Schweiz setzt KI in der Gesundheitsbranche enge Grenzen

Der Schweizer Datenschutzbeauftragte stellt klar: Das geltende Datenschutzgesetz gilt auch für generative KI – besonders bei sensiblen Patientendaten. Eine Lockerung ist nicht in Sicht.

Zürich/Bern – Während Kliniken und Arztpraxen künstliche Intelligenz immer stärker nutzen, zieht der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) die Zügel an. Anlässlich des Datenschutztags 2026 hat die Behörde klare Leitplanken für den Einsatz generativer KI im Gesundheitswesen vorgegeben. Die Botschaft ist eindeutig: Auch ohne eigenes „KI-Gesetz“ gilt das Datenschutzgesetz (DSG) in voller Härte für die KI-gestützte Verarbeitung von Gesundheitsdaten.

DSG gilt uneingeschränkt für KI-Systeme

Auf einer Konferenz an der Universität Lausanne verdeutlichte der EDÖB vergangene Woche seine Position. Anders als die EU, die ihren umfassenden KI-Akt bis August 2026 vollständig umsetzt, setzt die Schweiz auf einen prinzipienbasierten Ansatz. Die Technologieneutralität des DSG bedeute, dass die bestehenden Regeln auch für moderne KI voll gelten, so die Behörde. Die Verantwortung liege damit bei den Datenverantwortlichen – also Kliniken, Versicherern oder HealthTech-Firmen.

Viele Kliniken stehen vor einem akuten Compliance‑Problem: EU‑Regeln zur KI verlangen Kennzeichnung, Risikoklassen und umfangreiche Dokumentation – besonders bei sensiblen Patientendaten. Unser kostenloser Umsetzungsleitfaden zur EU‑KI‑Verordnung erklärt konkret, wie Sie KI‑Systeme richtig einstufen, Transparenzpflichten erfüllen und Datenschutz‑Folgenabschätzungen praxisnah umsetzen. Inklusive Schritt‑für‑Schritt‑Checkliste für HealthTech und klinische Anwendungen. Jetzt kostenlosen KI‑Umsetzungsleitfaden herunterladen

Joël de Montmollin, Leiter der Abteilung Arbeit, Bildung und Gesundheit beim EDÖB, präzisierte: Die generative KI als Technologie falle vielleicht nicht direkt unter seine Aufsicht. Sobald diese Systeme aber personenbezogene Daten verarbeiteten, greife sofort die regulatorische Kontrolle. Diese Unterscheidung ist für das Gesundheitswesen entscheidend, wo Patientendaten als besonders schützenswert gelten.

Die Konsequenz: Gesundheitsdienstleister können KI nicht als undurchsichtige „Blackbox“ behandeln. Jede Verarbeitung muss transparent, verhältnismäßig und auf einer rechtlichen Grundlage erfolgen.

Transparenzpflicht und die Gefahr von „Schatten-KI“

Ein Kernpunkt der neuen Leitlinien ist die Transparenz. Patienten, die mit KI-Systemen wie Diagnose-Chatbots interagieren, müssen klar informiert werden, dass sie mit einer Maschine kommunizieren. Zudem muss verständlich sein, wie ihre Eingabedaten verwendet werden.

Experten warnen vor den Risiken durch „Schatten-KI“. Dabei nutzen Mitarbeiter nicht genehmigte, öffentliche KI-Tools für berufliche Aufgaben. Gibt etwa Medizinpersonal Patientendaten in ein öffentliches Sprachmodell ein, um einen Bericht zu zusammenfassen, können diese Daten die sichere Schweizer Jurisdiktion verlassen und zum Training des Modells verwendet werden. Das wäre ein klarer Datenschutzverstoß.

Der EDÖB pocht daher auf strikte interne Richtlinien. Organisationen müssen klar definieren, ob Patientendaten nur für Inferenz (Verarbeitung) oder auch für das Training eines Modells genutzt werden. Patienten muss zudem das Recht eingeräumt werden, der automatisierten Verarbeitung zu widersprechen und in Entscheidungsprozessen eine menschliche Überprüfung zu verlangen.

Schweizer Sonderweg: Harmonisierung statt EU-Regeln

Der Schweizer Ansatz unterscheidet sich deutlich von den starren Fristen der EU. Statt den KI-Akt zu übernehmen, strebt die Schweiz die Ratifizierung der KI-Konvention des Europarates an. Dieser „Swiss Finish“ zielt darauf ab, nationale Gesetze an internationale Standards anzupassen, ohne die bürokratische Dichte der EU zu kopieren.

Für Schweizer Gesundheitsunternehmen mit grenzüberschreitenden Aktivitäten bedeutet das jedoch eine Doppelbelastung: Sie müssen sowohl das Schweizer DSG als auch den EU-KI-Akt einhalten. Der Bundesrat hat zudem das EJPD und das UVEK beauftragt, bis Ende 2026 gesetzliche Anpassungen vorzulegen, um Lücken bei Transparenz und Diskriminierungsschutz in Hochrisikobereichen wie der Gesundheit zu schließen.

Was Kliniken und Praxen jetzt tun müssen

Der Markt reagiert bereits auf die verschärfte Aufsicht. Compliance-Anbieter wie Validato haben ihre Lösungen an das revidierte DSG angepasst. Für Gesundheitseinrichtungen leitet der EDÖB aus seinen aktuellen Mitteilungen einen klaren Handlungsbedarf ab:

• Durchführung von Datenschutz-Folgenabschätzungen (DSFA): Diese sind bei risikoreicher Profilerstellung oder umfangreicher Verarbeitung sensibler Gesundheitsdaten verpflichtend.
• Etablierung einer KI-Governance: Klare Rollen und Verantwortlichkeiten für die KI-Aufsicht im Unternehmen müssen definiert werden.
• Sicherstellung des „Human-in-the-Loop“: Endgültige medizinische Entscheidungen müssen in menschlicher Hand bleiben – eine nicht verhandelbare Anforderung unter geltenden Haftungsstandards.

Die Ära der regellosen KI-Experimente im Schweizer Gesundheitswesen ist damit vorbei. Der EDÖB hat die Grenze gezogen: Innovation ist erwünscht, aber nur innerhalb der etablierten Privatsphärenrechte. Gesundheitseinrichtungen sollten ihre KI-Systeme umgehend überprüfen, um diesen klaren Erwartungen zu entsprechen. Weitere Leitlinien, etwa zum Einsatz generativer KI am Arbeitsplatz, werden noch in diesem Jahr erwartet.

PS: Gerade für Schweizer Gesundheitsanbieter ist die Lage komplex: revDSG trifft auf die EU‑KI‑Regeln, und Unklarheiten bei Training vs. Inferenz können Datenexfiltration und Haftungsrisiken bedeuten. Dieser Gratis‑Leitfaden fasst Kennzeichnungspflichten, Dokumentationsanforderungen und Übergangsfristen kompakt zusammen und liefert eine Praxis‑Checkliste, mit der Sie Transparenzpflichten und «Human‑in‑the‑Loop» nachweisen. Vermeiden Sie teure Nachbesserungen – handeln Sie jetzt. Gratis KI‑Leitfaden für Gesundheitsanbieter sichern