KI

FAQ zur Künst­li­chen In­tel­li­genz KI

Das Wich­tigs­te in Kürze:

  • Künst­li­che In­tel­li­genz ver­än­dert Wirt­schaft und Ge­sell­schaft grund­le­gend – mit ihr ent­ste­hen aber auch kom­ple­xe Fra­gen.
  • Das neue eco­no­mie­su­is­se-FAQ lie­fert Ant­wor­ten und Ori­en­tie­rung in die­sem wich­ti­gen Thema.

Die Be­deu­tung von Künst­li­cher In­tel­li­genz (KI) für Wirt­schaft und Ge­sell­schaft nimmt ste­tig zu. Mit ihrem Ein­satz ent­ste­hen je­doch zahl­rei­che recht­li­che und prak­ti­sche Fra­ge­stel­lun­gen. Ge­mein­sam mit der An­wäl­tin Cor­ne­lia Sten­gel sowie den An­wäl­ten Luca Stäu­b­le und Jonas Tresch hat eco­no­mie­su­is­se ein FAQ er­stellt. Die­ses bie­tet einen Über­blick über zen­tra­le re­gu­la­to­ri­sche und an­wen­dungs­be­zo­ge­ne As­pek­te der KI.

Recht­li­cher Hin­weis: Diese Zu­sam­men­stel­lung dient aus­schliess­lich In­for­ma­ti­ons- und Sen­si­bi­li­sie­rungs­zwe­cken und er­setzt keine Rechts­be­ra­tung. eco­no­mie­su­is­se über­nimmt keine Haf­tung für Hand­lun­gen oder Un­ter­las­sun­gen im Zu­sam­men­hang mit der Nut­zung die­ser In­for­ma­tio­nen.

Als Er­gän­zung und Fort­füh­rung des nach­fol­gen­den FAQ fin­den Sie wei­te­re Tools und In­for­ma­tio­nen unter dem KI-Selbst­ein­schät­zungs-Tool und dem Blog von Kel­ler­hals Car­rard.

FAQ zur künst­li­chen In­tel­li­genz

Der Be­griff «KI» ist nicht ein­fach zu de­fi­nie­ren, wes­halb sich bis heute noch keine ein­heit­li­che Um­schrei­bung voll­ends durch­ge­setzt hat. Eine mög­li­che De­fi­ni­ti­on lie­fert das Eu­ro­päi­sche Par­la­ment mit der fol­gen­den For­mu­lie­rung:

«Künst­li­che In­tel­li­genz ist die Fä­hig­keit einer Ma­schi­ne, mensch­li­che Fä­hig­kei­ten wie lo­gi­sches Den­ken, Ler­nen, Pla­nen und Krea­ti­vi­tät zu imi­tie­ren.»

Bei An­wen­dungs­fäl­len von KI han­delt es sich, im Ge­gen­satz zu her­kömm­lich au­to­ma­ti­sier­ten Pro­zes­sen, nicht um vor­pro­gram­mier­te «Wenn-Dann-Sche­ma­ta», son­dern um «ler­nen­de» Al­go­rith­men. Ent­spre­chend ver­lan­gen auch die meis­ten De­fi­ni­tio­nen einen ge­wis­sen Grad an Selbst­stän­dig­keit und eine Art des Nach­emp­fin­dens mensch­li­cher Fä­hig­kei­ten.

KI-ge­stütz­te An­wen­dun­gen brin­gen zahl­rei­che Chan­cen mit sich. Mit ihnen las­sen sich ins­be­son­de­re Ef­fi­zi­enz, Pro­duk­ti­vi­tät, Ver­füg­bar­keit und Qua­li­tät er­heb­lich stei­gern (z.B. im Rah­men des Mar­ke­tings, der Kun­den­be­treu­ung oder der Com­p­li­an­ce). Auf­grund der zahl­rei­chen – und stets neuen – An­wen­dungs­be­rei­che, er­ge­ben sich mit der tech­ni­schen Wei­ter­ent­wick­lung von KI stän­dig neue Vor­tei­le.

Im Zu­sam­men­hang mit KI er­ge­ben sich Her­aus­for­de­run­gen, die nicht nur tech­ni­scher Natur sind, son­dern auch ethi­sche, wirt­schaft­li­che und recht­li­che Di­men­sio­nen be­rüh­ren. Kon­kret sind das nicht zu­letzt da­ten­schutz­recht­li­che Ri­si­ken, die Ge­fahr der Dis­kri­mi­nie­rung, die Ver­wen­dung KI-ba­sier­ter An­wen­dun­gen für wi­der­recht­li­che Tä­tig­kei­ten oder die oft­mals feh­len­de Trans­pa­renz. Die­sen Her­aus­for­de­run­gen ist an­ge­sichts einer ge­plan­ten Ver­wen­dung KI-ba­sier­ter Tech­no­lo­gie stets Rech­nung zu tra­gen.

