Die rasante Entwicklung künstlicher Intelligenz (KI) bringt sowohl immense Möglichkeiten als auch erhebliche Herausforderungen mit sich – letztere insbesondere im Bereich des Datenschutzes. Während KI-Systeme in der Lage sind, riesige Datenmengen zu analysieren, zu interpretieren und Entscheidungen zu treffen, birgt ihr Einsatz Risiken, die insbesondere die Rechte der betroffenen Personen betreffen.
Rechtliche Regulierung von KI in der Schweiz
In der Schweiz stützt man sich zur Regulierung künstlicher Intelligenz einerseits auf das Bundesgesetz über den Datenschutz (DSG), das seit dem 1. September 2023 in einer revidierten Fassung in Kraft ist. Andererseits wird auch der Einfluss von EU-Regelungen wie dem AI Act zunehmend spürbar.
KI-Regulierung durch das DSG
Das DSG ist direkt auf KI-gestützte Datenbearbeitungen anwendbar. Es regelt unter anderem die Bearbeitung von Personendaten, die sowohl durch die Entwickler als auch durch die Anwender von KI-Systemen erfolgen kann. Ziel des Gesetzes ist es, die Persönlichkeitsrechte der betroffenen Personen zu schützen und ihnen eine grösstmögliche Kontrolle über ihre Daten zu ermöglichen.
Ein zentraler Bestandteil des DSG ist das Prinzip der Privacy by Design. Es verpflichtet Hersteller und Anbieter von Anwendungen – u.a. KI-Systemen – dazu, Datenschutzaspekte bereits in die Entwicklung und Planung ihrer Technologien zu integrieren. So müssen etwa die Funktionsweise, die Datenquellen und der Zweck der KI-Systeme transparent dargelegt werden, denn betroffene Personen haben das Recht zu erfahren, wie ihre Daten verwendet werden.
Einfluss des AI Acts auf die Schweiz
Während die Schweiz sich auf das DSG stützt, schreitet die Europäische Union mit einem spezifischen Rechtsrahmen für KI, dem AI Act (auch: KI-Verordnung) voran. Der AI Act hat auch Auswirkungen auf die Schweiz, insbesondere auf Unternehmen, die in beiden Märkten tätig sind.
Der AI Act teilt KI-Anwendungen in vier Kategorien ein:
- Unzulässige Risiken: Technologien, die gegen fundamentale Rechte verstossen, wie etwa Social-Scoring-Systeme.
- Hochrisiko-KI-Systeme: Anwendungen in Bereichen wie Gesundheit oder kritischer Infrastruktur. Diese unterliegen strengen Anforderungen, etwa bezüglich Transparenz, Datensicherheit und regelmässigen Prüfungen.
- Begrenztes Risiko: Dazu zählen Anwendungen wie Chatbots. Hier liegt der Fokus auf Transparenz, um sicherzustellen, dass Nutzende wissen, dass sie mit einer KI interagieren.
- Minimalrisiko-KI-Systeme: Für diese, wie etwa KI-gestützte Spiele, gelten keine spezifischen regulatorischen Anforderungen.
Schweizer Unternehmen müssen eine sorgfältige Analyse durchführen und gegebenenfalls eine Anpassung ihrer KI-Systeme vornehmen, um den neuen Anforderungen unter dem AI Act zu entsprechen, wenn die KI-System auch aus EU-Ländern erreichbar bzw. dort nutzbar sind.
Herausforderungen bei der KI-Implementierung
Ein wesentliches Problem bei KI-Systemen ist die sogenannte Blackbox-Problematik: Aufgrund ihrer Komplexität sind viele KI-Algorithmen für Aussenstehende schwer verständlich. Dies erschwert es sowohl den Nutzenden als auch den Aufsichtsbehörden, die Einhaltung der Datenschutzbestimmungen zu überprüfen.
Ein weiteres Problem ist die Datenqualität. KI-Systeme benötigen für das Training grosse Datenmengen, die nicht nur aktuell und relevant, sondern auch den gesetzlichen Anforderungen entsprechen müssen. Besonders kritisch wird es, wenn sensible oder besonders schützenswerte Personendaten bearbeitet werden. Hier ist nach DSG unter Umständen eine Datenschutz-Folgenabschätzung (DSFA) erforderlich.
Datenschutzkonforme KI-Nutzung gestalten
Trotz der Herausforderungen bietet KI enorme Potenziale. Ob in der Gesundheitsversorgung, der Bildung oder in der Verwaltung – KI kann Prozesse effizienter gestalten, personalisierte Dienstleistungen ermöglichen und Innovationen vorantreiben. Entscheidend ist jedoch ein verantwortungsvoller Umgang mit den Technologien, der die Rechte der Betroffenen schützt und ethische Standards einhält.
Um den datenschutzkonformen Einsatz von KI-Systemen zu gewährleisten, sollten Verantwortliche folgende Aspekte prüfen:
Werden Personendaten bearbeitet und wenn ja, welche Art?
Besonders bei der Bearbeitung besonders schützenswerter Personendaten ist zu prüfen, ob die Bestimmungen des DSG eingehalten werden. Gegebenenfalls ist eine DSFA durchzuführen, insbesondere wenn ein potenziell hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht.
Was ist der Verwendungszweck des KI-Systems?
Es ist zu prüfen, ob die Nutzung im Einklang mit der Zweckbindung der bearbeiteten Personendaten steht. Beim Einsatz zur automatisierten Entscheidungsfindung können zusätzliche datenschutzrechtliche Verpflichtungen, wie etwa Informationspflichten entstehen.
Wie gestaltet sich die Datenbearbeitung im Zusammenhang mit dem KI-System?
Es muss analysiert werden, wo die Daten während des Einsatzes bearbeitet werden. Werden sie lokal gespeichert, in einer eigenen Cloud bearbeitet oder an Dritte weitergegeben? Falls Dritte involviert sind, sollte ein Auftragsbearbeitungsvertrag in Betracht gezogen werden.
Die Datenschutzbehörden, insbesondere der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), betonen, dass KI-Systeme mit hohem Risiko nicht grundsätzlich verboten sind, sondern durch angemessene Massnahmen kontrolliert werden müssen. So sollten beispielsweise alle Beteiligten entlang des Lebenszyklus einer KI – von der Entwicklung bis zur Anwendung – Transparenz, Rechenschaftspflicht und Datenschutz gewährleisten.
Fazit
Die Regulierung von KI in der Schweiz ist ein dynamisches Feld, das kontinuierliche Anpassung und Weiterentwicklung erfordert. Mit dem revidierten Datenschutzgesetz hat die Schweiz einen wichtigen Schritt gemacht, doch die technologische Entwicklung wird auch in Zukunft neue Fragen aufwerfen.
Der Einfluss des AI Acts unterstreicht, dass Schweizer Verantwortliche auch auf EU-Ebene die Entwicklungen im Blick behalten müssen. Eine Harmonisierung zwischen dem DSG und den Vorgaben des AI Acts könnte nicht nur Rechtssicherheit schaffen, sondern auch die Innovationskraft stärken.
Nur durch eine enge Zusammenarbeit zwischen Gesetzgebern, Technologieanbietern und Nutzenden kann sichergestellt werden, dass KI verantwortungsvoll und zum Wohl der Gesellschaft eingesetzt wird. Innovation und Datenschutz müssen dabei Hand in Hand gehen.
