Künstliche Intelligenz (KI) ist bereits ein fester Bestandteil vieler Geschäftsprozesse. Doch wie wird der Einsatz von KI in der Schweiz reguliert, und was bedeutet das für Unternehmen? In diesem Blogbeitrag werfen wir einen Blick auf die Regulierungsbestrebungen in der Schweiz und wir beschreiben, wie sich dies auf Ihren Unternehmensalltag auswirken könnte.
Die regulatorische Landschaft in der Schweiz
Die Schweiz verfolgt bei der Regulierung von Künstlicher Intelligenz einen pragmatischen Ansatz. Statt umfassender, starrer Gesetze setzt das Land auf flexible Rahmenbedingungen, die Raum für Innovation lassen. Derzeit gibt es keine spezifischen Gesetze, die ausschliesslich KI betreffen. Stattdessen fühlen sich bestehende Regelwerke, wie etwa das Datenschutzgesetz (DSG), in der Pflicht, den verantwortungsvollen Einsatz von KI bei der Bearbeitung von Personendaten zu gewährleisten. Das neue DSG, das seit September 2023 in Kraft ist, stellt sicher, dass personenbezogene Daten nur dann zum Training von KI-Systemen genutzt werden dürfen, wenn die Bearbeitungsgrundsätze (Treu & Glauben, Transparenz und Verhältnismässigkeit) eingehalten werden.
Welche Regulierungsansätze gibt es?
Die Schweizer Regierung hat verschiedene Initiativen gestartet, um die Entwicklung und Anwendung von KI zu fördern, ohne dabei die ethischen und rechtlichen Herausforderungen aus den Augen zu verlieren.
Das UVEK wird bis Ende 2024 mögliche Regulierungsansätze aufzeigen und dabei das bestehende Schweizer Recht im Hinblick auf dessen Vereinbarkeit mit der EU-Verordnung über KI sowie dem Europaratsabkommen analysieren. Die volkswirtschaftlichen Auswirkungen werden dabei berücksichtigt. Mit dieser Analyse will der Bundesrat die Grundlage schaffen, um im Jahr 2025 ein konkretes Mandat für ein KI-Regulierungsprojekt erteilen und die Zuständigkeiten regeln zu können (vgl. https://digital.swiss/de/aktionsplan/massnahme/grundlegende-rechtliche-analyse).
Kantonales Recht ist nicht Teil dieser Auslegeordnung. Es ist den Kantonen überlassen, den Einsatz von KI in der Verwaltung in Übereinstimmung mit den Grundrechten und dem Völkerrecht zu regeln.
Es gibt diverse Regulierungsansätze:
Horizontale Regelungen
Dies sind allgemein gültige Vorschriften, wie sie bspw. mit dem Datenschutzgesetz oder dem EU AI Act aufgestellt wurden.
Vertikale bzw. sektorspezifische Regelungen
In gewissen Branchen werden aufgrund des hohen Risikos für die Bevölkerung spezifische Regelungen aufgestellt, bspw. in der Automobilindustrie oder bei den Medizinprodukten.
Selbstregulierung und Orientierung an international anerkannten Standards
KI wird nicht reguliert und man hofft auf den "DSGVO"-Effekt. Durch die Wirkung von EU Gesetzen über die EU-Grenzen hinaus reguliert sich die Privatwirtschaft selbst und setzt auf international anerkannte Standards beim Einsatz von KI (bspw. das NIST AI Risk Management Framework, auffindbar unter: https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-1.pdf).
Eine Mischung der oben dargestellten Varianten
Es werden bspw. nur wenige horizontale Regelungen für die gesamte Privatwirtschaft und sektorspezifische Regelungen für einzelne Branchen aufgestellt.
Sind erste Tendenzen zu erkennen?
Ja. Konkret existieren bereits zwei Regulierungsvorschläge aus Wissenschaft und Zivilgesellschaft und es ist anzunehmen, dass die Erkenntnisse daraus in die Auslegeordnung des Bundes einfliessen werden. Der Bund prüft einerseits sektorspezifische Massnahmen und falls nötig wird er auch horizontale Regelungen aufstellen (vgl. die Stellungnahme des Bundesrats auf das Postulat Dobler vom 16.03.2023).
Wissenschaft
Das dreijährige Forschungsprojekt "Nachvollziehbare Algorithmen: ein Rechtsrahmen für den Einsatz von Künstlicher Intelligenz" des Center for Information Technology, Society, and Law (ITSL) der Universität Zürich und der Forschungsstelle für Digitalisierung in Staat und Verwaltung (e-PIAF) der Universität Basel wurde diesen Sommer abgeschlossen. Am 19. September 2024 wurden in Bern die Projektergebnisse der Öffentlichkeit präsentiert und wir waren vor Ort.
