revDSG (FADP) in der Schweiz: KI-Bewerber- und Personaldatenverarbeitung 2026

Aktualisiert April 2026 · KI Compliance · Autor Matteo Mirabelli · Land: Schweiz

Wer in der EU Datenschutz für KI-Recruiting plant, denkt an die DSGVO. Wer dieselbe Logik in die Schweiz überträgt, landet beim revidierten Datenschutzgesetz (revDSG), das seit 1. September 2023 in Kraft ist. Es ist DSGVO-äquivalent, aber nicht identisch. Die EU-Kommission hat der Schweiz einen Angemessenheitsbeschluss erteilt, der den Datenfluss EU→CH ohne zusätzliche Garantien erlaubt — solange das Schutzniveau gehalten wird. Trotzdem hat das revDSG eigene Regelungen zu automatisierten Einzelentscheidungen, zum Personalkontext und zur Aufsicht durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Dieser Leitfaden adressiert HR-Verantwortliche, Datenschutzbeauftragte und Geschäftsleitungen in Schweizer Unternehmen, die KI-gestützte Personalauswahl, CV-Parsing, Skill-Matching oder Performance-Analytics 2026 einsetzen wollen. Er erklärt das Zusammenspiel von revDSG, OR (Obligationenrecht), ArG (Arbeitsgesetz), MitwG und der EU-AI-Act-extraterritorialen Wirkung.

Die Schweizer Datenschutzarchitektur

Das revDSG trat am 1. September 2023 in Kraft und ersetzte das Datenschutzgesetz von 1992. Es war notwendig, um den EU-Angemessenheitsbeschluss zu erhalten und den modernen Datenverarbeitungsrealitäten gerecht zu werden. Strukturell ähnelt das revDSG der DSGVO, weicht aber in Details ab.

Wichtige Strukturmerkmale:

Geltungsbereich (Art. 2 revDSG) — gilt für die Bearbeitung von Personendaten durch private Personen und Bundesorgane in der Schweiz, sowie extraterritorial bei Wirkung in der Schweiz.

Definitionen. Der Begriff "Personendaten" entspricht dem DSGVO-Begriff "personenbezogene Daten". "Bearbeitung" entspricht "Verarbeitung". "Verantwortlicher" und "Auftragsbearbeiter" entsprechen "Verantwortlicher" und "Auftragsverarbeiter".

Bearbeitungsgrundsätze (Art. 6 revDSG) — Rechtmässigkeit, Treu und Glauben, Verhältnismäßigkeit, Erkennbarkeit, Zweckbindung, Richtigkeit, Datensicherheit. Sehr ähnlich zu Art. 5 DSGVO.

Rechtfertigungsgründe (Art. 31 revDSG) — Einwilligung, überwiegendes Interesse, gesetzliche Grundlage. Entspricht im Wesentlichen Art. 6 DSGVO mit eigener schweizerischer Systematik.

Besonders schützenswerte Personendaten (Art. 5 lit. c revDSG) — Gesundheit, Religion, Weltanschauung, politische Meinung, gewerkschaftliche Tätigkeit, Intimsphäre, Rasse, Ethnie, genetische Daten, biometrische Daten zur eindeutigen Identifizierung, administrative oder strafrechtliche Verfolgung. Strengere Anforderungen, ähnlich Art. 9 DSGVO.

Automatisierte Einzelentscheidung (Art. 21 revDSG). Diese Norm ist für KI-Recruiting zentral.

Art. 21 revDSG — automatisierte Einzelentscheidungen

Art. 21 revDSG regelt automatisierte Einzelentscheidungen mit erheblicher Auswirkung auf die betroffene Person. Im Wesentlichen sehr ähnlich zu Art. 22 DSGVO, aber mit eigenen schweizerischen Akzenten.

Information. Die betroffene Person ist über die Tatsache der automatisierten Einzelentscheidung zu informieren.

Anhörungsrecht. Sie hat das Recht, ihren Standpunkt darzulegen, und kann verlangen, dass die Entscheidung von einer natürlichen Person überprüft wird.

Ausnahmen. Die Pflichten gelten nicht, wenn die Entscheidung mit Vertrag im direkten Zusammenhang steht und dem Begehren der betroffenen Person entsprochen wird, oder wenn die betroffene Person ausdrücklich eingewilligt hat.

Für KI-Recruiting heisst das: vollautomatisierte Bewerberablehnung ohne menschliche Letztentscheidung ist nur unter engen Voraussetzungen zulässig. In der Praxis empfiehlt sich eine Human-in-the-Loop-Architektur, in der die KI vorbereitet, der Mensch entscheidet.

Personalbearbeitung — OR und ArG ergänzen das revDSG

Das revDSG kennt keine eigenständige §26-BDSG-äquivalente Norm zur Personalbearbeitung. Stattdessen ergänzen das Obligationenrecht (OR) und das Arbeitsgesetz (ArG) den Schutz.

