Rechtssicher in die KI-Zukunft: Was Schweizer Unternehmen jetzt wissen müssen

Künstliche Intelligenz verändert die Geschäftswelt rasant. Doch wo Chancen für Effizienzsteigerung und Innovation liegen, lauern auch rechtliche Unsicherheiten: von Haftungsfragen über Datenschutz bis hin zu internationalen Regulierungsvorgaben wie dem EU-AI-Act. Für Schweizer Unternehmen stellt sich die Frage: Wie lassen sich KI-Systeme rechtssicher implementieren, dokumentieren und langfristig in die Compliance-Strategie integrieren? Im Gespräch mit Thomas Kuster, Rechtsanwalt bei der Schweizer Tech-Kanzlei LEXR , beleuchten wir die drängendsten Fragen rund um den KI-Einsatz in Schweizer Unternehmen. Er gibt Auskunft, mit welchen Unsicherheiten Unternehmungen in Zusammenhang mit KI am meisten kämpfen und inwieweit sich die Fragestellungen in den letzten Jahren 

Wie haben sich die Fragen in deinem beruflichen Kontext rund um KI in den letzten Jahren verändert?
Thomas Kuster: Am Anfang gab es eigentlich in der Praxis kaum KI-spezifische Fragen. Unternehmen haben KI-Systeme rechtlich ähnlich betrachtet wie jede andere Software auch. Speziell war höchstens der Fokus auf Themen wie Scraping und Data Sourcing, also die Frage, woher die Daten kommen und ob man sie überhaupt nutzen darf. Interessiert waren die Kunden auch an Urheberrechtsprozessen wie dem Verfahren der New York Times gegen OpenAI, da aber sehr wenige Unternehmen selber Modelle trainiert haben, war das in der Praxis weniger relevant.

In den letzten ein bis zwei Jahren hat sich das verändert. Heute stehen viel häufiger regulatorische Themen im Vordergrund, insbesondere mit Blick auf den EU AI Act und dessen Auswirkungen auf Schweizer Unternehmen. Auch in Vertragsverhandlungen mit Grossunternehmen tauchen zunehmend KI-spezifische Klauseln auf, sei es in Form von Zusatzvereinbarungen zur Haftung oder zur rechtlichen Zuordnung von Input- und Outputdaten. Man merkt, dass sich der Diskurs von allgemeinen Softwarefragen hin zu spezifischen Regulierungs- und Compliance-Themen verschiebt.

In welche Richtung entwickeln sich die rechtlichen Unsicherheiten, mit denen Unternehmen aktuell konfrontiert sind?
Internationale Regulierung wird klar wichtiger. Der AI Act der EU bringt eine knappe Umsetzungsfrist, während viele Details und Leitlinien noch fehlen. Unternehmen wissen also, dass sie handeln müssen, aber nicht genau wie.

In den USA entstehen parallele Ansätze auf Bundes- und Bundesstaatenebene, was für international tätige Firmen grosse Unsicherheit schafft.

Oft unterschätzt wird zudem der Data Act, der den Zugang zu und die Nutzung von Daten neu regelt. Da Daten die Basis der allermeisten KI-Systeme sind, wird er in der Praxis eng mit dem AI Act zusammenspielen.

📌«Mit so einem Set an Unterlagen kann ein Unternehmen im Streitfall oder bei einer Aufsichtsprüfung jederzeit zeigen, dass es KI verantwortungsvoll einsetzt.»

Welche technischen Unterlagen müssen Unternehmen vorhalten, um bei Gerichts- oder Complianceprüfungen den Einsatz von KI nachweisen zu können?
Es gibt in der Schweiz wenig rechtlich zwingende, KI-spezifische Vorgaben dazu. Anders ist die Lage bei Anwendbarkeit des EU AI Acts: Hier bestehen je nach Rolle des Unternehmens und Risikoeinstufung der eingesetzten KI durchaus zwingende Pflichten.

Wer auch technische Prozesse sauber dokumentiert, ist bei einer Prüfung aber generell klar im Vorteil. Ich empfehle deshalb, sich an den allgemein akzeptierten ISO-Standards zu orientieren, etwa an ISO 42001 für KI-Managementsysteme. 

Wichtig ist vor allem, den Einsatzbereich des Tools, seine Funktionsweise und die verwendeten Daten nachvollziehbar zu dokumentieren. Dazu gehört auch, die Herkunft und rechtliche Zulässigkeit der Daten festzuhalten, Tests zu Genauigkeit, Bias und Sicherheit systematisch zu protokollieren und die Entwicklungsschritte des Systems lückenlos abzubilden. Ergänzend sollten die Risikoklassifizierung nach AI Act und die daraus abgeleiteten Compliance-Massnahmen sauber dokumentiert sein. Auch Verträge mit Anbietern und interne Richtlinien gehören in dieses Dossier.

