Startseite › Artikel › nDSG und KI in der Medizin: Was jeder Arzt in der Schweiz wissen muss
Sicherheit & Daten

nDSG und KI in der Medizin: Was jeder Arzt in der Schweiz wissen muss

13 April 2026 8 Min. Lesezeit Team Clinovus AI

Seit dem 1. September 2023 ist das revidierte Bundesgesetz über den Datenschutz (nDSG) in der Schweiz in Kraft. Es gilt für jede Bearbeitung von Personendaten — auch wenn diese durch ein künstliches Intelligenzsystem erfolgt. Für Ärzte, die KI einsetzen oder einzusetzen planen, sind die Konsequenzen konkret und die Verantwortung persönlich.

Warum das nDSG den KI-Einsatz verändert

Die Totalrevision von 2023 passt den Rechtsrahmen an die digitale Realität an: Cloud, KI, automatisierte Entscheidungen, internationale Datentransfers. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat klargestellt: Das nDSG gilt direkt für KI-Tools, ohne dass ein spezifisches KI-Gesetz erforderlich ist.[1]

Gesundheitsdaten: eine besondere Kategorie

Gesundheitsdaten sind besonders schützenswerte Personendaten im Sinne von Art. 5 Bst. c nDSG.[2] Ihre Bearbeitung erfordert eine ausdrückliche Rechtfertigungsgrundlage, und jede Verletzung muss dem EDÖB unverzüglich gemeldet werden (Art. 24 nDSG).

Der Arzt bleibt verantwortlich — auch mit Auftragsverarbeiter

Der Arzt oder die Arztpraxis ist die verantwortliche Person für die Bearbeitung von Patientendaten. Diese Verantwortung überträgt sich nicht auf den KI-Anbieter.[3]

Das nDSG sieht Bussen bis zu CHF 250'000 für vorsätzliche Verletzungen vor (Art. 60 nDSG). Diese Sanktionen sind persönlich: Der Arzt haftet — nicht nur der Softwareanbieter.

Die 5 konkreten Pflichten

Die 5 konkreten nDSG-Pflichten für jeden Arzt, der KI einsetzt Arzt / Ärztin Verantwortliche Person · nDSG Auftragsverarbeitungsvertrag Art. 9 nDSG — obligatorisch Verzeichnis der Tätigkeiten Art. 24 nDSG Erkennbarkeit Patient informiert · Art. 6 Abs. 3 Transparenz der KI Zweck und Datenquellen deklariert Menschliche Aufsicht Art. 21 nDSG — Validierung obligatorisch Vorsätzliche Verletzung Busse bis CHF 250'000 · Persönliche Haftung des Arztes (Art. 60 nDSG)
Die 5 konkreten nDSG-Pflichten für jeden Arzt, der KI einsetzt

1. Auftragsverarbeitungsvertrag abschliessen

Jeder KI-Anbieter, der Daten in Ihrem Auftrag bearbeitet, muss einen Auftragsverarbeitungsvertrag abschliessen (Art. 9 nDSG).

2. Verzeichnis der Bearbeitungstätigkeiten führen

Praxen, die besonders schützenswerte Daten bearbeiten, müssen ihre Tätigkeiten dokumentieren (Art. 24 nDSG). Die FMH stellt Vorlagen zur Verfügung.[4]

3. Erkennbarkeit sicherstellen

Die KI-Bearbeitung muss für den Patienten erkennbar sein (Art. 6 Abs. 3 nDSG). Ein Hinweis in der Datenschutzerklärung der Praxis genügt in der Regel.

4. Transparenz über die KI gewährleisten

Nutzer von KI-Systemen müssen über Zweck, Funktionsweise und Datenquellen informieren.[1]

5. Menschliche Aufsicht vorsehen

Das nDSG gibt Betroffenen das Recht, eine automatisierte Entscheidung durch einen Menschen überprüfen zu lassen (Art. 21 nDSG). KI-Outputs müssen vor jedem klinischen Einsatz validiert werden.

Die CLOUD-Act-Falle

Der CLOUD Act (2018) erlaubt US-Behörden den Zugriff auf Daten amerikanischer Unternehmen, unabhängig vom physischen Standort der Server. Ein Tool eines US-Unternehmens, selbst in Europa gehostet, bleibt potenziell zugänglich.

