EDÖB-Tätigkeitsbericht 2025/2026: KI-Fokus – was KMU tun sollten
Der EDÖB-Tätigkeitsbericht 2025/2026 zeigt klare Prioritäten bei KI. Was das für Schweizer KMU mit ChatGPT, Claude oder eigenen KI-Agenten konkret bedeutet.
Ende Juni 2026 hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) seinen Tätigkeitsbericht 2025/2026 veröffentlicht – den jährlichen Rechenschaftsbericht gegenüber dem Parlament. Für die meisten Schweizer KMU klingt das zunächst nach einem Dokument für Juristinnen und Behörden, nicht für den eigenen Betrieb. Genau diese Einschätzung ist das Problem.
Wer im Unternehmen ChatGPT für Textentwürfe nutzt, Claude für die Auswertung von Kundenanfragen einsetzt oder gerade einen eigenen KI-Agenten für die Buchhaltung oder den Kundenservice aufbaut, arbeitet in exakt dem Bereich, den der EDÖB im Berichtsjahr am genauesten geprüft hat. Der Bericht zeigt nicht abstrakte Prinzipien, sondern reale Fälle und konkrete Erwartungen an Unternehmen – und die meisten KMU kennen sie nicht, weil ein 100-seitiger Behördenbericht selten auf dem Schreibtisch der Geschäftsführung landet.
Dieser Beitrag übersetzt die für KMU relevanten Teile des Tätigkeitsberichts 2025/2026 in konkrete Handlungspunkte: Was der EDÖB untersucht hat, welche Fälle das Berichtsjahr geprägt haben und was ein Betrieb mit 5 bis 100 Mitarbeitenden daraus für den eigenen Umgang mit KI-Tools ableiten sollte.
Der Ausgangspunkt: KI ist längst DSG-Alltag, nicht Neuland
Bereits am 8. Mai 2025 hat der EDÖB klargestellt, was seither als Grundsatz gilt: Das revidierte Datenschutzgesetz (revDSG) ist technologieneutral formuliert und erfasst KI-gestützte Datenbearbeitungen ohne jede Sonderregel. Wer als Unternehmen ChatGPT, Claude oder eine selbst gebaute KI-Anwendung mit Personendaten füttert – Kundennamen, Bewerbungsunterlagen, Mitarbeiterdaten, Adressen – unterliegt denselben Pflichten wie bei jeder klassischen Datenbearbeitung: Zweckbindung, Transparenz, angemessene Sicherheit, Auskunftsrecht der Betroffenen.
Für viele KMU ist das eine unbequeme Erkenntnis, weil KI-Tools oft ohne grosse IT-Prüfung eingeführt werden – eine Mitarbeiterin testet ein Tool, es funktioniert gut, es bleibt im Einsatz. Der Tätigkeitsbericht 2025/2026 zeigt, dass genau diese Grauzone im Fokus der Aufsicht steht.
Was der EDÖB im Berichtsjahr konkret untersucht hat
Der Bericht listet mehrere KI-relevante Fälle, die zeigen, wie breit die Aufsicht mittlerweile ansetzt:
- Bund als Vorbild: Der EDÖB begleitete die Einführung von KI-Assistenzsystemen bei der Bundeskanzlei und dem Bundesamt für Informatik (BIT) – ein Hinweis darauf, dass selbst staatliche Stellen ihre KI-Einführung datenschutzrechtlich absichern müssen, bevor sie live geht.
- KI-Trainingspläne von X: Die Praktiken des Kurznachrichtendienstes X (vormals Twitter), Nutzerinhalte für das Training eigener KI-Modelle zu verwenden, wurden geprüft – ein Fall mit direkter Relevanz für jedes Unternehmen, das überlegt, eigene Daten zum Training von KI-Modellen freizugeben oder einzusetzen.