Mit so einem Set an Unterlagen kann ein Unternehmen im Streitfall oder bei einer Aufsichtsprüfung jederzeit zeigen, dass es KI verantwortungsvoll einsetzt. Das verringert nicht nur rechtliche Risiken, sondern schafft auch Glaubwürdigkeit nach aussen.

Was sind die Anforderungen des Schweizer Datenschutzgesetzes an die Protokollierung (Audit-Trails) im Kontext von KI-Systemen?
Es gibt im Schweizer Datenschutzgesetz keine KI-spezifischen Vorgaben, aber es gibt Protokollierungspflichten, die auch im KI-Bereich zu beachten sind. Aus meiner Sicht beginnt die Dokumentation im Datenschutzrecht ganz grundlegend mit der Datenschutzerklärung und den Auftragsbearbeitungsverträgen. Unternehmen müssen offenlegen, wie und zu welchem Zweck sie Personendaten bearbeiten, und sicherstellen, dass externe Dienstleister vertraglich an dieselben Vorgaben gebunden sind.

Darauf baut das Verzeichnis der Bearbeitungstätigkeiten auf. Es zeigt, welche Daten in einem KI-System bearbeitet werden, durch wen, wie lange und zu welchem Zweck.

Wenn ein KI-System ein erhöhtes Risiko für die Rechte von Personen birgt, braucht es zusätzlich eine Datenschutz-Folgenabschätzung. Darin wird geprüft und dokumentiert, welche Risiken bestehen und wie sie reduziert werden können. Und sobald Daten in Länder ausserhalb der Schweiz oder der EU übermittelt werden, kann  ein Transfer Impact Assessment notwendig sein, um die Angemessenheit des Datenschutzniveaus zu prüfen.

Ergänzend gelten die Prinzipien von Privacy by Design und Privacy by Default, die schon in der Entwicklung berücksichtigt und dokumentiert werden müssen.  So entsteht ein klarer Rahmen: Unternehmen sollten jederzeit belegen können, was ihr KI-System tut, mit welchen Daten es arbeitet und wie Risiken kontrolliert werden.

Inwiefern tragen Soft-Law-Ansätze wie Ethik-Leitlinien oder Transparenzstandards zur KI-Governance bei?
Ich sehe Soft-Law-Ansätze wie interne Ethik-Leitlinien oder Transparenzstandards mit einer gewissen Skepsis. In vielen Unternehmen bleiben solche Papiere  tote Buchstaben: Sie werden einmal erstellt, ins Intranet gestellt und danach nicht mehr gelebt. Das Risiko ist, dass man sich in wohlklingenden Grundsätzen verliert, ohne dass es in der Praxis wirklich einen Unterschied macht.

Trotzdem können solche Ansätze sinnvoll sein, besonders wenn sie helfen, konkrete Compliance-Vorgaben zu erfüllen. Ein gutes Beispiel sind Transparenzstandards oder dokumentierte Prozesse, die im Rahmen des AI Act als Nachweis dienen können. Auch für Schulungen oder als Grundlage für Verantwortlichkeitsregelungen können Leitlinien nützlich sein.

Für mich ist entscheidend, dass Soft Law nicht zum Selbstzweck verkommt. Leitlinien entfalten nur dann Wirkung, wenn sie in bestehende Prozesse integriert sind und von den Mitarbeitenden tatsächlich angewendet werden. Sonst bleiben sie reine Symbolpolitik.

Gibt es aus rechtlicher Sicht eine Notwendigkeit oder Möglichkeit, KI-Einsatz offenzulegen, etwa gegenüber Kunden oder Überwachungsbehörden?
Eine generelle Pflicht, den Einsatz von KI offenzulegen, gibt es in der Schweiz nicht. In bestimmten Konstellationen ist Transparenz aber zwingend. Das gilt zum Beispiel bei der Überwachung von Mitarbeitenden, wo Unternehmen offenlegen müssen, wenn technische Systeme zur Kontrolle eingesetzt werden. Auch bei vollautomatisierten Entscheidungen im Datenschutzrecht besteht eine Informationspflicht: Betroffene müssen wissen, wenn eine Entscheidung ohne menschliches Zutun getroffen wird, und haben das Recht, eine Überprüfung durch eine Person zu verlangen.

