Inhalt

Im Unterschied zur EU mit dem EU AI Act kennt die Schweiz (noch) keine KI-spezifische Gesetzgebung. Auch wenn eine vom Bundesrat beauftragte Arbeitsgruppe bis Ende 2024 mögliche Ansätze zur Regulierung von KI aufzeigen soll: Viele Fragen im täglichen Umgang mit KI wollen heute bereits beantwortet sein. Dies betrifft insbesondere Datenschutzfragen beim Einsatz von KI in der Bildung.

In diesem Zusammenhang ist es wichtig zu betonen, dass der Datenschutz in der Schweiz nicht auf einzelne Technologien ausgerichtet ist. Auch wenn KI also neue Möglichkeiten eröffnet und Herausforderungen mit sich bringt, die eine potenzielle Neubeurteilung der derzeit geltenden Regelungen erfordert, muss und kann man sich bei Datenschutzfragen auf die derzeit geltenden Grundsätze und Pflichten abstützen. Für Bundesorgane und Private (Personen und Unternehmen) sind dies die Regelungen im Bundesgesetz über den Datenschutz (DSG). Die kantonalen Verwaltungen unterliegen hingegen jeweils ihrem eigenen kantonalen Datenschutzgesetz.

KI als Herausforderung für den Datenschutz

KI-Systeme werden immer dann zu einer Herausforderung für den Datenschutz, wenn damit Personendaten bearbeitet werden. Die Bearbeitung von Personendaten kann dabei zu unterschiedlichen Zeitpunkten im KI-Lebenszyklus erfolgen. So zum Beispiel, wenn Personendaten:

  • als Trainingsdaten für ein KI-System verwendet werden;
  • zur Kontextualisierung eines bestehenden KI-Systems verwendet werden;
  • von Nutzenden als Inputdaten in ein KI-System eingegeben werden;
  • vom KI-System als Outputdaten an Nutzende ausgegeben werden.

Generell stellt vor allem die mangelnde Transparenz bezüglich der Funktionsweise von KI-Systemen ein ernsthaftes Problem dar. Die «Arbeitsweise» dieser Systeme ist für die Nutzenden kaum ausreichend erklärbar bzw. nachvollziehbar. Es bleibt per se unklar, welchen Weg das KI-System wählt, um aus den Inputdaten einen Output zu generieren. Im Zusammenhang mit KI wird daher oft von der Blackbox-Problematik gesprochen. Besonders mit Blick auf den Datenschutz sind Nutzerinnen und Nutzer herausgefordert. Wenn nämlich der Lebenszyklus der von einem KI-System bearbeiteten Daten nicht klar nachvollzogen werden kann, ist es für Institutionen oder Individuen, die diese KI-Systeme für ihre Dienste nutzen, schwierig, die Einhaltung der Grundsätze des Datenschutzes zu gewährleisten und den damit verbundenen Pflichten in vollem Umfang nachzukommen.

Gibt beispielsweise eine Lehrperson persönliche Daten von Lernenden an ein KI-System weiter, drängen sich zweifellos datenschutzrechtliche Überlegungen auf. In diesem konkreten Fall und auch aufgrund der öffentlichen Funktion von Lehrpersonen gelten die Bestimmungen für öffentliche Organe. Unabhängig davon, ob es sich um ein Bundes- oder ein Kantonsorgan handelt, muss das Legalitätsprinzip beachtet werden. Konkret: Da die Weitergabe von Personendaten eine Form der Datenbearbeitung darstellt, setzt diese eine rechtliche Grundlage voraus. Bevor Personendaten also an ein KI-System weitergegeben werden, hat sich die Lehrperson zu vergewissern, dass die betreffende Rechtsgrundlage den Einsatz des jeweiligen KI-Systems auch erlaubt.

Einsatz von KI-Systemen: was ist zu beachten?

Das obige Beispiel zeigt: Datenschutzrechtliche Überlegungen kommen immer dann ins Spiel, wenn ein KI-System Personendaten verarbeitet. Daher empfiehlt es sich, Personendaten bei der Nutzung von KI wenn immer möglich vorgängig zu entfernen.