Die Schweiz sieht ak­tu­ell (noch) keine spe­zi­fi­schen Re­ge­lun­gen für die Ent­wick­lung, den Ver­trieb oder den Ein­satz von KI-ge­stütz­ten An­wen­dun­gen vor. Al­ler­dings hat der Bun­des­rat das UVEK be­auf­tragt, bis Ende 2024 einen Be­richt vor­zu­le­gen, der mög­li­che An­sät­ze für die Re­gu­lie­rung von KI auf­zei­gen soll. Es ist also damit zu rech­nen, dass die Re­gu­lie­rung von KI auch in der Schweiz Ein­zug hal­ten wird. Offen ist, in wel­cher Form diese Re­gu­lie­rung er­fol­gen wird. Denk­bar ist zu­nächst ein «ho­ri­zon­ta­ler» bzw. bran­chen­über­grei­fen­der An­satz, wie ihn die EU mit der am 1. Au­gust 2024 in Kraft ge­tre­te­nen KI-Ver­ord­nung («AI Act») kennt. Die­ser An­satz trägt je­doch bran­chen­spe­zi­fi­schen Be­son­der­hei­ten nicht an­ge­mes­sen Rech­nung und ist daher nach Auf­fas­sung der Au­to­ren ab­zu­leh­nen. Viel­mehr soll­te ein er­geb­nis­ori­en­tier­ter An­satz ver­folgt wer­den, der nur dort re­gu­liert, wo dies auf­grund einer vor­gän­gi­gen Ri­si­ko­be­ur­tei­lung an­ge­zeigt ist.

Nein. Die Schwei­zer Rechts­nor­men sind ty­pi­scher­wei­se so aus­ge­stal­tet, dass sie un­ab­hän­gig von der ein­ge­setz­ten Tech­no­lo­gie An­wen­dung fin­den (sog. «Tech­no­lo­gie­neu­tra­li­tät»). Ein Un­ter­neh­men, das bei­spiels­wei­se An­la­ge­be­ra­tun­gen an­bie­tet, hat die ent­spre­chen­den Ge­set­ze (z.B. FID­LEG) auch dann ein­zu­hal­ten, wenn es die Fi­nanz­ana­ly­se KI-ge­stützt durch­führt. Zu­sätz­lich spie­len Quer­schnitts­ma­te­ri­en wie das Da­ten­schutz­recht auch bei KI-An­wen­dun­gen eine gros­se Rolle.

Aus­ser­dem ver­öf­fent­li­chen die Schwei­zer Be­hör­den (z.B. die FINMA oder der EDÖB) be­reits heute re­gel­mäs­sig Pra­xis­hin­wei­se und Aus­le­gungs­hil­fen, um für die Un­ter­neh­men die Rechts­si­cher­heit zu er­hö­hen.

In Fäl­len, wo der Ein­satz von ge­ne­ra­ti­ver KI (z.B. ChatGPT) ge­plant ist, stel­len sich di­ver­se Fra­gen in Bezug auf das Ur­he­ber­recht. So ist etwa für den Ent­wick­ler sol­cher An­wen­dun­gen von Be­deu­tung, wel­che Daten er als Trai­nings­da­ten ver­wen­den darf. Diese Frage be­schäf­tigt der­zeit in vie­len Län­dern die Jus­tiz und es wird sich zei­gen, ob und in­wie­fern eine ein­heit­li­che Lö­sung zu­stan­de kommt. Für den Be­trei­ber der An­wen­dung stellt sich die Frage, wel­che Daten er als In­put­da­ten, d.h. für das «Promp­ten», ver­wen­den darf. Han­delt es sich bei den In­put­da­ten um ur­he­ber­recht­lich ge­schütz­te Werke (z.B. Texte oder Bil­der), so be­darf es hier­für grund­sätz­lich einer Li­zenz. Wei­ter gilt es zu be­ach­ten, dass auch der KI-ge­ne­rier­te Out­put das Ur­he­ber­recht Drit­ter ver­let­zen kann. Diese Frage ist ins­be­son­de­re dann re­le­vant, wenn der Out­put Drit­ten zu­gäng­lich ge­macht wer­den soll. Schliess­lich stellt sich die Frage, ob bzw. unter wel­chen Vor­aus­set­zun­gen der KI-ge­ne­rier­te Out­put selbst ur­he­ber­recht­li­chen Schutz ge­niesst. Für einen ur­he­ber­recht­li­chen Schutz be­darf es einer «geis­ti­gen Schöp­fung», woran es bei durch KI-ge­ne­rier­ten Wer­ken re­gel­mäs­sig fehlt. Aus­nah­men sind denk­bar, wenn der Out­put die geis­ti­ge Schöp­fung des Be­trei­bers wi­der­spie­gelt bzw. le­dig­lich zur geis­ti­gen Schöp­fung eines Men­schen hin­zu­tritt (z.B. bei Über­set­zun­gen). An­de­re Mei­nun­gen spre­chen sich unter ge­wis­sen Be­din­gun­gen für die An­wen­dung des Ur­he­ber­rechts auf KI-An­wen­dun­gen aus. Sie ar­gu­men­tie­ren, dass die geis­ti­ge Schöp­fung auch bei KI-ge­ne­rier­tem Out­put vor­han­den ist (z.B. durch das Fest­le­gen von Pa­ra­me­tern). Auf­grund der dar­ge­leg­ten Un­si­cher­hei­ten sind Fra­gen im Ein­zel­fall unter Be­rück­sich­ti­gung der kon­kre­ten Um­stän­de zu be­ur­tei­len und wei­te­re Ent­wick­lun­gen zu be­ob­ach­ten.

