaufgaben nicht gemacht. Verlangen Sie explizit DSG/FADP-Konformität.

Braucht jede Arztpraxis eine DSFA für KI-Telefonie?

In der Regel ja. Eine DSFA nach Art. 22 DSG ist Pflicht, wenn die Bearbeitung ein hohes Risiko für die Persönlichkeit birgt. In einer Arztpraxis werden am Telefon regelmässig Gesundheitsdaten verarbeitet — Symptome, Medikamentenwünsche, Terminarten (Vorsorge vs. akute Beschwerden). Das sind besonders schützenswerte Daten nach Art. 5 DSG. Eine DSFA ist schlank machbar: zwei bis vier Stunden Aufwand, mit einer Vorlage Ihres Anbieters oder Ihres Datenschutzberaters. Weitere Details im Datenschutz-Leitfaden.

Was passiert, wenn der EDÖB uns prüft?

Der EDÖB kann aus eigenem Antrieb oder auf Anzeige eine Untersuchung einleiten (Art. 49 DSG). Typischer Ablauf: schriftliche Anfrage mit Fristsetzung, Vorlage Ihrer Dokumentation (Verzeichnis, DPA, Subprozessoren-Liste, DSFA), ggf. Begehung vor Ort, abschliessender Bericht mit Empfehlungen oder Anordnungen. Wer die 10 Punkte dieser Checkliste sauber dokumentiert hat, muss eine Prüfung nicht fürchten. Der EDÖB sucht keine Opfer, sondern Transparenz.

Sind Transkripte personenbezogen?

Ja, praktisch immer. Ein Transkript enthält in aller Regel Name, Telefonnummer, Anliegen und oft genug auch besondere Kategorien (Gesundheit, Recht, Finanzen). Es muss wie Personendaten behandelt werden: zweckgebunden bearbeitet, sicher gespeichert, nach definierter Frist gelöscht, auf Anfrage der betroffenen Person herausgegeben oder gelöscht.

Wie lange darf man Anrufe speichern?

Das DSG schreibt keine fixe Frist vor, sondern verlangt Zweckbindung und Datenminimierung. Als Faustregel: Transkripte und Zusammenfassungen so lange wie nötig für die Bearbeitung und allfällige Rückfragen — typischerweise 90 bis 365 Tage. Audio-Rohdateien sollten so kurz wie möglich aufbewahrt werden, idealerweise nach der Transkription gelöscht. Bei besonders schützenswerten Daten (Arztpraxis, Kanzlei) sind kürzere Fristen angezeigt. Die Frist muss dokumentiert und im Verzeichnis nach Art. 12 DSG festgehalten sein.

Betrifft der EU AI Act ein Schweizer KMU ohne EU-Kunden?

Direkt nicht. Der AI Act gilt extra-territorial nur, wenn Sie Dienste in der EU anbieten oder der Output Ihrer KI in der EU wirksam wird. Ein rein schweizerisches KMU ohne EU-Bezug fällt nicht unter den AI Act. Aber: Die Schweiz bereitet eigene KI-Regeln vor, die voraussichtlich kompatibel zum AI Act sein werden (DSG-Muster). Wer heute AI-Act-ready ist, hat morgen einen Vorsprung. Details in unserem Artikel EU AI Act für Schweizer KMU.

Über den Datenschutz

Datenschutz ist kein Feature, das man an- oder abschaltet. Es ist die Grundlage für Vertrauen. fonea veröffentlicht die vollständige Subprozessoren-Liste unter fonea.ch/subprocessors und die Datenschutzerklärung unter fonea.ch/datenschutz. Für individuelle Fragen zur Compliance steht unser Team bereit. Schreiben Sie uns an datenschutz@fonea.ch — wir antworten innerhalb von zwei Arbeitstagen.

Quellen

fadpdsgrevdsgdatenschutzcompliancekitelefonschweiz

Nie wieder einen Anruf verpassen

fonea beantwortet Ihre Anrufe 24/7 in allen Schweizer Landessprachen. Ab CHF 90/Monat.

Jetzt starten

30 Tage Geld-zurück-Garantie. Monatlich kündbar.