Art. 328b OR ist die zentrale arbeitsrechtliche Norm: Die Arbeitgeberin darf Daten über die Arbeitnehmerin nur bearbeiten, soweit sie deren Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Diese Verhältnismässigkeitsprüfung ist streng — sie schließt persönlichkeitsverletzende oder unnötige Datenbearbeitung aus.

Art. 26 ArG und Art. 36 ArGV 3 regeln Überwachungs- und Kontrollsysteme: Sie dürfen das Verhalten der Arbeitnehmer am Arbeitsplatz nicht überwachen. Wenn Überwachungs- oder Kontrollsysteme aus anderen Gründen erforderlich sind, sind sie so zu gestalten, dass die Gesundheit und die Bewegungsfreiheit der Arbeitnehmer nicht beeinträchtigt werden.

Für KI-Recruiting gilt: Die Bearbeitung muss sich auf eignungsrelevante Daten beschränken. KI-Modelle, die Persönlichkeit oder Gesundheit aus CV-Daten ableiten, sind in der Schweiz schwierig zu rechtfertigen.

Konkrete Pflichten für KI-Recruiting-Betreiber 2026

Wer 2026 in der Schweiz ein KI-Recruiting-Tool einsetzt, muss mindestens dokumentieren:

Verhältnismässigkeitsprüfung (Art. 328b OR). Welche Datenarten werden bearbeitet, warum sind sie für die Eignungsbeurteilung erforderlich, welche Alternativen wurden geprüft.

Auftragsbearbeitungsvertrag (Art. 9 revDSG) mit dem KI-Anbieter. Datenarten, Bearbeitungsorte, Subbearbeiter, Sicherheitsmassnahmen, Löschfristen.

Verzeichnis der Bearbeitungstätigkeiten (Art. 12 revDSG). Pflicht für Unternehmen mit mehr als 250 Mitarbeitern oder bei umfangreicher Bearbeitung besonders schützenswerter Personendaten.

Datenschutz-Folgenabschätzung (Art. 22 revDSG). Bei hohem Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person erforderlich. KI-Recruiting fällt typischerweise darunter.

Information der Bewerber (Art. 19 revDSG). Über Bearbeitungszweck, Empfänger, Speicherdauer, Rechte. Ergänzt durch Art. 21 revDSG bei automatisierten Einzelentscheidungen.

Datensicherheit (Art. 8 revDSG, Art. 1 ff. DSV). Technische und organisatorische Massnahmen.

Bias-Audit-Bericht. Empfohlen, weil das Persönlichkeitsschutzrecht (Art. 27 ff. ZGB) und das Diskriminierungsverbot (Art. 8 BV) verlangen, dass Diskriminierung systematisch geprüft und ausgeschlossen wird.

Datenfluss CH-EU und CH-Drittstaaten

Datenflüsse Schweiz→EU sind unproblematisch, weil das EU-DSGVO-Schutzniveau höher oder gleichwertig ist. Die EU hat der Schweiz einen Angemessenheitsbeschluss erteilt, sodass Datenflüsse EU→CH ohne zusätzliche Garantien zulässig sind.

Datenflüsse Schweiz→USA brauchen eine Rechtsgrundlage nach Art. 16 ff. revDSG. Mit dem Inkrafttreten des Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF) im Sommer 2024 ist eine solche Garantie für teilnehmende US-Unternehmen verfügbar. Alternativ: Standardvertragsklauseln des EDÖB.

Datenflüsse Schweiz→andere Drittstaaten ohne Angemessenheitsbeschluss benötigen Standardvertragsklauseln, verbindliche Unternehmensregelungen oder andere Garantien. Der EDÖB hat 2024/25 die EU-SCCs anerkannt, sofern um die Schweizer Spezifika ergänzt.

Für KI-Anbieter mit Cloud-Verarbeitung heisst das: EU-Hosting ist in der Regel die einfachste Lösung. US-Hosting erfordert DPF-Teilnahme oder zusätzliche Garantien.

AI Act-extraterritoriale Wirkung in der Praxis

Wenn Sie als Schweizer Arbeitgeberin ein KI-Recruiting-Tool eines EU-Anbieters einsetzen, der das Tool im EU-Markt anbietet, ist der Anbieter unter dem AI Act voll zuständig. Sie als Betreiber unterliegen den Pflichten von Art. 26 AI Act, weil der Output in der Schweiz erzeugt wird, aber das Tool im EU-Markt vertrieben ist. Pragmatisch: Sie verlangen vom Anbieter die EU-Konformitätserklärung und übernehmen die Betreiber-Pflichten.

Wenn Sie ein Schweizer KI-Tool einsetzen, das nicht in der EU angeboten wird, gilt der AI Act nicht. Trotzdem empfiehlt sich die ISO 42001-Anlehnung als Best-Practice — siehe ISO 42001-Zertifizierung in der Schweiz.

Vergleich mit Deutschland

Vier Unterschiede prägen die Praxis 2026.

Spezialnorm zur Beschäftigtendaten. Deutschland hat §26 BDSG. Die Schweiz hat Art. 328b OR — eine arbeitsrechtliche, nicht datenschutzrechtliche Norm. Beide führen praktisch zu ähnlichen Ergebnissen, aber mit anderen Argumentationswegen.

