Teil 23: Schweiz: Was konkret an KI-Regulierung zu erwarten ist

Der unverbindliche, allgemein gehaltene Ton der KI-Konvention hat zu entsprechender Kritik geführt. Ebenso der Umstand, dass nebst gewissen Anwendungen der Forschung und Entwicklung die Bereiche der nationalen Sicherheit und der nationalen Verteidigung ganz ausgenommen sind. Inhaltlich hat die KI-Konvention gewisse Überschneidungen mit dem EU AI Act, d.h. möglicherweise werden auch die Mitgliedstaaten der EU noch weitere Anpassungen ihres Rechts vornehmen müssen, um den Anforderungen nachzukommen. Der AI Act ist ein Produktsicherheitsgesetz, welches das Inverkehrbringen und den Einsatz bestimmter Formen von KI konkret reguliert, während die KI-Konvention den Vertragsstaaten allgemeine Vorgaben für den Einsatz von KI macht, wo dieser die Menschenrechte, die Demokratie und die Rechtsstaatlichkeit betrifft. Die Definition, was KI überhaupt ist, ist im EU AI Act und in der KI-Konvention aber sehr ähnlich – auch wenn sie beiderorts nicht wirklich praxistauglich ist (auf welches Thema wir noch separat eingehen werden).

Umsetzung in der Schweiz: Privatwirtschaft beschränkt betroffen

Wie ambitioniert die Schweiz die Konvention wirklich umsetzen will, ist noch nicht klar. Klar ist jedoch, dass viele der Vorgaben im Schweizer Recht mit seinen üblicherweise technologieneutralen, prinzipienbasierten Erlassen bereits erfüllt sind, also eine Anpassung gar nicht nötig ist. Klar ist auch, dass diese, schon heute auf KI anwendbaren Regelungen des Schweizer Rechts auch die von der KI-Konvention ausgeschlossenen Bereiche zu einem grossen Teil erfassen. So gilt das DSG grundsätzlich auch für den Nachrichtendienst des Bundes und das Schweizer Militär.

Dass die KI-Konvention für den öffentlichen Sektor umgesetzt werden muss, ist klar. Nebst dem Bund, der nur für sich selbst spricht, werden somit auch die Kantone eine Analyse vornehmen müssen, sollte die Schweiz wie erwartet die Konvention ratifizieren. Spannend wird aber vor allem die Frage sein, wie sehr die Umsetzung der KI-Konvention zu neuen Regeln für die Privatwirtschaft führt. Dies ist nur, aber immerhin dort nötig, wo der Einsatz von KI Risiken und Auswirkungen für die Menschenrechte, Demokratie oder Rechtsstaatlichkeit mit sich bringt. Damit fallen auf den ersten Blick viele Anwendungen weg. Die juristische Analyse des Bundes kommt zum Schluss, dass die Konvention im Privatsektor (nur) dort zur Anwendung gelangen muss, "wo eine direkte oder indirekte horizontale Wirkung der Grundrechte besteht oder in Zukunft erkannt wird" (S. 23). Die Konvention selbst verlangt nicht die Schaffung solcher. Beispiele für solche Wirkungen sind die Pflicht zur Lohngleichheit im Arbeitsverhältnis, die Bestimmungen zur Rassendiskriminierung, die Regelungen des Datenschutzes und jene zur Überwachung am Arbeitsplatz. Viele Bereiche werden jedoch überhaupt nicht betroffen sein. Die juristische Analyse nennt als Beispiel für nicht erfasste Anwendungen den fehlerhaften Mähroboter oder intelligenten Kühlschrank, bei dem die KI die Temperatur falsch einstellt, und geht davon aus, dass auch Fälle wirtschaftlicher Schäden aufgrund von mangelhafter KI a priori keine Grundrechtsverletzung darstellen und daher nicht betroffen sind.

Keine Sanktionen vorgesehen?

