8 min Lesezeit

nDSG und KI-Telefonie: Was Schweizer KMU 2026 wirklich beachten müssen

Darf eine KI überhaupt Telefongespräche führen? Wo müssen Daten gespeichert sein? Was sagt das neue nDSG? Der praxisnahe Compliance-Guide für Schweizer KMU.

h

helvetix.ai Redaktion

Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (nDSG). Parallel dazu müssen viele Schweizer KMU auch die europäische DSGVO beachten — etwa, wenn sie Kunden im EU-Raum bedienen. KI-Telefonassistenten verarbeiten Stimme, Inhalte und personenbezogene Daten in Echtzeit — und fallen damit klar in den Anwendungsbereich beider Regelwerke. Was bedeutet das konkret für Schweizer KMU, die einen Voicebot einsetzen wollen? Dieser Artikel führt durch die wichtigsten Compliance-Aspekte, ohne juristisches Fachchinesisch.

Wichtig vorab: Dieser Artikel ersetzt keine Rechtsberatung. Er gibt Orientierung für die typischen Fragen, die KMU-Inhaberinnen und -Inhaber vor der Einführung eines KI-Telefonassistenten haben. Bei komplexen Einzelfällen — etwa in regulierten Branchen wie dem Gesundheitswesen oder der Finanzindustrie — sollte zusätzlich eine spezialisierte Kanzlei konsultiert werden.

Was ist das nDSG — und worin unterscheidet es sich von der DSGVO?

Das neue Schweizer Datenschutzgesetz (nDSG) wurde 2020 verabschiedet und trat am 1. September 2023 in Kraft. Es ersetzte das alte DSG von 1992 und bringt die Schweiz näher an den europäischen Standard — ohne jedoch eine vollständige Kopie der DSGVO zu sein. Die wichtigsten Unterschiede:

AspektnDSG (Schweiz)DSGVO (EU)
GeltungsbereichPersonendaten von natürlichen PersonenPersonendaten von natürlichen Personen
Juristische PersonenNicht mehr geschützt (Angleichung 2023)Nicht geschützt
Maximale BussenBis CHF 250'000 (gegen Einzelpersonen)Bis 20 Mio. EUR oder 4% Jahresumsatz
EinwilligungMeist konkludent ausreichendOft explizite Opt-in-Einwilligung nötig
Datenschutz-FolgenabschätzungAb hohem RisikoAb hohem Risiko
Meldepflicht bei DatenpannenSo rasch als möglich an EDÖBInnert 72 Stunden

Für Schweizer KMU heisst das: Das nDSG ist in vielen Punkten weniger streng als die DSGVO — aber nicht trivial. Wer Kunden aus dem EU-Raum bedient (was auf viele Schweizer Dienstleister zutrifft), muss zusätzlich die DSGVO einhalten. In der Praxis richten sich die meisten Schweizer KI-Anbieter deshalb am höheren Standard aus.

Wie das nDSG auf KI-Telefonie konkret anwendbar ist

Das Telefongespräch als Personendatum

Ein Telefongespräch ist — sobald eine natürliche Person identifizierbar ist — ein Personendatum im Sinne des nDSG Art. 5 lit. a. Das gilt für den Inhalt des Gesprächs, die Stimme selbst (biometrisches Merkmal) und die Metadaten wie Nummer, Zeitpunkt und Dauer. Wenn eine KI diese Daten verarbeitet — zum Beispiel um eine Antwort zu generieren oder einen Termin zu buchen — liegt eine Datenbearbeitung vor. Diese Bearbeitung muss rechtmässig sein.

Rechtsgrundlage für die Bearbeitung

Das nDSG akzeptiert mehrere Rechtsgrundlagen für die Datenbearbeitung. Für einen KI-Telefonassistenten sind zwei besonders relevant: die Einwilligung (Art. 6 Abs. 6–7 nDSG) und das überwiegende private Interesse (Art. 31 nDSG). In der Praxis gilt: Wenn ein Kunde bei Ihrem Unternehmen anruft und die KI freundlich begrüsst ("Grüezi, Sie sind verbunden mit der KI-Assistentin von ..."), liegt eine konkludente Einwilligung für das Gespräch vor. Sobald jedoch das Gespräch aufgezeichnet oder länger gespeichert werden soll, sind strengere Anforderungen zu beachten.

