Ein harmloser Fehler mit grossen Folgen

Frustrated young man

Fehlende KI-Kompetenz - ein Praxisbeispiel: Lukas, 28, HR-Mitarbeiter in einem mittelständischen Unternehmen, ist genervt. 50 Bewerbungen stapeln sich auf seinem Tisch, und er soll in kürzester Zeit eine Vorauswahl treffen. Er entscheidet sich für eine schnelle Lösung: ChatGPT.

Lukas lädt fünf Bewerbungsunterlagen hoch und erhält innerhalb von Sekunden eine KI-generierte Analyse mit Stärken, Schwächen und einer Empfehlung. Effizient, denkt er. Doch als er stolz seinem Vorgesetzten davon erzählt, erntet er nur einen besorgten Blick:

“Hast du geprüft, wohin die Daten gesendet wurden?”

Lukas wird blass. Ohne es zu wissen, hat er sensible Bewerberdaten an einen Drittanbieter übermittelt – ohne Zustimmung der betroffenen Personen. Ein klarer Verstoss gegen Datenschutzrichtlinien (siehe revDSG Art. 6 und Art. 16).

Dieses Szenario ist keine Science-Fiction – es passiert täglich und sehr oft in Unternehmen. Und oft bleibt es unbemerkt, da die Mitarbeiter ihre privaten Zugänge für die AI-Plattformen nutzen.

Warum ist das ein Problem?

GenAI Plattformen Logos

Die Nutzung externer KI-Tools wie ChatGPT, Gemini, CoPilot oder DeepSeek für Unternehmensdaten birgt erhebliche Datenschutzrisiken. Drei Hauptprobleme stehen im Fokus:

1\. Verstoss gegen das revidierte Datenschutzgesetz (revDSG)

  • Personenbezogene Daten dürfen nicht ohne ausdrückliche Zustimmung verarbeitet oder weitergegeben werden.
  • KI-Anbieter speichern und nutzen oft hochgeladene Daten für Trainingszwecke.

2\. Unerlaubte Weitergabe an Drittanbieter

  • Viele populäre KI-Systeme befinden sich ausserhalb der Schweiz oder der EU, oft in den USA oder in China.
  • Ohne explizite Verträge kann dies als unzulässige Datenübermittlung gewertet werden.

3\. Sicherheitsrisiken und mögliche Datenlecks

  • Unternehmen verlieren die Kontrolle über ihre Daten durch Schatten-IT
  • Sensible Informationen könnten in falsche Hände geraten oder ungewollt veröffentlicht werden.

Was sagt das revidierte Schweizer Datenschutzgesetz (revDSG)?

Mit der Einführung des revidierten Datenschutzgesetzes (revDSG) in der Schweiz am 1. September 2023 wurden die Anforderungen an die Verarbeitung personenbezogener Daten deutlich verschärft. Besonders relevant für den Einsatz von generativer KI sind die Regelungen zu Datenkategorien und Speichervorgaben.

Das revDSG unterscheidet verschiedene Datenkategorien, die jeweils unterschiedlichen Schutzanforderungen unterliegen:

  • Normale Personendaten
  • Besonders schützenswerte Personendaten
  • Profiling-Daten
  • Hochriskantes Profiling
  • Daten von juristischen Persone
  • Daten mit Geheimhaltungspflicht
  • Öffentlich zugängliche Daten
  • Sachdaten (IoT-Daten, Sensordaten)
Übersicht der Datenkategorien im revDSG

Warum KI-Kompetenz essenziell ist

Fehlende Schulungen und unklare Richtlinien führen dazu, dass Mitarbeitende KI unkontrolliert und unbewusst falsch nutzen. Dies kann schwerwiegende Folgen haben:

  • Rechtliche Konsequenzen: Unternehmen riskieren hohe Bussgelder und Schadenersatzansprüche.
  • Reputationsschäden: Ein Datenschutzvergehen kann das Vertrauen von Kunden und Partnern nachhaltig schädigen.
  • Unkontrollierte Datenlecks: Selbst unbeabsichtigte Verstösse können langfristige Folgen für das Unternehmen haben.