Die juristische Analyse geht nicht davon aus, dass in vielen Bereichen Anpassungen nötig sein werden. Die Konvention verlangt zum Beispiel einen Schutz der Privatsphäre auch im Bereich des Einsatzes von KI. Der Bund geht jedoch davon aus, dass dieser bereits mit dem bestehenden DSG "relativ gut abgedeckt" ist, auch wenn der Bericht (irrigerweise und ohne vertiefte Abklärung) davon ausgeht, dass namentlich die Entwicklung von KI "sehr oft im Widerspruch zu den allgemeinen Grundsätzen" des DSG steht.

Die Konvention erlaubt Verbote von KI, wie sie etwa der EU AI Act vorsieht, verlangt sie aber nicht. In der Schweiz dürften neue Regelungen für solche Verbote höchstens in einzelnen Bereichen zur Diskussion stehen: Gewisse Anwendungen, wie etwa das staatliche Social Scoring nach chinesischem Vorbild, sind in der Schweiz schon heute verboten. Ob die Schweiz bisher nicht grundsätzlich untersagte KI-Anwendungen wie die Emotionserkennung am Arbeitsplatz, analog zum EU AI Act verbieten will, wirft die juristische Analyse lediglich als Frage auf und nennt die Emotionserkennung als einziges Beispiel.

In Bezug auf die Aufsicht von KI lassen die Äusserungen des Berichts an den Bundesrat darauf schliessen, dass keine grossen Ambitionen bestehen: Die Aufsicht soll von den bestehenden Akteuren (FINMA, EDÖB, ComCom etc.) wahrgenommen werden, die jedoch zusätzliche Untersuchungsbefugnisse erhalten sollen, soweit dies im Bereich der KI erforderlich ist; zusätzliche Sanktions- oder Entscheidungsbefugnisse sind hingegen offenbar nicht beabsichtigt.

Anpassungen mit denen wir rechnen müssen

Die juristische Analyse des Bundes geht davon aus, dass das Schweizer Recht viele der Forderungen der KI-Konvention bereits abdeckt. Konkreten Anpassungsbedarf ortet die Analyse jedoch insbesondere in folgenden Fällen:

• Die Regelungen des DSG über automatisierte Einzelentscheide dürften auf teilautomatisierte Entscheide erweitert werden. Das DSG sieht heute vor, dass Personen darüber informiert werden müssen, wenn eine Maschine einen wichtigen Einzelfallentscheid trifft. Zudem haben sie das Recht, zu verlangen, dass dieser Entscheid von einem Menschen geprüft wird. Das Auskunftsrecht ist ebenfalls tangiert. Schon vor dem Bericht des Bundes wurde politisch die Forderung aufgestellt, diese (in der Praxis nicht sehr relevante) Regelung auf jene Fälle auszudehnen, in denen ein Entscheid zwar von einem Menschen gefällt wird, dieser aber zu wesentlichen Teilen von einer Maschine vorbereitet wird. Ein Beispiel ist etwa der Fall, in dem eine KI eine Analyse oder Vorauswahl trifft, die ein Mensch dann noch bestätigt oder – negativ ausgedrückt – nur noch "abnickt". Er fällt heute durch die Maschen der Sonderregelung zur Einschränkung maschineller Entscheide (die notabene nicht nur für KI-gestützte Systeme gilt). Wir gehen davon aus, dass eine solche Regelung eingeführt werden wird. Wir gehen weiter davon aus, dass auch eine Pflicht zur Begründung solcher Entscheide eingeführt werden könnte, wo diese nicht schon besteht. Für den Bereich des Privatrechts dürfte dies allerdings nur in den erwähnten Fällen der direkten oder indirekten Grundrechtswirkung geschehen, etwa in gewissen Bereichen des Arbeitsrechts.
• Es dürfte jedenfalls im öffentlichen Sektor eine Pflicht zur Meldung und Führung eines Verzeichnisses über den Einsatz von KI kommen: Jeder soll wissen, wo staatliche Akteure KI einsetzen. Solche Vorhaben gibt es teilweise schon. So arbeitet der Kanton Zürich an einem Verzeichnis "Algorithmischer Entscheidsysteme" (AES), was im Übrigen sehr viel vernünftiger ist , als auf den unklaren Begriff der "KI" abzustellen und so Regelungslücken zu schaffen. Will der Bundesrat die KI-Konvention ambitioniert umsetzen, wird er eine Pflicht zur Führung eines KI-Registers oder gar einer Meldepflicht auch für einzelne Bereiche der Privatwirtschaft vorschlagen. Während die Führung eines Verzeichnisses von relevanter KI schon heute jedenfalls in grösseren oder regulierten Unternehmen zur guten Governance gehört und teilweise bereits auch in Erfüllung des DSG (sofern Personendaten betroffen sind) praktiziert wird, wäre eine eigentliche KI-Meldepflicht für Private übers Ziel hinausgeschossen. Wir rechnen nicht damit, oder höchstens in wenigen Bereichen.
• Es ist von der Einführung einer Pflicht zur Kennzeichnung jedenfalls bestimmter KI-generierter Inhalte auszugehen. Hier ortet die juristische Analyse noch Lücken, weil das Schweizer Recht grundsätzlich keine Kennzeichnungspflicht vorsieht. Der EU AI Act sieht in diesem Bereich hingegen verschiedene Pflichten vor, die allerdings recht weit gehen und sich daher in dieser Breite als praxisfremd erweisen dürften. Gewisse Erscheinungsformen, wie Deep Fakes real existierender Personen, sind bereits im bestehenden Recht abgedeckt, wie etwa Art. 179decies StGB, wenngleich mit anderem Schutzziel. Wir könnten uns vorstellen, dass Art. 3 UWG um einen weiteren Spezialtatbestand erweitert wird. Allerdings würde ein Deep-Fake-Kennzeichnungspflicht beispielsweise auf Desinformation im politischen Bereich nicht zur Anwendung kommen; hierfür müsste andernorts eine Regelung geschaffen werden, beispielsweise im Strafrecht, falls dafür ein politischer Wille besteht.
• Es dürfte eine Pflicht zur Folgenabschätzung beim Einsatz von KI eingeführt werden, also eine Pflicht, vorgängig die möglichen unerwünschten negativen Auswirkungen eines KI-Vorhabens auf betroffene Personen einzuschätzen und sich dabei zu überlegen, ob und wie sich diese Risiken mit entsprechenden Massnahmen weiter senken oder ausschliessen lassen. In diesem Zusammenhang ist teilweise auch von "Grundrechte-Folgenabschätzungen" die Rede. Gemeint ist konzeptionell immer ungefähr dasselbe; auch der EU AI Act sieht solche bei Hoch-Risiko-KI-Systemen in gewissen Fällen vor. Eine solche Art der Risikoeinschätzung kennt auch das DSG (Datenschutz-Folgenabschätzung, DSFA), allerdings dort mit Fokus auf die Bearbeitung von Personendaten. Das ist nicht dasselbe, aber ähnlich und kann nach unserer Erfahrung gut kombiniert werden (wir haben in unserem GAIRA-Werkzeug eine solche Folgenabschätzung für grössere oder riskantere KI-Vorhaben bereits vorgesehen). Die juristische Analyse ortet denn auch Koordinationsbedarf mit dem DSG, damit die verpflichteten Stellen nicht überbelastet werden. Wir gehen davon aus, dass eine solche Folgenabschätzung für staatliche Akteure verpflichtend sein wird und dass, je nach Ambition des Gesetzgebers, auch gewisse Vorhaben der Privatwirtschaft einer solchen Pflicht unterliegen werden. Dies erscheint uns auch sinnvoll; Risikofolgenabschätzungen gehören heute zum Standard einer guten Governance von relevanten Projekten, und sie können sehr einfach um die Dimension der Folgen für betroffene Personen (neben denen für das Unternehmen) erweitert werden, soweit sie nicht schon geprüft wird.
• Der Diskriminierungsschutz dürfte hingegen ein heisses Eisen werden, dies deshalb, weil die Schweiz bisher im privaten Bereich keinen allgemeinen Diskriminierungsschutz kennt. Die juristische Analyse äussert sich hierzu entsprechend zurückhaltend und verweist darauf, dass geprüft werden muss, ob der politische Wille besteht, das Schweizer Recht in diesem Bereich konzeptionell anzupassen. Dies würde nicht nur den Einsatz von KI betreffen. Die Analyse weist als möglichen Weg zur Umsetzung der KI-Konvention darauf hin, dass eine Massnahme zum Diskriminierungsschutz auch darin liegen kann, das Thema zur Pflicht im Rahmen der erwähnten Folgenabschätzung zu machen und so zu adressieren, ohne die Grundkonzepte des Schweizer Rechts auf den Kopf zu stellen.
• Es ist davon auszugehen, dass eine Pflicht zur Dokumentation von KI eingeführt werden wird, die weiter geht als das, was heute vorgeschrieben ist. Die KI-Konvention verlangt eine solche, und auch wenn das Schweizer Recht vereinzelt Dokumentationspflichten vorsieht (wie z.B. das Verzeichnis der Bearbeitungstätigkeiten im DSG), können diese die Anforderungen im Falle einer Ratifikation der Konvention nicht erfüllen. Während für uns klar erscheint, dass staatliche Akteure sich auf eine entsprechende Pflicht einstellen müssen, ist noch unklar, ob und inwieweit auch private Stellen ihre KI-Systeme dokumentieren müssen. Zur Diskussion steht dies insbesondere dort, wo der Einsatz von KI erhebliche Auswirkungen auf die Menschenrechte betroffener Personen haben kann. Das werden nicht sehr viele Fälle sein; dies wird vermutlich postuliert werden für gewisse der Anwendungen, die gemäss EU AI Act als hohes Risiko gelten (wie z.B. KI-Beurteilungen durch Arbeitgeber).

