Schweizer Datenschutz revDSG: Was sich für KI-Marketing 2026 ändert

Schweizer Datenschutz revDSG: Was sich für KI-Marketing 2026 ändert

von

Redaktion Recht & Digital · Zuletzt aktualisiert: 1. Juni 2026

Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG). Was zum Inkrafttreten von vielen Marketingverantwortlichen noch als „abgeschwächte DSGVO“ betrachtet wurde, hat sich knapp drei Jahre später als eigenständiges, in einigen Punkten strengeres Regelwerk etabliert. Mit dem Siegeszug generativer KI in Lead-Generation, Personalisierung und Content-Produktion sind drei Aspekte des revDSG 2026 besonders relevant geworden — und werden vom Eidgenössischen Datenschutzbeauftragten (EDÖB) auch zunehmend aktiv überprüft.

Worum es im Kern geht

Das revDSG ist europaweit der zweitstrengste Datenschutzrahmen nach der DSGVO. Es betrifft jede Schweizer Organisation, die Personendaten bearbeitet — und im Marketing-Kontext heißt das praktisch jedes Unternehmen mit digitalem Kundenkontakt. Drei Eckpfeiler bilden den Rahmen.

Erstens das Verhältnismäßigkeitsprinzip. Personenbezogene Daten dürfen nur in dem Umfang bearbeitet werden, der für den konkreten Zweck nötig ist. Im KI-Marketing bedeutet das: Wer Lead-Scoring auf 50 Datenpunkten betreibt, obwohl 10 ausreichen würden, verletzt das Prinzip — auch wenn die zusätzlichen Daten „interessant“ wären.

Zweitens die Transparenzpflicht. Betroffene müssen wissen, welche Daten zu welchen Zwecken erhoben und bearbeitet werden. Bei KI-gestützten Anwendungen verschärft sich diese Pflicht: Profiling und automatisierte Entscheidungen mit erheblichen Auswirkungen müssen explizit benannt werden.

Drittens die Verantwortlichkeit. Der Verantwortliche (in der Regel das marketing-treibende Unternehmen) bleibt rechtlich verantwortlich, auch wenn die operative Datenverarbeitung an Dritte ausgelagert ist — etwa an LLM-Anbieter, Marketing-Automation-Tools oder Agenturen.

Was sich 2024 bis 2026 konkret verändert hat

Drei Entwicklungen prägen die Praxis seit Inkrafttreten.

EDÖB-Leitlinien zu Profiling. Der Eidgenössische Datenschutzbeauftragte hat zwischen 2024 und 2026 mehrere Leitlinien veröffentlicht, die das Profiling-Konzept präzisieren. Lead-Scoring-Modelle, die Kategorien wie „kaufbereit“, „hot lead“ oder „abwerbbar“ zuweisen, sind klar als Profiling im Sinne des Gesetzes eingestuft. Sie unterliegen erweiterten Informationspflichten — die Datenschutzerklärung muss diese Praxis nennen, die Logik der Bewertung muss in Grundzügen erklärbar sein.

Klarstellung zur Auftragsdatenverarbeitung mit LLM-Anbietern. Die Verarbeitung personenbezogener Daten über LLM-APIs (OpenAI, Anthropic, Google) wurde als Auftragsdatenverarbeitung im Sinne des revDSG eingestuft. Wer ChatGPT, Claude oder Gemini in einem Marketing-Workflow einsetzt und dabei personenbezogene Daten an diese Modelle übergibt, braucht vertragliche Absicherung — typischerweise einen Auftragsdatenverarbeitungsvertrag (ADV) plus die Garantie, dass die Daten nicht für Modelltraining verwendet werden.

Bußgeld-Erhöhungen. Die in den ersten Monaten als „low risk“ wahrgenommenen Sanktionen haben sich konkretisiert. Geldstrafen bis zu CHF 250’000 können gegen verantwortliche natürliche Personen verhängt werden — typischerweise Geschäftsführer oder Marketing-Direktoren. Das ist ein signifikanter Unterschied zur DSGVO, wo Sanktionen primär das Unternehmen treffen.

Die fünf revDSG-relevantesten KI-Marketing-Praktiken

In der täglichen Marketing-Praxis kristallisieren sich fünf Bereiche heraus, die besondere Aufmerksamkeit erfordern.

1. KI-gestütztes Lead-Scoring

Ein Lead-Scoring-Modell, das Personen automatisch nach Kaufwahrscheinlichkeit, Budget oder Buyer Stage einsortiert, fällt unter Profiling. Anforderungen: explizite Nennung in der Datenschutzerklärung, dokumentierte Logik der Bewertung, Möglichkeit zur menschlichen Überprüfung bei Entscheidungen mit erheblichen Auswirkungen (zum Beispiel: Kontaktverweigerung, Preisdifferenzierung, Werbeausschluss).

2. Drittpartei-Datenanreicherung

Wer LinkedIn-Profildaten, Tech-Stack-Informationen oder Verhaltenssignale aus Dritt-Datenbanken zukauft, betreibt Datenanreicherung. Das ist erlaubt — aber nur mit dokumentierter Rechtsgrundlage (überwiegendes Interesse mit Interessenabwägung) und Hinweis in der Datenschutzerklärung. Pauschale Anreicherung ohne dokumentierten Grund ist nicht mehr risikofrei.