Die Lösung? KI-Kompetenz aufbauen und klare Richtlinien etablieren.

GenAI-Plattformen im Datenschutz-Check

Generative KI-Modelle (GenAI) wie ChatGPT, Gemini oder Claude revolutionieren die Arbeitswelt. Sie sind auch für mich unverzichtbar geworden. Doch viele dieser Plattformen sind nicht für die Verarbeitung von personenbezogenen Daten nach dem revDSG geeignet. Unternehmen müssen daher genau prüfen, wo und wie KI-Dienste ihre Daten speichern und verarbeiten.

Die folgende Übersicht zeigt, welche GenAI-Plattformen datenschutzkonform nutzbar sind und wo besondere Vorsicht geboten ist (Spoiler: keiner der Plattformen sind unproblematisch):

Überblick: Anforderungen an GenAI-Plattformen unter revDSG

Wie können Unternehmen trotzdem GenAI-Plattformen rechtskonform nutzen?

Um Datenschutzrisiken zu minimieren, sollten Unternehmen folgende Maßnahmen ergreifen:

  • Eigene KI-Modelle auf Private Cloud oder On-Premise betreiben
  • Open-Source-Modelle wie LLaMA, Falcon oder Mistral können in einer privaten Umgebung gehostet werden (kostspielig)
  • Höchste Datenschutzkontrolle, da keine Daten an externe Anbieter übermittelt werden.
  • Technische Schutzmassnahmen einführen
  • Datenmaskierung und Pseudonymisierung vor der Verarbeitung durch KI.
  • Monitoring und Audits, um unkontrollierte Datenlecks zu verhindern.

Schweizer Unternehmen sollten bevorzugt GenAI-Modelle nutzen, die in CH/EU gehostet werden, oder eigene LLM-Lösungen einsetzen, um Datenschutz und Compliance zu gewährleisten.

Was der EU AI Act damit zu tun hat

Seit dem 2. Februar 2025 ist die AI Literacy\-Verpflichtung des EU AI Act in Kraft. Schweizer Unternehmen sind zwar nicht direkt betroffen, doch die Auswirkungen sind spürbar:

  • Internationale Standards setzen sich durch. Unternehmen, die mit EU-Partnern zusammenarbeiten, müssen sich anpassen.
  • Compliance wird zum Wettbewerbsvorteil. Firmen, die früh klare Regeln für den KI-Einsatz definieren, stärken ihr Vertrauen am Markt.

Handlungsempfehlungen: Was Unternehmen tun sollten

✅ KI-Governance einführen Klare Richtlinien und Schulungen für den verantwortungsvollen Einsatz von KI im Unternehmen.

✅ Unternehmensdaten schützen Technische Lösungen zur Datenfilterung oder zum Blockieren sensibler Informationen vor dem Hochladen.

✅ Managed AI-Lösungen nutzen Sichere Cloud-basierte Alternativen, die den Datenschutzbestimmungen entsprechen (Beispiel EmployeeGPT von Connectai.ch)

✅ Regelmässige Audits oder Assessments durchführen Überwachung, wo und wie KI genutzt wird, um Datenschutzverstösse frühzeitig zu erkennen.

Fazit: Warum Unternehmen jetzt handeln müssen

KI ist ein mächtiges Werkzeug – aber nur mit den richtigen Regeln und Kompetenzen. Unternehmen müssen jetzt handeln, bevor Mitarbeitende unwissentlich Datenschutzverstösse begehen.

Die entscheidende Frage:

Wie stellt dein Unternehmen sicher, dass Mitarbeitende KI sicher und verantwortungsbewusst nutzen?

Möchtest du wissen, wie dein Unternehmen KI effizient und sicher einsetzen kann? Lass uns darüber sprechen!