Aufzeichnung und Speicherung

Die Aufzeichnung eines Telefongesprächs ist rechtlich nicht trivial. Nach Schweizer Recht (Art. 179quater StGB) ist das heimliche Aufnehmen von Gesprächen sogar strafbar. KI-Telefonassistenten arbeiten deshalb in der Regel mit einem transparenten Modell: Der Anrufer wird zu Beginn des Gesprächs informiert, dass das Gespräch von einer KI geführt und gegebenenfalls aufgezeichnet wird. Nur so ist die Aufzeichnung legal. Bei helvetix.ai erfolgt dieser Hinweis automatisch in der Begrüssung und kann bei Bedarf individualisiert werden.

Die vier Compliance-Säulen für KI-Telefonie in der Schweiz

1. Transparenzpflicht (Art. 19 nDSG)

Das nDSG verlangt, dass betroffene Personen über die Bearbeitung ihrer Daten informiert werden. Für KI-Telefonie heisst das: Der Anrufer muss wissen, dass er mit einer KI spricht, welche Daten erhoben werden und zu welchem Zweck. Eine kurze Begrüssung wie "Grüezi, Sie sind verbunden mit der KI-Assistentin von Musterfirma — Ihre Anfrage wird zur Bearbeitung aufgenommen" erfüllt diese Anforderung in den meisten Fällen. Die vollständigen Informationen können auf der Website im Datenschutz-Hinweis verlinkt werden.

2. Datenminimierung und Zweckbindung

Es dürfen nur jene Daten erhoben werden, die für den angegebenen Zweck nötig sind. Für einen KI-Telefonassistenten bedeutet das: Name, Anliegen, Kontaktdaten und gegebenenfalls Termindetails. Keine Kreditkartendaten, keine Passwörter, keine Gesundheitsdaten ohne zwingenden Grund. Zudem dürfen die Daten nicht länger gespeichert werden, als es der Zweck erfordert. Für eine reine Terminbuchung reichen meist 30 Tage Aufbewahrung — danach sollten die Daten gelöscht oder anonymisiert werden.

3. Serverstandort und Auftragsbearbeitung (Art. 9 nDSG)

Wenn Sie als KMU einen KI-Anbieter einsetzen, liegt eine Auftragsbearbeitung vor: Der Anbieter verarbeitet Ihre Kundendaten in Ihrem Auftrag. Gemäss Art. 9 nDSG müssen Sie sicherstellen, dass der Anbieter die gesetzlichen Vorgaben einhält — idealerweise vertraglich in einem Auftragsbearbeitungsvertrag (ADV) festgehalten. Besonders heikel ist die Übermittlung ins Ausland. Werden Daten in einem Land bearbeitet, das keinen angemessenen Datenschutz bietet (laut EDÖB-Liste), braucht es zusätzliche Garantien — typischerweise Standardvertragsklauseln. Am einfachsten ist es deshalb, Anbieter zu wählen, die ihre Infrastruktur in der Schweiz betreiben.

4. Betroffenenrechte (Auskunft, Löschung, Berichtigung)

Jeder Anrufer hat das Recht zu erfahren, welche Daten über ihn gespeichert sind (Art. 25 nDSG), kann die Berichtigung unrichtiger Daten verlangen (Art. 32) und hat Anspruch auf Löschung, wenn die Daten nicht mehr benötigt werden. Als KMU müssen Sie in der Lage sein, diese Anfragen innerhalb von 30 Tagen zu beantworten. Ein guter KI-Anbieter stellt hierfür ein Dashboard bereit, in dem Sie alle Gespräche eines bestimmten Anrufers einsehen und auf Wunsch löschen können.

