Viele Schweizer Unternehmen betreiben KI-Agenten, die EU-Personendaten berühren — sie qualifizieren eingehende Anfragen, verarbeiten Support-Tickets oder sichten Bewerbungsunterlagen. Die meisten haben kaum geprüft, ob das unter der DSGVO vertretbar ist.
Diese Lücke lässt sich schliessen — vorausgesetzt, Sie stellen die richtigen Fragen vor dem Deployment und nicht erst dann, wenn Ihnen eine Aufsichtsbehörde schreibt.
Dieser Artikel ordnet die wichtigsten DSGVO-Pflichten den Agenten-Deployments zu, die Schweizer Unternehmen am häufigsten realisieren, und zeigt, wie ein “built to comply”-System in der Praxis aussieht.
Warum “Schweizer Unternehmen” nicht bedeutet “DSGVO gilt nicht”
Die Schweiz ist kein EU-Mitglied. Aber der räumliche Anwendungsbereich der DSGVO (Art. 3) erstreckt sich auf jede Organisation, die Personendaten von Personen in der EU im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen oder der Verhaltensüberwachung verarbeitet. Wenn Ihr Agent Anfragen von deutschen oder französischen Interessenten bearbeitet, Bestellungen italienischer Kunden abwickelt oder Outreach in EU-Märkte betreibt, gilt die DSGVO — unabhängig vom Standort Ihrer Server.
Das schweizerische revDSG läuft parallel und erfasst speziell in der Schweiz ansässige Personen. revDSG und DSGVO teilen die Grundsätze der Datensparsamkeit und Zweckbindung, unterscheiden sich aber in einem wesentlichen strukturellen Punkt: Das revDSG verlangt von privatrechtlichen Verantwortlichen keine Identifikation einer spezifischen Rechtsgrundlage für jede Bearbeitung — Bearbeitungen sind grundsätzlich zulässig, sofern sie keine Persönlichkeitsrechte verletzen. Die Planung nach DSGVO-Massstäben deckt daher die meisten revDSG-Pflichten ab, eine dedizierte revDSG-Prüfung ist jedoch empfehlenswert. Details finden Sie im Begleitartikel zum Schweizer Datenschutzrecht.
Grundregel: Gehen Sie davon aus, dass die DSGVO für Ihren Agenten gilt, sobald er Daten von EU-Betroffenen berührt. Die Frage ist, was das operativ bedeutet.
Was “Personendaten verarbeiten” innerhalb eines Agenten bedeutet
Ein KI-Agent verarbeitet Personendaten, sobald er E-Mails, CRM-Einträge oder Chat-Protokolle mit Namen und Identifikatoren liest; Ausgaben erstellt, die sich auf Personen beziehen; Daten in Speicher, Vector Stores oder Logs ablegt; oder Drittanbieter-APIs aufruft, die diese Daten erhalten.
Jede dieser Aktionen ist eine “Verarbeitung” im Sinne von Art. 4(2) DSGVO. Die Verordnung unterscheidet nicht, ob dies absichtlich oder beiläufig geschieht — ein Support-Agent, der jedes Gespräch protokolliert, unterliegt denselben Regeln wie eine manuell gepflegte Datenbank.
Die meisten Agenten-Deployments treffen mindestens drei dieser Punkte gleichzeitig. Das ist kein Grund, auf Agenten zu verzichten. Es ist ein Grund, sie mit Bedacht zu architektieren.
Die vier wichtigsten Pflichten für KI-Agenten-Deployments
1. Rechtsgrundlage — wissen, warum Sie verarbeiten dürfen
Jede Verarbeitung benötigt eine Rechtsgrundlage nach Art. 6. Für Business-KI-Agenten sind drei Grundlagen relevant:
- Berechtigte Interessen (Art. 6(1)(f)) — die häufigste Grundlage für B2B-Anwendungsfälle. Erfordert eine Interessenabwägung (Legitimate Interests Assessment, LIA), die Ihre Interessen gegen die Rechte der betroffenen Person abwägt. Für B2B-Sales-Outreach und interne Betriebsagenten in der Regel vertretbar.
- Vertragserfüllung (Art. 6(1)(b)) — wenn die Verarbeitung zur Erbringung einer vertraglichen Leistung erforderlich ist (z. B. ein Bestellagent, der die Adresse des Kunden zur Auftragsabwicklung verarbeitet).
- Einwilligung (Art. 6(1)(a)) — notwendig für B2C-Marketing unter ePrivacy-Anwendung und bei besonders sensiblen Anwendungsfällen. Muss freiwillig, spezifisch und widerrufbar sein.
Der typische Fehler: eine einzige vage Grundlage (“berechtigte Interessen”) für alle Verarbeitungsaktivitäten verwenden, ohne die LIA durchzuführen. Das hält keiner Prüfung stand. Jeder Agenten-Workflow mit eigenen Dateneingaben und -ausgaben sollte seine Rechtsgrundlage separat dokumentiert haben.
