Ein Treuhandbüro im Raum Zürich mit fünfzehn Mitarbeitenden wächst solide, hat einen treuen KMU-Kundenstamm und arbeitet in einem Umfeld, in dem Vertraulichkeit nicht Kür, sondern Geschäftsgrundlage ist. Die Dokumentationen der Mandate umfassen Lohndaten, Steuerunterlagen, Kontobeziehungen, Betreibungs- und Verlustscheininformationen, manchmal auch heikle Randinformationen – etwa, wenn in der Lohnadministration Abwesenheiten, Krankentaggeldfälle oder Unterhaltszahlungen sichtbar werden. Diese Informationsdichte macht das Treuhandwesen zu einem der sensibelsten Dienstleistungssektoren überhaupt: Jede einzelne (digitale) Akte enthält ein verdichtetes Abbild wirtschaftlicher und persönlicher Verhältnisse.
Gleichzeitig steigt der Effizienzdruck. Belegbearbeitung, Korrespondenz, Zwischenberichte, Plausibilisierungen – alles repetitiv, vieles textlastig. Der administrative Aufwand nimmt Jahr für Jahr zu, während die Mandanten zunehmend kürzere Bearbeitungszeiten erwarten. Es überrascht daher nicht, dass die Geschäftsleitung über KI-gestützte Anwendungen nachdenkt: ein Assistenz-Tool für Entwürfe von E-Mails und Berichten, eine semantische Suche im Dokumentenbestand, vielleicht sogar ein «Copilot» im Buchhaltungsworkflow, der Buchungsvorschläge macht und Auffälligkeiten markiert.
Sehr schnell kommt eine Frage auf, die in der Schweizer Praxis inzwischen fast jedes seriöse KI-Projekt begleitet: Reichen unsere bisherigen technischen und organisatorischen Massnahmen (TOM), oder braucht es «KI-spezifische TOM»? Und wenn es diese braucht – worauf stützt man sie in der Schweiz, da es (noch) keine eigene KI-Verordnung gibt? Diese Frage ist keineswegs akademisch; sie bestimmt massgeblich, wie Unternehmen ihre Digitalisierungsvorhaben strukturieren und rechtlich absichern.
Die saubere Antwort beginnt nicht bei einem ausländischen KI-Gesetz, sondern im Schweizer Datenschutzrecht selbst. Denn das revidierte DSG enthält mit Art. 8 eine klare Leitnorm zur Datensicherheit: Verantwortliche und Auftragsbearbeitende müssen durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit gewährleisten. Die Massnahmen müssen so ausgestaltet sein, dass Verletzungen der Datensicherheit vermieden werden. Und der Bundesrat kann Mindestanforderungen festlegen. Das ist der Kern: Datensicherheit ist kein «Best-Effort», sondern eine risikobezogene Pflicht, die auf Vermeidung von Sicherheitsverletzungen ausgerichtet ist. Diese Pflicht ist nicht dispositiv; sie lässt sich weder wegverhandeln noch durch interne Richtlinien ersetzen, die unter dem gesetzlichen Standard bleiben.
Wichtig ist dabei, was Art. 8 DSG leistet – und was nicht. Art. 8 ist eine Datensicherheitsnorm. Ihr Schutzobjekt sind Personendaten, und ihr Ziel ist die sichere Bearbeitung dieser Daten. Sie zwingt nicht automatisch zu umfassender «KI-Ethik», sie regelt nicht unmittelbar Diskriminierungsrisiken oder Qualitätsanforderungen an KI-Outputs als solche. Sie greift dort, wo KI den Umgang mit Personendaten berührt – und das ist in der Praxis häufig der Fall: weil KI-Tools mit realen Fällen gefüttert werden, weil sie Dokumente analysieren, weil sie Texte entwerfen, die personenbezogene Details enthalten, oder weil sie als Dienst in der Cloud betrieben werden und dabei Daten in neue Bearbeitungsumgebungen verschieben. Die Grenzziehung ist präzise: Sobald Personendaten involviert sind, greift Art. 8 DSG; bei rein technischen oder abstrakten KI-Anwendungen ohne Personenbezug bleibt die Norm aussen vor.
Gerade deshalb taugt Art. 8 DSG als stabile Basis – auch für KI. Denn er ist technologieoffen und risikobasiert. Der Begriff «geeignet» und der Massstab «dem Risiko angemessen» zwingen zur Kontextarbeit:
Wer hier sauber arbeitet, kann sehr viel von dem, was später «KI-Compliance» genannt wird, bereits im Rahmen klassischer Datensicherheitslogik begründen – ohne künstlich einen Parallelkosmos zu bauen. Die Technologieoffenheit der Norm ist kein Versehen des Gesetzgebers, sondern bewusste Gestaltung: Sie soll gewährleisten, dass das Schutzniveau mit dem technologischen Fortschritt Schritt hält, ohne dass bei jeder Innovation eine Gesetzesrevision erforderlich wird.