Die juristische Analyse erwähnt auch Sandboxes, also vereinfacht gesagt eine gesetzliche Regelung, die Pilotprojekte von gewissen Restriktionen und Sanktionen, der auf sie ansonsten anwendbaren Regulierung freistellt. Solche Regelungen gibt es im (ohnehin strenger regulierten) staatlichen Bereich bereits; für den Bereich der Privatwirtschaft existiert das aber noch kaum. Auch wenn die Idee als Instrument der Innovationsförderung auf den ersten Blick als sinnvoll erscheint (der EU AI Act sieht dies auch vor), haben diese Instrumente in der Praxis nach unserer Erfahrung wenig praktische Relevanz. Sie sind wie etwa im Falle des EU AI Act nicht selten leider nur ein Feigenblatt, um ansonsten überbordende Regulierung und die damit für Startups, KMU und Innovatoren verbundene Last auf den ersten Blick zu versüssen. Sie setzen zudem seitens der Aufsichtsbehörden ein Sachwissen, einen Unterstützungswillen und Mut voraus, der nach unserer Erfahrung leider regelmässig fehlt.  

Relevanz des EU AI Act

Die juristische Analyse untersucht auch den EU AI Act und die Auswirkungen auf die Schweiz, im Hinblick auf entsprechenden Anpassungsbedarf im Schweizer Recht. Hier sieht sie vor allem Handelshemmnisse für Schweizer Unternehmen, die KI-Produkte in die EU liefern wollen und jedenfalls im Bereich von Hochrisiko-Anwendungen eine Konformitätsbewertung und einen Vertreter in der EU benötigen. Weil die Nachführung des Abkommens der Schweiz und EU über die gegenseitige Anerkennung von Konformitätsbewertungen (MRA) seit einigen Jahren aus politischen Gründen von der EU blockiert wird, werden Schweizer Anbieter sich die allenfalls erforderliche Konformitätsbewertung aus der EU beschaffen müssen statt in der Schweiz.