Weil im Zu­sam­men­hang mit dem Ein­satz von KI-ge­stütz­ten An­wen­dun­gen re­gel­mäs­sig auch Per­so­nen­da­ten be­ar­bei­tet wer­den, ist der Ein­hal­tung des Da­ten­schutz­rechts be­son­de­re Auf­merk­sam­keit zu schen­ken – auch weil die Ver­let­zung ge­wis­ser Re­ge­lun­gen des Da­ten­schutz­ge­set­zes (neu) sank­ti­ons­be­droht ist (z.B. In­for­ma­ti­ons­pflicht).

In Fäl­len, wo KI-ge­stütz­te An­wen­dun­gen von einem Dienst­leis­ter er­bracht wer­den (z.B. Soft­ware as a Ser­vice [SaaS]), die­ser Dienst­leis­ter Zu­gang zu Per­so­nen­da­ten er­hält und diese Daten im Auf­trag sei­nes Kun­den be­ar­bei­tet, ist zudem si­cher­zu­stel­len, dass die er­for­der­li­chen Ab­klä­run­gen in Bezug auf die Ge­währ­leis­tung der Da­ten­si­cher­heit durch­ge­führt und die er­for­der­li­chen ver­trag­li­chen Re­ge­lun­gen mit dem Dienst­leis­ter ge­trof­fen wer­den (z.B. Ab­schluss eines Auf­trags­be­ar­bei­tungs­ver­trags).

Falls KI-ge­stütz­te An­wen­dun­gen dazu ein­ge­setzt wer­den, um (Ge­schäfts-)Ent­schei­dun­gen zu tref­fen, ist je­weils zu prü­fen, ob es sich dabei um eine «au­to­ma­ti­sier­te Ein­zel­ent­schei­dung» im Sinne des Da­ten­schutz­ge­set­zes han­delt. Eine sol­che liegt vor, wenn die Ent­schei­dung aus­schliess­lich auf einer au­to­ma­ti­sier­ten Be­ar­bei­tung von Per­so­nen­da­ten be­ruht und eine ge­wis­se Kom­ple­xi­tät auf­weist (z.B. Se­lek­ti­on von Stel­len­be­wer­bern oder Kre­di­tent­scheid). Das Vor­lie­gen einer sol­chen Ent­schei­dung kann be­son­de­re In­for­ma­ti­ons­pflich­ten mit sich brin­gen.

Dar­über hin­aus sind in der Pra­xis oft wei­te­re sek­t­o­ri­ell gel­ten­de Be­stim­mun­gen zu be­ach­ten, wel­che an­hand der Um­stän­de, in der die KI-An­wen­dung statt­fin­det, zu­nächst iden­ti­fi­ziert wer­den müs­sen.

Der Ein­satz von KI-An­wen­dun­gen kann rasch recht­li­che Kon­se­quen­zen nach sich zie­hen. Dies zeig­te auch der Pro­zess zwi­schen SVP-Na­tio­nal­rat An­dre­as Glar­ner und Na­tio­nal­rä­tin Sibel Ars­lan (Grüne). An­dre­as Glar­ner ver­öf­fent­lich­te ein mit­hil­fe von KI mo­di­fi­zier­tes Video der Na­tio­nal­rä­tin, wie sie u.a. dazu auf­ruft, den SVP-Na­tio­nal­rat zu wäh­len. Na­tio­nal­rä­tin Sibel Ars­lan hat im An­schluss recht­li­che Schrit­te ein­ge­lei­tet und Recht er­hal­ten.

Um ne­ga­ti­ven Fol­gen vor­zu­beu­gen, soll­te vor dem Ein­satz einer KI-An­wen­dung stets eine Ri­si­ko­ana­ly­se er­fol­gen. Dabei ist unter an­de­rem zu prü­fen, ob die An­wen­dung zu­ver­läs­si­ge, nicht-dis­kri­mi­nie­ren­de Re­sul­ta­te lie­fert, ob der An­bie­ter der frag­li­chen An­wen­dung die Da­ten­si­cher­heit ge­währ­leis­ten kann und ob die Nut­zungs­rech­te an den all­fäl­li­gen Input- und Out­put-Daten ge­re­gelt sind. Wei­te­re Punk­te, die mit dem An­bie­ter zu re­geln sind, be­tref­fen ins­be­son­de­re die Ge­heim­hal­tung in Bezug auf Ge­schäfts­ge­heim­nis­se sowie Haf­tungs­fra­gen.

