Künstliche Intelligenz und Datenschutz: DSG- und DSGVO-Konformität
Die Verbindung von Künstlicher Intelligenz und Datenschutz stellt B2B-Projekte vor grosse Herausforderungen. Da Sprachmodelle mit riesigen Datenmengen arbeiten und Benutzereingaben verarbeiten, müssen Unternehmen sicherstellen, dass personenbezogene Daten und Geschäftsgeheimnisse geschützt bleiben. In der Schweiz gilt das revidierte Datenschutzgesetz (DSG), in Europa die Datenschutz-Grundverordnung (DSGVO) und zunehmend der EU AI Act (KI-Verordnung).
Datenschutz ist damit eine der zentralen Voraussetzungen für jeden produktiven KI-Einsatz im Unternehmen und untrennbar mit der allgemeinen KI-Sicherheit verbunden. Wer die Funktionsweise eines Large Language Models versteht, erkennt schnell, warum eingegebene Daten zum Risiko werden können.
DSG, DSGVO und EU AI Act im Vergleich
Die drei massgeblichen Rechtsrahmen überschneiden sich, setzen aber unterschiedliche Schwerpunkte:
| Aspekt | Schweizer DSG | EU-DSGVO | EU AI Act |
|---|---|---|---|
| Geltungsbereich | Bearbeitung in/aus CH | EU-Bürger weltweit | KI-Systeme im EU-Markt |
| Schwerpunkt | Personendaten | Personendaten | Risiko der KI-Anwendung |
| Automatisierte Entscheide | Art. 21 (Info + Prüfung) | Art. 22 (Widerspruch) | Transparenzpflichten |
| Max. Bussgeld | bis CHF 250’000 (Person) | bis 4 % Jahresumsatz | bis 7 % Jahresumsatz |
Wer international tätig ist, sollte sich am jeweils strengsten Rahmen orientieren – in der Praxis meist der DSGVO bzw. dem AI Act.
Die primären Datenschutz-Risiken beim KI-Einsatz
Beim Einsatz von KI-Tools und der Entwicklung eigener KI-Systeme müssen drei Kernrisiken rechtlich und technisch adressiert werden:
1. Datenabfluss beim Drittanbieter-Hosting
Werden sensible Daten (z. B. Kundenprofile, Bewerbungsunterlagen oder medizinische Berichte) an Cloud-APIs übermittelt, verlassen diese Daten die eigene IT-Infrastruktur. Liegen die Server des Anbieters in den USA, kann dies ohne rechtliche Absicherungen (wie Standardvertragsklauseln) gegen das DSG verstossen.
2. Nutzung von Prompts für das Modelltraining
Viele Standard-Dienste behalten sich das Recht vor, die vom Benutzer eingegebenen Fragen (Prompts) und hochgeladenen Dokumente zu speichern und zum fortlaufenden Training zukünftiger Modellversionen zu verwenden. Gibt ein Mitarbeiter einen vertraulichen Source Code oder Geschäftsbericht ein, besteht das Risiko, dass das Modell diese Informationen später an andere Benutzer ausgibt.
3. Recht auf Auskunft und Vergessenwerden
Das DSG und die DSGVO garantieren Personen das Recht auf Auskunft über gespeicherte Daten sowie das Recht auf Löschung (Vergessenwerden). Da Daten in einem einmal trainierten neuronalen Netz in Form von Millionen Parametern untrennbar verwoben sind, ist eine selektive Löschung aus dem Modellgedächtnis technisch unmöglich.
Technische Lösungen für datenschutzkonforme KI
Unternehmen können KI-Systeme so konfigurieren, dass sie vollumfänglich compliant zu DSG und DSGVO sind. Hierfür haben sich drei Ansätze bewährt:
A. Zero-Data-Retention (ZDR) Vereinbarungen
Nutzen Sie B2B-Schnittstellen (APIs) von Anbietern, die vertraglich garantieren, dass übermittelte Daten ausschliesslich zur Beantwortung der aktuellen Anfrage genutzt werden. Die Daten dürfen nicht persistiert, nicht für das Modelltraining verwendet und müssen unmittelbar nach der Auswertung gelöscht werden (z. B. Azure OpenAI mit ZDR oder OpenAI Enterprise).