Das erscheint aus unserer Sicht allerdings nicht wirklich ein Problem zu sein, solange diese Anbieter nicht auch eine Konformitätsbewertung für die Schweiz brauchen und daher doppelten Aufwand haben. Dort, wo es bisher keine Konformitätsbewertung brauchte, wird es nach unserer gegenwärtigen Einschätzung in der Schweiz auch künftig keine solche brauchen, nur wegen KI, und wo eine Konformitätsbewertung erforderlich ist (wie etwa im Bereich Medical Devices), besteht die schon bisher bestehende unbefriedigende Situation einstweilen weiter.

Würde die Schweiz das MRA um den Bereich KI erweitern, müsste sie konsequenterweise auch die entsprechenden Produktevorgaben des EU AI Act übernehmen, was aber wenig sinnvoll erscheint und der Bundesrat nun auch nicht vorsieht. Es bleibt somit dabei: Wer als Anbieter sein Hoch-Risiko-KI-System in der EU auf den Markt oder dort zum Einsatz bringt will, wird sich an den AI Act halten müssen. Wer das nur in der Schweiz oder in anderen Ländern tut, nicht. Die meisten werden sich den EU-Markt aber nicht vergeben wollen, und in der Mehrheit der Fälle werden sie ohnehin keine Hoch-Risiko-KI-Systeme anbieten, weshalb sich das Problem auch so stark relativiert.

Weitere Rechtsbereiche

Die juristische Analyse beleuchtet auch noch weitere Rechtsbereiche, wobei hier insgesamt nicht viel zu erwarten ist:

• Urheberrecht: Hier hat der Berg eine Maus geboren. Die Analyse kommt zum Schluss, dass viele Fragen (gerichtlich) ungeklärt sind, und es entsprechend auch unterschiedliche Positionen gibt. Es werden aber keine konkreten Empfehlungen oder Anpassungsmöglichkeiten formuliert. Es ist also alles offen, und zugleich entsteht der Eindruck, dass im Bereich des Urheberrechts kein wirklicher Wille zur Anpassung des geltenden Rechts besteht, etwa zu einer Anpassung der Forschungsschranke an die TDM-Regelung der EU. In der sektoriellen Analyse ist wiederum zu lesen, dass das Thema KI in der derzeitigen Revision des Leistungsschutzrechts ausgeklammert werden soll, weil eine Mehrheit die beiden Themen nicht vermischt haben will.
• Patentrecht: Hier sieht die Analyse keinen Anpassungsbedarf.
• Haftpflichtrecht: Die Analyse liebäugelt mit der KI-Haftungs-Richtlinie der EU, kommt aber zum Ergebnis, das einstweilen abzuwarten ist, wie sich diese weiterentwickelt. Inzwischen scheint diese jedenfalls seitens der Europäischen Kommission ohnehin vorläufig beerdigt. Es zeichnen sich somit auch hier keine Anpassungen ab. Das gilt auch für die zuweilen diskutierte Anpassung des Obligationenrechts in Bezug auf die Klassifikation von KI als "Hilfsperson" im Sinne von Art. 101 OR. Dieses Ansinnen wird abgelehnt. Die Produkthaftung für Software wird ebenfalls thematisiert und es wird auf die seit einiger Zeit laufende Diskussion hingewiesen, aber das Thema letztlich offen gelassen.
• Strafrecht: Hier sieht die Analyse keinen Anpassungsbedarf.
• Arbeitsrecht: Allgemein ortet die Analyse nur punktuellen Anpassungsbedarf. Sie diskutiert unter anderem die EU-Regulierungsbestrebungen zur "Plattformarbeit" (gemeint sind Online-Plattformen, auf denen Arbeitgebende und Arbeitssuchende zusammenkommen), aber uns erscheint dies als Nebenschauplatz. Weiter wirft die Analyse die Frage auf, ob aus dem EU AI Act das Verbot der biometrischen Emotionserkennung am Arbeitsplatz und allenfalls die Regelungen zu den als hochrisikant eingestuften Anwendungen übernommen werden sollen, bei denen Bewerbende und Mitarbeitende von der KI beurteilt werden. Wir rechnen nicht damit. Faktisch werden die Vorgaben des EU AI Act, die vor allem die Anbieter entsprechender Systeme betreffen, auch in der Schweiz wirken: Schweizer Unternehmen werden kaum Produkte kaufen, die nicht auch für den EU-Markt gemacht wurden und daher EU AI Act-konform sein müssen. Und Schweizer Anbieter werden dies aus den bereits genannten Gründen ebenfalls beachten müssen.
   

