Unternehmen, die künstliche Intelligenz (KI) nutzen oder entwickeln, stehen vor neuen regulatorischen Herausforderungen. Zum einen aufgrund der Einführung des totalrevidierten Schweizer Datenschutzgesetzes (DSG), zum anderen hat das Europäische Parlament am 13. März 2024 den EU Artificial Intelligence Act (AI-Act) genehmigt. Diese Gesetzgebungen verfolgen unterschiedliche Ansätze zur Regulierung von KI, was eine sorgfältige Navigation erforderlich macht, um datenschutzkonform zu bleiben und gleichzeitig das volle Potenzial der KI zu nutzen.
Warum wird reguliert?
Der AI Act zielt darauf ab, das Vertrauen in KI zu stärken. Während viele KI-Systeme risikoarm sind, gibt es bestimmte Systeme, deren Risiken adressiert werden müssen, um negative Auswirkungen zu verhindern. Ein zentrales Problem ist die Intransparenz von KI-Entscheidungen, was die Beurteilung und Kontrolle erschwert, beispielsweise bei Einstellungsprozessen oder der Gewährung öffentlicher Leistungen.
Das Schweizer Datenschutzgesetz (DSG) und KI
Das DSG bietet einen technologieneutralen Rahmen, der auch für KI-Anwendungen relevant ist. So sind beispielsweise folgende Instrumente des DSG auch auf KI-Anwendungen anwendbar:
- Automatisierte Einzelentscheidungen: Bereits heute werden Entscheidungen, die vollautomatisch ohne menschliches Eingreifen getroffen werden, durch das DSG reguliert. Es bestehen unter anderem Informations- und Auskunftspflichten.
- Grundsatz Privacy by Design und Privacy by Default: KI-Systeme müssen von Anfang an unter Berücksichtigung des Datenschutzes entwickelt und eingesetzt werden.
- Profiling: Profiling durch Bundesorgane oder Profiling durch Private mit hohem Risiko für betroffene Personen setzt deren ausdrückliche Einwilligung voraus.
- Biometrische Daten: Die Bearbeitung setzt einen Rechtfertigungsgrund oder eine ausdrückliche Einwilligung durch die betroffene Person voraus. Bundesorgane benötigen eine formelle gesetzliche Grundlage.
- Datenschutz-Folgenabschätzung (DSFA): Birgt der Einsatz eines KI-Systems besondere Risiken, können diese mittels einer DSFA erkannt und Massnahmen ergriffen werden. Der Einsatz von neuen Technologien wird ausdrücklich erwähnt.
- Zuweisung von Verantwortlichkeiten: Verantwortlicher und Auftragsverarbeiter sind gleichermassen für die Einhaltung der rechtlichen Rahmenbedingungen verantwortlich.
Der EU Artificial Intelligence Act (AI-Act) und seine Bedeutung für Schweizer Unternehmen
Schweizer Unternehmen, die in der Europäischen Union aktiv sind, müssen sich auf die Einführung des EU Artificial Intelligence Act (AI Act) einstellen, der in Teilen bereits ab Februar 2025 und volumfänglich ab August 2026 gültig ist. Aufgrund seiner extraterritorialen Wirkung betrifft der AI Act nicht nur in der EU ansässige Unternehmen, sondern auch Schweizer Unternehmen, die in der EU tätig sind. Das heisst, Schweizer Unternehmen, die bereits dem Schweizer Datenschutzgesetz (DSG) und der Datenschutz-Grundverordnung (DSGVO) unterliegen, müssen prüfen, ob zusätzliche Verpflichtungen unter dem AI Act für sie gelten.
Der AI Act verfolgt einen methodischen Ansatz zur KI-Regulierung. Er klassifiziert KI-Systeme nach ihrem Risikopotenzial in vier Kategorien:
- Unzulässige Risiken: Ein generelles Verbot für bestimmte Anwendungen mit spezifischen Ausnahmen, wie zum Beispiel Social Scoring, markiert die strengste Kategorie.
- Hochrisiko-KI-Systeme: Diese Kategorie erfordert von den Unternehmen die Implementierung eines umfassenden Risikomanagementsystems, beispielsweise bei der Verwaltung öffentlicher Dienstleistungen.
- Begrenztes Risiko: Für KI-Anwendungen mit begrenztem Risiko, wie etwa Chatbots, gelten Informationspflichten und die Notwendigkeit von Warnhinweisen gegenüber den Nutzern über mögliche Fehlinformationen.
- Minimales Risiko: Anwendungen, die als minimal riskant eingestuft werden, unterliegen keiner spezifischen Regulierung durch den AI Act.
Für Schweizer Unternehmen bedeutet dies eine sorgfältige Analyse und gegebenenfalls eine Anpassung ihrer KI-Systeme, um den neuen Anforderungen unter dem AI Act zu entsprechen.
Sanktionen im Vergleich
Auch hinsichtlich der Sanktionierung von Verstössen verfolgen das DSG und der AI Act unterschiedliche Ansätze. Seit der Totalrevision sieht das DSG Strafen bis zu CHF 250’000 für Verstösse vor und fokussiert sich auf individuelle Verantwortlichkeiten innerhalb der Unternehmen. Der AI Act hingegen klassifiziert KI-Systeme nach Risikolevel und setzt mit Strafen von bis zu EUR 40 Millionen oder 7% des weltweiten Jahresumsatzes deutlich höhere Sanktionen an, die direkt Unternehmen betreffen können.
Was ist mit den Immaterialgüterrechten?
Insbesondere frei zugängliche KI-Systeme werden mit dem gesamten Wissen des Internets gefüttert. Ob für den Output geschützte Werke verwendet werden, ist oft ungewiss und die Weiterverwendung zu kommerziellen Zwecken wird zum Klumpenrisiko, weil damit Schutzrechte Dritter verletzt werden könnten. Auch nach schweizerischer Rechtsordnung begeht eine Urheberrechtsverletzung, wer urheberrechtsverletzende Ergebnisse eines KI-Systems verwendet.
Jüngst haben die französischen Kartellwächter eine Strafzahlung von 250 Mio. Euro gegen Google erwirkt. Französische Medienhäuser hatten gegen die Meta-Tochter geklagt, weil deren KI-Anwendung «Gemini» ohne Vorabinformation mit ihren Inhalten trainiert wurde. Eine weitere prominente Klage der «New York Times» gegen OpenAI und Microsoft (ChatGTP) ist beim Federal District Court in Manhattan hängig.
Im Bereich der Immaterialgüterrechte gilt es folglich noch einige Gerichtsentscheide und insbesondere deren Begründungen abzuwarten.
Fachartikel der Swiss Infosec AG vom 02.04.2024, Kompetenzzentrum Datenschutz
