Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

KI-Regulierung: Das Schweizer Datenschutzgesetz und der AI Act

04/2024 – Fachartikel Swiss Infosec AG

Unternehmen, die künstliche Intelligenz (KI) nutzen oder entwickeln, stehen vor neuen regulatorischen Herausforderungen. Zum einen aufgrund der Einführung des totalrevidierten Schweizer Datenschutzgesetzes (DSG) und zum anderen hat das Europäische Parlament am 13. März 2024 den EU Artificial Intelligence Act (AI Act) genehmigt. Dessen Inkrafttreten dürfte noch reine Formsache sein und ist im April diesen Jahres zu erwarten. Diese Gesetzgebungen verfolgen unterschiedliche Ansätze zur Regulierung von KI, was eine sorgfältige Navigation erforderlich macht, um datenschutzkonform zu bleiben und gleichzeitig das volle Potenzial der KI zu nutzen.

Warum wird reguliert?

Der AI Act zielt darauf ab, das Vertrauen in KI zu stärken. Während viele KI-Systeme risikoarm sind, gibt es bestimmte Systeme, deren Risiken adressiert werden müssen, um negative Auswirkungen zu verhindern. Ein zentrales Problem ist die Intransparenz von KI-Entscheidungen, was die Beurteilung und Kontrolle erschwert, beispielsweise bei Einstellungsprozessen oder der Gewährung öffentlicher Leistungen.

Das Schweizer Datenschutzgesetz und KI

Das DSG bietet einen technologieneutralen Rahmen, der auch für KI-Anwendungen relevant ist. So sind beispielsweise folgende Instrumente des DSG auch auf KI-Anwendungen anwendbar:

  1. Automatisierte Einzelentscheidungen: Bereits heute werden Entscheidungen, die vollautomatisch ohne menschliches Eingreifen getroffen werden, durch das DSG reguliert. Es bestehen unter anderem Informations- und Auskunftspflichten.
  2. Grundsatz Privacy by Design und Privacy by Default: KI-Systeme müssen von Anfang an unter Berücksichtigung des Datenschutzes entwickelt und eingesetzt werden.
  3. Profiling: Profiling durch Bundesorgane oder Profiling durch Private mit hohem Risiko für betroffene Personen setzt deren ausdrückliche Einwilligung voraus.
  4. Biometrische Daten: Die Bearbeitung setzt einen Rechtfertigungsgrund oder eine ausdrückliche Einwilligung durch die betroffene Person voraus. Bundesorgane benötigen eine formelle gesetzliche Grundlage.
  5. Datenschutz-Folgenabschätzung (DSFA): Birgt der Einsatz eines KI-Systems besondere Risiken, können diese mittels einer DSFA erkannt und Massnahmen ergriffen werden. Der Einsatz von neuen Technologien wird ausdrücklich erwähnt.
  6. Zuweisung von Verantwortlichkeiten: Verantwortlicher und Auftragsverarbeiter sind gleichermassen für die Einhaltung der rechtlichen Rahmenbedingungen verantwortlich.

Der EU Artificial Intelligence Act (AI-Act) und seine Bedeutung für Schweizer Unternehmen

Schweizer Unternehmen, die in der Europäischen Union aktiv sind, müssen sich auf die Einführung des EU Artificial Intelligence Act (AI Act) einstellen, der voraussichtlich im April 2024 in Kraft treten wird. Aufgrund seiner extraterritorialen Wirkung betrifft der AI Act nicht nur in der EU ansässige Unternehmen, sondern auch Schweizer Unternehmen, die in der EU tätig sind. Das heisst, Schweizer Unternehmen, die bereits dem Schweizer Datenschutzgesetz (DSG) und der Datenschutz-Grundverordnung (DSGVO) unterliegen, müssen prüfen, ob zusätzliche Verpflichtungen unter dem AI Act für sie gelten.

Der AI Act verfolgt einen methodischen Ansatz zur KI-Regulierung. Er klassifiziert KI-Systeme nach ihrem Risikopotenzial in vier Kategorien:

  1. Unzulässige Risiken: Ein generelles Verbot für bestimmte Anwendungen mit spezifischen Ausnahmen, wie zum Beispiel Social Scoring, markiert die strengste Kategorie.
  2. Hochrisiko-KI-Systeme: Diese Kategorie erfordert von den Unternehmen die Implementierung eines umfassenden Risikomanagementsystems, beispielsweise bei der Verwaltung öffentlicher Dienstleistungen.
  3. Begrenztes Risiko: Für KI-Anwendungen mit begrenztem Risiko, wie etwa Chatbots, gelten Informationspflichten und die Notwendigkeit von Warnhinweisen gegenüber den Nutzern über mögliche Fehlinformationen.
  4. Minimales Risiko: Anwendungen, die als minimal riskant eingestuft werden, unterliegen keiner spezifischen Regulierung durch den AI Act.

Für Schweizer Unternehmen bedeutet dies eine sorgfältige Analyse und gegebenenfalls eine Anpassung ihrer KI-Systeme, um den neuen Anforderungen unter dem AI Act zu entsprechen.

Sanktionen im Vergleich

Auch hinsichtlich der Sanktionierung von Verstössen verfolgen das DSG und der AI Act unterschiedliche Ansätze. Seit der Totalrevision sieht das DSG Strafen bis zu CHF 250’000 für Verstösse vor und fokussiert sich auf individuelle Verantwortlichkeiten innerhalb der Unternehmen. Der AI Act hingegen klassifiziert KI-Systeme nach Risikolevel und setzt mit Strafen von bis zu EUR 40 Millionen oder 7% des weltweiten Jahresumsatzes deutlich höhere Sanktionen an, die direkt Unternehmen betreffen können.

Was ist mit den Immaterialgüterrechten?

Insbesondere frei zugängliche KI-Systeme werden mit dem gesamten Wissen des Internets gefüttert. Ob für den Output geschützte Werke verwendet werden, ist oft ungewiss und die Weiterverwendung zu kommerziellen Zwecken wird zum Klumpenrisiko, weil damit Schutzrechte Dritter verletzt werden könnten. Auch nach schweizerischer Rechtsordnung begeht eine Urheberrechtsverletzung, wer urheberrechtsverletzende Ergebnisse eines KI-Systems verwendet.

Jüngst haben die französischen Kartellwächter eine Strafzahlung von 250 Mio. Euro gegen Google erwirkt. Französische Medienhäuser hatten gegen die Meta-Tochter geklagt, weil deren KI-Anwendung «Gemini» ohne Vorabinformation mit ihren Inhalten trainiert wurde. Eine weitere prominente Klage der «New York Times» gegen OpenAI und Microsoft (ChatGTP) ist beim Federal District Court in Manhattan hängig.

Im Bereich der Immaterialgüterrechte gilt es folglich noch einige Gerichtsentscheide und insbesondere deren Begründungen abzuwarten.

Bleiben Sie auf dem Laufenden

Um beim Einsatz von KI-Systemen den Überblick über Sicherheitsfragen und rechtliche Anforderungen zu behalten, empfehlen wir Ihnen unseren Lehrgang «AI Manager Security & Privacy». In diesem Kurs erfahren Sie, welche Vorgaben zu KI bestehen oder in Bearbeitung sind (national und international, u.a. EU AI Act) und welche weiteren Themen und Faktoren auf die Governance von KI-Aktivitäten einwirken.

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Swiss Infosec AG; 02.04.2024
Kompetenzzentrum Datenschutz


© Swiss Infosec AG 2024