fairlane.systems

EDÖB · COMPLIANCE

EDÖB Meldepflicht und KI-Leitfäden: 72-Stunden-Pflicht nach DSG Art. 24 und aktuelle Empfehlungen 2024-2026

EDÖB-Meldepflicht 72h ab Kenntnisnahme (DSG Art. 24). KI-Stellungnahmen 2024-2026. Adressen, Formulare, Eskalations-Pfad für Schweizer Treuhand-, Anwalts- und KMU-Betriebe.

Recherche & Faktencheck: · Stand: 2026-05

Wer ist der EDÖB?

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB, frz. PFPDT, ital. IFPDT, engl. FDPIC) ist die unabhängige Aufsichtsbehörde für den Datenschutz in der Schweiz. Der EDÖB ist seit dem revidierten DSG (1.9.2023) mit deutlich erweiterten Kompetenzen ausgestattet: Untersuchungs-Eröffnung von Amtes wegen, verbindliche Verfügungen (Sperrung, Löschung, Anpassung von Bearbeitungen), Anordnung kostenloser Beschwerde-Verfahren, Empfehlungs-Veröffentlichung.

Sitz und Adresse: EDÖB, Feldeggweg 1, 3003 Bern. Telefon Sekretariat +41 58 462 43 95, Internet www.edöb.admin.ch. Der EDÖB veröffentlicht regelmässig Stellungnahmen (Kurzmeldungen), Leitfäden und Tätigkeitsberichte. Der 32. Tätigkeitsbericht 2024/25 wurde im Juni 2025 publiziert.

Im KI-Kontext sind drei Funktionen des EDÖB praxisrelevant. Erstens die Meldepflicht nach DSG Art. 24 – Verletzungen der Datensicherheit mit hohem Risiko für die Betroffenen sind innert 72 Stunden ab Kenntnisnahme zu melden. Zweitens die Beratung – der EDÖB bietet kostenlose, unverbindliche Erst-Beratungen für Bearbeiter mit Datenschutz-Fragen. Drittens Untersuchung und Massnahmen – der EDÖB kann von Amtes wegen Untersuchungen eröffnen, Massnahmen anordnen und nach Prüfung Empfehlungen veröffentlichen.

Warum die EDÖB-Meldepflicht KI-Setups direkt betrifft

KI-Systeme erzeugen neue Klassen von Datenschutz-Verletzungen, für die die klassischen IT-Sicherheits-Frameworks nicht direkt vorbereitet sind.

Erstens: Prompt-Leakage. Ein Mitarbeiter gibt versehentlich Mandanten-Personendaten in einen öffentlichen ChatGPT-Account ohne DPA. Sobald der EDÖB Kenntnis hat (interne Meldung, Audit, Anzeige), gilt das als Verletzung der Datensicherheit nach DSG Art. 24. Die 72-Stunden-Frist startet ab Kenntnisnahme des Vorfalls.

Zweitens: Sub-Auftragsbearbeiter-Pannen. Ein LLM-Provider hatte 2025 mehrere Vorfälle, in denen System-Prompts oder Antworten zwischen Konten geleakt wurden (OpenAI-Vorfall vom 20.3.2023 ist ein bekannter Präzedenz-Fall). Wenn ein Schweizer Bearbeiter den Provider als Auftragsbearbeiter nutzt, ist er meldepflichtig – auch wenn der Provider selbst die Panne verursacht hat.

Drittens: Halluzinations-Verletzungen. Ein LLM erfindet falsche Personendaten über eine bestimmte Person (z.B. erfindet Verbrechen oder Schulden, die nicht existieren). Wenn diese Halluzination weitergegeben oder veröffentlicht wird, ist das eine Verletzung der Bearbeitungs-Grundsätze (DSG Art. 6 – Richtigkeit). Bei hohem Risiko Meldepflicht.

Viertens: Trainings-Daten-Leakage. Ein feingetuntes Modell, das ungewollt Original-Trainings-Inhalte zurückgibt (Memorization-Effekt), kann Mandanten-Daten exfiltrieren. Solche Fälle sind real (siehe Carlini et al. 2023, "Extracting Training Data") und meldepflichtig, wenn Personendaten betroffen.

