KMU brauchen beim KI-Einsatz einen Masterplan für den Datenschutz
04 August 2025 11:53
Partner
Künstliche Intelligenz (KI) ist längst kein neues Thema mehr, bietet sie doch enorme Chancen für Effizienzsteigerungen und Innovationen in Unternehmen. Gleichzeitig birgt der Einsatz von KI erhebliche Datenschutzrisiken, insbesondere wenn Mitarbeitende ohne klare interne Regelungen KI-Tools nutzen und dabei unter anderem Personendaten bearbeiten.
Datenschutzrisiken durch KI-Nutzung
Ohne eigene internen Richtlinien zur Nutzung von KI-Tools besteht das Risiko, dass Mitarbeitende solche Tools im Arbeitsalltag unkontrollierbar nutzen und dabei Personendaten in verschiedene Tools einspeisen können. Dies geschieht oftmals unbewusst, beispielsweise weil verkannt wird, dass es sich dabei um Personendaten handelt, oder der Effizienz-Nutzen für die Mitarbeitenden höher wiegen kann als ein potentielles Datenschutzrisiko. Nur rasch ein E-Mail von einer KI beantworten oder neue Reports analysieren lassen – KI ist bequem, effizient und schnell benutzt. Gibt es kein firmeninternes Login, werden grundsätzlich private Logins und kostenlose KI-Modelle verwendet, bei denen die KI-Betreiber die eingespeisten Daten für eigene Zwecke weiterverwenden können.
Hierbei stellen sich sowohl Fragen zu möglichen Verstössen gegen geltendes Datenschutzrecht, Risiken für Kunden und Mitarbeitende wie die Preisgabe von besonders sensiblen Informationen wie Lohn- oder Gesundheitsdaten sowie auch potenzielle Geschäftsgeheimnisverletzungen. In jüngster Zeit kursieren gar Medienberichte darüber, dass ChatGPT-Logs in Gerichtsfällen gegen Benutzer verwendet werden können. Es ist insbesondere zu prüfen, ob die Personendaten überhaupt für solche Zwecke verwendet und an Dritte weitergegeben werden dürfen (Spoiler: wohl meistens nicht), als auch ob ein Unternehmen den eigenen Informationspflichten in Bezug auf die Bearbeitung von Personendaten sowie der Bearbeitung von Betroffenenrechten nachkommt.
Um Datenschutzrisiken zu minimieren, sollten Unternehmen unter anderem auch technische und organisatorische Massnahmen ergreifen. Dazu gehören die Nutzung von KI in einer separaten, gesicherten IT-Umgebung und die Schulung von Mitarbeitenden im Umgang mit KI-Tools. Seit Februar 2025 sind Arbeitgeber im EU-Raum zudem dazu verpflichtet, sicherzustellen, dass ihre Mitarbeitende über ausreichende KI-Kompetenz verfügen. Dies ist auch in der Schweiz empfehlenswert. Hier haben wir vier Handlungsempfehlungen speziell für KMU zusammengestellt.
1. Schulen und sensibilisieren Sie Ihre Mitarbeitenden.
Thematisieren Sie mit Ihrem Mitarbeitenden die Nutzung von KI und verstehen Sie, ob und wie KI bereits in Ihrem Unternehmen genutzt wird. Mitarbeitende müssen geschult werden, um die Grenzen von KI zu verstehen und sicherzustellen, dass vertrauliche oder datenschutzrechtlich relevante Informationen nicht unangemessen bearbeitet werden. Dies umfasst die Sensibilisierung für die Risiken von Datenschutzverletzungen und den verantwortungsvollen Umgang mit KI und (Personen-)Daten.
2. Erstellen Sie klare interne Richtlinien.
Unternehmen sollten klare Richtlinien für den Einsatz von KI-Tools entwickeln. Diese Richtlinien sollten grundlegend bestimmen, ob die Nutzung von KI-Tools erlaubt ist, und wenn ja, welche Tools benutzt werden dürfen. Die Richtlinien sollten auf den Grundsätzen von Transparenz, Zweckbindung, Verhältnismässigkeit, Vertraulichkeit und Rechtmässigkeit basieren. Handlungsanweisungen für Mitarbeitende sind wichtig, um sicherzustellen, dass KI-Tools rechtskonform und entsprechend den unternehmenseigenen ethischen Standards eingesetzt werden.
3. Richten Sie Unternehmenskonten ein.
Für die vom Unternehmen whitelisted (A.d.R.: zugelassenen) KI-Tools sind Unternehmens-Abonnements zu erstellen, welche zwingend durch die Mitarbeitenden genutzt werden müssen.
4. Nutzen Sie den aktuellen Stand der Technik & gesunden Menschenverstand.
Technische Massnahmen wie die Voreinstellung, dass KI-Tools die (Personen-)Daten nicht für Trainingszwecke nutzen dürfen, sowie zum Beispiel das Hosting von KI-Tools auf eigenen Servern oder innerhalb der EU können helfen, Datenschutzrisiken zu minimieren. Im Zweifelsfall sind europäische KI-Modelle wie von Mistral AI zu bevorzugen, die gemäss jüngsten Studien bei datenschutzrechtlichen Aspekten besonders gut abschneiden. Auch das Unternehmen Proton hat jüngst eine eigene KI auf den Markt gebracht. Zudem sollten generierte Texte auf allfällige Urheberrechts- und Markenverletzungen sowie Falschinformationen geprüft werden. Ebenso ist zu prüfen, ob datenschutzrechtliche Risikoabschätzungen, sogenannte DPAs, vorgenommen werden müssen. In der Regel ist das der Fall.
Jeanne-Françoise Weber und Meret Sagoo sind Juristinnen (Master of Law) und haben gemeinsam die Datenschutzberatung ctrl-data in Zürich gegründet. Jeanne-Françoise Weber ist zertifizierte Datenschutzexpertin (CIPP/E) und hat viele Jahre für einen der Big Four gearbeitet – mit Schwerpunkten auf Finanzen, Automobil, Bildung und Software. Darüber hinaus ist sie über zehn Jahre in einer Zürcher Anwaltskanzlei tätig. Meret Sagoo ist sowohl zertifizierte Datenschutzexpertin (CIPP/E) als auch zertifizierte Datenschutzmanagerin (CIPM). Sie war als Datenschutzbeauftragte in Schweizer und internationalen Unternehmen und ebenso aus für einen der Big Four tätig – mit Fokus auf die Gesundheits-, Bildungs-, Überwachungs-, Maschinen- und Baubranche sowie auf internationalen Sport.
ctrl-data.ch spezialisiert sich auf die praktische und pragmatische Umsetzung von Datenschutz in Schweizer KMU. Das Team hilft Unternehmen, sich im datenschutzrechtlichen Chaos zurechtzufinden und datenschutzkonforme Prozesse zu entwickeln, die einfach zu implementieren und nachhaltig sind. Durch eine massgeschneiderte Beratung soll sichergestellt werden, dass Unternehmen nicht nur gesetzliche Vorgaben einhalten, sondern Daten auch sicher und verantwortungsbewusst bearbeiten.
