ChatGPT, Claude und Gemini im Unternehmen: erlaubt — aber nicht in jeder Version.

Ja, Sie dürfen die grossen KI-Assistenten geschäftlich einsetzen, auch mit Personendaten — wenn Sie die richtige Lizenzstufe wählen und einen Vertrag mit dem Anbieter haben. Das Problem sind selten die Tools selbst. Das Problem ist, dass viele Firmen die Gratis-Version im Geschäftsalltag verwenden und glauben, das sei dasselbe wie die Business-Variante. Ist es nicht.

Der eine Unterschied, der über alles entscheidet

Bei den Privat- und Gratis-Versionen (ChatGPT Free/Plus, Claude Free/Pro, Gemini für Privatkonten) können Ihre Eingaben grundsätzlich zur Verbesserung der Modelle weiterverwendet werden. Für ein Privatgespräch egal. Für eine Offerte mit Kundennamen darin: heikel.

Bei den Geschäfts-Lizenzen — Claude Team und Enterprise, ChatGPT Team/Enterprise/Business, Google Gemini Enterprise (Workspace) — gilt standardmässig das Gegenteil: Der Anbieter trainiert nicht auf Ihren Eingaben, speichert sie nur begrenzt, und Sie bekommen einen Vertrag dazu. Genau dieser Sprung von «Gratis» auf «Team/Enterprise» ist der wichtigste Schritt, den ein KMU macht — wichtiger als die Frage, welcher Anbieter «der sicherste» ist.

Zwei Dinge, die oft verwechselt werden

Wenn Sie geschäftlich KI nutzen und dabei Personendaten verarbeiten, brauchen Sie aus Schweizer Datenschutz-Sicht zwei Dinge — und die werden ständig durcheinandergebracht:

Einen Vertrag mit dem Anbieter (Auftragsbearbeitungsvertrag, DPA). Er regelt, wie der Anbieter Ihre Daten in Ihrem Auftrag behandelt. Den brauchen Sie immer, sobald Personendaten im Spiel sind — egal welcher Anbieter, egal welches Land.
Einen erlaubten Weg in die USA. Alle drei Anbieter verarbeiten Daten in den USA. Dafür gibt es zwei legale Wege: Entweder die Firma ist im Swiss-U.S. Data Privacy Framework zertifiziert (eine offizielle Liste, vom Bundesrat anerkannt), oder sie nutzt sogenannte Standardvertragsklauseln mit Schweizer Zusatz. Beide Wege sind gleichwertig zulässig.

Der häufige Denkfehler: «Die Firma ist nicht auf der DPF-Liste, also ist es verboten.» Die DPF-Zertifizierung wird leicht als Ausschlusskriterium missverstanden — ist sie aber nicht. Kein DPF heisst nur: der Weg läuft über die Standardvertragsklauseln statt über die Liste.

Wo stehen die drei konkret? (Stand Juni 2026)

Anthropic (Claude): nicht auf der DPF-Liste, arbeitet mit Standardvertragsklauseln.
OpenAI (ChatGPT): Status uneinheitlich und im Wandel — historisch über Standardvertragsklauseln. Wer sich darauf stützt, prüft den aktuellen Eintrag selbst.
Google (Gemini): auf der DPF-Liste zertifiziert — nutzt nach eigener Angabe für die Schweiz aber ebenfalls die Vertragsklauseln.

Unterm Strich: Alle drei sind rechtlich gangbar — über den Vertrag. Die DPF-Liste ist nicht das Kriterium, an dem die Entscheidung hängt.

Was ein KMU praktisch tun sollte

Team/Enterprise/Business buchen statt Gratis- oder Privat-Konten für die Arbeit.
Den DPA abschliessen (bei allen drei online verfügbar) — und darin prüfen, ob ein Schweizer Zusatz enthalten ist. Reine EU-Klauseln decken die Schweiz nicht automatisch.
Mitarbeitende informieren, welches Konto fürs Geschäft gilt — das verhindert den «schnell ins private ChatGPT»-Reflex.
Besonders heikle Daten (Gesundheit, Berufsgeheimnis, Strategie Dritter) vor dem ersten Einsatz separat prüfen lassen.