Es emp­fiehlt sich, ein Ver­zeich­nis über die KI-An­wen­dun­gen zu füh­ren, die im Un­ter­neh­men im Ein­satz sind. Darin kön­nen etwa die in­ter­nen Zu­stän­dig­kei­ten und die ge­trof­fe­nen (ver­trag­li­chen) Mass­nah­men (z.B. in Bezug auf die Da­ten­si­cher­heit) fest­ge­hal­ten wer­den. Ein sol­ches Ver­zeich­nis lässt sich ggfs. auch in ein all­fäl­li­ges vor­be­ste­hen­des Ver­zeich­nis über die Be­ar­bei­tung von Per­so­nen­da­ten («Be­ar­bei­tungs­ver­zeich­nis») in­te­grie­ren.

Schliess­lich soll­te ge­prüft wer­den, ob der Ein­satz der KI-An­wen­dung vom Gel­tungs­be­reich des AI Act er­fasst ist. Soll­te Un­si­cher­heit be­tref­fend die Rolle ihres Un­ter­neh­mens unter dem AI Act be­ste­hen, be­su­chen Sie das KI-Selbst­ein­schät­zungs-Tool. Unter Um­stän­den – ins­be­son­de­re beim Ein­satz von «Hoch­ri­si­ko-KI-Sys­te­men» – un­ter­liegt Ihr Un­ter­neh­men stren­gen Com­p­li­an­ce-An­for­de­run­gen.

a. Was ist der Zweck und der Re­ge­lungs­in­halt des EU AI Act?

Mit dem AI Act (in Kraft seit 1. Au­gust 2024) be­ab­sich­tigt die EU, die Ent­wick­lung und den Ein­satz von KI-Sys­te­men zu för­dern und gleich­zei­tig die Ri­si­ken für die Ge­sund­heit, Si­cher­heit und Grund­rech­te zu mi­ni­mie­ren.

Der AI Act ver­folgt einen ri­si­ko­ba­sier­ten An­satz zur Re­gu­lie­rung von KI-Sys­te­men. Wie hoch das Ri­si­ko im Ein­zel­fall ist und wel­che Ver­pflich­tun­gen ent­spre­chend ein­ge­hal­ten wer­den müs­sen, gilt es im De­tail ab­zu­klä­ren.

Der AI Act un­ter­schei­det grund­sätz­lich zwi­schen den fol­gen­den Ri­si­ko­ka­te­go­ri­en:

  • Ver­bo­te­ne KI-Prak­ti­ken (z.B. So­ci­al Scoring): Sol­che KI-Sys­te­me dürf­ten nicht ein­ge­setzt wer­den.
  • Hoch­ri­si­ko-KI-Sys­te­me: Sol­che KI-Sys­te­me un­ter­lie­gen spe­zi­fi­schen An­for­de­run­gen im Rah­men eines Ri­si­ko­ma­nage­ment­sys­tems. Die ent­spre­chen­den Pflich­ten tref­fen pri­mär die An­bie­ter des KI-Sys­tems. Ei­ni­ge Pflich­ten adres­sie­ren hin­ge­gen auch die Be­trei­ber des Sys­tems.
  • KI-Sys­te­me mit be­grenz­tem Ri­si­ko: Ins­be­son­de­re KI-Sys­te­me, die mit be­trof­fe­nen Per­so­nen in­ter­agie­ren (z.B. Chat­bots) sowie ge­ne­ra­ti­ve KI-Sys­te­me un­ter­lie­gen ge­wis­sen Trans­pa­renz­pflich­ten.
  • KI-Sys­te­me mit mi­ni­ma­lem Ri­si­ko: Sie sind vom Gel­tungs­be­reich des AI Act aus­ge­nom­men.

Der AI Act ist am 1. Au­gust 2024 in Kraft ge­tre­ten, sieht für die Um­set­zung der Vor­ga­ben je­doch ver­schie­den Über­gangs­fris­ten vor: Für die Re­ge­lung zu den ver­bo­te­nen KI-Prak­ti­ken gilt eine kurze Über­gangs­frist von sechs Mo­na­ten. Die Um­set­zung der An­for­de­run­gen an Hoch­ri­si­ko-KI-Sys­te­me hat in­ner­halb von 36 Mo­na­ten zu er­fol­gen. Für die üb­ri­gen Vor­ga­ben gilt eine Frist von 24 Mo­na­ten.

b. Für wen gilt der AI Act grund­sätz­lich?

Der AI Act er­fasst pri­mär An­bie­ter und Be­trei­ber von KI-Sys­te­men. Als An­bie­ter gel­ten Per­so­nen bzw. Un­ter­neh­men, die AI-Sys­te­me ent­wi­ckeln und auf den EU-Markt brin­gen; als Be­trei­ber gel­ten Per­so­nen bzw. Un­ter­neh­men, wel­che sol­che Sys­te­me in ei­ge­ner Ver­ant­wor­tung ver­wen­den. Der per­sön­li­che, nicht-be­ruf­li­che Be­reich ist hin­ge­gen nicht er­fasst.

c. Gilt der AI Act auch für Per­so­nen bzw. Un­ter­neh­men in der Schweiz?