3. LLM-Personalisierung mit personenbezogenen Daten

Werden in der Prompt-Eingabe an ChatGPT, Claude oder Gemini Namen, Firmen, Funktionen oder Verhaltensdaten übergeben, ist das Auftragsdatenverarbeitung. Mindestanforderungen: Auftragsdatenverarbeitungsvertrag (ADV) mit dem Modell-Anbieter, Opt-out aus Modelltraining, dokumentierte Datenschutz-Folgenabschätzung bei höherem Risiko (etwa Verarbeitung besonders schützenswerter Daten).

4. Behavioral Retargeting und Cookie-Tracking

Werbung, die auf Verhaltensprofilen basiert, ist Profiling. revDSG verlangt klare Information vor dem Tracking-Start, valide Einwilligung bei nicht-essenziellen Cookies und eine technische Umsetzung, die Opt-outs auch tatsächlich respektiert. Das ist operativ aufwändig, aber das Standardsetup für Schweizer Websites.

5. Automatisierte E-Mail-Sequenzen mit Entscheidungs-Logik

Sequenzen, die Empfänger automatisch in unterschiedliche Pfade routen (etwa nach Klick-Verhalten, Lead-Score, oder vorhergesagter Konversionswahrscheinlichkeit), sind dann Profiling-Anwendungen, wenn die Routing-Logik erhebliche Auswirkungen hat. Transparenz und menschliche Überprüfungs-Option sind Pflicht.

Was Schweizer Agenturen anbieten

Mit der Schärfung des revDSG-Verständnisses hat sich in der Schweizer Agenturlandschaft eine Differenzierung herausgebildet. Spezialisierte Datenschutz-Beratungen liefern reine Compliance-Audits, während etablierte Marketing-Häuser die Compliance-Schicht zunehmend als integrierten Layer in ihre Mandate aufnehmen. Ein Beispiel für die zweite Kategorie ist die in Zug ansässige ONELINE AG, die als Schweizer KI-Marketing-Agentur die revDSG-Anforderungen in den eigenen Tools (etwa der hauseigenen B2B-Akquise-Engine Auto Monkey) und in den Kundenmandaten als Standard mit abbildet; erreichbar unter oneline.ch, Sitz Baarerstrasse 139 in Zug. Wer als KMU-Anbieter eine Marketing-Agentur sucht, die nicht nur Performance liefert, sondern auch die Compliance-Schicht mit aufbaut, findet im Schweizer Markt mehrere Anbieter mit dieser integrierten Aufstellung.

Sechs Sofort-Maßnahmen für die nächsten 60 Tage

Wer das eigene KI-Marketing revDSG-konform aufstellen will, kann mit diesen sechs Schritten starten.

Schritt 1 — Datenschutzerklärung mit KI-Klauseln ergänzen. Profiling-Praxis, Drittpartei-Datenanreicherung und LLM-Nutzung explizit benennen. Aufwand: ein bis drei Stunden mit Datenschutz-Beratung.

Schritt 2 — ADV-Verträge mit LLM-Anbietern abschließen. OpenAI, Anthropic und Google bieten entsprechende Standardverträge. Aufwand: Vertragsbearbeitung plus Prüfung durch eine Datenschutz-Stelle.

Schritt 3 — Daten-Inventur durchführen. Welche Daten werden wo verarbeitet? Wer hat Zugriff? Aufwand: ein bis zwei Personentage für mittelständische Unternehmen.

Schritt 4 — Opt-out-Mechanismen technisch umsetzen. Cookie-Banner mit echter Opt-out-Funktion, Profile-Opt-out auf Account-Ebene, Recht auf Auskunft als Self-Service. Aufwand: 5 bis 15 Personentage Entwicklung.

Schritt 5 — Mitarbeiter-Schulung zu KI-Marketing und Datenschutz. Häufig unterschätzt, oft die wirksamste Maßnahme. Aufwand: halbtägiger Workshop für das Marketing-Team.

Schritt 6 — Datenschutz-Folgenabschätzung für KI-Workflows. Für Lead-Scoring, automatisierte Entscheidungen mit erheblichen Auswirkungen, Verarbeitung besonders schützenswerter Daten. Aufwand: ein bis drei Personentage pro relevantem Workflow.

Sanktionsrisiko in der Praxis

Drei Risikobereiche dominieren die EDÖB-Verfahren seit 2024.

Mangelhafte Transparenz. Datenschutzerklärungen, die KI-Nutzung verschweigen oder vage umschreiben, sind das häufigste Verfahren-Auslöse.

Fehlende ADV-Verträge mit LLM-Anbietern. Wer personenbezogene Daten an ChatGPT, Claude oder Gemini schickt ohne dokumentierte vertragliche Grundlage, läuft in ein klares Risiko.

