intoCHAT LogointoCHAT
Zurück zum Blog
Compliance · Schweiz 2026-05-23 9 Min. Lesezeit

revDSG und Chatbots: die Compliance-Checkliste 2026

intoCHAT Team
intoCHAT Team
9 Min. Lesezeit
revDSG-Compliance und Chatbots — Datenschutz-Checkliste

Wenn Ihr Unternehmen in der Schweiz tätig ist und einen Chatbot betreibt — auf Ihrer Website, auf WhatsApp, auf Messenger — verarbeiten Sie Personendaten unter dem revidierten Schweizer Bundesgesetz über den Datenschutz (revDSG). Seit dem 1. September 2023 in Kraft, bringt es den Schweizer Datenschutz weitgehend in Einklang mit der EU-DSGVO, mit einigen spezifisch schweizerischen Erwartungen. Dieser Artikel ist eine praktische Compliance-Checkliste — keine Rechtsberatung, sondern das Due-Diligence-Framework, das ein Schweizer Beschaffungs- oder Rechtsteam verwendet.

Was hat sich mit dem revDSG geändert?

Das revDSG modernisiert das Schweizer Datenschutzregime und bringt es weitgehend in Einklang mit der DSGVO. Die wichtigsten Änderungen, die Chatbot-Deployments betreffen:

  • Breitere Definition von Personendaten — einschliesslich Chat-Transkripte mit Identifikatoren, IP-Adressen und identifizierbare Verhaltensmuster.
  • Privacy by Design und by Default — Anbieter sollten datenschutzfreundliche Standards liefern.
  • Verzeichnis der Bearbeitungstätigkeiten — jede Verarbeitung, inkl. Chatbot-Konversationen, muss dokumentiert sein.
  • Strengere Regeln für grenzüberschreitende Transfers — Transfers in Länder ohne "angemessenes Schutzniveau" benötigen zusätzliche Garantien.
  • Höhere Strafen — Bussen bis CHF 250'000 für natürliche Personen (nicht nur Unternehmen).

Personendaten in Chatbot-Konversationen

Eine Chatbot-Konversation enthält fast immer Personendaten — auch ohne Namen oder E-Mail. IP-Adressen sind Personendaten. Browser-Fingerprints sind Personendaten. Freitext-Nachrichten mit medizinischen, finanziellen oder rechtlichen Informationen sind Personendaten, oft der "sensiblen" Kategorie mit erhöhten Pflichten.

Jedes Chatbot-Deployment braucht: eine dokumentierte Rechtsgrundlage, eine Aufbewahrungsrichtlinie mit definiertem Löschplan, einen Weg für Betroffenenrechte (Auskunft, Löschung), und einen Eintrag in der Datenschutzerklärung über den Chatbot und seine Datenverarbeitung.

Daten-Residency — wo dürfen Konversationen leben?

Das revDSG verlangt keine Speicherung in der Schweiz. Es verlangt, dass Transfers in Länder ohne "angemessenen" Schutz (gemäss Schweizer Bundesrat) zusätzliche Garantien enthalten — typischerweise Standardvertragsklauseln, ergänzende Massnahmen oder verbindliche Unternehmensregeln.

In der Praxis wählen die meisten Schweizer Unternehmen EU-Hosting (vom Bundesrat als angemessen anerkannt) oder Schweiz-Hosting für Enterprise-Deployments. US-Hosting erfordert mehr Papierkram. Fragen Sie Anbieter explizit, wo Konversationsdaten ruhend gespeichert werden.

Auftragsverarbeitungsvertrag (AVV)

Wenn ein Anbieter Personendaten in Ihrem Auftrag verarbeitet — und ein Chatbot-Anbieter tut das fast immer — brauchen Sie einen Auftragsverarbeitungsvertrag. Der AVV sollte spezifizieren: Datenkategorien, Zwecke, Dauer, Unterauftragsverarbeiter, Sicherheitsmassnahmen, Meldeprozess bei Verletzungen und Betroffenenrechte. Anbieter ohne unterzeichneten AVV sind ein Compliance-Risiko.

Audit-Logs und Aufbewahrungsfristen

Für regulierte Branchen (Banken, Versicherungen, Gesundheit, Recht, Pharma — gängige Kategorien in der Schweiz) wird Audit-Logging jeder Konversation und jeder Systemaktion zunehmend erwartet. Relevante Fragen: Sind Audit-Logs exportierbar, sind sie manipulationssicher und welche Aufbewahrungsrichtlinie gilt?

Aufbewahrungsfristen sollten pro Datenkategorie konfigurierbar sein. Eine typische Schweizer Konfiguration: Konversationstranskripte 90 Tage, qualifizierte Lead-Daten im CRM für die Dauer der Kundenbeziehung, anonymisierte Analytik unbegrenzt. Was immer Sie wählen, dokumentieren Sie es.

Grenzüberschreitende Transfers und KI-Modell-Anbieter

KI-Chatbots nutzen typischerweise grosse Sprachmodelle grosser Anbieter (OpenAI, Anthropic, Google, Mistral). Diese operieren global, was bedeutet, dass Konversationsdaten USA oder andere Jurisdiktionen durchqueren können. Die Compliance-Frage: Werden Daten identifizierbar gesendet, welche Kontrollen bestehen (Verschlüsselung, Datenminimierung, Opt-out vom Training), und ist die Vertragskette (Ihr Anbieter → Modellanbieter) dokumentiert?

Für sensible Deployments — Private Banking, Gesundheit, Recht — verlangen viele Schweizer Firmen heute EU-gehostete Modell-Endpunkte. Fragen Sie Anbieter explizit danach.

Die praktische Compliance-Checkliste

  • Unterzeichneter AVV vorhanden.
  • Konversationsdaten in EU- oder Schweiz-Region gespeichert — vertraglich dokumentiert.
  • Aufbewahrungsrichtlinie pro Datenkategorie definiert, mit automatischer Löschung.
  • Datenschutzerklärung aktualisiert — Chatbot, Datenverarbeitung, Rechtsgrundlage.
  • Betroffenenrechte (Auskunft, Löschung, Berichtigung) operationalisiert.
  • Audit-Log aktiviert, exportierbar, gemäss regulatorischen Anforderungen aufbewahrt.
  • Grenzüberschreitende KI-Modell-Nutzung verstanden und dokumentiert; sensible Deployments mit EU-Endpunkten.
  • Anbieter-Sicherheitsposition geprüft — mindestens Verschlüsselung at-rest und in-transit, SSO für Admin, RBAC.
  • Incident-Response- und Verletzungsmeldeprozess vereinbart.

Für Schweizer Unternehmen, die loslegen wollen

intoCHAT ist von Grund auf für das Schweizer Compliance-Umfeld konzipiert — revDSG-konforme Datenverarbeitung, EU-Hosting Standard mit Schweiz-Hosting in Enterprise, unterzeichneter AVV, Audit-Logging in jedem Plan. Siehe die KI-Chatbot für die Schweiz-Seite für den Überblick, oder die KI-Agent für die Schweiz-Seite für Enterprise-Kontrollen (SSO, RBAC, konfigurierbare Freigabe-Gates).

Dieser Artikel ist informativ und keine Rechtsberatung. Für eine verbindliche Auslegung des revDSG für Ihr Unternehmen konsultieren Sie einen Schweizer Datenschutzanwalt.