Die Pläne des Personalamts und andere Erkenntnisse der sektoriellen Analyse

Nebst diesen allgemeinen, horizontalen Anpassungen führt die sektorielle Analyse des Bundes noch diverse weitere Anpassungen auf, um das heutige Recht, wo erforderlich, in Bezug auf den Einsatz von KI anzupassen oder überhaupt herauszufinden, wo dies nötig ist. Einige Beispiele:

• Erhebung des Bundesamts für Energie, welche unter anderem indiziert, dass die KI-Definition des AI Act zu weit ist und Hilfestellungen vor allem zur Anwendung des bestehenden Rechts gewünscht werden.
• Regelungen zur Zulassung von Systemen für autonomes Fahren, wobei sich hier auch international der Rechtsrahmen noch entwickeln muss.
• Im Finanzbereich ist das Staatssekretariat für internationale Finanzfragen (SIF) noch dabei, einen Bericht auszuarbeiten, wobei keine Technologieregulierung angestrebt wird, sondern (weiterhin) mit technologieneutralen Prinzipien gearbeitet werden soll. Die FINMA entwickelt derzeit ihre KI-Aufsichtspraxis basierend auf bestehendem Recht.
• Die Eidgenössische Steuerverwaltung will unter anderem neue Rechtsgrundlagen schaffen für Profiling, also automatisierte Bewertungen von Aspekten natürlicher Personen, weil ein solches ohne diese nicht mehr geht.
• Der Preisüberwacher fragt sich unter anderem, inwiefern Preisabsprachen aufgrund von KI-Anwendungen vorgenommen werden können und ob hier Handlungsbedarf besteht.
• Das Bundesamt für Polizei thematisiert KI-Anwendungen im Zusammenhang mit zwei Projekten, eines im Bereich automatisierter Fingerabdruck-Identifikation und eines im Bereich polizeilicher Informationssysteme, etwa in Bezug auf den Abgleich von Bildern.
• Als KI-Thema verkauft wird auch die Bestrebung, eine Schweizer Variante des Digital Services Act zu schaffen, weil die im Visier stehenden grossen Plattformanbieter wie Google oder Meta auch KI auf ihren Plattformen einsetzen.
• Das Bundesamt für Gesundheit ist ebenfalls erst an der Ausarbeitung einer Auslegeordnung für den Bereich des Gesundheitswesens zu erarbeiten.
• Ein "Geheimtipp" für geneigte Beobachter dürfte das Eidgenössische Personalamt sein. Es will das Bundespersonalgesetz anpassen, um zum Beispiel Profiling und Profiling mit hohem Risiko im Arbeitsverhältnis mittels KI durchführen zu können, etwa um festzustellen, ob eine Person für eine bestimmte Tätigkeit geeignet ist. Es sollen dabei sogar Informationen aus sozialen Netzwerken einbezogen werden können; eine Datenschutz-Folgenabschätzung sei bereits durchgeführt worden. Zudem ist das Personalamt der Ansicht, dass eine automatisierte Selektion von Bewerbenden für ein Erstgespräch keine automatisierte Einzelentscheidung darstellt. Es hat also offenkundig einiges vor in Sachen KI und bringt sich dafür in Stellung.

Die Übersicht zeigt, wie unterschiedlich weit die Sektoren und auch Teile der Verwaltung sind.