Ist für den Mehrwert der KI-Nutzung der Einbezug von Personendaten zentral (z.B. bei individualisiertem Feedback), muss im Einzelfall geprüft werden, ob der Einsatz eines KI-Systems gesetzeskonform ist. Durch diese Prüfung der Konformität eines KI-Systems soll die Einhaltung der geltenden datenschutzrechtlichen Grundsätze und Pflichten gewährleistet und die im Zusammenhang mit dem Datenschutz zentrale «Risikominimierung» vorgenommen werden.

Um einen verantwortungsvollen Umgang mit KI-Systemen zu gewährleisten, ist es daher notwendig, dass sich die verantwortlichen Akteure (z.B. Bildungsinstitutionen) einen möglichst vollständigen Überblick über das jeweilige KI-System verschaffen. Dabei ist es wichtig, folgende Fragen zu klären.

Werden Personendaten bearbeitet und wenn ja welche Art von Personendaten? 

Insbesondere wenn KI-Systeme besonders schützenswerte Personendaten bearbeiten, ist zu prüfen, ob die allgemeinen Bestimmungen dieser Gesetze dafür ausreichen (vgl. dazu «Rechtliche Auslegeordnung zu KI im Bildungsraum»). Je nach gesetzlichem Rahmen ist entsprechend zu prüfen, ob eine Datenschutz-Folgenabschätzung DSFA durchzuführen ist. Dies ist beispielsweise dann der Fall, wenn die Bearbeitung von Personendaten ein potenziell hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen darstellt Im Zusammenhang mit KI dürfte dies die Regel sein.

Was ist der Verwendungszweck des KI-Systems?  

Hier ist u.a. zu prüfen, ob die Verwendung im Einklang mit der Zweckbindung allfälliger bearbeiteter Personendaten ist. Darüber hinaus können z.B. beim Einsatz eines KI-Systems zum Zweck der automatisierten Entscheidungsfindung weitere datenschutzrechtliche Verpflichtungen wie eine Informationspflicht ergeben (vgl. dazu «Rechtliche Auslegeordnung zu KI im Bildungsraum»). Damit sich auch intern keine Fehler beim der Verwendung von KI-Systemen einschleichen, kann es sinnvoll sein, den Einsatz dieser KI-Systeme intern klar zu regeln. Auch regelmässige interne Schulungs- und Sensibilisierungsveranstaltungen beugen möglichen Fehlern und damit potenziell verbundenen Datenschutzverletzungen vor.

Wie sieht der Datenlebenszyklus im Zusammenhang mit dem KI-System aus? 

Es muss analysiert werden, wo die Daten während dem Einsatz im KI-System überall bearbeitet werden. Bleiben die Daten lokal gespeichert, werden sie in einer eigenen Cloud bearbeitet oder fliessen die Daten an Dritte? Falls Dritte involviert sind, lohnt es sich, die Möglichkeit des Abschlusses eines Auftragsdatenbearbeitungsvertrag ADV zu prüfen. Die Beantwortung dieser Fragen ist unweigerlich mit der eingehenden Prüfung von allgemeinen Geschäftsbedingungen, Nutzungsbedingungen, Verkaufsbedingungen, Datenschutzerklärungen und anderen Informationen, die vom Anbieter zur Verfügung gestellt werden, verbunden.

Das horrende Tempo, mit welchem die Entwicklungen rund um KI-Systeme voranschreiten, verlangt von allen Akteurinnen und Akteuren im Bildungssystem, stets auf dem Laufenden zu bleiben. Gleichzeitig dürfen einzelne Teile des Bildungssystems nicht «nur» aus Angst vor möglichen Fehlern den Anschluss im Bereich KI-Systeme verlieren. Die oben erwähnten Punkte können hier gewisse Leitplanken setzen, um trotz grosser Unsicherheiten KI-Systeme auf datenschutzkonforme Art und Weise anzuwenden und damit am Ball zu bleiben. 

Datenschutzkonformen Schule

Um das Thema Datenschutzkonformität in der Schule zu vertiefen, empfehlen wir Ihnen die Lektüre unseres Dossiers «Datenschutzkonforme Schule». Im Artikel «Was kann eine Schule tun» erfahren Sie mehr über die beiden praktischen Hilfsmittel «Bearbeitungsverzeichnis» und «Applikationscheckliste», die Ihnen einen Rahmen für die Datennutzung geben und Sie bei der Einhaltung der gesetzlichen Anforderungen unterstützen.