Die Forschenden kamen zusammenfassend zum Schluss, dass ein umfassendes KI-Gesetz, wie es die EU mit dem EU AI Act kennt, nicht zielführend ist. Vielmehr sollten bestehende Gesetze mit horizontalen Bestimmungen ergänzt und in ausgewählten Bereichen wie der öffentlichen Verwaltung sollen sektorspezifische Regelungen erlassen werden. Die vorgeschlagenen Bestimmungen adressieren folgende Herausforderungen:
die fehlende Transparenz und Nachvollziehbarkeit der Entscheidungen von KI;
die Risiken für den Schutz der Privatsphäre;
die Gefahr von Diskriminierung; und
die Gefahr von Manipulation.
Ausserdem soll ein allgemeines Gleichbehandlungsgesetz mit Beweiserleichterungen dafür sorgen, dass Betroffene ihre Rechte effektiv durchsetzen können.
Die Positionspapiere können hier heruntergeladen werden.
Zivilgesellschaft
Die Digitale Gesellschaft, eine gemeinnützige Organisation, hat im September 2024 ein Positionspapier zur Regulierung von KI veröffentlicht. Interessant ist, dass die Digitale Gesellschaft gemäss eigener Aussagen an der aktuellen Auslegeordnung des UVEK beteiligt ist.
Der Regulierungsvorschlag der Digitalen Gesellschaft basiert auf einem Mischmodell zwischen einem schaden- und risikobasierten Ansatz. Systeme mit tiefem Risiko unterliegen keinen Einschränkungen, während der Einsatz von Systemen mit inakzeptablem Risiko verboten ist (so handhabt es auch der EU AI Act). Für Systeme mit hohem Risiko gelten Transparenz- und Sorgfaltspflichten. Der Vorschlag ist menschenzentriert, das heisst, KI soll dem Menschen dienen. Um Innovation zu fördern, setzt der Ansatz auf Selbstdeklaration statt auf bürokratische Prüfprozesse. Die Regulierung soll technologieneutral ausgestaltet werden, sprich es soll keine spezifische Technologie, wie bspw. generative KI, reguliert werden. Aus diesem Grund spricht das Positionspapier auch von "automatisierten Entscheidungssystemen" (kurz: ADM-Systeme) anstatt von KI.
Das Positionspapier kann hier heruntergeladen werden.
Gegenüberstellung
Die nachfolgende Tabelle stellt die konkreten Ansätze der beiden Regulierungsvorschläge einander stark vereinfacht gegenüber:
Thema | Positionspapier Digitale Gesellschaft | Forschungsprojekt "Nachvollziehbare Algorithmen" |
---|---|---|
Regulierungs-ansatz | Ergänzung bestehnder Gesetze oder Erlass eines ADM-Gesetzes mit horizontalen Bestimmungen. Präventiver Ansatz mit strikter Risikokategorisierung und staatlicher Aufsicht; starke Sanktionen und Transparenzvorgaben. Massnahmen gegen individuelle und gesellschaftliche Risiken werden gleichermassen diskutiert. | Punktuelle Anpassungen bestehender Gesetze mit horizontalen Bestimmungen, z.B. im DSG, UWG, ZGB, ZPO, VwVG etc. und Schaffung eines allgemeinen Gleichbehandlungsgesetzes mit Klagerechten für Betroffene (Anspruch auf Unterlassung und Beseitigung von Diskriminierungen sowie auf Schadenersatz etc.). Die individuelle Durchsetzung von Grundrechten steht im Vordergrund. |
Transparenz | Umfassende Transparenz-anforderungen für ADM-Systeme mit "hohem Risiko"; Offenlegung der ADM-Entscheidungsgrundlagen. Dokumentationspflichten für Unternehmen und Selbstdeklaration der Risikoeinstufung (bei falscher Einstufung können umsatzabhängige Bussen drohen). In der öffentlichen Verwaltung gelten noch strengere Transparenzvorgaben (Public Money - Public Code bzw. Public Data). | Transparenz durch gezielte Erkennbarkeit und Nachvollziehbarkeit für Nutzer, keine allgemeine Kennzeichnungspflicht (Möglichkeit der impliziten Information mittels «transparency by design»). Sektorspezifische Kennzeichnungspflicht möglich (bspw. für journalistische Inhalte oder Medizinprodukte). Erstellung eines öffentlich zugänglichen Verzeichnisses über KI-Systeme in der öffentlichen Verwaltung. |
Rechtsdurch-setzung | Einrichtung einer zentralen, interdisziplinären Aufsichtsbehörde mit Sanktionsbefugnissen. Ausbau des Verbandsklagerechts und Stärkung der individuellen Klagerechte durch Einführung eines Beweislastumkehr. | Nutzung bestehender Institutionen und Rechtswege; Möglichkeit von Beweiserleichterungen und ggf. von Beweislastumkehr für betroffene Personen. Stärkung des Verbandsklagerechts ebenfalls vorgesehen. |
Gesellschaft-liche Auswirkung | Verbote für ADM-Systeme mit potenziellen negativen Auswirkungen auf Demokratie und Gesellschaft (z.B. biometrische Massenüberwachung oder automatisierte Gerichtsentscheidungen). | Fokus auf individuellen Schutz vor Diskriminierung und Manipulation; Förderung des fairen und gesellschaftsverträglichen Einsatzes von KI-Systemen. |
Folgen für Schweizer Unternehmen
Es steht noch lange nicht fest, wie die Schweiz KI regulieren wird. Die nachfolgenden Äusserungen sind daher mit Vorsicht zu geniessen.