Was für Unternehmen in der Schweiz zu tun ist

Kurz- oder mittelfristigen Handlungsbedarf für die Privatwirtschaft bringt die Ankündigung des Bundesrates nicht mit sich. Es wird noch einige Jahre dauern, bis die oben genannten oder andere Anpassungen umgesetzt sein werden. Allerdings erfolgt der Einsatz von KI auch heute schon nicht im rechtsfreien Raum, und gerade in regulierten Branchen sind die Behörden – allen voran die FINMA – bereits mit einigem Einsatz daran, die nötigen Leitlinien aufzustellen und für eine gewisse Ordnung und Verantwortlichkeit zu sorgen, basierend auf dem bestehenden Recht.

Während in der Anfangsphase des derzeitigen "KI-Hype" noch der Ruf nach "ethischem" Einsatz von KI propagiert wurde (wohl meist aufgrund schierer Verunsicherung), sind viele Unternehmen auf dem Boden der Realität angekommen: Es wird höchstens noch von "verantwortungsvoller" KI ("responsible AI") gesprochen, und auch dies vor allem aus Gründen der Reputation, oder weil die Unternehmen aus Effizienzgründen darauf bedacht sind, Grundsätze im Umgang mit KI zu formulieren, die mehr als nur eine Rechtsordnung abdecken. Darüber hinaus werden KI-Projekte wie jedes andere Vorhaben auf seine Übereinstimmung mit dem geltenden Recht und bereits absehbaren Regelwerken wie insbesondere dem EU AI Act hin geprüft. Die Hauptschwierigkeit, die wir hier in der Praxis sehen, ist die schlechte Qualität des EU AI Act, der zu zahlreichen unbeantworteten Fragen führt, teils nicht durchdachte und daher praxisfremde Regeln enthält und die Unternehmen somit zwingt, Risikoentscheide zu treffen. Die Aufregung in darüber hinaus besonders betroffenen Rechtsgebieten wie dem Datenschutz hat sich etwas gelegt.

Klar ist aber auch, dass viele Unternehmen noch damit kämpfen, eine gewisse Ordnung und Disziplin in ihre KI-Vorhaben zu bringen, einen Überblick zu erlangen und zu erschaffen sowie die Leistungen ihrer Lieferanten und internen Entwicklungsteams vernünftig zu prüfen. Wer das gewissenhaft tut, wird einige der oben diskutierten Anforderungen bereits heute erfüllen, so namentlich (i) das Verzeichnis der KI-Anwendungen, (ii) die Dokumentation der jedenfalls etwas risikoreicheren KI-Anwendungen und (iii) Folgenabschätzungen, die wir heute mancherorts schon durchführen.

Einschneidend könnte die Regulierung von teilautomatisierten Entscheiden werden, weil es davon viele gibt und die Abgrenzung zwischen relevanten und irrelevanten Fällen in der Praxis noch einige Herausforderungen mit sich bringen wird. Die Regelung hat auch das Potenzial, zum im Allgemeinen unerwünschten (überschiessenden) Swiss Finish zu werden, denn die EU kennt eine solche Regelung noch nicht. Auch auf dieses Thema kann sich ein Unternehmen dahingehend vorbereiten, dass es solche Entscheide in seinen Projekten zu identifizieren und zu regeln versucht, etwa um diese von der KI vorbereiteten Entscheide einerseits zu regeln und andererseits einer Qualitätskontrolle zu unterziehen. 