Der AI Act hat – wie die DSGVO – einen ex­tra­ter­ri­to­ria­len Gel­tungs­be­reich. Das be­deu­tet, dass auch An­bie­ter und Be­trei­ber von KI-Sys­te­men in Dritt­staa­ten wie der Schweiz von der Ver­ord­nung er­fasst wer­den kön­nen, wenn das be­tref­fen­de KI-Sys­tem in­ner­halb der EU ge­nutzt wird oder das vom KI-Sys­tem er­zeug­te Er­geb­nis («Out­put») in­ner­halb der EU ver­wen­det wird.

Un­ter­neh­men in der Schweiz wer­den mit Blick auf die von ihnen ein­ge­setz­ten KI-Sys­te­me im Ein­zel­fall prü­fen müs­sen, ob ein sol­cher «Link» zum EU-Raum ge­ge­ben ist. Be­su­chen Sie hier­zu das KI-Selbst­ein­schät­zungs-Tool.

Ich bin für die Wer­be­kam­pa­gne eines neuen Pro­dukts ver­ant­wort­lich und möch­te durch die Ver­wen­dung einer ge­ne­ra­ti­ven KI-An­wen­dung ein Pla­kat mit Bild und Wer­be­slo­gan er­stel­len. Was muss ich dabei be­ach­ten?

Zu­nächst soll­te be­triebs­in­tern ab­ge­klärt wer­den, ob spe­zi­fi­sche Richt­li­ni­en für die Be­schaf­fung und/oder den Ein­satz von KI-An­wen­dun­gen exis­tie­ren. Falls nicht, soll­te das Pro­jekt als An­lass ge­nom­men wer­den, eine zweck­mäs­si­ge AI Go­ver­nan­ce im Un­ter­neh­men zu im­ple­men­tie­ren, wozu ins­be­son­de­re das Fest­le­gen von Ver­ant­wort­lich­kei­ten und Pro­zes­sen ge­hört (Stich­wort «Wei­sungs­we­sen»).

Bei der Aus­wahl des Dienst­leis­ters der KI-An­wen­dung soll­ten unter an­de­rem fol­gen­de Punk­te zwin­gend be­ach­tet wer­den:

  • Räumt der Dienst­leis­ter un­se­rem Un­ter­neh­men die not­wen­di­gen Im­ma­te­ri­al­gü­ter­rech­te bzw. das Recht zur kom­mer­zi­el­len Nut­zung des von der KI-An­wen­dung ge­ne­rier­ten Out­puts (Pla­kat-De­sign, Slo­gan etc.) ein?
  • Falls im Rah­men der Nut­zung der KI-An­wen­dung Per­so­nen­da­ten (z.B. von un­se­ren Kun­den oder Mit­ar­bei­ten­den) als In­put­da­ten er­for­der­lich sind: Ge­währ­leis­tet der Dienst­leis­ter die Da­ten­si­cher­heit (Ver­trau­lich­keit, In­te­gri­tät und Ver­füg­bar­keit der be­trof­fe­nen Per­so­nen­da­ten) und be­steht ein schrift­li­cher Auf­trags­be­ar­bei­tungs­ver­trag (sog. «ADV») nach Mass­ga­be des an­wend­ba­ren Da­ten­schutz­rechts (DSG und ggfs. DSGVO)?
  • Falls un­se­re Ge­schäfts­da­ten (z.B. Know-how) als In­put­da­ten er­for­der­lich sind: Ge­währ­leis­tet der Dienst­leis­ter die Ge­heim­hal­tung in Bezug auf un­se­re Ge­schäfts­ge­heim­nis­se?

Falls in Bezug auf den Ein­satz der KI-An­wen­dung der AI Act zur An­wen­dung ge­lan­gen soll­te (vgl. oben Frage 8; z.B. weil die Kam­pa­gne auch in der EU durch­ge­führt wird und somit der Out­put in der EU ver­wen­det wird), gilt Fol­gen­des: Falls es sich beim Pla­kat um einen Bild­in­halt han­delt, der einen sog. «De­epfake» (d.h. täu­schend echt wir­ken­des Bild­ma­te­ri­al) dar­stellt, ist of­fen­zu­le­gen, dass die­ser In­halt künst­lich er­zeugt oder ma­ni­pu­liert wurde. Diese In­for­ma­ti­on muss den be­trof­fe­nen na­tür­li­chen Per­so­nen (d.h. im Falle der Wer­be­kam­pa­gne der Öf­fent­lich­keit) spä­tes­tens im Zeit­punkt der ers­ten Dar­stel­lung in kla­rer und er­kenn­ba­rer Weise zur Kennt­nis ge­bracht wer­den.