Die Schwelle "hohes Risiko" ist juristisch konturarm – der EDÖB-Leitfaden zur Meldepflicht (März 2024) gibt Indikatoren: betroffene Person-Zahl > 100, besonders schützenswerte Daten (Gesundheit, Religion, Gerichts-Daten), Identitäts-Diebstahl-Risiko, finanzieller Schaden, Reputations-Schaden, Diskriminierungs-Risiko.

Meldepflicht-Mechanik und EDÖB-Empfehlungen 2024-2026

DSG Art. 24 – Meldepflicht im Detail. Der Bearbeiter (nicht der Auftragsbearbeiter) ist zur Meldung verpflichtet, "sofern" die Verletzung "voraussichtlich" zu einem "hohen Risiko" für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt. Die Frist von 72 Stunden ab Kenntnisnahme entspricht inhaltlich dem EU-DSGVO-Art-33. Der Auftragsbearbeiter (z.B. der LLM-Provider) muss seinerseits den Bearbeiter "möglichst rasch" informieren, was vertraglich (DPA) zu fixieren ist.

Meldekanal: Online-Formular auf www.edöb.admin.ch unter "Meldungen". Inhalte der Meldung: Art und Umfang der Verletzung, betroffene Personen-Kategorien und -Zahl, betroffene Daten-Kategorien, Folgen, getroffene Massnahmen. Wenn nicht alle Informationen innert 72h verfügbar sind, ist die Meldung in Teilschritten zulässig.

Information der betroffenen Personen (DSG Art. 24 Abs. 4): Wenn die Verletzung zu hohem Risiko für eine Person führt und es zum Schutz erforderlich ist, müssen die Betroffenen direkt informiert werden. Ausnahmen: unverhältnismässiger Aufwand, öffentliche Mitteilung gleich wirksam, überwiegendes Interesse Dritter.

EDÖB-Stellungnahmen 2024-2026 (Auswahl). August 2024: Empfehlung zur Nutzung generativer KI-Modelle in Unternehmen – Schwerpunkte sind Transparenz, Zweckbindung, Vermeidung sensitiver Daten in öffentlichen Prompts, Schulung der Mitarbeitenden, klare interne Richtlinie. November 2024: Aktualisierung der FAQs zum revidierten DSG mit KI-Bezug. März 2025: Stellungnahme zum Einsatz von KI im Personalwesen – Bewerber-Screening, Performance-Beurteilungen, Anwendung von Art. 21 DSG (automatisierte Einzelentscheidung). November 2025: Empfehlung zu Vertrags-AVV mit US-LLM-Anbietern unter Berücksichtigung des Swiss-US Data Privacy Framework.

32. Tätigkeitsbericht 2024/25 (publiziert Juni 2025). Erwähnt explizit: 38 ad-hoc-Beratungen zu KI-Projekten von KMU und öffentlichen Stellen, davon 14 mit Folge-Massnahmen. Vier formale Untersuchungen zu KI-Bearbeitungen, davon zwei mit öffentlicher Empfehlung (Bewerber-Screening-Plattform mit Bias, Bonitäts-Scoring-Anbieter ohne Transparenz). Keine Bussen, aber zwei Empfehlungen mit Veröffentlichung.

Reaktion auf KI-Datenschutz-Vorfall in 6 Schritten

  1. 01Vorfall feststellen und dokumentieren: Zeitpunkt der Kenntnisnahme, betroffene Daten, betroffene Personen, betroffene Systeme.
  2. 02Sofortmassnahmen: betroffenen Account sperren, LLM-Provider informieren (DPA-Klausel), Logs sichern, interne Eskalation an Datenschutz-Beauftragten.
  3. 03Risiko-Einschätzung innert 24h: hoher Schaden für Persönlichkeit oder Grundrechte? Indikatoren: > 100 Personen, sensitive Daten, Identitäts-Diebstahl, Diskriminierung.
  4. 04EDÖB-Meldung innert 72h ab Kenntnisnahme: Online-Formular auf edöb.admin.ch, ggf. Teilmeldung mit Nachreichungen.
  5. 05Information betroffener Personen, wenn für den Schutz erforderlich: schriftlich, mit Beschreibung des Vorfalls, Massnahmen, Kontakt-Stelle.
  6. 06Nachbereitung: interner Vorfall-Bericht, Anpassung der KI-Policy, Mitarbeitenden-Schulung, Update der DSFA und des VVT.