Was "Schweizer Hosting" wirklich bedeutet

Hosting ausschliesslich auf Schweizer Servern, betrieben von einem Unternehmen ohne US-Mutterfirma, eliminiert dieses Risiko. Dies ist die sicherste Position im Hinblick auf das nDSG und das ärztliche Berufsgeheimnis (Art. 321 StGB).

Checkliste — 7 Fragen an Ihren KI-Anbieter

FrageWas zu prüfen ist
Wo werden die Daten gehostet?Schweizer Server oder angemessenes Drittland
Unterliegt das Unternehmen dem CLOUD Act?Keine US-Muttergesellschaft
Wird ein Auftragsverarbeitungsvertrag angeboten?Pflicht gemäss Art. 9 nDSG
Werden Daten für KI-Training verwendet?Nein, ausser ausdrücklicher Einwilligung
Welche Verschlüsselung wird eingesetzt?TLS 1.3 beim Transfer, Verschlüsselung bei Ruhe
Wie werden Datenpannen gehandhabt?Meldung und dokumentiertes Verfahren
Können Daten zurückgefordert werden?Vollständiger Export und zertifizierte Löschung

Was das nDSG nicht verbietet

Das nDSG verbietet den KI-Einsatz im medizinischen Bereich nicht. KI-gestützte Datenbearbeitungen sind erlaubt, sofern angemessene Massnahmen getroffen werden.[1] Ein gut konzipiertes Tool, in der Schweiz gehostet, mit einem Auftragsverarbeitungsvertrag, ist vollständig nDSG-konform.

Häufige Fragen

Benötige ich die Einwilligung meines Patienten für den KI-Einsatz?

Nicht zwingend als systematische Unterschrift. Das nDSG verlangt, dass die Datenbearbeitung für den Patienten erkennbar ist. Ein klarer Hinweis in der Datenschutzerklärung der Praxis, ergänzt durch eine mündliche Information beim ersten Kontakt, genügt in der Regel. Für Audioaufzeichnungen empfiehlt sich jedoch eine ausdrückliche Einwilligung.

Sind ChatGPT oder andere generative KI-Tools nDSG-konform für den medizinischen Einsatz?

Der Einsatz von Tools wie ChatGPT für identifizierbare Patientendaten ist problematisch: kein Auftragsverarbeitungsvertrag, Hosting auf US-amerikanischen Servern (CLOUD Act), und mögliche Nutzung der Daten für das Modelltraining. Für den klinischen Einsatz sollten speziell für den medizinischen Bereich entwickelte Tools mit Schweizer Hosting und Auftragsverarbeitungsvertrag verwendet werden.

Welche Strafen drohen bei einem Verstoss gegen das nDSG?

Das nDSG sieht Bussen bis zu CHF 250'000 für vorsätzliche Verstösse vor. Diese Sanktionen sind persönlich: Es ist der Arzt als verantwortliche Person, der haftet — nicht nur der Softwareanbieter.

Gilt das nDSG auch für Papierdossiers?

Ja. Das nDSG erfasst jede Bearbeitung von Personendaten, ob elektronisch oder nicht. Das Einsehen eines Papierdossiers oder das Diktieren einer Notiz gelten als Datenbearbeitung im Sinne des Gesetzes. KI schafft keine neuen Pflichten — sie verlagert die Bearbeitung in eine digitale Umgebung, die denselben Grundsätzen unterliegt.

Quellen und Referenzen

  1. EDÖB (2023). Das aktuelle Datenschutzgesetz ist direkt auf KI anwendbar. edoeb.admin.ch
  2. Schweizerische Eidgenossenschaft. nDSG, SR 235.1, Art. 5 Bst. c. fedlex.admin.ch
  3. FMH / SAMW (2024). Datenschutz in Arztpraxen — Leitfaden, Kap. 7.2. leitfaden.samw.fmh.ch
  4. FMH (2023). Vorlagen nDSG für Arztpraxen. fmh.ch
  5. Ärztekasse (2023). Das nDSG und die Arztpraxis. snm.ch
Hinweis: Dieser Artikel dient ausschliesslich zur Information. Er stellt keine Rechtsberatung dar. Für spezifische rechtliche Fragen konsultieren Sie bitte einen auf Datenschutzrecht spezialisierten Juristen.

Clinovus AI — in der Schweiz gehostet, nDSG-konform

Auftragsverarbeitungsvertrag inklusive. Daten ausschliesslich auf Infomaniak-Servern.

Kostenlos testen →
Eine Frage zu diesem Artikel? Unser Team antwortet innerhalb von 24h.
support@clinovusai.com