Wenn White-Label-Lösungen
zum Datenschutzrisiko werden
Die Nutzung von digitalen Telefonassistenten, automatisierten Terminlösungen und KI-gestützten Kommunikationssystemen steigt auch im Schweizer Handwerk stark an. Viele Anbieter werben mit einer „eigenen KI“, doch technisch basieren diese Systeme oft auf ausländischen Plattformen – manchmal sogar vollständig auf US-Diensten.
Für Unternehmen in der Schweiz stellt sich dabei eine wichtige Frage:
Wann ist die DSGVO relevant – und wann nicht?
Denn während das Schweizer Datenschutzgesetz (nDSG) weniger streng ist, gilt die DSGVO für alle Firmen, die Kundendaten von Personen im EU-/EWR-Raum verarbeiten oder dort Dienstleistungen anbieten. Genau diese Firmen geraten durch intransparente KI-Lösungen zunehmend in rechtliche Risiken.
Ein anonymisierter, aber realitätsnaher Fall
In mehreren von Experten untersuchten Fällen trat ein KI-Telefonservice im DACH-Markt als lokal entwickelte „deutsche“ oder „Schweizer“ Lösung auf.
Nach aussen wirkte das Angebot vertrauenswürdig.
Doch intern lief:
-
die Sprachanalyse über US-Server,
-
die Transkription über Drittanbieter ausserhalb Europas,
-
die Speicherung vollständig ausserhalb des DSGVO-Schutzbereichs.
Viele Handwerksbetriebe gingen davon aus, dass die Daten lokal verarbeitet werden – tatsächlich aber wurden Gesprächsinhalte automatisch an ausländische KI-Systeme weitergeleitet.
Für Schweizer Firmen, die DSGVO-pflichtig sind, kann das massive Folgen haben.
Fehlende Transparenz bleibt das zentrale Problem
In den Datenschutzhinweisen der betroffenen Anbieter fanden sich meist nur Angaben zu Google Analytics oder Cookie-Tools.
Die entscheidenden KI-Dienstleister, welche Telefonate oder Sprachdaten verarbeiten, wurden nirgends erwähnt.
Dabei ist das Pflicht – sowohl gemäss DSGVO als auch gemäss nDSG.
„Sobald personenbezogene Daten über Dritte verarbeitet werden, müssen diese Empfänger oder deren Kategorien klar genannt werden – das fordert sowohl die DSGVO als auch das Schweizer Datenschutzgesetz.“
— Datenschutzexperte im Gespräch mit DAP IT-Solutions
Wird das nicht offengelegt, bleibt das Unternehmen haftbar – auch wenn die Daten technisch durch einen Drittanbieter verarbeitet werden.
White-Label-KI als strukturelles Risiko
Kleine und mittelständische Anbieter kaufen oft fertige KI-Systeme ein und vermarkten sie unter eigener Marke.
Das ist grundsätzlich erlaubt – aber:
✔ Es muss vollständig transparent sein
✔ Es müssen Verträge zur Auftragsverarbeitung bestehen (Art. 28 DSGVO)
✔ Die Datenflüsse müssen offen kommuniziert werden
✔ Anbieter haften für Verstösse – auch wenn der Fehler beim Drittanbieter liegt
Viele unterschätzen diese Verantwortung.
Einschätzung von DAP IT-Solutions
Unsere Fachleute analysieren regelmässig KI-Systeme für Schweizer und EU-orientierte Unternehmen.
„Das Problem ist selten die Technologie – das Problem ist fehlende Transparenz. Wenn Anbieter vorgeben, eigene KI entwickelt zu haben, aber im Hintergrund US-Systeme nutzen, ist das juristisch heikel.“
— DAP IT-Solutions, Datenschutz & Compliance Team
„Für Schweizer Firmen gilt: Sobald EU-Bürger betroffen sind, muss das System DSGVO-konform sein – unabhängig davon, wo die Firma sitzt.“
„White-Label ist absolut zulässig. Verboten ist es, es zu verschweigen.“
Risiken für betroffene Handwerksbetriebe
Für schweizerische Firmen, die EU-Kundschaft haben, ergeben sich Risiken:
-
Bussgelder (DSGVO)
-
Abmahnungen und Klagen
-
Vertrauensverlust
-
Unterbrechung der Geschäftsprozesse
Viele Firmen sind überrascht, wie schnell sie in die DSGVO-Pflicht rutschen – selbst ohne Sitz in der EU.
Warum diese Fälle zunehmen
Der KI-Markt wächst schnell, aber nicht jede Lösung ist sauber implementiert.
Besonders problematisch sind:
-
intransparente KI-Datenflüsse
-
fehlende AV-Verträge
-
fehlende Offenlegung der KI-Dienstleister
-
Nutzung US-basierter Systeme ohne Rechtsgrundlage
DAP IT-Solutions beobachtet einen klaren Trend:
Je stärker Kommunikation automatisiert wird, desto häufiger entstehen Datenschutzfehler.
Empfehlung von DAP IT-Solutions
Unternehmen in der Schweiz sollten:
- alle KI-Datenverarbeitungen vollständig offenlegen
- AV-Verträge prüfen (DSGVO & nDSG)
- KI-Systeme bevorzugen, die in der EU gehostet werden
- „eigene KI“ nur bewerben, wenn sie wirklich selbst entwickelt wurde
- regelmässige Datenschutz-Audits durchführen
- White-Label-Strukturen transparent kommunizieren
Fazit
Der Trend zeigt klar:
Nicht KI ist das Problem – sondern Anbieter, die verbergen, wohin Daten wirklich fliessen.
Für Schweizer Firmen gilt:
Eine KI-Lösung kann lokal klingen – aber dennoch Daten ausserhalb Europas verarbeiten.
Für Anbieter gilt:
Wer KI unter eigener Marke vertreibt, trägt die volle technische und rechtliche Verantwortung – unabhängig vom Hosting-Standort.
DAP IT-Solutions GmbH
Komplette IT-Betreuung für Unternehmen und Zuhause – sicher, stabil und persönlich.Wir kümmern uns um Ihre Technik – von A bis Z.IT … Alles aus einer Hand