Zur Veranschaulichung lässt sich hier eine Analogie ziehen:
Erst wenn beide Ebenen ineinandergreifen, entsteht ein hohes und dauerhaft tragfähiges Schutzniveau. Übertragen auf den Schweizer Kontext bedeutet das: Art. 8 DSG definiert das Schutzziel und die Pflicht zur Datensicherheit; die EU-KI-VO hilft dabei, die «Baupläne» für KI-Systeme zeitgemäss und nachvollziehbar auszugestalten.
Nun kommt der entscheidende Schritt: das TOM-Thema «aufbrechen». Das gelingt, wenn man anerkennt, dass KI-Anwendungen die Datensicherheitsrisiken nicht völlig neu erfinden, aber in ihrer Form verändern. Klassische TOM drehen sich in vielen Organisationen u. a. um Zugriffsschutz, Berechtigungskonzepte, Verschlüsselung, Backups, Patchmanagement, Schulungen und Incident Response.
Bei KI kommt nicht unbedingt ein völlig neues Set an Zielen hinzu – Vertraulichkeit, Integrität und Verfügbarkeit bleiben zentral –, doch die Angriffsflächen und Fehlerbilder verschieben sich erheblich.
Plötzlich ist nicht nur relevant, wer auf Dateien zugreifen darf, sondern auch, wer Prompts eingibt, wer Modellkonfigurationen verändern darf, wer Ergebnisse in Mandantenakten übernimmt, wer Trainings- oder Referenzdaten aufbereitet, und wie man verhindert, dass Mitarbeitende aus Bequemlichkeit vertrauliche Inhalte in fremde Dienste kopieren.
Die «Datensicherheit» bezieht sich dann nicht nur auf klassische IT-Komponenten, sondern auch auf Interaktionsschichten zwischen Mensch und Modell. Diese neue Dimension erfordert ein erweitertes Verständnis dessen, was «Zugriff» und «Kontrolle» im digitalen Zeitalter bedeuten.
Genau hier ist es sinnvoll, die EU-KI-VO als Referenzrahmen heranzuziehen – nicht, weil sie in der Schweiz unmittelbar gilt, sondern weil sie strukturiert beschreibt, welche organisatorischen und technischen Sicherungsmechanismen bei KI als gute Praxis gelten.
Aus Schweizer Sicht ist das eine pragmatische Haltung: Art. 8 DSG bleibt die Pflichtnorm für die Datensicherheit von Personendaten; die EU-KI-VO liefert Orientierung, wie man diese Datensicherheit bei KI-Systemen «zeitgemäss» ausbuchstabiert, ohne in jedem Projekt bei Null zu beginnen. Diese Vorgehensweise hat zudem den Vorteil, dass Schweizer Unternehmen mit europäischer Kundschaft oder Niederlassungen ihre Compliance-Strukturen von Anfang an international anschlussfähig gestalten können.
Bearbeitung, organisatorische Verantwortlichkeiten, Prozesse zur Vermeidung und Behandlung von Sicherheitsverletzungen. Diese Schicht ist zwingend – unabhängig von KI.
Die zweite Schicht ist eine KI-spezifische Ergänzung, die man als «präzisierende TOM» verstehen kann. Sie erweitert nicht den Schutzzweck von Art. 8, sondern die Art und Weise, wie man ihn in KI-Kontexten erreicht.
Der Clou ist: Weil die Basisschicht ohnehin erforderlich ist, werden KI-orientierte Massnahmen zu einer Ergänzung, nicht zu einem Ersatz. Das ist zugleich kommunikativ stark, weil es zeigt, dass KI-Compliance keine Überforderung sein muss: Man baut auf Bekanntem auf. Für Schweizer KMU bedeutet dies eine erhebliche Entlastung: Sie müssen nicht von Grund auf neu denken, sondern können ihre bestehenden Sicherheitsstrukturen gezielt erweitern.
Für das Treuhandbüro bedeutet das zuerst eine nüchterne Bestandsaufnahme. Welche KI-Anwendungen sollen genutzt werden? Ist es ein lokal betriebenes Tool im eigenen Tenant, ein Cloud-Dienst, ein Add-in in einer Office-Umgebung, oder ein externer Chatbot? Werden Daten nur «eingetippt» oder werden Dokumente hochgeladen? Erfolgt eine Protokollierung? Gibt es Sub-Prozessoren? Das sind keine akademischen Fragen, sondern wesentliche Sicherheitsaspekte. Jede dieser Varianten bringt ein eigenes Risikoprofil mit sich, das bei der Massnahmenplanung berücksichtigt werden muss.