Aufsichtsstruktur. Deutschland: BfDI plus 16 Landesbehörden. Schweiz: ein einziger EDÖB für die ganze Eidgenossenschaft, ergänzt um kantonale Datenschutzbeauftragte für kantonale Behörden. Konsultationsverfahren in der Schweiz sind schneller und einheitlicher.

Bussgelder. Deutschland: §43 BDSG mit DSGVO-Bussgeldobergrenzen. Schweiz: Art. 60 ff. revDSG mit deutlich tieferen Höchststrafen (250.000 CHF Verwaltungsstrafe für vorsätzliche Verletzungen). Allerdings: Das revDSG zielt auf die verantwortliche natürliche Person, nicht auf das Unternehmen — was in Geschäftsleitungen ungewöhnliche persönliche Risiken erzeugt.

Mitwirkung. Deutschland: §87 BetrVG mit zwingender Mitbestimmung. Schweiz: MitwG mit Information und Anhörung, ohne Vetorecht. Operativ ist die Einführung in der Schweiz schneller, das Risiko der Akzeptanzprobleme aber genauso real.

Wer eine deutsche oder österreichische DSFA-Vorlage in die Schweiz überträgt, muss Art. 328b OR, Art. 21 revDSG und die EDÖB-Zuständigkeit ergänzen.

Vergleich mit der DSGVO im Detail

Die wichtigsten DSGVO-revDSG-Unterschiede für KI-Recruiting:

Konzept der besonders schützenswerten Personendaten. Gleicher Schutz, leicht andere Auflistung. Genetische und biometrische Daten zur Identifikation sind enthalten, aber der Detailwortlaut variiert.

Auftragsbearbeitung. Sehr ähnlich, aber Begriff "Auftragsbearbeiter" statt "Auftragsverarbeiter".

DSFA. revDSG verlangt sie bei "hohem Risiko für die Persönlichkeit oder Grundrechte" — formal weniger strikt als DSGVO Art. 35, in der Praxis ähnlich.

Direkte Bussgelder. revDSG sanktioniert primär die natürliche verantwortliche Person; DSGVO sanktioniert primär das Unternehmen. Operativ heisst das: Geschäftsleitungs-Verantwortung in der Schweiz ist persönlicher.

FAQ

Brauche ich für KI-Recruiting eine ausdrückliche Einwilligung der Bewerber? In der Regel nicht. Vorvertragliches Interesse oder überwiegendes Interesse trägt die Bearbeitung. Eine Einwilligung wäre rechtlich problematisch wegen Druckverhältnis.

Wie unterscheidet sich der EDÖB von der deutschen BfDI? Der EDÖB ist eine eigenständige Bundesbehörde mit Sitz in Bern, zuständig für Bundesorgane und für die Privatwirtschaft im Bereich des Bundesrechts. Kantonale Behörden haben ihre eigenen Datenschutzbeauftragten für kantonale Datenbearbeitung.

Welche Speicherfristen gelten für KI-Bewerberscores? Solange die Frist für arbeitsrechtliche Klagen läuft (typisch sechs Monate bis ein Jahr nach Ablehnung), erweitert um angemessene Pufferzeit. Längere Aufbewahrung erfordert besondere Rechtfertigung.

Welche Daten dürfen aus dem CV nicht in das Modell einfliessen? Daten, die Rückschlüsse auf besonders schützenswerte Personendaten erlauben (Gesundheit, Religion, politische Meinung). Auch das Geschlecht und das Alter sind unter Art. 8 BV (Diskriminierungsverbot) kritisch.

Wie verhält sich Knowlee zum revDSG? Wir hosten in der EU mit Angemessenheitsbeschluss-Garantie für die Schweiz, schließen Auftragsbearbeitungsverträge nach Art. 9 revDSG, liefern DSFA-Bausteine und Bias-Reports. Hinweis: Knowlee ist Anbieter dieser Plattform — diese Erwähnung erfolgt zur Transparenz im Rahmen des Interessenkonflikts.

Schluss

Das revDSG wirkt 2026 in der Schweiz parallel zum Obligationenrecht und Arbeitsgesetz. Wer KI-Personalauswahl plant, muss alle drei Rechtskreise beachten — und zusätzlich die AI-Act-extraterritoriale Wirkung, sobald EU-Anbieter im Spiel sind. Die zentrale EDÖB-Aufsicht und der EU-Angemessenheitsbeschluss machen das Compliance-Setup in der Schweiz operativ einfacher als in der EU, aber die persönliche Verantwortung der Geschäftsleitung ist höher.

Wenn Sie evaluieren möchten, wie Knowlees Plattform revDSG- und OR-konform in Ihre HR-Pipeline passt, buchen Sie eine Demo. Wir zeigen DSFA-Vorlagen, Auftragsbearbeitungs-Muster und Bias-Reports für Schweizer Rechtslage.

Hinweis: Dieser Beitrag ist informativer Natur und ersetzt keine Rechtsberatung.