KI und Datenschutz: Klare Regeln für sichere Nutzung
Simon Schneiter
Simon Schneiter, M.A. HSG (Informations-, Medien- und Technologiemanagement), Head GRC & Information Security Consulting bei ensec AG.
Einleitung KI und Datenschutz
Es begab sich im Jahre 2024, als eine Fachkraft einer australischen Kinderschutzbehörde etwas Zeit sparen wollte und für die Erstellung eines Berichtes ChatGPT nutzte. Der so generierte Bericht zu Händen des Jugendgerichts enthielt falsche (erfundene) persönliche Informationen und verharmloste stellenweise das Vorgefallene. Zudem musste ChatGPT im Vorgang natürlich mit teilweise sensiblen Personendaten gefüttert werden. Ein klarer Datenschutzverstoss, der in diesem Fall ein KI-Nutzungsverbot für die gesamte Behörde zur Folge hatte.
KI ist da – und birgt Risiken
Ob es die Formulierung von Textentwürfen, die Analyse von Kundendaten oder die Automatisierung von Routineaufgaben ist – KI-Anwendungen bieten Unternehmen aller Grössen und Branchen massgebliche Effizienzpotenziale. Selbst wenn die Führungsebene sich noch keine Gedanken über den Einsatz künstlicher Intelligenz gemacht hat, nutzen Mitarbeitende entsprechende Tools bereits. Schliesslich genügt ein Internetzugang, um mittels simpler Eingaben die eigene Arbeit zu beschleunigen, zu verbessern oder zu vereinfachen. Doch die einfache Zugänglichkeit und intuitive Bedienung verleiten Mitarbeitende oft zu einem sorglosen Umgang mit sensiblen Daten. Und anders als bei etablierten Softwarelösungen, deren Datenschutzrichtlinien bekannt sind, operieren viele KI-Plattformen in einer Grauzone, insbesondere wenn es um die Weitergabe und Nutzung der eingegebenen Informationen geht.
Die Risiken sind vielfältig und reichen von unbeabsichtigter Preisgabe von Geschäftsgeheimnissen über die Verletzung von Urheberrechten bis hin zur Offenlegung personenbezogener Daten von Kunden oder Mitarbeitenden. Vielfach machen sich die Mitarbeitenden zu diesen Themen kaum Gedanken oder verstehen die entsprechenden Zusammenhänge nicht. Und so sind Vorfälle wie der zu Beginn geschilderte auch auf dieser Seite des Globus ein reales Risiko für Organisationen aller Art.
Rechtliche Notwendigkeit
Um den Anforderungen des Schweizer Datenschutzgesetzes (DSG) nachzukommen, müssen faktisch alle Unternehmen «Spielregeln» definieren und durchsetzen, wenn es um den Umgang mit Personendaten geht. Damit soll sichergestellt werden, dass die Grundsätze des Datenschutzgesetzes Anwendung finden, entsprechende Prozesse eingehalten werden und eine adäquate Datensicherheit (gemäss Artikel 8 DSG) gewährleistet ist.
Während sich einiges mittels technischer Kontrollen absichern lässt, so ist anderes nur mit organisatorischen Kontrollen steuerbar. Die Verwendung von generativer KI gehört zu letzterem. Selbstredend lassen sich mit technischen Mitteln Barrieren aufbauen, welche die Nutzung generativer KI erschweren. Im Notfall zieht der vom Wunsch nach Effizienz getriebene Mitarbeitende aber schlichtweg sein Smartphone aus der Hosentasche und fotografiert oder filmt den Bildschirm als Input für die KI-Anwendung.
Somit dürfte sich für die meisten Unternehmen bereits aus Sicht des bestehenden Schweizer Datenschutzrechts eine faktische Notwendigkeit ergeben, Weisungen zu erlassen, welche KI-Anwendungen zumindest implizit mitberücksichtigen.
Wer unter den Anwendungsbereich des seit 2. Februar geltenden EU AI Acts fällt (z. B. durch die Verwendung von KI-Output in der EU) muss zudem sicherstellen, dass sein Personal über ausreichendes Wissen in Bezug auf künstliche Intelligenz verfügt. Dies bedingt unter anderem, dass die Mitarbeitenden sich der relevanten Rechte und Pflichten gemäss dem EU AI Act bewusst sein müssen. Ein Ziel, welches ebenfalls durch eine Kombination von passenden Weisungen und Schulungen erreicht werden kann.
Wie steht es um die KI-Regulierung in der Schweiz? Die Schweiz lässt sich etwas mehr Zeit mit der Regulierung von KI. Ende März 2025 wurde die Europaratskonvention zu KI unterzeichnet und beschlossen, entsprechende Rechtsanpassungen vorzunehmen. Dies, nachdem die zuständigen Bundesämter im Februar eine Auslegeordnung zur möglichen Regulierung von KI vorgelegt hatten. Der Bundesrat hat nun die zuständigen Stellen damit beauftragt, bis Ende 2026 eine Vernehmlassungsvorlage zu erstellen. Datenschutzrelevante Themen sollen voraussichtlich sektorübergreifend reguliert werden. |
Weisungen – was muss geregelt werden?
Regelungen zum Umgang mit KI und Datenschutz werden idealerweise in bereits existierende Weisungen zum Thema Datenschutz integriert oder als Anhang ergänzt. Ob implizite Regelungen reichen oder es eigenständige Abschnitte zu KI-Anwendungen benötigt, hängt vom Unternehmenskontext ab. Eine explizite Erwähnung mit Beispielen ist in den meisten Fällen aber eine gute Wahl, da die Weisung dadurch allgemein verständlicher wird.
Jetzt Member werden und weiterlesen:
- Unlimitierter Zugriff auf alle 1300 Arbeitshilfen
- Alle kostenpflichtigen Beiträge auf weka.ch frei
- Zugriff auf alle Videos
- Täglich aktualisiert
- Wöchentlich neue Inhalte und Arbeitshilfen
- Exklusive Spezialangebote
- News- & Update-Services
- Seminargutscheine