Den Kritikern der Zurückhaltung des Bundesrates ist in Erinnerung zu rufen, dass wir auch heute schon keinen rechtsfreien Raum im Bereich der künstlichen Intelligenz haben. Die Themen, die in der gelebten Praxis heute auftauchen, lassen sich in vielen Fällen schon mit dem bestehenden Recht gut erfassen, weil das Recht in der Schweiz anders als teilweise im Ausland grundsätzlich prinzipienbasiert ausgestaltet ist. In der Diskussion wird dies allzuoft ausgeblendet oder mit Vollzugsdefiziten verwechselt. Insbesondere dem Datenschutz kommt dabei eine grosse Bedeutung zu. Er schützt Personen vor KI zwar nur dann, wenn es um die Bearbeitung ihrer Daten geht. Dies ist bei Themen der Diskriminierung, der Richtigkeit von Entscheidgrundlagen und auch teilautomatisierten Entscheiden jedoch häufig der Fall. Wo es dies nicht ist, etwa wenn es um die Täuschung durch KI-generierte Inhalte geht, können andere Bestimmungen des geltenden Rechts greifen, etwa aus dem Lauterkeitsrecht. Der EU AI Act wiederum wird unsere Gesellschaft vor sehr viel weniger Ungemach schützen, als gemeinhin angenommen wird, weil er schlicht keine allgemeine KI-Regulierung ist. Gegen eine wachsende technologische Abhängigkeit von einzelnen Marktteilnehmern hilft er zum Beispiel nicht, sondern fördert diese mitunter sogar, indem er die Markteintrittshürden erhöht. Es erscheint also durchaus als sinnvoll, noch etwas Erfahrung zu sammeln und nachzudenken, ob und wo diese Technologie zusätzlich reguliert werden sollte. 

David Rosenthal

Dieser Beitrag ist Teil einer Serie über den verantwortungsvollen Einsatz von KI im Unternehmen: Teil 1: KI am Arbeitsplatz: Die drei wichtigsten Punkte für Mitarbeitende Teil 2: Gängige KI-Tools: Wie steht es um den Datenschutz? Teil 3: KI: 11 Grundsätze – und eine Weisung für Mitarbeitende Teil 4: So beurteilen Sie Risiken von kleinen und grossen KI-Projekten Teil 5: KI-Governance im Unternehmen – wer ist verantwortlich? Teil 6: Die andere Seite der Medaille: Wo wir KI vor Angreifern schützen müssen Teil 7: Der EU AI Act – und was er für die meisten Unternehmen bedeutet  Teil 8: KI im Finanzinstitut – Chancen und Herausforderungen Teil 9: KI im Marketing: 4 wettbewerbsrechtliche Fallstricke Teil 10: Urheberrecht und KI: Verantwortlichkeit von Anbietern und Nutzern  Teil 11: Fair Play mit KI: Wie Sportorganisationen Athletendaten nutzen dürfen Teil 12: Datenfutter für KI: So gelingt die Kommerzialisierung von Datensätzen Teil 13: KI im Personalwesen  Teil 14: Urheberrecht und KI: Schutzmassnahmen in der Praxis Teil 15: Worauf rechtlich beim Einsatz von KI-Providern zu achten ist Teil 16: Wie Unternehmen beim Einsatz von KI Transparenz gewährleisten können  Teil 17: Was in einem KI-Modell steckt und wie es funktioniert Teil 18: Die wichtigsten Compliance-Vorgaben für KI Teil 19: Sprachmodelle mit und ohne personenbezogene Daten Teil 20: Risiko-basierter Ansatz: Nicht alle KI-Anwendungen bergen hohe Risiken Teil 21: Das Auskunftsrecht bei grossen Sprachmodellen Teil 22: Leitsätze für den Einsatz künstlicher Intelligenz in Finanzinstituten (FINMA) Teil 23: Schweiz: Was konkret an KI-Regulierung zu erwarten ist Teil 24: Fünf Trigger-Fragen für mehr KI-Compliance Teil 25: KI-Tools – wie es um den Schutz der Daten steht Teil 26: Training von KI: Was Urheberrecht, Datenschutz & Co. erlauben ... wird fortgesetzt

Wir unterstützen Sie bei allen Fragen zu Recht und Ethik beim Einsatz von künstlicher Intelligenz. Wir reden nicht nur über KI, sondern setzen sie auch selbst ein. Weitere Hilfsmittel und Publikationen von uns zum Thema finden Sie hier.