Denn Art. 8 DSG adressiert Verantwortliche und Auftragsbearbeitende zugleich: Beide müssen Datensicherheit gewährleisten. Spätestens wenn ein KI-Anbieter als Auftragsbearbeiter tätig wird, stellt sich die TOM-Frage zur vertraglichen Ausgestaltung der technisch notwendigen Sicherheitsmassnahmen. Passend dazu verlangt das DSG bei Auftragsbearbeitung ausdrücklich, dass sich der Verantwortliche vergewissert, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. Das ist im KI-Kontext besonders relevant, weil viele Tools hochkomplexe Lieferketten haben und «Security-by-Marketing» nicht genügt. Eine sorgfältige Due-Diligence-Prüfung des Anbieters ist daher unerlässlich.
Dann folgt die Kernarbeit: Risikogerechte TOM so definieren, dass sie die KI-Nutzung abdecken. Dabei gibt es eine Reihe von Massnahmen, die sich erstaunlich gut aus bestehenden ISMS- oder Datenschutz-TOM ableiten lassen, aber KI-spezifisch schärfer gefasst werden müssen.
Erstens braucht es Eingabe- und Nutzungsregeln, die nicht als «KI-Richtlinie» im luftleeren Raum wirken, sondern als konkrete Datensicherheitsmassnahme verstanden werden.
Ein Beispiel: Mitarbeitende dürfen keine identifizierenden Mandantendaten in öffentliche KI-Dienste eingeben. Das ist keine Moralfrage, sondern unmittelbarer Zugriffsschutz und Verhinderung unbefugter Bekanntgabe über einen nicht kontrollierten Verarbeitungsweg.
Im beispielhaften Treuhandbüro lässt sich das sehr operativ gestalten: Standardisierte Prompt-Vorlagen mit Platzhaltern, verpflichtende Pseudonymisierung bei Textentwürfen, klare Verbotslisten (AHV-Nummern, Kontonummern, Steuerveranlagungen, Vollmachten) und – wenn möglich – technische Durchsetzung über DLP-Regeln oder restriktive Connector-Konfigurationen. Das ist klassische TOM-Denke, nur auf eine neue Interaktionsform angewandt.
Zweitens verschiebt sich die Bedeutung von Protokollierung und Nachvollziehbarkeit. Datensicherheit ist nicht nur Prävention, sondern auch Detektion und Reaktion. Im DSG wird diese Logik indirekt gestützt, etwa durch die Pflicht, im Verzeichnis der Bearbeitungstätigkeiten eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach Art. 8 zu führen.
Wer KI einsetzt, sollte deshalb nicht nur «wir nutzen Tool X» dokumentieren, sondern auch, welche technischen und organisatorischen Kontrollen die Nutzung absichern. In der Praxis gehören dazu Logging über Zugriffe auf KI-Funktionen, Admin-Änderungen, Datenanbindungen und – soweit möglich – Audit-Trails über kritische Interaktionen. Gerade bei Treuhandmandaten kann es entscheidend sein, bei Vorfällen rekonstruieren zu können, wer wann welche Daten wohin übertragen oder welche Inhalte generiert hat.
Drittens wird «Incident Response» KI-näher. Das DSG kennt eine Meldepflicht für Verletzungen der Datensicherheit bei hohem Risiko. Im KI-Kontext können solche Verletzungen anders aussehen als klassische «Server gehackt»-Szenarien.
Ein realistischer Fall ist, dass Mitarbeitende versehentlich vertrauliche Mandantendaten in einen KI-Dienst eingeben, der diese Daten zu Trainingszwecken nutzt oder in falschen Kontexten speichert. Ein anderer Fall ist ein Fehlversand oder eine ungewollte Offenlegung durch Sharing-Funktionen, Plugins oder Integrationen.
Gute TOM müssen darum nicht nur «Firewalls und Backups» enthalten, sondern auch organisatorische Abläufe: Wie wird ein KI-bezogener Vorfall erkannt, wie wird er intern eskaliert, wie werden Zugänge sofort gesperrt, wie werden Provider kontaktiert, wie wird ein Export/Löschbegehren technisch umgesetzt? Diese Fragen verlangen nach vordefinierten Prozessen, nicht nach Ad-hoc-Reaktionen im Ernstfall.
