Sichere Nutzung von KI – wie geht das?

Künstliche Intelligenz ist längst im Alltag angekommen, in der Kundenanalyse, der Verwaltung oder bei der automatisierten Inhaltserstellung. Doch ihr Einsatz berührt sensible rechtliche Bereiche wie Datenschutz, Urheberrecht, Persönlichkeitsrecht, Wettbewerbsrecht oder das Berufs-/Amtsgeheimnis. Deshalb gilt: KI ist kein Spielzeug. Sie muss, wie jedes andere Datenbearbeitungswerkzeug, mit klaren Regeln und technischem Sachverstand betrieben werden.
Dieser Beitrag zeigt, worauf Organisationen und ihre Mitarbeitenden achten sollten, um KI rechtssicher und verantwortungsvoll zu nutzen.

Zwischen digitalem Aufbruch und rechtlicher Verantwortung

Künstliche Intelligenz (KI) ist längst keine Zukunftsvision mehr. Ob in privatrechtlichen Unternehmen zur Kundenanalyse, in Gemeinden zur Optimierung von Verwaltungsprozessen oder in kantonalen Ämtern zur automatisierten Bearbeitung von Gesuchen, die Anwendungsfelder sind vielfältig. Was viele nicht bedenken: Der Einsatz von KI findet nicht im rechtsfreien Raum statt. KI-Anwendungen greifen regelmässig in Prozesse ein, in denen Personendaten bearbeitet, Werke dritter als Quelle genutzt, Entscheidungen automatisiert oder sensible Inhalte generiert werden. Damit berühren solche Technologien eine Vielzahl rechtlicher Anforderungen, insbesondere im Bereich des Datenschutzes, aber auch im Hinblick auf Informationssicherheit, Transparenzpflichten, Ethik und Haftung.

Ein sicherer und rechtlich fundierter Einsatz von KI ist daher kein optionales Extra, sondern Voraussetzung für eine vertrauenswürdige Digitalisierung. Ziel muss es sein, die Chancen zu nutzen, ohne das Gesetz im Allgemeinen und die Rechte und Freiheiten von Betroffenen zu gefährden. Entscheidungsträger:innen stehen daher vor einer zentralen Frage: Wie lässt sich KI sinnvoll und gleichzeitig rechtssicher nutzen?

Warum KI besondere Aufmerksamkeit verdient

Im Gegensatz zu klassischen IT-Systemen sind KI-Systeme in der Lage, lernend und adaptiv zu agieren. Sie bearbeiten grosse Datenmengen, erkennen Muster und treffen darauf basierend Entscheidungen, oft ohne nachvollziehbaren Entscheidungsweg. Diese Intransparenz widerspricht dem Transparenzgebot gemäss Art. 6 Abs. 3 des Bundesgesetzes über den Datenschutz (DSG) bzw. den kantonalen Datenschutzgesetzen.

Ein weiteres Spannungsfeld besteht zwischen datenintensivem Lernen und dem Grundsatz der Datensparsamkeit. Während KI grosse Datenmengen benötigt, verlangt das Datenschutzrecht eine Beschränkung auf das für den Zweck erforderliche Mass.

Auch verzerrte Trainingsdaten bergen Risiken: Sie können zu Wahrnehmungsverzerrungen und dadurch zu diskriminierenden Entscheidungen führen, etwa bei Bewerbungen oder Sozialleistungen.

Darüber hinaus können urheberrechtliche Fragen, vertragliche Verpflichtungen, Persönlichkeitsrechte, Berufs-/Amtsgeheimnisse sowie Risiken des unlauteren Wettbewerbs und der Haftung für fehlerhafte Inhalte zu rechtlichen Konsequenzen führen. Der Einsatz von KI berührt daher weit mehr als nur den Datenschutz und die Datensicherheit und erfordert eine ganzheitliche rechtliche Betrachtung.

Verantwortung beginnt vor dem ersten Datensatz

Ein verantwortungsvoller Einsatz von KI beginnt mit der Analyse, ob das angestrebte Ziel nur mit KI erreicht werden kann oder ob es datensparsamere Alternativen gibt. Ebenso ist zu klären, welche Daten bearbeitet werden, wer welche Verantwortung trägt, wer darauf Zugriff hat, auch ausserhalb der eigenen Organisation, und welche Konsequenzen bei Fehlfunktionen oder Fehlentscheidungen drohen.

Ergänzend ist zu prüfen, ob für die Bearbeitung von Personendaten ein Auftragsverhältnis mit einem externen Anbieter besteht, welches zwingend einen Auftragsdatenbearbeitungsvertrag (ADV) voraussetzt, und ob die Datenbearbeitung im Ausland durch entsprechende Garantien abgesichert ist.

