KI-Regulierung
02.10.2024, 09:10 Uhr
Das Schweizer Datenschutzgesetz und der AI Act
Unternehmen, die künstliche Intelligenz (KI) nutzen oder entwickeln, stehen vor neuen Herausforderungen. Die Einführung des revidierten Schweizer Datenschutzgesetzes und der neue EU Artificial Intelligence Act (AI Act) schaffen neue Rahmebedingungen.
Schweizer Unternehmen, die in der Europäischen Union aktiv sind, müssen sich auf die Einführung des EU Artificial Intelligence Act (AI Act) einstellen.
(Quelle: Shutterstock/Ahmed Zaggoudi)
Das Inkrafttreten des AI Act der EU dürfte noch reine Formsache sein und ist im Juni diesen Jahres zu erwarten. Diese Gesetzgebungen verfolgen unterschiedliche Ansätze zur Regulierung von KI, was eine sorgfältige Navigation erforderlich macht, um datenschutzkonform zu bleiben und gleichzeitig das volle Potenzial der KI zu nutzen.
Warum wird reguliert?
Der AI Act zielt darauf ab, das Vertrauen in KI zu stärken. Während viele KI-Systeme risikoarm sind, gibt es bestimmte Systeme, deren Risiken adressiert werden müssen, um negative Auswirkungen zu verhindern. Ein zentrales Problem ist die Intransparenz von KI-Entscheidungen, was die Beurteilung und Kontrolle erschwert, beispielsweise bei Einstellungsprozessen oder der Gewährung öffentlicher Leistungen.
Das Schweizer Datenschutzgesetz und KI
Das Schweizer Datenschutzgesetz (DSG) bietet einen technologieneutralen Rahmen, der auch für KI-Anwendungen relevant ist. So sind folgende Instrumente des DSG auch auf KI-Anwendungen anwendbar:
- Automatisierte Einzelentscheidungen: Bereits heute werden Entscheidungen, die vollautomatisch ohne menschliches Eingreifen getroffen werden, durch das DSG reguliert. Es bestehen unter anderem Informations- und Auskunftspflichten.
- Grundsatz Privacy by Design und Privacy by Default: KI-Systeme müssen von Anfang an unter Berücksichtigung des Datenschutzes entwickelt und eingesetzt werden.
- Profiling: Profiling durch Bundesorgane oder Profiling durch Private mit hohem Risiko für betroffene Personen setzt deren ausdrückliche Einwilligung voraus.
- Biometrische Daten: Die Bearbeitung setzt einen Rechtfertigungsgrund oder eine ausdrückliche Einwilligung durch die betroffene Person voraus. Bundesorgane benötigen eine formelle gesetzliche Grundlage.
- Datenschutz-Folgenabschätzung (DSFA): Birgt der Einsatz eines KI-Systems besondere Risiken, können diese mittels einer DSFA erkannt und Massnahmen ergriffen werden. Der Einsatz von neuen Technologien wird ausdrücklich erwähnt.
- Zuweisung von Verantwortlichkeiten: Verantwortlicher und Auftragsverarbeiter sind gleichermassen für die Einhaltung der rechtlichen Rahmenbedingungen verantwortlich.
Bedeutung des AI Act für Schweizer Firmen
Schweizer Unternehmen, die in der Europäischen Union aktiv sind, müssen sich auf die Einführung des EU Artificial Intelligence Act (AI Act) einstellen, der demnächst in Kraft treten wird. Aufgrund seiner extraterritorialen Wirkung betrifft der AI Act nicht nur die EU, sondern auch Schweizer Unternehmen, die in der EU tätig sind. Das heisst, Schweizer Unternehmen, die bereits dem Schweizer Datenschutzgesetz (DSG) und der Datenschutz-Grundverordnung (DSGVO) unterliegen, müssen prüfen, ob zusätzliche Verpflichtungen unter dem AI Act für sie gelten.
Der AI Act verfolgt einen methodischen Ansatz zur KI-Regulierung. Er klassifiziert KI-Systeme nach ihrem Risikopotenzial in vier Kategorien:
- Unzulässige Risiken: Ein generelles Verbot für bestimmte Anwendungen mit spezifischen Ausnahmen, wie zum Beispiel Social Scoring, markiert die strengste Kategorie.
- Hochrisiko-KI-Systeme: Diese Kategorie erfordert von den Unternehmen die Implementierung eines umfassenden Risikomanagementsystems, beispielsweise bei der Verwaltung öffentlicher Dienstleistungen.
- Begrenztes Risiko: Für KI-Anwendungen mit begrenztem Risiko, wie etwa Chatbots, gelten Informationspflichten und die Notwendigkeit von Warnhinweisen gegenüber den Nutzern über mögliche Fehlinformationen.
- Minimales Risiko: Anwendungen, die als minimal riskant eingestuft werden, unterliegen keiner spezifischen Regulierung durch den AI Act.
Für Schweizer Unternehmen bedeutet dies eine sorgfältige Analyse und gegebenenfalls eine Anpassung ihrer KI-Systeme, um den neuen Anforderungen unter dem AI Act zu entsprechen.
Sanktionen im Vergleich
Auch hinsichtlich der Sanktionierung von Verstössen verfolgen das DSG und der AI Act unterschiedliche Ansätze. Seit der Totalrevision sieht das DSG Strafen bis zu CHF 250’000 für Verstösse vor und fokussiert sich auf individuelle Verantwortlichkeiten innerhalb der Unternehmen. Der AI Act klassifiziert KI-Systeme nach Risikolevel und setzt mit Strafen von bis zu EUR 40 Millionen oder 7 % des weltweiten Jahresumsatzes deutlich höhere Sanktionen an, die direkt Unternehmen betreffen können.
Was ist mit den Immaterialgüterrechten?
Insbesondere frei zugängliche KI-Systeme werden mit dem gesamten Wissen des Internets gefüttert. Ob für den Output geschützte Werke verwendet werden, ist oft ungewiss und die Weiterverwendung zu kommerziellen Zwecken wird zum Klumpenrisiko, weil damit Schutzrechte Dritter verletzt werden könnten. Auch nach schweizerischer Rechtsordnung begeht eine Urheberrechtsverletzung, wer urheberrechtsverletzende Ergebnisse eines KI-Systems verwendet.
Jüngst haben die französischen Kartellwächter eine Strafzahlung von 250 Mio. Euro gegen Google erwirkt. Französische Medienhäuser hatten gegen die Meta-Tochter geklagt, weil deren KI-Anwendung «Gemini» ohne Vorabinformation mit ihren Inhalten trainiert wurde. Eine weitere prominente Klage der «New York Times» gegen OpenAI und Microsoft (ChatGTP) ist beim Federal District Court in Manhattan hängig.
Im Bereich der Immaterialgüterrechte gilt es folglich noch einige Gerichtsentscheide und deren Begründungen abzuwarten.
Der Autor
Michael Widmer
ist Leiter des Teams Legal & Data Privacy Consulting und Mitglied der Geschäftsleitung der Swiss Infosec AG. Er berät Unternehmen, öffentlich-rechtliche Anstalten und Non-Profit-Organisationen in den Bereichen Datenschutz und ICT-Recht.