2. Auftragsverarbeitungsverträge mit jedem KI-Anbieter in der Kette
Wenn Ihr Agent Personendaten an eine LLM-API sendet — OpenAI, Anthropic, Google oder andere — wird dieser Anbieter zum Auftragsverarbeiter nach Art. 28. Sie sind verpflichtet, vor jeglichem Personendatenfluss einen unterzeichneten Auftragsverarbeitungsvertrag (AVV / DPA) mit ihnen abzuschliessen.
Die meisten grossen LLM-Anbieter bieten einen AVV an, aber Sie müssen ihn häufig aktiv anfordern oder das richtige Service-Tier wählen. Standard-API-Nutzungsbedingungen für Konsumenten genügen in der Regel nicht. Prüfen Sie, ob der AVV Ihre Datenkategorien abdeckt, Sub-Auftragsverarbeiter-Listen enthält und ob die Aufbewahrungsrichtlinie des Anbieters mit Ihrer eigenen übereinstimmt.
Dies gilt für die gesamte Auftragsverarbeiterkette. Orchestrierungsplattformen, externe Vector-Datenbanken und verwaltete Tool-Calling-Dienste benötigen jeweils einen AVV, wenn sie Personendaten erhalten — oder eine dokumentierte Begründung, warum nicht (typischerweise weil Sie die Daten vorgelagert anonymisiert haben).
3. Datenspeicherort — wo die Daten Ihres Agenten tatsächlich liegen
Zwischen der Schweiz und der EU besteht ein Angemessenheitsbeschluss (zuletzt bestätigt am 15. Januar 2024), der den freien Datenfluss aus dem EWR in die Schweiz ohne zusätzliche Schutzgarantien erlaubt. Transfers zwischen beiden sind im Allgemeinen unproblematisch. Wenn Ihre Agenten-Infrastruktur jedoch auf US-amerikanischen Cloud-Diensten läuft oder US-amerikanische LLM-APIs aufruft, führen Sie internationale Übermittlungen in ein Drittland durch — und jede davon benötigt einen Übermittlungsmechanismus, typischerweise Standardvertragsklauseln (SCC) im AVV.
Die praktischen Schritte: Erfassen Sie, wo Personendaten von der Erfassung über jeden API-Aufruf bis hin zu jeder Speicherebene fliessen; bestätigen Sie, dass jeder grenzüberschreitende Datentransfer durch einen Angemessenheitsbeschluss, SCC oder Binding Corporate Rules abgesichert ist; und dokumentieren Sie dies. Wenn eine Aufsichtsbehörde Sie auffordert, Konformität nachzuweisen, ist diese Datenflusskarte das Erste, was sie sehen möchten.
Den Agenten in der Schweiz oder der EU zu hosten, beseitigt den grössten Teil dieser Komplexität — ein Grund, warum Kunden mit sensiblen Datenverarbeitungsanforderungen häufig Schweizer oder EU-Deployments gegenüber US-Defaults bevorzugen.
4. DSFA — wann eine formale Risikofolgenabschätzung erforderlich ist
Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 35 vorgeschrieben, wenn die Verarbeitung “voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen” mit sich bringt. Für KI-Agenten-Deployments sind folgende Auslöser relevant:
- Automatisierte Entscheidungen mit erheblichen Auswirkungen auf Personen (Art. 22) — ein Screening-Agent für Stellenbesetzungen, der Kandidaten bewertet oder ablehnt, oder jeder kredit-bezogene Agent
- Besondere Kategorien personenbezogener Daten in grossem Umfang (Gesundheit, Biometrie, politische Überzeugungen)
- Systematische Überwachung des Verhaltens von Personen
- Verarbeitung personenbezogener Daten in grossem Umfang
Eine korrekt durchgeführte DSFA zwingt Sie, konkrete Risiken und die sie minternden Massnahmen zu benennen. Die Frage nach Art. 22 verdient besondere Aufmerksamkeit. Wenn eine automatisierte Entscheidung rechtliche oder ähnlich bedeutsame Auswirkungen auf eine Person hat, hat diese im Allgemeinen das Recht, nicht einer rein automatisierten Verarbeitung zu unterliegen. Nach Art. 22(3) sind selbst dort, wo Ausnahmen gelten — Vertragsnotwendigkeit, gesetzliche Ermächtigung oder ausdrückliche Einwilligung — geeignete Schutzmassnahmen obligatorisch, einschliesslich des Rechts der Person, menschliche Überprüfung zu erwirken, ihren Standpunkt darzulegen und die Entscheidung anzufechten. Für die meisten Deployment-Kontexte ist der Einbau eines menschlichen Prüfschritts der einfachste Weg, dies zu erfüllen.
Wer verantwortlich ist: Verantwortlicher, Auftragsverarbeiter oder beide?
Wenn Sie einen Agenten für Ihre eigenen Betriebsabläufe einsetzen, sind Sie der Verantwortliche — Sie legen Zweck und Mittel der Verarbeitung fest. LLM-Anbieter und andere von Ihnen aufgerufene Dienste sind Ihre Auftragsverarbeiter.