Neben Datenschutz und Datensicherheit sind weitere Rechtsgebiete zu beachten, wie z. B. Urheberrecht, vertragliche Verpflichtungen, Persönlichkeitsrechte, unlauterer Wettbewerb oder mögliche Haftungsfragen, insbesondere beim Einsatz generativer oder lernender Systeme.

Ein zentrales Instrument für eine solche Risikobeurteilung ist die Datenschutz-Folgenabschätzung (DSFA). Sie ist zwar nur für die Bearbeitung von Personendaten gesetzlich vorgeschrieben und auch nur dann, wenn der Einsatz neuer Technologien oder die Art, der Umfang, die Umstände und die Zweckbestimmung der Bearbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge haben. Sie kann jedoch auch als wertvolles Instrument zur systematischen Analyse aller relevanten Risiken dienen und leistet damit einen wichtigen Beitrag zur internen Bewusstseinsbildung und Dokumentation.

Eine ausführlichere Checkliste zur Unterstützung bei der Planung finden Sie am Ende dieses Beitrags.

Technik allein reicht nicht – es braucht Governance und Kultur

Auch wenn ein KI-System technisch sicher und rechtskonform konfiguriert ist, endet die Verantwortung nicht. Entscheidend ist, wie es trainiert und im Alltag eingesetzt wird. Organisationen benötigen klare Richtlinien darüber, welche KI-Systeme wie trainiert und eingesetzt werden dürfen, welche Daten verwendet werden dürfen, und welche explizit nicht.

Ein besonders anschauliches Beispiel ist der Einsatz von generativer KI, also Tools, die auf Basis von Texteingaben selbstständig Inhalte generieren. Viele dieser Tools sind öffentlich zugänglich und sehr mächtig. Wer dort aber beispielsweise interne Protokolle, Personaldaten oder vertrauliche Entscheidungsgrundlagen eingibt, läuft Gefahr, diese Informationen an Dritte weiterzugeben. Denn nicht immer ist transparent, ob und wie diese Daten gespeichert oder für Trainingszwecke weiterverwendet werden.

Deshalb gilt: Generative KI ist kein Spielzeug. Sie muss wie jedes andere Datenbearbeitungswerkzeug mit klaren Regeln und technischem Sachverstand betrieben werden, insbesondere wenn sie in sensiblen Kontexten wie der Bearbeitung von Personendaten oder Amts- und Berufsgeheimnissen zum Einsatz kommt. Dies setzt voraus, dass die Mitarbeitenden auf sämtlichen Hierarchieebenen geschult und sensibilisiert werden.

Exkurs: Was bei der Bearbeitung von Daten aus der EU/dem EWR zu beachten ist

Wenn KI-Systeme Personendaten von Personen in der EU oder dem EWR bearbeiten, beispielsweise im Rahmen von Online-Diensten oder datenbasierten Analysen, ist die DSGVO anwendbar. Schweizer Organisationen sind betroffen, wenn sie gezielt Dienstleistungen in der EU/EWR anbieten, das Verhalten von Personen dort beobachten oder eine Niederlassung in der EU/EWR haben, unabhängig davon, ob die Bearbeitung der Daten innerhalb oder ausserhalb der EU/EWR erfolgt (extraterritoriale Wirkung).

Darüber hinaus legt der EU AI Act verbindliche Regeln für den Einsatz von KI-Systemen auf dem EU-Markt fest, insbesondere für Hochrisikoanwendungen. Unternehmen, die KI-Systeme in der EU/im EWR betreiben oder dorthin exportieren, sollten sich frühzeitig mit diesen Anforderungen auseinandersetzen und gegebenenfalls Anpassungen vornehmen, um den verbindlichen Regelungen des AI Act zu entsprechen. Berücksichtigen Sie dabei auch mögliche marktstrategische Veränderungen Ihres Unternehmens.

Vertrauen durch Transparenz und Verhältnismässigkeit

Insbesondere dort, wo Ressourcen knapp, Anforderungen hoch und Prozesse komplex sind, kann KI eine enorme Hilfe sein. Aber sie ist kein Selbstläufer. Wer als öffentliches Organ oder Unternehmen auf KI setzt, muss sich der Verantwortung bewusst sein, die mit ihrem Einsatz einhergeht.

