Datenschutzrechtliche Stolpersteine im KMU bei der Nutzung von KI

Künstliche Intelligenz (KI) ist derzeit in aller Munde und verändert die Arbeit rasant – von der Automatisierung interner Prozesse bis zu neuen datengetriebenen Geschäftsmodellen. Doch während die Technologie neue Chancen eröffnet und sich Unternehmen stellenweise gezwungen sehen auf das Thema aufzuspringen, wächst gleichzeitig auch die Unsicherheit im Umgang mit dieser Technologie.

In der Schweiz gibt es kein eigenes KI-Gesetz, sondern bislang nur einen Grundsatzentscheid.
Demnach soll es eine schlanke Lösung geben, indem bestehende Gesetze punktuell erweitert werden. Bis Ende 2026 soll es einen Gesetzesentwurf geben, der die KI-Konvention des Europarats umsetzen soll. Hintergrund dieser Entscheidung ist auch, dass viele bereits bestehende Regelungen bereits heute auch auf die KI zur Anwendung gelangen, wie z.B. das Datenschutzgesetz (DSG) – auch dieses gilt bereits heute KI gestützte Datenbearbeitungen, wenn diese Personendaten betreffen. 

Viele Unternehmen sind sich jedoch ihrer Pflichten nicht bewusst, wissen nicht wo und wie sie beim Thema KI vorgehen sollen oder unterschätzen die Risiken. Dieser Beitrag beleuchtet vier besonders relevante Stolpersteine.

1. KI-Tool‑Evaluation, um KI‑Schattenwirtschaft zu verhindern

Damit Mitarbeitende nicht ungeprüfte KI‑Dienste nutzen und so eine KI‑Schattenwirtschaft im Unternehmen entsteht, braucht es eine klare, nachvollziehbare Evaluation aller eingesetzten Tools. Der Prozess sollte sowohl technische als auch rechtliche Kriterien umfassen: Anforderungsdefinition, Datenschutzabklärung, Datenstandorte, Sicherheitsmechanismen, Integrationsfähigkeit und Transparenz. Anschliessend werden nur solche Lösungen zugelassen, die tatsächlichen einen Mehrwert im Unternehmen bringen und die die Standards erfüllen.
Wichtig ist ausserdem, dass die geprüften Tools bereitgestellt und aktiv kommuniziert bzw. sogar geschult werden. Mitarbeitende müssen wissen, welche Lösungen erlaubt sind, welche verboten sind – und warum. Diese Kombination aus sorgfältiger Auswahl und klaren Vorgaben sichert, dass Innovation im Unternehmen gefördert wird, ohne dass durch eine unkontrollierte KI‑Nutzung diverse datenschutzrechtliche Risiken entstehen oder vertrauliche Informationen (die nicht unter das DSG fallen) Dritten einfach so zugänglich gemacht werden.

2. Fehlende Transparenz

Transparenz ist ein Kernprinzip des DSG – und gleichzeitig eines der grössten Praxisprobleme.
Die betroffenen Personen müssen darüber informiert werden, ob sie mit einem Menschen oder einer Maschine kommunizieren und wie ihre eingegebenen Personendaten verarbeitet werden. In der Realität hapert es oft an genau diesem Punkt: Chatbots und Sprachmodelle werden eingesetzt, ohne klar darauf hinzuweisen, dass eine KI antwortet – für die betroffene Person ist dies ohne weiteres gerade nicht erkennbar.

Eine betroffene Person kann jedoch nur dann ihre Rechte wahrnehmen, wenn sie versteht, was mit ihren Daten geschieht, wer am anderen Ende sitzt bzw. wer eine Entscheidung getroffen hat – dies ist besonders im Zusammenhang mit dem nachfolgenden Punkt drei wichtig.

3. Automatisierte Entscheidungen ohne angemessene menschliche Kontrolle

Das revidierte DSG räumt Betroffenen ein sehr klares Überprüfungsrecht ein. Sie dürfen automatisierten Einzelentscheidungen widersprechen oder verlangen, dass die Entscheidung durch eine menschliche Instanz überprüft wird.

In der Praxis kennzeichnen Unternehmen automatisierte Entscheidungen nicht ausreichend. Besonders problematisch ist dies z. B. im HR-Bereich wenn Scoring-Prozesse eingesetzt werden. Dies sind häufig KI gestützte Verfahren, die Bewerber oder Mitarbeiter anhand definierter Kriterien und Punktzahlen (sog. Scores) bewerten. Aufgrund dieser Scores werden Bewerber dann auch stellenweise automatisiert abgelehnt.

4. Hohe Risiken ohne die notwendige Datenschutz-Folgenabschätzung (DSFA)

Eine Datenschutz-Folgenabschätzung ist obligatorisch, wenn eine KI-Bearbeitung hohe Risiken für die Persönlichkeit oder Grundrechte der Betroffenen mit sich bringen kann. In der Praxis ist aber häufig zu sehen, dass diese Datenschutz-Folgenabschätzung nicht durchgeführt werden, häufig weil es auch keinen internen Datenschutzberater gibt. Dabei macht gerade eine sauber durchgeführte DSFA deutlich, welche datenschutzrechtlichen Risiken bestehen oder nicht. Basiert auf dieser Einschätzung können dann die notwendigen Massnahmen zur Risikoreduktion ergriffen werden.
Eine DSFA ist dabei weit mehr als ein Formular, das dann in der Schublade verschwindet – Sie ist ein Risikoüberwachungsinstrument, welches in regelmässigen Abständen erneut durchgeführt werden sollte.

5. Governance, Dokumentations- und Nachweispflichten

Unternehmen sollten nachweisen können, wie sie Datenschutz und Compliance beim Einsatz von KI sicherstellen. Das umfasst eine gepflegte technische Systemdokumentation, interne Prozesse und Verantwortlichkeiten bzgl. KI, die Durchführung Risikoanalysen und DSFA, sowie die Sicherstellung das die Datenschutzerklärungen die notwendigen Informationen enthalten und das betroffene Personen z.B. bei automatisierten Entscheiden informiert werden. Auch die Führung eines KI-Verzeichnisses bietet sich am, um den Überblick nicht zu verlieren.

Viele Unternehmen verfügen über keine Dokumentation oder halten ihre KI-Dokumentation nicht aktuell. Damit fehlen bei Anfragen, Audits oder Zwischenfällen dann wichtige Informationen.

Fazit

KI-Einsatz ja – aber geplant, datenschutzrechtlich durchdacht und mit sauberer Governance.
Die Nutzung von künstlicher Intelligenz bietet enorme Chancen, schafft aber auch neue Verantwortlichkeiten. Die wichtigsten Stolpersteine liegen fast immer in den Bereichen Transparenz, Entscheidungsverantwortung, Risikoanalyse und Dokumentation.
Unternehmen, die frühzeitig klare Prozesse und KI-Governance-Strukturen schaffen, profitieren stark davon. Denn wer KI einsetzt, sollte nicht nur innovativ, sondern auch datenschutzbewusst handeln – das erwartet der Gesetzgeber, die Aufsichtsbehörde und letztlich auch ihre Mitarbeitenden und Kunden.

Möchten Sie AI sicher nutzen?

Dann verlieren Sie keine Zeit


Kontaktieren Sie Projektas

Newsletter

Digitalisierungs-Insights direkt ins Postfach

Einmal im Monat. Praxisnahe Einblicke zu Product Ownership, Projektmanagement und KI im B2B. Kein Spam.

Ähnliche Beiträge