Künstliche Intelligenz: Datenschutz in der Schweiz – nDSG im Vergleich zu DSGVO und AI-Act

Laut einer Studie von MISTREND (2023) fordern 80 % der Schweizerinnen und Schweizer, dass die Regierung den Einsatz von künstlicher Intelligenz rechtlich regelt. Zuversichtlich, dass der Staat ihre Erwartungen erfüllt, sind allerdings nur 25 % der Befragten. Die Schweiz und Europa haben mit neuen Regularien auf die Anforderungen der Bevölkerung reagiert.

Seit 2018 gilt die Datenschutz-Grundverordnung (DSGVO) in Europa, der auch Schweizer Unternehmen mit internationalen Geschäftsbeziehungen unterliegen. Im September 2023 ist das neue Schweizer Datenschutzgesetz (nDSG) in Kraft getreten. Der Artificial Intelligence Act (AI-Act) wurde im März 2024 vom EU-Parlament verabschiedet und tritt nun schrittweise in Kraft: Die Hauptbestimmungen werden ab Frühjahr 2025 anwendbar sein. Die vollständige Implementierung der Verordnung wird bis 2026/2027 erfolgen.

Die gestaffelte Einführung bietet Unternehmen die Chance, sich Schritt für Schritt auf die neuen Anforderungen vorzubereiten und ihre KI-Systeme sowie Prozesse gezielt anzupassen. Insbesondere Schweizer Unternehmen, die in der EU Geschäfte machen oder Dienstleistungen anbieten, sollten sich frühzeitig mit den Vorgaben des AI-Acts vertraut machen, um optimal gerüstet zu sein.

Das neue Schweizer Datenschutzgesetz (nDSG) im Überblick

 Seit dem 1. September 2023 gilt das nDSG. Es dient dem Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen in der Schweiz, deren Daten durch Unternehmen oder den Staat verarbeitet werden. Wie unterscheidet sich das Schweizer nDSG von der Europäischen DSGVO? Das nDSG orientiert sich grösstenteils an der DSGVO, es gibt jedoch einige Besonderheiten.

Laut Economiesuisse (2023, September) gelten die folgenden Pflichten gemäss nDSG für Unternehmen:

• Sicherstellung von Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen, damit möglichst wenig Daten verarbeitet werden (Art. 7 nDSG)
• Pflicht zur Löschung oder Anonymisierung von Personendaten, die nicht mehr benötigt werden (Art. 6 Abs. 4 nDSG)
• Führung eines Verzeichnisses der Datenbearbeitungstätigkeit mit Ausnahme von Unternehmen mit weniger als 250 Mitarbeitenden (Art. 24 nDSG)
• Meldepflicht im Falle einer Datensicherheitsverletzung an Staat und betroffene Person (Art. 24 nDSG)
• Datenschutz-Folgenabschätzung notwendig, falls ein hohes Risiko für die Grundrechte der betroffenen Person besteht (Art. 22 nDSG)
• Informationspflicht bei der Beschaffung von Personendaten sowie einfach und verständlich gestaltete Datenschutzerklärungen (Art. 19 ff. nDSG)
• Informationspflicht im Falle einer automatisierten Einzelentscheidung (Art. 21 nDSG)

Der EU Artificial Intelligence Act (AI-Act) im Überblick

Im März 2024 gab das Europäische Parlament grünes Licht für das neue Gesetz über künstliche Intelligenz. Schweizer Unternehmen, die bereits der DSGVO unterliegen, müssen seither prüfen, ob zusätzliche Verpflichtungen für sie gelten.

 Der AI-Act klassifiziert KI-Systeme nach ihrem Risikopotential in vier Kategorien: Unzulässige Risiken, Hochrisiko-KI-Systeme, begrenztes Risiko und minimales Risiko. Je nachdem, in welche Kategorie das im Unternehmen angewandte KI-System fällt, müssen bestimmte Anforderungen erfüllt werden. 

 Gemäss dem Europäischen Parlament umfasst der AI-Act folgende wichtige Punkte

• Verbotene KI-Praktiken: KI-Anwendungen, die die Rechte von Privatpersonen bedrohen, z.B. ungezieltes Auslesen von Gesichtsbildern aus dem Internet für Gesichtserkennungsdatenbanken
• Unternehmen: Wer Hochrisiko-Systeme einsetzt, wie z.B. im Gesundheits- oder Bankwesen, unterliegt strengen Auflagen zu Protokollierung
• Privatpersonen: Individuen erhalten das Recht, Beschwerden über KI-Systeme einzureichen und Entscheidungen erklärt zu bekommen, die auf Grundlage von KI gefällt wurden und ihre Rechte beeinträchtigen
• Deep Fake: Künstlich erzeugt Bilder, Audio- oder Videoinhalte müssen in Zukunft eindeutig als solche gekennzeichnet sein

Sanktionen und Strafmass im nDSG und AI-Act

Mit den neuen Regelungen gehen auch neue Abstrafungen einher. Diese sind jedoch sehr unterschiedlich. Während das nDSG Strafen bis zu 250’000 Fraken vorsieht, kann eine Verletzung des AI-Act bis zu EUR 40 Millionen kosten. 