Das Problem ist selten das Tool. Es ist die Version.

Wir begleiten Schweizer KMU auf diesem Weg — menschlich, kompetent, ganzheitlich.

Wichtiger Hinweis. Dieser Beitrag ist eine allgemeine Einordnung, keine Rechtsberatung. Wir sind keine Anwälte, und kein Text im Internet kann Ihre konkrete Situation verbindlich beurteilen — sie hängt von Ihren Daten, Ihrer Branche und Ihren Verträgen ab. Bevor Sie sich auf etwas verlassen, lassen Sie Ihren konkreten Fall von einer Fachperson für Datenschutzrecht prüfen. Angaben zu Anbieter-Zertifizierungen können sich jederzeit ändern; Stand Juni 2026.

AI that lands

Viewpoint 13 June 2026

ChatGPT, Claude and Gemini at work: allowed — but not in every version.

Yes, you may use the major AI assistants for business, even with personal data — provided you pick the right licence tier and have a contract with the provider. The tools themselves are rarely the problem. The problem is that many companies use the free version in their day-to-day work and assume it is the same as the business variant. It is not.

The one difference that decides everything

With the consumer and free versions (ChatGPT Free/Plus, Claude Free/Pro, Gemini on personal accounts), your inputs can in principle be reused to improve the models. Fine for a private chat. For a quote with a client's name in it: risky.

With the business licences — Claude Team and Enterprise, ChatGPT Team/Enterprise/Business, Google Gemini Enterprise (Workspace) — the default is the opposite: the provider does not train on your inputs, retains them only for a limited time, and you get a contract with it. That very jump from «free» to «Team/Enterprise» is the most important step an SME takes — more important than the question of which provider is «the safest».

Two things that get confused

If you use AI for business and process personal data in doing so, Swiss data protection law requires two things — and they are constantly mixed up:

A contract with the provider (a data processing agreement, DPA). It governs how the provider handles your data on your behalf. You always need it once personal data is involved — whatever the provider, whatever the country.
A permitted route to the US. All three providers process data in the US. There are two legal routes for that: either the company is certified under the Swiss-U.S. Data Privacy Framework (an official list, recognised by the Swiss Federal Council), or it uses so-called standard contractual clauses with a Swiss addendum. Both routes are equally valid.

The common error: «The company isn't on the DPF list, so it's forbidden.» DPF certification is easily mistaken for an exclusion criterion — but it isn't. No DPF simply means the route runs via the standard contractual clauses rather than via the list.

Where do the three actually stand? (As of June 2026)

Anthropic (Claude): not on the DPF list, works with standard contractual clauses.
OpenAI (ChatGPT): status mixed and in flux — historically via standard contractual clauses. Anyone relying on it should check the current entry themselves.
Google (Gemini): certified on the DPF list — but, by its own account, also uses the contractual clauses for Switzerland.

Bottom line: all three are legally workable — via the contract. The DPF list is not the criterion the decision hangs on.

What an SME should do in practice

Book Team/Enterprise/Business instead of free or personal accounts for work.
Sign the DPA (available online with all three) — and check whether it includes a Swiss addendum. Pure EU clauses do not automatically cover Switzerland.
Tell your staff which account is the business one — this prevents the «quick jump into private ChatGPT» reflex.
Particularly sensitive data (health, professional secrecy, third-party strategy) should be reviewed separately before first use.

The problem is rarely the tool. It's the version.

We guide Swiss SMEs along this path — human, competent, holistic.

Important note. This article is general orientation, not legal advice. We are not lawyers, and no text on the internet can give a binding assessment of your specific situation — it depends on your data, your sector and your contracts. Before you rely on anything, have your specific case reviewed by a data protection law professional. Details on provider certifications can change at any time; as of June 2026.