Das nDSG und die KI-Herausforderung
Seit dem 1. September 2023 gilt das neue Schweizer Datenschutzgesetz (nDSG). Es bringt strengere Regeln für den Umgang mit personenbezogenen Daten. Und stellt Unternehmen, die KI-Tools wie ChatGPT oder Gemini einsetzen, vor eine zentrale Frage: Wie können wir KI produktiv nutzen, ohne gegen Datenschutzvorschriften zu verstossen?
Die Antwort ist nicht trivial. Denn bei jedem Prompt, den Mitarbeitende in ein KI-Tool eingeben, können personenbezogene Daten enthalten sein: Kundennamen, Vertragsnummern, E-Mail-Adressen, interne Projektbezeichnungen oder sogar Sozialversicherungsnummern.
Das Problem mit herkömmlichen KI-Tools
Wenn ein Mitarbeiter eine E-Mail mit Kundennamen in ChatGPT einfügt oder ein Arztbrief über ein cloudbasiertes KI-Tool zusammengefasst wird, verlassen diese Daten die Schweiz. Sie werden an Server in den USA oder der EU übermittelt. Häufig ohne dass die betroffenen Personen davon wissen.
Das ist nicht nur ein technisches Problem, sondern ein rechtliches. Das nDSG verlangt eine Rechtsgrundlage für die Übermittlung personenbezogener Daten ins Ausland. In vielen Fällen fehlt diese Grundlage. Besonders wenn KI-Tools informell und ohne IT-Freigabe genutzt werden (sogenanntes "Shadow AI").
Laut der Deloitte-Studie "Der rasante Einzug der Generativen KI in der Schweiz" (2023, n=1'002) nutzen 61% der Schweizer Computerarbeiter Generative KI bereits im Berufsalltag. Aber 61% berichten gleichzeitig, dass ihr Unternehmen keine klaren Richtlinien dafür hat. Das schafft ein enormes Compliance-Risiko.
Die Risiken im Detail
- Datenschutzverletzungen: Personenbezogene Daten könnten ohne Rechtsgrundlage ins Ausland fliessen.
- Reputationsschaden: Ein Datenleck mit Kundendaten kann das Vertrauen nachhaltig beschädigen.
- Bussgelder: Das nDSG sieht Bussen von bis zu CHF 250'000 für verantwortliche Personen vor.
- Vertragliche Risiken: Viele Kundenverträge und NDA verbieten die Weitergabe von Daten an Dritte.
Die Lösung: Automatische Pseudonymisierung
Gardeo löst dieses Problem mit einem einzigartigen Ansatz: der automatischen PII-Pseudonymisierung. Bevor dein Prompt das KI-Modell erreicht, werden alle personenbezogenen Daten automatisch erkannt und durch Tokens ersetzt.
So funktioniert es Schritt für Schritt:
- Du schreibst deinen Prompt wie gewohnt. Mit echten Namen, E-Mails und Daten.
- Die PII-Engine erkennt alle personenbezogenen Daten in Echtzeit.
- Erkannte Daten werden durch konsistente Pseudonyme ersetzt (z.B. "Max Müller" → "[PERSON_1]").
- Der pseudonymisierte Prompt wird an das KI-Modell gesendet.
- Die Antwort wird mit den Originaldaten zurücksubstituiert.
Das Ergebnis: Du bekommst die volle Leistung der KI. Aber die echten Personendaten verlassen den europäischen Raum nie. Verarbeitet wird in deutschen Rechenzentren (Frankfurt und Brandenburg), vollständig nDSG- und DSGVO-konform.
Multi-LLM: Die beste KI für jede Aufgabe
Ein weiterer Vorteil: Gardeo bietet Zugang zu führenden KI-Modellen (OpenAI GPT, Anthropic Claude, Google Gemini, Mistral und mehr) über eine einzige Oberfläche. Du kannst das Modell pro Konversation wechseln und bist nicht an einen Anbieter gebunden.
Das bedeutet auch: Wenn ein Anbieter seine Datenschutzrichtlinien ändert, kannst du sofort zu einem anderen Modell wechseln. Ohne deine Workflows zu unterbrechen.
Fazit
Privacy-First KI ist kein Kompromiss. Es ist die Voraussetzung für verantwortungsvolle KI-Nutzung in der Schweiz. Unternehmen, die heute in datenschutzkonforme KI-Lösungen investieren, schaffen sich einen nachhaltigen Wettbewerbsvorteil: Sie können KI schneller ausrollen, Mitarbeitende ohne Bedenken einbinden und gegenüber Kunden nachweisbar verantwortungsvoll handeln.
Gardeo macht das möglich. Mit EU-Hosting in Deutschland, automatischer Pseudonymisierung und Multi-LLM-Flexibilität — entwickelt in der Schweiz.