Das heisst nicht, Innovationen zu verhindern. Im Gegenteil: Rechtskonforme Systeme schaffen Vertrauen, schützen Betroffene, steigern die Wettbewerbsfähigkeit und machen KI langfristig überhaupt erst gesellschaftsfähig. Denn nur dort, wo Daten verantwortungsvoll genutzt werden, können sich ihre Potenziale entfalten.

Was können Sie konkret tun: Empfehlungen für die Praxis

Für Organisationen, die den Einsatz von KI planen oder bestehende Anwendungen überprüfen möchten, empfiehlt sich die Orientierung an einigen zentralen Grundsätzen und Massnahmen, um rechtliche Risiken zu minimieren und Vertrauen zu schaffen. Erkundigen Sie sich, ob Branchenverbände oder Aufsichtsbehörden unterstützendes Material zur Verfügung stellen. Da die Schweiz bislang über keine eigene KI-Regulierung verfügt, kann ein Blick über den Tellerrand auf die EU-Regulierung hilfreich sein, auch wenn die Organisation nicht dem EU-Recht untersteht.

Checkliste und Empfehlungen für den verantwortungsvollen KI-Einsatz:

1. Planung und Risikoanalyse

• Prüfen Sie, ob eine Datenschutz-Folgenabschätzung (DSFA) notwendig ist (z. B. bei hohem Risiko für betroffene Personen oder sensiblen Daten).
• Erfassen Sie die geplanten Bearbeitungen im Verzeichnis der Bearbeitungstätigkeiten (Pflicht bei der Bearbeitung von Personendaten).
• Entwickeln Sie interne Richtlinien und Guidelines zur KI-Nutzung, inkl. Vorgaben zu Datenklassifikation und Nutzungsszenarien.

2. Vertragswesen und externe Anbieter

• Schliessen Sie einen Auftragsdatenbearbeitungsvertrag mit dem Anbieter ab (zwingend bei der Bearbeitung von Personendaten).
• Verwenden Sie nur Anbieter, die klare Informationen zur Datenbearbeitung geben, inkl. Datenverwendung durch Anbieter, Rechte am Output und Serverstandort.
• Beim Transfer von Personendaten ins Ausland prüfen Sie die Datenschutzadäquanz des Transferstaates (Anhang 1 DSV) und erstellen Sie falls nötig zusätzliche Garantien.
• Regeln Sie vertraglich die Haftung bei Schäden oder Fehlfunktionen des KI-Systems, insbesondere bei falschen Entscheidungen, ungewollten Outputs oder Systemausfällen mit Auswirkungen auf betroffene Personen oder Geschäftstätigkeiten.
• Stellen Sie sicher, dass bei der Bearbeitung von Daten von Personen im EU/EWR-Raum die Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) erfüllt werden, insbesondere in Bezug auf Transparenz, Betroffenenrechte, Einwilligungen und Auftragsbearbeitung.
• Prüfen Sie frühzeitig, ob der Einsatz des KI-Systems in den Anwendungsbereich des EU KI-Verordnung (AI Act) fällt, z. B. bei Hochrisikoanwendungen, und treffen Sie entsprechende Vorkehrungen zur Einhaltung.

3. Technische und organisatorische Umsetzung

• Achten Sie auf Privacy by Design und datenschutzfreundliche Voreinstellungen schon bei der Systemwahl.
• Definieren Sie dem Risiko entsprechende technische und organisatorische Massnahmen (intern wie auch beim/vom Anbieter) für die Datensicherheit.
• Führen Sie regelmässige Audits und Überprüfungen der eingesetzten KI-Systeme durch, um die Wirksamkeit der Datenschutzmassnahmen und die Einhaltung der Vorgaben sicherzustellen.
• Implementieren Sie ein Monitoring und eine Modellkontrolle, insbesondere beim Einsatz eigener KI-Modelle, um etwaige Verzerrungen, Modell-Drifts oder unerwünschte Effekte frühzeitig zu erkennen und zu beheben.

4. Betrieb und Kultur

• Schulen Sie Ihre Mitarbeitenden auf allen Hierarchieebenen im bewussten und reflektierten Umgang mit KI, nicht nur technisch, sondern auch ethisch.
• Bilden Sie «KI-Champions» als erste Anlaufstelle bei Fragen für Mitarbeitende aus.
• Informieren Sie die betroffenen Personen (auch Mitarbeitende) über die Nutzung von KI, sofern diese nicht offensichtlich ist oder diese Einfluss auf wichtige Entscheide hat.
• Definieren Sie eine klare Eskalations- und Reaktionsstruktur für Störungen, fehlerhafte Entscheidungen oder Datenpannen, die durch KI-Systeme verursacht oder begünstigt werden.