Dazu kommt, dass in sensiblen Bereichen wie Finanzdienstleistungen oder Gesundheit oft zusätzliche Vorgaben gelten. Dort kann es Pflicht sein, Aufsichtsbehörden oder Kunden den Einsatz von KI-Systemen offenzulegen. 

📌«Während die EU mit dem AI Act einen einheitlichen Rechtsrahmen schafft, der relativ detailliert ist, bleibt die Schweiz technologie- und wettbewerbsneutral.»

Wie ordnet sich die Schweizer Rechtsordnung in den europäischen Kontext ein, insbesondere im Hinblick auf den EU-AI-Act?
Die Schweizer Rechtsordnung ist im Vergleich zur EU weniger strikt und setzt bewusst sektoriellen Ansatz. Während die EU mit dem AI Act einen einheitlichen Rechtsrahmen schafft, der relativ detailliert ist, bleibt die Schweiz technologie- und wettbewerbsneutral. Immerhin scheint mir bisher, dass der AI Act für die meisten Unternehmen weniger einschneidend sein wird als etwa die Datenschutz-Grundverordnung, weil er stärker risikobasiert ausgerichtet ist.

Gibt es aus deiner Sicht Bedarf für spezifische gesetzgeberische Regelungen in der Schweiz, analog zum EU-AI-Act?
Ich sehe derzeit keinen Bedarf für eine spezifische Schweizer KI-Gesetzgebung analog zum EU AI Act. Der Ansatz des Bundesrates überzeugt mich: eine sektorspezifische, prinzipienbasierte Regulierung, die technologie- und wettbewerbsneutral ist. Das passt zur Schweizer Rechtsordnung und vermeidet Überregulierung.

Ich sehe aber Handlungsbedarf für gezielte Anpassungen bestehender Gesetze, um den KI-Standort Schweiz zu stärken. Im Urheberrecht etwa wäre es hilfreich, die Nutzung von Daten für das Training von KI-Systemen klarer zu regeln – eine Verbotspolitik wie jüngst vom Ständerat vorgeschlagen ist aber klar der falsche Ansatz. 

Mit solchen gezielten Anpassungen liesse sich Rechtssicherheit schaffen, ohne die Innovationskraft der Schweizer Wirtschaft durch ein schwerfälliges Spezialgesetz auszubremsen.

📌«Spannend wird sicher das Thema Produkthaftpflicht: Wenn KI in Produkte integriert ist, stellt sich die Frage, wann Hersteller für fehlerhafte Entscheidungen oder Schäden haften müssen.»

Was sind die datenschutzrechtlichen Unterschiede zwischen privaten (on-premise) versus öffentlichen KI-Modellen (z. B. ChatGPT)?
Es macht einen Unterschied, ob ein Modell privat betrieben wird oder über einen öffentlichen Anbieter läuft. Bei einem on-premise Modell behält das Unternehmen die volle Kontrolle über die Daten und deren Bearbeitung. Bei öffentlichen oder fremdgehosteten Modellen wird jeweils ein Auftragsbearbeiter beigezogen, was weitere datenschutzrechtliche Pflichten auslöst.

In der Praxis ist das aber weniger relevant, da die wenigsten Unternehmen eigene grössere Modelle betreiben wollen und können. Entscheidend ist, wie die Implementierung der fremdgehosteten Modelle gestaltet ist. Es macht einen grossen Unterschied, ob ich eine offene API wie die von OpenAI nutze oder ob ich denselben Dienst über einen Anbieter wie Azure OpenAI Services mit Servern in der Schweiz einbinde. Entscheidend ist also, dass Unternehmen genau prüfen, wie Daten verarbeitet, gespeichert und abgesichert werden.

Welche Entwicklungen erwartest du in der Schweizer Rechtsprechung zum Thema KI-Haftung in den kommenden zwei bis drei Jahren?
Ich erwarte in den nächsten zwei bis drei Jahren noch keine grosse Zahl an Gerichtsurteilen zur KI-Haftung in der Schweiz. Die Technologie ist zwar im Alltag angekommen, aber die wirklich haftungsrelevanten Streitfälle stehen noch aus. Spannend wird sicher das Thema Produkthaftpflicht: Wenn KI in Produkte integriert ist, stellt sich die Frage, wann Hersteller für fehlerhafte Entscheidungen oder Schäden haften müssen.

In vielen Fällen dürfte aber weiterhin der Nutzer in der Verantwortung bleiben, etwa wenn Unternehmen KI ohne ausreichende Kontrolle einsetzen. Als Anwalt kann ich mich zum Beispiel zu Recht nicht darauf berufen, dass ChatGPT mir Rechtsprechung herbeihalluziniert hat.