Viertens ist die Frage der Mindestanforderungen und deren Einhaltung nicht nur Theorie. Das DSG sanktioniert Verstösse gegen Mindestanforderungen an die Datensicherheit, die der Bundesrat nach Art. 8 Abs. 3 erlassen hat, als Verletzung von Sorgfaltspflichten mit Busseandrohung. Für die Praxis heisst das: Wenn man KI einführt, sollte man die Datensicherheitsmassnahmen nicht als «nice to have» behandeln, sondern als audit- und nachweisfähige Pflicht.
Dieser Nachweis ist oft der schwächste Punkt in KMU: Massnahmen existieren informell, aber sind nicht dokumentiert, nicht überprüft, nicht als System erkennbar. Gerade bei KI kann man hier pragmatisch bleiben: kein «Overengineering», aber klare Verantwortlichkeiten, schriftliche Regeln, technische Konfigurationen, regelmässige Reviews. Die Dokumentation muss dabei nicht bürokratisch aufgebläht sein; sie muss vor allem nachvollziehbar und aktuell sein.
Im Treuhandbüro kann das sehr konkret werden. Wenn KI genutzt wird, um Berichte oder Schreiben an Behörden zu entwerfen, muss klar sein, dass ein KI-Output niemals «automatisch» nach aussen geht. Man implementiert daher eine organisatorische Massnahme: Jede externe Kommunikation, die mit KI erstellt wurde, wird vor Versand von einer fachkundigen Person geprüft, die auch die Verantwortung trägt. Das ist Human Oversight als Sicherheits- und Qualitätskontrolle.
Ziel ist nicht «KI-Ethik», sondern Vermeidung von Schäden, die am Ende wieder Personendaten betreffen können: falsche Angaben, unzulässige Offenlegungen, unkontrollierte Vermischung von Mandanteninformationen.
Ähnlich bei der semantischen Suche im Dokumentenbestand: Wenn das Tool Dokumente indexiert, muss man verhindern, dass Indexe und Embeddings unkontrolliert in Drittsysteme gelangen oder dass Berechtigungen «durch den Index» ausgehebelt werden. Hier sind klassische Zugriffskontrollen zwar nötig, aber nicht ausreichend, weil Suchsysteme oft Antworten aus Quellen zusammenziehen.
Eine KI-orientierte Ergänzungs-TOM wäre deshalb eine systematische Prüfung, ob das Berechtigungskonzept «end-to-end» durchgesetzt wird: Ein Mitarbeitender darf über die Suche nur das sehen, was er auch ohne KI sehen dürfte. Das ist Art. 8 DSG in Reinform, aber mit KI-typischer Umsetzungsschärfe.
Wenn man diesen Ansatz sauber formuliert, entsteht genau die Aussage, die für die Praxis zentral ist: Die TOM nach DSG Art. 8 sind ausschliesslich auf den Schutz von Personendaten ausgerichtet. Dennoch ähneln sich viele Massnahmen stark mit dem, was man im KI-Kontext als gute Praxis empfiehlt.
Die KI-orientierten TOM sind daher nicht «etwas völlig Neues», sondern eine Ergänzung und Präzisierung der ohnehin notwendigen Datensicherheitsmassnahmen. Und die EU-KI-VO kann dabei als Referenzrahmen dienen, um diese Ergänzung nachvollziehbar zu strukturieren – gerade in einem Rechtsraum ohne eigene KI-Verordnung.
Damit ist auch die strategische Perspektive für Schweizer KMU klar: Wer Art. 8 DSG ernsthaft lebt, hat bereits einen grossen Teil der Sicherheitsgrundlage für KI geschaffen.
Die eigentliche Arbeit liegt dann in der Übersetzung: Welche bestehenden Kontrollen müssen auf KI-Interaktionen erweitert werden? Wo braucht es zusätzliche Governance, weil sich Risiken verschieben? Und wie dokumentiert man das so, dass es intern gelebt, gegenüber Kunden erklärt und im Ereignisfall verteidigt werden kann?
Diese Fragen sind nicht trivial, aber sie lassen sich mit vorhandenen Ressourcen und bestehendem Know-how beantworten.
Im Ergebnis kann das Treuhandbüro KI einführen, ohne sich in abstrakten Debatten zu verlieren. Es nimmt Art. 8 DSG als Pflichtanker: risikogerechte Datensicherheit durch geeignete technische und organisatorische Massnahmen, mit dem Ziel, Sicherheitsverletzungen zu vermeiden. Es ergänzt dies mit KI-spezifischen Sicherungen nach Best Practice – inspiriert durch den europäischen Referenzrahmen, aber pragmatisch skaliert auf fünfzehn Mitarbeitende. So entsteht ein Sicherheits- und Compliance-Niveau, das sowohl zur Branche als auch zur Realität eines KMU passt.