B. Anonymisierung und Pseudonymisierung
Schalten Sie der KI-Schnittstelle einen Filter vor. Dieser sucht im Benutzertext nach personenbezogenen Daten (wie Namen, Adressen oder E-Mail-Adressen) und ersetzt diese durch Platzhalter (z. B. „Herr Müller“ wird zu „[PERSON_1]“), bevor der Text an die API geschickt wird. Nach Erhalt der Antwort werden die Platzhalter lokal wieder zurückübersetzt.
C. Self-Hosted Open-Source-Modelle
Der sicherste Ansatz für hochsensible Branchen (Finanzen, Gesundheit, Verwaltung) ist das Hosten eigener Modelle. Leistungsfähige Open-Source-Modelle (wie Llama 3 oder Mistral) werden auf eigenen Servern oder bei einem datenschutzkonformen Schweizer Cloud-Provider betrieben. Es fliessen zu keinem Zeitpunkt Daten an externe Dritte ab.
Schutzmassnahmen nach Schutzbedarf wählen
Die passende Massnahme hängt von der Sensibilität der Daten ab. Die folgende Tabelle hilft bei der Einordnung:
| Schutzbedarf | Datenbeispiel | Empfohlener Ansatz |
|---|---|---|
| Gering | Öffentliche Marketing-Texte | Cloud-API (Standard) |
| Mittel | Interne Dokumentation | Cloud-API mit ZDR-Vertrag |
| Hoch | Kunden- und Personaldaten | ZDR + Anonymisierung |
| Sehr hoch | Gesundheits-/Finanzdaten | Self-Hosting (On-Premise) |
Mini-Szenario: HR-Assistent für Bewerbungen
Eine Personalabteilung möchte Bewerbungen mit KI vorsortieren. Da es sich um besonders schützenswerte Personendaten handelt, scheidet eine kostenlose Cloud-API aus. Die Lösung: ein self-hosted Modell wertet die Unterlagen aus, eine Anonymisierungsschicht entfernt Namen vor der Verarbeitung, und gemäss Art. 21 DSG trifft am Ende immer ein Mensch die Entscheidung – die KI liefert nur eine Vorauswahl. Wird das Wissen über ein RAG-System bereitgestellt, lassen sich einzelne Bewerberdaten zudem jederzeit sicher und nachvollziehbar wieder löschen.
[!IMPORTANT] Ein datenschutzkonformes Design ist die Voraussetzung für jeden produktiven KI-Einsatz in Schweizer Unternehmen. Allerate berät Sie herstellerunabhängig bei der datenschutzkonformen Systemarchitektur. Nehmen Sie Kontakt mit uns auf über allerate.dev/kontakt.
Häufig gestellte Fragen (FAQ)
Dürfen Mitarbeitende geschäftliche Daten in öffentliche KI-Tools eingeben?
Nein, in der Regel nicht ohne explizite Freigabe. Bei kostenlosen Versionen von Tools wie ChatGPT werden die Eingaben standardmässig zum Training der Modelle verwendet. Dies verletzt Geschäftsgeheimnisse und Datenschutzgesetze (DSG/DSGVO).
Was fordert das Schweizer DSG bei automatisierten Entscheidungen?
Gemäss Artikel 21 DSG müssen Unternehmen Personen informieren, wenn eine Entscheidung über sie ausschliesslich auf einer automatisierten Bearbeitung (z. B. einer KI-Vorauswahl) beruht, und ihnen das Recht einräumen, dass eine natürliche Person diese Entscheidung überprüft.
Ist RAG datenschutzfreundlicher als ein feingetuntes Modell?
In der Regel ja. Beim Fine-Tuning werden die Trainingsdaten untrennbar in die Modellgewichte eingewoben, eine selektive Löschung ist unmöglich. Bei einem RAG-System bleiben die Quelldaten in einer separaten Datenbank, lassen sich gezielt löschen und über Zugriffsrechte steuern – das erleichtert die Umsetzung des Rechts auf Vergessenwerden erheblich.
Brauche ich für KI-Einsatz eine Datenschutz-Folgenabschätzung?
Häufig ja. Sobald eine KI-Anwendung personenbezogene Daten in grossem Umfang oder zu Profiling-Zwecken verarbeitet, verlangen DSGVO (Art. 35) und das Schweizer DSG eine Datenschutz-Folgenabschätzung (DSFA). Darin werden Risiken für die Betroffenen sowie technische und organisatorische Schutzmassnahmen dokumentiert, bevor das System produktiv geht.