- Laufende Untersuchung gegen eine Schweizer Firma: Ein Anbieter von Identitätsprüfungen und KI-basierten Altersnachweisen steht unter laufender Untersuchung – ein Beispiel dafür, dass auch kleinere, spezialisierte Schweizer Anbieter im KI-Bereich ins Visier geraten können, nicht nur globale Konzerne.
- Vorabklärung gegen Meta: Wegen einer geplanten Gesichtserkennungsfunktion zur Identifikation von Personen anhand von Bildern eröffnete der EDÖB eine Vorabklärung – ein Signal, dass biometrische KI-Anwendungen besonders genau geprüft werden.
Für ein KMU ohne eigene Rechtsabteilung ist die Botschaft dahinter wichtiger als die Einzelfälle: Der EDÖB prüft nicht nur grosse Datenskandale, sondern systematisch, wie KI in alltäglichen Geschäftsprozessen eingesetzt wird – von der Altersverifikation im Onlineshop bis zur Gesichtserkennung in einer App.
Die vier Empfehlungen des EDÖB – und was sie für KMU heissen
Aus den untersuchten Fällen leitet der Bericht vier wiederkehrende Empfehlungen ab, die sich direkt auf jedes Unternehmen übertragen lassen, das KI-Tools einsetzt oder einführen will.
1. Privacy by Design von der Planungsphase an
Datenschutz soll nicht nachträglich in ein bereits laufendes KI-Projekt eingebaut werden, sondern von Anfang an Teil der Tool-Auswahl sein. Praktisch heisst das für ein KMU: vor der Einführung eines KI-Tools klären, welche Daten überhaupt eingegeben werden müssen, ob eine Business-Version mit Auftragsverarbeitungsvertrag existiert und wo die Daten verarbeitet werden.
2. Datenschutz-Folgenabschätzung (DSFA) bei hohem Risiko
Bei KI-Anwendungen mit voraussichtlich hohem Risiko für die betroffenen Personen – etwa automatisierte Vorauswahl von Bewerbungen, Bonitätsprüfungen oder biometrische Auswertungen wie im Fall Meta – verlangt der EDÖB zwingend eine DSFA. Für die meisten KMU betrifft das nicht die alltägliche Textarbeit mit ChatGPT oder Claude, wohl aber jedes Projekt, das automatisierte Einzelentscheidungen über Personen trifft.
3. Konsequente Durchsetzung von Widerspruchsrechten
Betroffene Personen müssen ihr Recht wahrnehmen können, einer KI-gestützten Datenbearbeitung zu widersprechen – etwa bei einem KI-Chatbot im Kundenservice oder einer automatisierten Empfehlungslogik. Das bedeutet für ein KMU: Es muss einen realistischen, nicht nur theoretischen Weg geben, wie eine Kundin oder ein Kunde eine rein manuelle Bearbeitung verlangen kann.
4. Fundierte Schulung der Mitarbeitenden
Der EDÖB macht Mitarbeiterschulung explizit zur Erwartung, nicht zur Kür. Eine kurze, verbindliche interne Richtlinie – was darf in ein KI-Tool eingegeben werden, was nicht – reicht für die meisten KMU aus, sofern sie tatsächlich allen vermittelt wird, die mit Kundendaten arbeiten, nicht nur der IT-Abteilung.
Warum das mehr ist als eine juristische Fussnote
Der naheliegende Einwand: "Wir sind ein KMU mit 20 Mitarbeitenden, nicht Meta oder X – betrifft uns das wirklich?" Der Tätigkeitsbericht beantwortet das indirekt, aber deutlich. Bussen nach revDSG betragen zwar bis CHF 250'000 und richten sich gegen die verantwortliche natürliche Person, nicht direkt gegen das Unternehmen – doch das eigentliche Risiko liegt selten in der Maximalbusse. Es liegt im Vertrauensverlust, wenn Kundschaft merkt, dass Personendaten unkontrolliert in ein KI-Tool ohne Auftragsverarbeitungsvertrag gelangt sind, oder im Aufwand einer nachträglichen Aufarbeitung, wenn eine Datenschutzverletzung erst nach der Einführung auffällt.