Für Un­ter­neh­men in der Schweiz, die nicht unter den AI Act fal­len, sieht das gel­ten­de schwei­ze­ri­sche Recht keine ex­pli­zi­te Pflicht vor, einen ent­spre­chen­den Hin­weis an­zu­brin­gen. Falls also die Wer­be­kam­pa­gne aus­schliess­lich an Per­so­nen in der Schweiz ge­rich­tet ist, dürf­te der AI Act nicht an­wend­bar sein. Al­ler­dings ver­langt der EDÖB von den Un­ter­neh­men, dass der Ein­satz von Sys­te­men, die De­epfakes er­mög­li­chen, den be­trof­fe­nen Per­so­nen ge­gen­über stets deut­lich er­kenn­bar ge­macht wird. Zudem kön­nen auch lau­ter­keits­recht­li­che Vor­ga­ben eine Kenn­zeich­nung er­for­der­lich ma­chen.

Ich bin für die Be­schaf­fung und Ein­füh­rung eines be­triebs­ei­ge­nen KI-Sys­tems ver­ant­wort­lich, wel­ches im Rah­men un­se­res Re­kru­tie­rungs­pro­zes­ses eine KI-un­ter­stütz­te Vor­aus­wahl der ein­ge­reich­ten Be­wer­bun­gen aus Deutsch­land, Liech­ten­stein und der Schweiz vor­nimmt, uns pas­sen­de Pro­fi­le vor­schlägt und die Be­wer­ber und Be­wer­be­rin­nen über den wei­te­ren Re­kru­tie­rungs­pro­zess in­for­miert. Die üb­ri­gen Be­wer­bun­gen er­hal­ten au­to­ma­tisch einen ne­ga­ti­ven Be­scheid. Ob­lie­gen uns be­son­de­re Pflich­ten?

Um all­fäl­li­ge Pflich­ten mit Blick auf den al­len­falls an­wend­ba­ren AI Act zu eru­ie­ren, be­darf es an­fäng­lich fol­gen­der Prü­fung: (1) Die Rolle Ihres Un­ter­neh­mens im Rah­men der KI-An­wen­dung, (2) Das Vor­han­den­sein des er­for­der­li­chen EU-Be­zugs und (3) Die Ri­si­ko­ka­te­go­rie der KI-An­wen­dung. Da es sich beim AI Act um ein kom­ple­xes Re­gel­werk han­delt, ist der Bei­zug von Rechts­ex­per­ten zur Be­ur­tei­lung die­ser Fra­gen emp­feh­lens­wert.

  • 1. Als An­bie­ter gilt und da­durch dem AI Act un­ter­stellt ist ins­be­son­de­re, wer ein KI-Sys­tem ent­wi­ckelt oder ent­wi­ckeln lässt und es unter ei­ge­nem Namen oder ei­ge­ner Han­dels­mar­ke (in der EU) in Ver­kehr setzt oder in Be­trieb nimmt. Falls die KI-An­wen­dung nach den spe­zi­fi­schen Be­dürf­nis­sen und den In­struk­tio­nen Ihres Un­ter­neh­mens von einem Drit­ten ent­wi­ckelt wird, dürf­te die Ent­wick­ler­tä­tig­keit Ihrem Un­ter­neh­men zu­ge­rech­net wer­den. An­de­rer­seits kann, falls Ihr Un­ter­neh­men ein be­ste­hen­des KI-Sys­tem «ein­kauft» bzw. nur in Bezug auf des­sen Dar­stel­lung an das Cor­po­ra­te De­sign an­passt, der Stand­punkt ver­tre­ten wer­den, dass damit keine Ent­wick­ler­tä­tig­keit vor­liegt. Ob­wohl die Rolle als An­bie­ter ohne eine In­ver­kehrset­zung oder In­be­trieb­nah­me in der EU ge­mäss AI Act streng ge­nom­men nicht vor­ge­se­hen ist, wi­der­spricht die­ser Wort­laut dem kla­ren Wil­len des eu­ro­päi­schen Ge­setz­ge­bers, auch «An­bie­ter und Be­trei­ber» aus Dritt­staa­ten dem AI Act zu un­ter­stel­len, «wenn die vom KI-Sys­tem her­vor­ge­brach­te Aus­ga­be in der Union ver­wen­det wird». Auf­grund der Dif­fe­renz zwi­schen Wort­laut und Wille des Ge­setz­ge­bers, soll­te vor­sichts­hal­ber davon aus­ge­gan­gen wer­den, dass auch Un­ter­neh­men, die ein KI-Sys­tem aus­ser­halb der EU unter ei­ge­nem Namen bzw. ei­ge­ner Han­dels­mar­ke in Ver­kehr set­zen oder in Be­trieb neh­men, als An­bie­ter gel­ten, so­lan­ge die Aus­ga­be bzw. der Out­put des KI-Sys­tems in der EU ver­wen­det wird.
  • 2. Im vor­lie­gen­den Fall soll das KI-Sys­tem ge­mäss sei­nen Zweck­be­stim­mun­gen ein­ge­gan­ge­ne Be­wer­bun­gen prü­fen, ge­eig­ne­te Be­wer­bun­gen vor­schla­gen und ohne wei­te­res mensch­li­ches Zutun Be­wer­be­rin­nen und Be­wer­ber über einen po­si­ti­ven oder ne­ga­ti­ven Be­scheid in­for­mie­ren. Es ist davon aus­zu­ge­hen, dass mit der er­folg­rei­chen Kom­mu­ni­ka­ti­on des Be­scheids ein «Ver­wen­den» der Aus­ga­be bzw. des Out­puts des KI-Sys­tems in der EU ge­ge­ben ist und ein aus­rei­chen­der EU-Bezug vor­liegt. Durch die dar­ge­leg­te Ver­wen­dung der Aus­ga­be bzw. des Out­puts des KI-Sys­tems in der EU sind die Vor­aus­set­zun­gen für die Rolle als An­bie­ter ge­ge­ben und ent­spre­chen­de Pflich­ten sind zu be­ach­ten.
  • 3. Wie um­fas­send die Pflich­ten Ihres Un­ter­neh­mens als An­bie­ter eines KI-Sys­tems letzt­end­lich sind, hängt nicht zu­letzt von der ein­schlä­gi­gen Ri­si­ko­ka­te­go­rie ab. Den An­bie­tern von Hoch­ri­si­ko-KI-Sys­te­men ob­lie­gen die um­fas­sends­ten Pflich­ten. Als Fall­grup­pe von Hoch­ri­si­ko-KI-Sys­te­men nennt der AI Act unter an­de­rem Sys­te­me, die für die Ein­stel­lung oder Aus­wahl na­tür­li­cher Per­so­nen ver­wen­det wer­den sol­len und dabei Be­wer­bun­gen sich­ten und fil­tern. Vor­lie­gend ist genau das die vor­ge­se­he­ne Auf­ga­be des KI-Sys­tems. Folg­lich han­delt es sich beim ge­plan­ten KI-Sys­tem um ein Hoch­ri­si­ko-KI-Sys­tem, womit Ihr Un­ter­neh­men um­fas­sen­de Vor­ga­ben und Pflich­ten (z.B. Ri­si­ko­ma­nage­ment, Data Go­ver­nan­ce, tech­ni­sche Do­ku­men­ta­ti­on, mensch­li­che Auf­sicht, Cy­ber­si­cher­heit, Kon­for­mi­täts­be­wer­tung) ein­zu­hal­ten hat. Für die Si­cher­stel­lung der Com­p­li­an­ce bleibt auf­grund der Über­gangs­fris­ten zwar noch Zeit, je­doch soll­te für die Um­set­zung der ent­spre­chen­den Mass­nah­men (Fest­le­gen von Ver­ant­wort­lich­kei­ten und Pro­zes­sen) aus­rei­chend Zeit ein­ge­plant wer­den.

