KI und Datenschutz in der Schweiz: DSG und EU AI Act

Das seit 1. September 2023 geltende revDSG bringt für KI relevante Neuerungen: Profiling mit hohem Risiko ist besonders schützenswert (neu eingeführte Kategorie), automatisierte Einzelentscheidungen müssen auf Antrag menschlich überprüfbar sein (§ 21 DSG, ähnlich Art. 22 DSGVO), Datenschutz-Folgenabschätzungen sind bei hohem Risiko Pflicht (§ 22 DSG), erweiterte Meldepflichten bei Datenschutzverletzungen, Stärkung der Rechte betroffener Personen.

Trotz Annäherung bestehen Unterschiede: Bußgelder: DSG sieht maximal CHF 250.000 für verantwortliche Personen vor (keine Unternehmensbußen wie DSGVO). Besonders schützenswerte Personendaten: DSG-Definition ähnlich, aber nicht identisch mit DSGVO. Datenschutzbeauftragter: In der Schweiz freiwillig (außer bei bestimmten öffentlichen Stellen). Grenzüberschreitende Übermittlung: Schweiz-Angemessenheitsbeschluss der EU erleichtert Datentransfer.

Schweizer Unternehmen unterliegen dem EU AI Act, wenn sie: KI-Systeme für den EU-Markt entwickeln, KI-Systeme in der EU einsetzen, KI-Ausgaben für EU-Nutzer produzieren. Das bedeutet: Viele Schweizer KMU, die über Online-Kanäle auch EU-Kunden bedienen, fallen unter den EU AI Act. Die rein Schweiz-interne Nutzung fällt nicht unter den EU AI Act – hier gilt das DSG. Eine klare Segmentierung der Nutzergruppen hilft, den Anwendungsbereich zu bestimmen.

Empfohlenes Vorgehen: 1. Bestandsaufnahme: Welche KI-Systeme haben EU-Nutzer? 2. Für EU-relevante Systeme: EU AI Act-Compliance als Mindeststandard. 3. Für alle Systeme: DSG-Compliance (automatisch weitgehend EU AI Act-kompatibel). 4. EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) als Ansprechpartner für Datenschutzfragen. 5. Beobachtung der Schweizer KI-Regulierungsentwicklung (Framework Convention des Europarats).