Wenn Sie als Dienstleister einen Agenten im Auftrag eines Kunden betreiben, hängt die Verantwortlichen-/Auftragsverarbeiter-Zuordnung von der Vertragsstruktur ab. Das ist relevant, weil Verantwortliche die primäre DSGVO-Rechenschaftspflicht tragen — Beantwortung von Betroffenenrechtsanfragen, Meldung von Datenpannen an Aufsichtsbehörden. Halten Sie das schriftlich fest. Eine gemeinsame Verantwortlichkeit nach Art. 26 wird bei Agenten-Projekten häufig übersehen und bringt eigene Pflichten mit sich.
Wie eine konforme Agenten-Architektur aussieht
Gute DSGVO-Konformität für einen KI-Agenten entsteht nicht primär durch rechtliche Dokumente. Sie wird in das System-Design eingebaut:
- Daten bei der Erfassung minimieren. Entfernen oder pseudonymisieren Sie personenbezogene Identifikatoren, bevor sie das LLM erreichen, wo der Anwendungsfall es erlaubt. Ein Support-Triage-Agent braucht häufig nicht den vollständigen Namen eines Kunden, um ein Ticket zu klassifizieren.
- Protokollierung gezielt einsetzen. Agenten-Frameworks, die standardmässig jeden Prompt und jede Antwort protokollieren, erzeugen Aufbewahrungsrisiken. Konfigurieren Sie Aufbewahrungsfristen und entscheiden Sie vorab, welche Logs betrieblich notwendig sind.
- Datenflüsse vor dem Aufbau dokumentieren. Ein einseitiges Diagramm, das zeigt, was in den Agenten eingeht, welche APIs er aufruft, was er speichert und wohin die Ausgaben gehen, ist sowohl ein Entwurfsdokument als auch die Grundlage Ihres Verarbeitungsverzeichnisses nach Art. 30.
- Menschliche Prüfpunkte einbauen, wo immer die Ausgabe des Agenten eine Person erheblich betrifft. Das gilt besonders für Recruiting-, Kredit- und Gesundheitsanwendungen.
Die DSGVO-Konformität ist Teil des übergeordneten Rahmens der Governance von KI-Agenten — wie Sie Agenten im Produktivbetrieb überwachen, Modell-Updates verwalten und Ausfälle handhaben. Sicherheitsmassnahmen zur Verhinderung von Datenexfiltration oder Prompt-Injection sind ebenfalls direkt relevant; siehe den verwandten Artikel zu Sicherheitsrisiken von KI-Agenten.
Die DSGVO ist nicht die einzige Verordnung
Der EU AI Act fügt ein gestuftes Risikorahmenwerk hinzu, das bestimmte Deployments unabhängig vom Datenschutzrecht betrifft — insbesondere Systeme in der Personalauswahl, im Kreditwesen oder im Strafverfolgungsbereich. Eine operative Analyse der Konsequenzen bietet der Artikel zum EU AI Act und KI-Agenten, der die Klassifizierungslogik und den Konformitätszeitplan erläutert.
KI-Agenten-Projekte, die von Anfang an mit regulatorischer Struktur aufgebaut werden, sind schneller einsatzbereit, leichter zu prüfen und deutlich weniger anfällig für kostspielige Nachbesserungen.
Was ein verteidigbares Deployment konkret erfordert
Das DSGVO-Mindestprogramm für einen KI-Agenten, der EU-Personendaten verarbeitet:
- Eine dokumentierte Rechtsgrundlage für jede einzelne Verarbeitungsaktivität
- Ein unterzeichneter AVV mit jedem KI-Anbieter und Sub-Auftragsverarbeiter, der Personendaten erhält
- Eine Datenflusskarte für Erfassung, Verarbeitung, Speicherung und Übermittlung
- Eine DSFA bei hochrisikobehafteter Verarbeitung (automatisierte Entscheidungen, besondere Datenkategorien, grosse Mengen)
- Eine Aufbewahrungsrichtlinie für Logs, Speicher und Ausgaben
- Menschliche Überprüfung in jedem Workflow mit erheblichen individuellen Entscheidungen
Nichts davon ist aussergewöhnlich. Es erfordert jedoch, Compliance als Designphase zu behandeln — nicht als Prüfung nach dem Launch.
Bereit, einen Agenten zu bauen, dem Ihr Legal-Team zustimmt?
Orange ITS entwickelt massgeschneiderte KI-Agenten für Schweizer und europäische Unternehmen — Compliance-Architektur ist Teil jedes Projekts, kein optionales Extra. Wenn Sie ein Deployment evaluieren und ein klares Bild der DSGVO-Risiken wünschen, vereinbaren Sie ein 30-minütiges Gespräch mit unserem Team. Wir ordnen Ihren Anwendungsfall den relevanten Pflichten zu und sagen Ihnen klar, was vor dem Go-live in Ordnung sein muss.