Dar­über hin­aus fin­det im Rah­men der KI-An­wen­dung eine DSG- bzw. DSGVO-re­le­van­te Da­ten­be­ar­bei­tung statt. Das KI-Sys­tem ana­ly­siert ein­ge­reich­te Be­wer­bun­gen – und damit Per­so­nen­da­ten – und ent­schei­det ohne wei­te­res mensch­li­ches Zutun, ob die Be­wer­bung an Sie wei­ter­ge­lei­tet oder ein ne­ga­ti­ver Be­scheid an den Be­wer­ber bzw. die Be­wer­be­rin ver­sen­det wird. Bei Da­ten­be­ar­bei­tun­gen, die au­to­ma­ti­sier­te Ein­zel­ent­schei­dun­gen be­inhal­ten, sind unter Um­stän­den be­son­de­re Vor­ga­ben zu be­ach­ten (z.B. In­for­ma­ti­on über das Recht auf «mensch­li­ches Gehör» und das Recht zur Stel­lung­nah­me). Wei­te­re Pflich­ten blei­ben vor­be­hal­ten.

Ich bin für die Be­schaf­fung und Ein­füh­rung eines Chat­bots auf un­se­rer Web­sei­te ver­ant­wort­lich. Der Chat­bot soll den Nut­ze­rin­nen und Nut­zern aus der Schweiz und dem Aus­land Aus­künf­te zu un­se­ren Pro­duk­ten und Dienst­leis­tun­gen er­tei­len und ein­fa­che Fra­gen dazu be­ant­wor­ten. Was muss ich hier­bei aus re­gu­la­to­ri­scher Sicht be­ach­ten? Die Im­ple­men­tie­rung des Chat­bots auf der Web­sei­te, die (auch) auf Nut­ze­rin­nen und Nut­zer im EU-Aus­land aus­ge­rich­tet ist, dürf­te vor­lie­gend wohl zur An­wen­dung des AI Act füh­ren (vgl. zu den Vor­aus­set­zun­gen Fall­bei­spiel II).