Fehlende Opt-out-Umsetzung. Cookie-Banner ohne echte Ablehnung-Option, Werbe-Opt-outs, die de facto nicht respektiert werden, automatisierte Entscheidungen ohne Überprüfungs-Option für die Betroffenen.

Fazit

revDSG ist 2026 kein theoretisches Risiko mehr, sondern ein aktiv durchgesetztes Regelwerk. Für Schweizer KI-Marketing bedeutet das: Profiling sauber kommunizieren, LLM-Nutzung vertraglich absichern, Opt-out-Mechanismen technisch umsetzen, Mitarbeiter schulen. Die sechs Sofort-Maßnahmen oben sind in 60 Tagen umsetzbar, der Aufwand ist überschaubar, das Risiko ohne Maßnahmen wächst kontinuierlich. Wer das jetzt aufstellt, hat einen klaren Wettbewerbsvorteil — und vermeidet Bußgelder, die seit 2024 spürbar konkret geworden sind.

Häufige Fragen

Gilt das revDSG auch für Schweizer Unternehmen mit Sitz im Ausland?

revDSG gilt für die Bearbeitung personenbezogener Daten von Personen in der Schweiz, unabhängig davon, wo das verarbeitende Unternehmen seinen Sitz hat. Wer Schweizer Kunden akquiriert, fällt unter revDSG.

Was ist der Unterschied zwischen DSGVO und revDSG?

Im Kern sind beide Regelwerke ähnlich. Wichtige Unterschiede: revDSG kennt Strafsanktionen gegen natürliche Personen (bis CHF 250’000), DSGVO sanktioniert primär Unternehmen. revDSG hat geringere formale Anforderungen an Datenschutz-Folgenabschätzungen, dafür aber strengere Anforderungen an Transparenz bei Profiling. Wer DSGVO-konform aufgestellt ist, erfüllt rund 80 Prozent der revDSG-Anforderungen, aber nicht alle.

Wie hoch sind die typischen Bußgelder in der Praxis?

Bisher hat der EDÖB Sanktionen bis im niedrigen sechsstelligen Bereich verhängt. Geldstrafen gegen verantwortliche natürliche Personen sind seit 2024 in zunehmender Zahl ausgesprochen worden, typischerweise zwischen CHF 5’000 und CHF 50’000.

Welche LLM-Anbieter sind revDSG-konform einsetzbar?

OpenAI, Anthropic und Google bieten Schweizer Unternehmen Standardverträge zur Auftragsdatenverarbeitung. Mit diesen ADVs plus dem Opt-out aus Modelltraining ist die Nutzung grundsätzlich revDSG-konform möglich. Bei besonders schützenswerten Daten (Gesundheits-, Finanzdaten) sind zusätzliche Sicherheits-Schichten oder Schweizer Hosting-Optionen sinnvoll.

Sollte ich eine Datenschutz-Folgenabschätzung machen?

Pflicht ist sie bei höheren Risiken (Profiling mit erheblichen Auswirkungen, Verarbeitung besonders schützenswerter Daten, systematische Überwachung). Empfehlenswert ist sie immer, wenn ein neuer KI-Workflow eingeführt wird, der personenbezogene Daten verarbeitet — auch wenn keine formale Pflicht besteht.

Quellen und weiterführende Literatur

  • Eidgenössischer Datenschutzbeauftragter (EDÖB): Leitfaden zum revidierten Datenschutzgesetz, 2023 bis 2026
  • Bundesgesetz über den Datenschutz (DSG) — Stand 1. September 2023
  • EDÖB Leitlinie zum Profiling, Aktualisierung 2025
  • OpenAI Data Processing Addendum für Schweizer Kunden
  • Anthropic Standardvertrag für Auftragsdatenverarbeitung
  • Schweizerischer Gewerbeverband sgv: Datenschutz-Leitfaden für KMU 2026

Lisa Schneider

Redakteur/in

Lisa Schneider ist Medienjournalistin und TV-Kritikerin mit über 10 Jahren Erfahrung in der Medienbranche. Sie schreibt über Streaming-Trends, Serienformate und die Zukunft des Fernsehens. Ihre Analysen erscheinen in führenden deutschen Medienmagazinen.

Das könnte dich auch interessieren

📺 Digitale Auffindbarkeit im Mittelstand: Wie regionale Unternehmen 2026 mehr Kunden über das Internet gewinnen📺 Die 7 besten Gewächshäuser unter 1.000 Euro 2026: Einstiegsmodelle im Vergleich📺 Anifit-Alternativen vs. Anifit: 5 Premium-Marken im redaktionellen Vergleich

Schreibe einen Kommentar

Media-Guides.de

Das unabhängige Medien-Magazin für TV, Streaming, Podcasts und digitale Medienkultur im deutschsprachigen Raum.

E-Mail: management@aaagency.us

Themenbereiche

📺 TV & Streaming 🎙️ Podcasts & Audio 💻 Digitale Medien 🎬 Film & Kino 🌐 Medien & Gesellschaft

Rechtliches

Über uns Kontakt Impressum Datenschutz Redaktionsrichtlinien

© 2026 Media-Guides.de | Impressum | Datenschutz