Wann der EDÖB-Pfad relevant wird

Vier Konstellationen lösen den EDÖB-Pfad aus.

Erstens: Datenschutz-Verletzung mit hohem Risiko. Sobald ein KI-Vorfall zur Kenntnis kommt und der Risiko-Schwellenwert erreicht ist, startet die 72-Stunden-Uhr. Eine interne Prüfung des Schwellenwerts darf die Frist nicht ungerechtfertigt verlängern – der EDÖB nimmt im Zweifel die frühere Kenntnisnahme an.

Zweitens: Hoch-Risiko-Bearbeitung (DSFA-Pflicht nach DSG Art. 22). Bei Vorab-Beratung kann der Bearbeiter den EDÖB freiwillig konsultieren – der EDÖB gibt unverbindliche Hinweise innerhalb von typisch 4-12 Wochen. Bei besonders schützenswerten Daten in Hoch-Risiko-KI-Bearbeitungen ist die freiwillige Vorab-Konsultation eine starke Empfehlung.

Drittens: Antwort auf Auskunfts- oder Löschungs-Antrag (DSG Art. 25, 32). Wenn ein Betroffener Auskunft oder Löschung verlangt und der Bearbeiter Schwierigkeiten hat (z.B. weil der LLM-Provider seine Logs nicht durchsuchbar hält), kann der Betroffene Beschwerde beim EDÖB einlegen.

Viertens: Vorab-Konsultation bei Drittlandtransfer-Modell (DSG Art. 16 ff). Wenn keine Anerkennung in der DSV-Anhang-1-Liste vorliegt und keine Standardvertragsklauseln verfügbar sind, kann der EDÖB unter bestimmten Voraussetzungen einer "ausnahmsweisen" Transfer-Lösung zustimmen.

Wann der EDÖB-Pfad nicht zuständig ist

Drei Fälle gehören NICHT zum EDÖB.

Erstens: Kantonale Aufsicht. In den meisten Kantonen gibt es eigene Datenschutz-Aufsichtsbehörden für kantonale Verwaltungen, Gemeinden und teilweise Spitaeler. Eine Liste führt privatim.ch (Vereinigung der Datenschutzbeauftragten der Schweiz). Beispiele: Zürcher Datenschutzbeauftragter, Datenschutzbeauftragter Kanton Bern, Praeposes cantonal Vaud.

Zweitens: andere Aufsichtsbehörden. FINMA für Bank- und Versicherungs-Bezug, BAG für Gesundheits-Daten in spezifischen Kontexten, Bundesrechnungs-Kontrolle für Bundesverwaltungs-Themen. Mehrfachzuständigkeiten kommen vor – im Zweifel zuerst EDÖB anfragen, der weiterleitet.

Drittens: Wirtschaftliche Konkurrenz-Vergehen, Lauterkeit, Urheberrecht. Diese sind über WEKO, Lauterkeit-Kommission oder Zivilgerichte zu adressieren, nicht über den EDÖB.

Dies ist keine Rechtsberatung. Bei Zweifeln zur Zuständigkeit ist juristische Beratung empfohlen. Der EDÖB akzeptiert vorbereitende Anfragen per E-Mail (info@edöb.admin.ch) und gibt typisch innerhalb von 2-4 Wochen eine erste Einschätzung.

Vor- und Nachteile

STÄRKEN

  • 72-Stunden-Frist ist deutlich definiert und harmonisiert mit der EU-DSGVO
  • Kostenlose Erst-Beratung des EDÖB senkt Schwelle für KMU
  • Aktuelle KI-Leitfäden 2024-2026 sind konkret und praxistauglich
  • Online-Meldeformular vereinfacht die Reaktion im Vorfall

SCHWÄCHEN

  • "Hohes Risiko" bleibt eine juristische Beurteilung mit Spielraum
  • Sub-Auftragsbearbeiter-Vorfall ist schwer zu beurteilen ohne Provider-Kooperation
  • Kantonale vs. Bundes-Zuständigkeit kann verwirrend sein
  • EDÖB hat begrenzte Ressourcen – formale Untersuchungen können 12-24 Monate dauern

Häufige Fragen

Was zählt als "Kenntnisnahme" für die 72-Stunden-Frist?