Ein Chat­bot stellt per se kein Hoch­ri­si­ko-KI-Sys­tem dar, wes­halb die ent­spre­chen­den An­bie­ter und Be­trei­ber nicht um­fas­sen­den Vor­ga­ben und Pflich­ten un­ter­ste­hen. Al­ler­dings haben auch sie ge­wis­se An­for­de­run­gen, ins­be­son­de­re in Bezug auf die Trans­pa­renz, zu er­fül­len. Der AI Act schreibt vor, dass Per­so­nen über die Tat­sa­che, dass sie mit einem KI-Sys­te­men in­ter­agie­ren, in­for­miert wer­den müs­sen – so­fern dies nicht auf­grund der Um­stän­de of­fen­sicht­lich ist. Diese Pflicht trifft je­doch le­dig­lich An­bie­ter, nicht aber den Be­trei­ber. Falls Ihr Un­ter­neh­men den Chat­bot selbst ent­wi­ckelt oder ent­wi­ckeln lässt, müs­sen Sie im Rah­men der Kon­zi­pie­rung und Ent­wick­lung eine ent­spre­chen­de In­for­ma­ti­on vor­se­hen. Kau­fen Sie den Chat­bot hin­ge­gen als «Stan­dard­lö­sung» bei einem Drit­ten ein, dürf­te Ihr Un­ter­neh­men unter ge­wis­sen Be­din­gun­gen le­dig­lich als Be­trei­ber des KI-Sys­tems qua­li­fi­ziert werde und ent­spre­chend nicht der Trans­pa­renz­pflicht un­ter­lie­gen.

Ab wann genau eine Ent­wick­lungs­tä­tig­keit und damit eine An­bie­ter­ei­gen­schaft im Sinne des AI Act vor­liegt, ist (noch) nicht ab­schlies­send klar. Der Frage, in­wie­fern ein «Stan­dard-Chat­bot» eines An­bie­ters auf die in­di­vi­du­el­len Be­dürf­nis­se eines Un­ter­neh­mens an­ge­passt wer­den kann, ohne dass das Un­ter­neh­men in­fol­ge die­ser An­pas­sun­gen selbst zum An­bie­ter wird, dürf­te je­doch eine er­heb­li­che prak­ti­sche Be­deu­tung zu­kom­men. Es be­ste­hen zahl­rei­che Mög­lich­kei­ten, ein KI-Sys­tem auf die in­di­vi­du­el­len Be­dürf­nis­se eines Un­ter­neh­mens an­zu­pas­sen (z.B. Vor­ga­be von «Prompts», Trai­ning auf spe­zia­li­sier­te Daten [sog. «Fi­n­etu­ning»] oder Ein­satz von ab­fra­ge­ba­sier­ten Mo­del­len [sog. «Re­trie­val-Aug­men­ted Ge­ne­ra­ti­on»]). Ent­schei­dend dürf­te sein, ob durch die An­pas­sun­gen das KI-Sys­tem als sol­ches (wei­ter-)ent­wi­ckelt wird. Das könn­te beim Fi­n­etu­ning der Fall sein, weil dies­falls in das dem Sys­tem zu­grund­lie­gen­de Mo­dell ein­ge­grif­fen wird. An­ders könn­te hin­ge­gen beim RAG ar­gu­men­tiert wer­den, weil hier­bei nicht das KI-Sys­tem selbst, son­dern le­dig­lich die Daten, auf wel­che im Rah­men der KI-An­wen­dung zu­rück­ge­grif­fen wer­den kann, an­ge­passt wer­den.

Vor der Be­schaf­fung und Ein­füh­rung des Chat­bots soll­te – ge­ge­be­nen­falls ge­mein­sam mit dem An­bie­ter – die Frage nach der An­bie­ter­ei­gen­schaft und der Wahr­neh­mung ent­spre­chen­der Pflich­ten ge­klärt wer­den. Der Chat­bot soll­te nach sei­ner Im­ple­men­tie­rung nicht ohne vor­gän­gi­ge Ab­spra­che mit dem Rechts­dienst an­ge­passt wer­den, weil sol­che An­pas­sun­gen unter Um­stän­den zu einer Än­de­rung der Rolle des Un­ter­neh­mens (Be­trei­ber wird zum An­bie­ter) und damit zu zu­sätz­li­chen Pflich­ten füh­ren kön­nen. Um in Bezug auf die im Un­ter­neh­men ein­ge­setz­ten KI-An­wen­dun­gen und die je­wei­li­ge Rolle des Un­ter­neh­mens Klar­heit zu schaf­fen, ist das Füh­ren eines Ver­zeich­nis­ses emp­feh­lens­wert. Die­ses kann nebst Use Case und Rolle bzw. Pflich­ten unter dem AI Act auch An­ga­ben zum je­wei­li­gen Sys­tem-Eig­ner, Ver­trä­gen mit Drit­ten, Da­ten­be­ar­bei­tun­gen und Ri­si­ko­be­ur­tei­lun­gen ent­hal­ten.

Schliess­lich ist auch hier der Er­lass von Wei­sun­gen und/oder Nut­zungs­hin­wei­sen in Bezug auf die Ver­wen­dung von KI-Sys­te­men bzw. des Chat­bots hilf­reich, um Com­p­li­an­ce si­cher­zu­stel­len und die Mit­ar­bei­ten­den zu sen­si­bi­li­sie­ren.