nDSG-Compliance 2026: Was Schweizer KMU jetzt umsetzen müssen
Drei Jahre nach Inkrafttreten der revidierten nDSG haben sich die Baustellen verschoben: KI-Tools im Tagesgeschäft, US-Datentransfers und Tracking. Der aktuelle Stand für KMU: was Pflicht ist, was Praxis ist und was du 2026 konkret prüfen solltest.
Von Ralph Heezen
Die revidierte nDSG ist seit September 2023 in Kraft. Die Grundlagen haben wir in der nDSG-Checkliste für KMU beschrieben, und die gelten unverändert. Dieser Beitrag behandelt, was sich seither in der Praxis verschoben hat: Die Fragen, die 2026 in Audits und Erstgesprächen tatsächlich auftauchen, drehen sich fast alle um drei Themen: KI, US-Dienste und Tracking.
1. KI-Tools im Tagesgeschäft: die neue grösste Lücke#
2023 war die Frage «dürfen wir Google Analytics nutzen?». 2026 ist die Frage «darf der Innendienst Kundenmails in ChatGPT kopieren?». Die Antwort ist in den meisten KMU: Es passiert längst, ohne dass es jemand geregelt hat.
Der EDÖB hat früh klargestellt, dass die nDSG technologieneutral ist: Sie gilt für KI-gestützte Verarbeitung von Personendaten genauso wie für jede andere. Konkret heisst das:
- Kein Klartext-Kundendatensatz in öffentliche KI-Tools. Die Gratis-Versionen von ChatGPT, Gemini und Co. dürfen Eingaben für Training verwenden. Kundenname, E-Mail und Vertragsdetails in so ein Tool zu kopieren, ist eine Bekanntgabe an einen Dritten ohne Rechtsgrundlage.
- API- und Business-Tarife mit Trainings-Ausschluss sind die Mindestanforderung, sobald Personendaten im Spiel sind: vertraglich zugesichert, mit AVV.
- Besser: Daten pseudonymisieren, bevor sie das Haus verlassen. Wie das technisch funktioniert, zeigt unser Beitrag zur Tokenisierung: Das Modell sieht «Kunde_8f31» statt «Hans Müller».
- Interne KI-Richtlinie. Eine A4-Seite reicht: welche Tools erlaubt sind, welche Daten hinein dürfen, wer Ausnahmen bewilligt. Ohne Richtlinie entscheidet jeder Mitarbeitende selbst, und das ist der eigentliche Risikofaktor.
2. US-Datentransfers: entspannter, aber nicht erledigt#
Seit September 2024 anerkennt der Bundesrat das Swiss–U.S. Data Privacy Framework: Datenübermittlungen an zertifizierte US-Unternehmen gelten als angemessen geschützt, ohne zusätzliche Vertragsklauseln. Das hat vieles vereinfacht, mit zwei Haken:
- Die Zertifizierung ist pro Unternehmen zu prüfen. Nicht jeder US-Dienst ist im DPF-Register. Die Prüfung dauert zwei Minuten und gehört in dein Verarbeitungsverzeichnis.
- Die politische Lage bleibt beweglich. Wie Privacy Shield und Safe Harbor kann auch dieses Framework kippen. Wer heute Architektur-Entscheide fällt, fährt robuster mit europäischen oder Schweizer Diensten, wo der Wechsel wenig kostet. Hosting ist das klassische Beispiel.
3. Tracking: die sichtbarste Dauerbaustelle#
Tracking bleibt der Punkt, an dem nDSG-Verstösse für jeden sichtbar sind. Ein Blick in die Browser-Konsole genügt. Der Stand der Praxis 2026:
- Einwilligung vor dem Laden. Marketing-Pixel (Meta, LinkedIn, TikTok) dürfen erst nach Consent feuern. Ein Banner, das Tracker trotzdem lädt, ist keine Einwilligung, sondern Dekoration.
- First-Party- und Server-Side-Setups reduzieren gleichzeitig das Datenschutz-Risiko und den Datenverlust durch Ad-Blocker: die seltene Win-win-Situation. Die Technik dahinter erklärt unser Beitrag zum Server-Side-Tracking.
- Datenschutzerklärung aktuell halten. Jeder neue Dienst (auch jedes KI-Tool!) gehört in die Liste der Verarbeitungen. Die Erklärung von 2023 deckt dein Setup von 2026 fast sicher nicht mehr ab.
Die 2026er-Kurzcheckliste#
Wenn du nur fünf Dinge prüfst, dann diese:
- Gibt es eine interne KI-Richtlinie, und kennen die Mitarbeitenden sie?
- Laufen KI-Tools mit Personendaten über Verträge mit Trainings-Ausschluss (oder besser: über eine Pseudonymisierungs-Schicht)?
- Sind deine US-Dienste im DPF-Register, dokumentiert im Verarbeitungsverzeichnis?
- Feuern Marketing-Tracker erst nach Einwilligung? (Browser-Konsole öffnen, im Inkognito-Modus testen.)
- Ist die Datenschutzerklärung jünger als dein aktuelles Tool-Setup?
Unser Ansatz#
Wir bauen Datenschutz in die Architektur statt in PDF-Ordner: nDSG-konformes First-Party-Tracking ohne US-Cookies, KI-Anbindungen mit Tokenisierungs-Gateway und Hosting in der Schweiz oder EU, wo es Mehrwert bringt. Compliance, die im Code steckt, muss niemand jeden Monat neu kontrollieren.
Bereit, das selbst umzusetzen?
In einem kostenlosen 30-minütigen Erstgespräch prüfen wir gemeinsam, wo bei dir der Hebel liegt. Ohne Verpflichtung.
Gespräch vereinbaren