Zudem zeigt die aktive Vorabklärung gegen einen internationalen Konzern wie Meta, dass der EDÖB bei systemischen KI-Risiken nicht zögert – ein KMU, das dieselben Prinzipien im eigenen, kleineren Massstab ignoriert, verlässt sich auf reines Glück, nicht auf Compliance.
Ein Beispiel aus der Praxis verdeutlicht, wie schnell die vier Empfehlungen relevant werden: Ein KMU im Detailhandel führt einen KI-Chatbot für Retourenanfragen ein und testet parallel ein Tool, das eingehende Bewerbungen automatisch nach Stichworten vorsortiert. Der Chatbot verarbeitet Namen, Bestellnummern und E-Mail-Adressen – klassische Personendaten, für die ein Auftragsverarbeitungsvertrag mit dem Anbieter zwingend ist. Die automatische Bewerbungsvorsortierung geht weiter: Sie trifft faktisch eine Vorentscheidung über reale Personen und fällt damit unter die DSFA-Pflicht, die der EDÖB für Hochrisiko-Anwendungen verlangt. Ohne die vorgängige Prüfung wäre genau dieses zweite Tool ein Fall, wie ihn der Tätigkeitsbericht beschreibt – eingeführt, weil es praktisch war, nicht, weil die Risikoabklärung vorher stattgefunden hat.
Konkrete nächste Schritte für Schweizer KMU
Vier Massnahmen lassen sich in den meisten Betrieben innerhalb weniger Wochen umsetzen, ohne den laufenden Betrieb zu stören:
Bestandsaufnahme. Welche KI-Tools sind aktuell im Einsatz – offiziell eingeführt oder informell von einzelnen Mitarbeitenden genutzt? Eine kurze interne Umfrage oder ein Blick in die Firmen-Kreditkartenabrechnung (Abo-Zahlungen an KI-Anbieter) reicht meist, um die grössten Lücken sichtbar zu machen. Ohne diese Übersicht bleibt jede weitere Massnahme Stückwerk.
Risiko pro Tool einordnen. Nicht jedes KI-Tool braucht dieselbe Prüftiefe. Reine Textunterstützung ohne automatisierte Entscheidung über Personen ist unkritisch, sofern die Datenweitergabe geklärt ist. Sobald ein Tool jedoch automatisiert über Bewerbungen, Bonität oder ähnlich folgenreiche Sachverhalte entscheidet, greift die DSFA-Pflicht – dieser Schritt entscheidet, wo genauer hingeschaut werden muss.
Business-Versionen statt Gratis-Tools bei Personendaten. Für die Bearbeitung von Kunden- oder Mitarbeiterdaten sind Business-Versionen mit Auftragsverarbeitungsvertrag nötig – die kostenlosen Standardversionen vieler KI-Tools bieten diese Garantien nicht und verwenden Eingaben teils zu Trainingszwecken weiter.
Kurze interne Richtlinie plus Einführung. Ein zweiseitiges Dokument mit klaren Grenzen, ergänzt durch eine kurze mündliche Einführung für alle betroffenen Mitarbeitenden, deckt die vom EDÖB geforderte Schulung in den meisten Fällen ausreichend ab. Entscheidend ist, dass die Richtlinie tatsächlich bekannt ist – nicht nur, dass sie existiert.
Wer unsicher ist, wie sich die Empfehlungen aus dem EDÖB-Tätigkeitsbericht 2025/2026 auf die eigene KI-Nutzung übertragen lassen, findet bei der Digitalberatung für KMU von Hedinger-Digital eine strukturierte Einschätzung der eigenen Situation. Für die konkrete Umsetzung – von der Tool-Auswahl bis zur internen Richtlinie – bietet sich die KI-Beratung & Integration für KMU an. Ein erstes Gespräch genügt – über das Kontaktformular.