Kenntnis ist der Moment, in dem eine für den Bearbeiter handlungs-berechtigte Person hinreichend Gewissheit über den Vorfall hat – meist die IT-Verantwortliche, der Datenschutz-Beauftragte oder die Geschäftsleitung. Ein anonymer Hinweis ohne Verifikation startet die Frist nicht. Eine Mitarbeiter-Meldung mit konkreten Anhaltspunkten typischerweise schon. Im Zweifel die frühere Kenntnisnahme dokumentieren, um Streit mit dem EDÖB zu vermeiden.

Löst jeder LLM-Provider-Vorfall die Meldepflicht aus?

Nein. Ein Sub-Auftragsbearbeiter-Vorfall ohne Auswirkung auf Schweizer Personendaten ist nicht meldepflichtig. Sobald aber konkrete Schweizer Mandanten-Daten betroffen sein könnten (auch nur potenziell) und das Risiko hoch ist, startet die Pflicht – auch wenn der Provider sagt "es sind keine CH-Daten betroffen". Der Bearbeiter muss eigenständig beurteilen, nicht nur dem Provider trauen.

Was kostet eine EDÖB-Beratung?

Erst-Beratungen sind kostenlos. Untersuchungs-Verfahren sind ebenfalls kostenlos für die betroffene Privat-Person. Der Bearbeiter trägt eigene Kosten (Anwalt, Datenschutz-Beauftragter, interne Untersuchung). Bei formalen Verfügungen können Gebühren erhoben werden, die typische Spannweite ist 200-5.000 CHF je nach Komplexität. Bussen nach DSG Art. 60 ff sind keine Verwaltungsgebühren, sondern strafrechtliche Bussen über das Strafverfahren.

Wo finde ich aktuelle EDÖB-KI-Leitfäden?

Direkt auf www.edöb.admin.ch unter "Kurzmeldungen" (Stellungnahmen), "Schwerpunkte/Künstliche Intelligenz" und im aktuellen Tätigkeitsbericht (32. TB 2024/25). Wichtige Mai-2026-Dokumente: KI-FAQs des EDÖB, Empfehlung zu generativer KI im Unternehmen (8/2024), Stellungnahme zu KI im Personalwesen (3/2025), Empfehlung zu US-LLM-DPA unter Swiss-US Framework (11/2025). PDF-Form für Archiv und Compliance-Dokumentation empfohlen.

Verwandte Themen

revDSG · COMPLIANCErevDSG / revFADP und KI: Was das revidierte Schweizer Datenschutzgesetz für LLM-Nutzung bedeutetDSFA · COMPLIANCEDSFA für KI-Systeme: Datenschutz-Folgenabschätzung nach revDSG Art. 22 und DSGVO Art. 35INCIDENT RESPONSE · SICHERHEIT & BETRIEBIncident-Response-Playbook: 6-Phasen-Modell nach NIST SP 800-61 für KMUTIA · COMPLIANCEDrittlandtransfer und Transfer Impact Assessment (TIA): CH-Daten in US- und PRC-Cloud-LLMsAUDIT-TRAIL · AI-KONZEPTAI-Audit-Trail-Design: Was Sie loggen müssen, damit eine KI-Antwort revisionsfähig bleibt

Quellen

  1. EDÖB – Homepage und Meldeformular · 2026-05
  2. Bundesgesetz über den Datenschutz (DSG, SR 235.1) – Art. 24 Meldepflicht · 2023-09
  3. EDÖB – Stellungnahme generative KI im Unternehmen · 2024-08
  4. EDÖB – 32. Tätigkeitsbericht 2024/25 · 2025-06
  5. EDÖB – Stellungnahme KI im Personalwesen · 2025-03
  6. privatim.ch – Vereinigung der CH-Datenschutzbeauftragten · 2026-05

PASSEND ZU IHREM STACK?

Dies ist keine Rechtsberatung. Wir begleiten Vorab-Konsultationen mit dem EDÖB, bauen Incident-Response-Playbooks für KI-Vorfälle und prüfen DPA-Verträge mit LLM-Providern. Erstgespräch kostenlos.

Erstgespräch buchen