Das Positionspapier der Digitalen Gesellschaft fordert von Unternehmen eine strenge Risikokategorisierung ihrer ADM-Systeme, mit umfassenden Transparenz- und Sorgfaltspflichten bei Systemen mit hohem Risiko. Unternehmen müssen dafür ihre Systeme dokumentieren und gegebenenfalls nachweisen, dass sie korrekt klassifiziert wurden. Bei Verstössen kann die neue Aufsichtsbehörden Bussen gegen die Unternehmen (und nicht gegen die Entscheidungsträger:innen) sprechen. Diese Anforderungen erfordern einen hohen administrativen Aufwand und Compliance-Massnahmen müssen frühzeitig ergriffen werden, was für einige Unternehmen kostenintensiv sein kann. Unternehmen, die nur Systeme mit tiefem Risiko einsetzen, werden dafür administrativ entlastet.
Das Forschungsprojekt "Nachvollziehbare Algorithmen: ein Rechtsrahmen für den Einsatz von Künstlicher Intelligenz" des ITSL setzen hingegen auf die Anwendung und punktuelle Anpassung bestehender Gesetze, wodurch Unternehmen voraussichtlich mehr Flexibilität und weniger administrativen Aufwand haben würden. Die Forscher:innen verlangen keine vollständige Kategorisierung und umfassende Transparenz, sondern konzentrieren sich auf gezielte, kontext- bzw. sektorspezifische Offenlegungspflichten. Da keine zusätzliche Aufsichtsbehörde vorgesehen ist, sind bestehende Behörden (bspw. der EDÖB im Datenschutz) gefordert. Vorsicht: Die Ergänzungen des DSG und des UWG bieten je nach Ausgestaltung auch neue Möglichkeiten für Strafverfahren und Zivilklagen gegen Unternehmen bzw. die Entscheidungsträger:innen im Unternehmen.
Vorsorge
Schweizer Unternehmen können sich bereits heute auf ein potentielles KI-Gesetz vorbereiten. Mögliche Massnahmen sind:
Eine KI-Richtlinie für Mitarbeitende erstellen
KI-Kompetenzen und den rechtssicheren Umgang damit schulen (Datenschutz, Geschäftsgeheimnisse und Urheberrechte lassen grüssen)
Ein Verzeichnis der im Unternehmen eingesetzten KI-Applikationen führen
Eine Risikokategorisierung vornehmen und entsprechende Datensicherheitsmassnahmen ergreifen (bspw. sollten Sie vor dem Einsatz von Microsoft Copilot das Berechtigungsmanagement und die Datenklassifizierung im Griff haben)
Verträge anpassen (bieten Sie eigene Dienste an, die auf einem Large Language Model eines Drittanbieters beruhen, sind Sie von der Preis- und Servicegestaltung des Drittanbieters abhängig und sollten entsprechende Risiken in den Verträgen mit Ihren Kunden regeln).
Versicherungssituation überdenken (prüfen Sie, ob Sie allfällige Restrisiken versichern können)
Ausblick
Dieser Blog wird nach der Veröffentlichung der Auslegeordnung des UVEK Ende 2024 (voraussichtlich im Januar/Februar 2025) aktualisiert.
HABEN SIE FRAGEN ZUM RECHTSKONFORMEN EINSATZ VON KI IN DER SCHWEIZ?
Wir bieten neben Beratungen und Umsetzungsunterstützungen auch Schulungen an (sowohl individuelle wie auch e-Learnings).
Kontaktieren Sie uns jederzeit gerne.
Ihre Ansprechpersonen:
Chantal Lutz
Rechtsanwältin & Partnerin ONLAW
Caroline Danner
Rechtsanwältin & Gründungspartnerin ONLAW
Comments