Schweiz: Friendly Reminder des EDÖB: Das seit dem 1. September 2023 geltende Bundesgesetz über den Datenschutz (DSG) ist gemäss einer Medienmitteilung des EDÖB vom 9. November 2023 auch bei Datenbearbeitungen durch KI direkt anwendbar. Weshalb dem so ist und inwiefern dies Auswirkungen auf die Praxis hat, lesen Sie hier.
Bezüglich Regulierung des Einsatzes von KI sind die Rechtsordnungen unterschiedlich weit fortgeschritten. Während in den USA mit der Unterzeichnung einer „Executive Order“ am 30. Oktober 2023 und in der EU mit der Zustimmung des Europäischen Parlaments zum „AI Act“ wichtige Schritte in Richtung Regulierung unternommen wurden, befindet sich die Schweiz noch bis Ende 2024 in der Evaluierungsphase. Die Bundesverwaltung hat sich bis dahin für einen Ansatz zu entscheiden und allenfalls einen Regulierungsauftrag zu erteilen. Bis anhin hat die Schweiz technologiespezifische Rechtsetzung branchen- oder themenspezifisch umgesetzt (sog. sektorieller Ansatz). Ob dies beibehalten wird oder ein generelle KI-Regulierung nach dem Vorbild des europäische AI-Act verfolgt wird, wird sich zeigen.
Die aktuell zu beobachtende Zunahme an Datenbearbeitungen durch KI veranlasste den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) darauf hinzuweisen, dass man sich in der Schweiz trotz fehlender KI-Regulierung keineswegs in einem rechtsfreien Raum befinden, sondern insbesondere das neue DSG Anwendung findet. Grund dafür ist die technologieneutrale Formulierung des DSG.
Das bedeutet, dass Hersteller, Anbieter und Verwender von KI-Systemen den Zweck, die Funktionsweise und die Datenquellen der Bearbeitungen durch KI offenlegen müssen. Damit im Zusammenhang steht der Anspruch der betroffenen Person auf Überprüfung automatisierter Einzelentscheidungen durch einen Menschen und Widerspruch gegen eine automatisierte Datenbearbeitung. Werden intelligente Sprachmodelle verwendet, welche direkt mit den Benutzern kommunizieren, haben Letztere das Recht zu erfahren, ob sie mit einer Maschine sprechen bzw. korrespondieren und ob ihre Daten weiterverwendet werden, sei es für die Verbesserung des selbstlernenden Programms oder für andere Zwecke. Bei Programmen, die zur Gesichts- oder Stimmveränderung verwendet werden können, ist besondere Vorsicht geboten. Sie müssen explizit und für alle als solche gekennzeichnet werden, sofern sie sich aus strafrechtlicher Perspektive nicht ohnehin als unrechtmässig erweisen.
Erwähnenswert ist schliesslich auch die grundsätzliche Zulässigkeit von KI-gestützten Datenbearbeitungen mit hohem Risiko, sofern im Rahmen einer Datenschutz-Folgenabschätzung festgestellt werden kann, dass angemessene Massnahmen zum Schutz der betroffenen Personen bestehen. Nur Anwendungen, welche die datenschutzrechtliche Privatsphäre gänzlich missachten, sind per se untersagt. Zu denken ist dabei an KI-basierte Datenbearbeitungssysteme, die vorwiegend in autoritär regierten Staaten zum Einsatz kommen, wie beispielsweise „Social Scoring“ (umfassende Observation zur Bewertung der Lebensführung) oder flächendeckende Gesichtserkennung in Echtzeit.