Neu ist auch, dass im nDSG natürliche Personen zur Verantwortung gezogen werden. Das DSGVO zielt auf Unternehmen ab, während gemäss dem nDSG die Geschäftsführung, der Verwaltungsrat und sogar einzelne Mitarbeitende für vorsätzliches Verhalten bestraft werden können. 

Wie Unternehmen den Risiken von künstlicher Intelligenz begegnen können

Laut einer Studie von Bitkom (2023) fürchten 70% der befragten Unternehmen, die KI-Systeme einsetzen, mögliche Verstösse gegen Datenschutzvorgaben. Doch nicht nur die KI selbst ist ein Risiko, sondern auch der menschliche Umgang damit. 67% sehen ein hohes Risiko in Anwendungsfehlern durch Mitarbeitende. In unserem Artikel Künstliche Intelligenz und Datenschutz: die 6 grössten Risiken bieten wir einen Überblick.

Wie gelingt der verantwortungsvolle Umgang mit KI? Nachfolgend listen wir acht grundlegende Punkte, die Unternehmen beachten sollten. Diese Übersicht dient nur zur Information und Sensibilisierung. Sie ist kein Ersatz für eine Rechtsberatung. Digicomp übernimmt keine Haftung für Handlungen oder Unterlassungen im Zusammenhang mit der Konsultation dieser Zusammenstellung. 

• Privacy by Design: Gemäss nDSG muss Datenschutz durch Technikgestaltung erfolgen (Privacy by Design). Unternehmen müssen bereits zum Zeitpunkt der Planung eines Systems Massnahmen treffen, um die Sicherheit sensibler Daten zu schützen. Die Anwendung sollte bereits vor ihrem Einsatz datenschutzgerecht entworfen sein.
• Privacy by Default: Gemäss nDSG muss Datenschutz durch Voreinstellung (Privacy by Default) sichergestellt werden. Ein System muss so konfiguriert sein, dass nur die Personendaten bearbeitet werden, die auch tatsächlich erforderlich sind. Es muss die Nutzer und Nutzerinnen ohne ihr Eingreifen schützen.
• Datenschutz-Folgenabschätzung (DFA): DFA ist ein Prozess, der dazu dient, die möglichen Auswirkungen von geplanter Datenverarbeitung auf die Privatsphäre von Personen zu bewerten und Massnahmen zum Schutz ihrer Daten zu identifizieren. Unternehmen minimieren damit nicht nur das Risiko, sondern schützen auch ihre Mitarbeitenden vor ungewollten Datenrechtsverletzungen.
• Transparenz: Unternehmen müssen transparent machen, wie und zu welchem Zweck Systeme personenbezogene Daten verarbeiten. Nutzer und Nutzerinnen sollten klar und verständlich über die Verwendung ihrer Daten informiert werden, einschliesslich Informationen darüber, wie Entscheidungen der KI zustande kommen.
• Einwilligung: Auch wenn das nDSG weniger streng ist als die DSGVO, sollten Unternehmen ihre Kunden um ihre Einwilligung bitten, wenn sie Personendaten mithilfe von KI-Anwendungen bearbeiten. 
• Sicherheit: Es braucht technische und organisatorische Massnahmen, um personenbezogene Daten vor Diebstahl und unberechtigtem Zugriff zu schützen. Dazu gehören z.B. Verschlüsselung, Zugriffskontrollen und regelmässige Sicherheitsaudits.
• Aktualisierung: KI-Systeme sollten regelmässig überprüft und aktualisiert werden, um sicherzustellen, dass sie weiterhin den rechtlichen Anforderungen entsprechen und keine unerwünschten oder diskriminierenden Entscheidungen treffen.
• Ausbildung: Personal, welches mit KI-Systemen arbeitet, sollte geschult werden, um ein Bewusstsein für Datenschutzrisiken zu entwickeln. Nur so können Risiken erkannt und minimiert werden.

Datenschutz der Zukunft: Künstliche Intelligenz in Schweizer Unternehmen

Daten sind das Herzstück von künstlicher Intelligenz. Ihr Schutz wird weltweit zunehmend verstärkt. Schweizer Unternehmen müssen sich, neben dem nDSG, an den europäischen Richtlinien orientieren und auf den AI-Act 2026 vorbereiten. Datenstrategien, Data Governance und Datensouveränität spielen in Zukunft eine immer wichtigere Rolle. Digicomp bietet eine Vielzahl an Weiterbildungen zum Thema Informationssicherheit und Datenschutz.