Checkliste: Das sollte Ihr KI-Anbieter erfüllen

  • Serverstandort ausschliesslich Schweiz (oder EU/EWR mit Standardvertragsklauseln)
  • Auftragsbearbeitungsvertrag (ADV) auf Schweizer Recht
  • Transparente Begrüssung mit Hinweis auf KI und Datenbearbeitung
  • Konfigurierbare Aufbewahrungsfristen für Gesprächsdaten
  • Dashboard für Auskunfts- und Löschungsanfragen
  • Verschlüsselung in der Übertragung (TLS 1.3) und im Ruhezustand (AES-256)
  • Keine Weitergabe von Daten an Dritte zu Trainingszwecken ohne Einwilligung
  • Dokumentierte Meldekette bei Datenpannen (innerhalb 72 Stunden)
  • Regelmässige Sicherheits-Audits durch unabhängige Stellen

Besonders schützenswerte Daten: Gesundheit, Religion, Finanzen

Art. 5 lit. c nDSG kennt eine Kategorie "besonders schützenswerter Personendaten" — dazu zählen unter anderem Gesundheitsdaten, religiöse Überzeugungen, genetische und biometrische Daten. Für diese Daten gelten verschärfte Anforderungen: ausdrückliche Einwilligung, besondere Schutzmassnahmen, in der Regel Datenschutz-Folgenabschätzung. Für eine Arztpraxis bedeutet das, dass der KI-Anbieter nachweislich auch diese Standards erfüllen muss. helvetix.ai erfüllt diese Anforderungen durch Schweizer Hosting, vollständige Verschlüsselung und eine klare Zweckbindung ausschliesslich auf die Terminverwaltung — ohne Speicherung medizinischer Inhalte.

Fazit: Compliance ist machbar — aber kein Nebenprodukt

Das nDSG ist kein Showstopper für KI-Telefonie in der Schweiz. Im Gegenteil: Wer einen seriösen Schweizer Anbieter wählt, erfüllt die gesetzlichen Anforderungen in den meisten Fällen automatisch. Entscheidend ist, dass Sie sich als KMU bewusst sind, welche Daten verarbeitet werden und wo sie gespeichert sind. Die wichtigste Faustregel: Fragen Sie Ihren Anbieter nach dem Serverstandort, dem ADV und der Löschfrist. Wer auf diese drei Fragen keine klare Antwort gibt, ist nicht der richtige Partner. Wer sie beantwortet, liefert Ihnen ein System, das besser dokumentiert ist als viele klassische Telefonanlagen.

Quellen

  1. [1]Bundesgesetz über den Datenschutz (nDSG), SR 235.1, Stand 1. September 2023
  2. [2]EDÖB — Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter: Leitfaden zum revidierten DSG (2023)
  3. [3]EDÖB: Länderliste angemessener Datenschutz (aktualisiert 2024)
  4. [4]Verordnung zum Datenschutzgesetz (DSV), SR 235.11
  5. [5]Schweizerisches Strafgesetzbuch Art. 179quater — Unbefugtes Aufnehmen von Gesprächen
  6. [6]Verordnung (EU) 2016/679 — DSGVO

Nie wieder Anrufe verpassen

helvetix.ai beantwortet Ihr Telefon rund um die Uhr — auf Schweizerdeutsch, Hochdeutsch, Französisch und Englisch.

Jetzt Demo vereinbaren

Weitere Artikel

7 min Lesezeit

Die intelligente Combox-Alternative: KI-Anrufbeantworter für Schweizer KMU

Combox und klassische Anrufbeantworter verlieren Kunden. Warum ein KI-Anrufbeantworter die bessere Lösung ist — und was er konkret kann.

Weiterlesen
8 min Lesezeit

AI Telefonassistent: Was ist das und wie funktioniert es?

Alles was Sie über KI- und AI-Telefonassistenten wissen müssen: Technologie, Einsatzgebiete, Kosten und worauf Schweizer KMU achten sollten.

Weiterlesen