AI Act: Eine Weichenstellung in der Regulierung künstlicher Intelligenz

AI Act: Eine Weichenstellung in der Regulierung künstlicher Intelligenz

AI Act – was sich jetzt ändert

Einleitung

Die rasante Entwicklung der Künstlichen Intelligenz (KI) stellt die Gesellschaft vor neue Herausforderungen und Chancen. Schon heute sind Chatbots und KI-generierte Bilder und Videos weit verbreitete Manifestationen dieser Technologie. 

Um die Risiken zu minimieren und die Vorteile zu maximieren, hat die Europäische Union den AI Act verabschiedet. Dieses Gesetz gilt als eines der weltweit ersten umfassenden Regelwerke für den Einsatz von KI und soll einen Rahmen für die Entwicklung und den Einsatz von KI-Systemen schaffen, der die Grundrechte und Werte der EU schützt.

 

Was regelt der AI Act, und warum?

Ziel des AI Act ist es, einen einheitlichen Rechtsrahmen für die Entwicklung, den Vertrieb und die Nutzung von KI-Systemen in der Europäischen Union zu schaffen. Dabei orientiert es sich am Produktsicherheitsrecht.

KI-Systeme werden nach ihren potenziellen Risiken für Sicherheit, Grundrechte und Demokratie in verschiedene Kategorien eingeteilt. Anwendungen, die als inakzeptabel angesehen werden, wie z.B. Sozialkredit-Systeme wie in China, soziale Manipulation oder Massenüberwachung, werden verboten. KI-Systeme mit hohem Risiko, wie sie beispielsweise in der Strafverfolgung oder im Personalwesen eingesetzt werden, müssen strenge Anforderungen an Transparenz, Robustheit und menschliche Aufsicht erfüllen. Der AI Act soll dazu beitragen, dass KI-Systeme ethisch vertretbar und transparent entwickelt und eingesetzt werden.

 

Der AI Act unterscheidet zwischen verschiedenen Risikokategorien von KI-Systemen und legt je nach Risiko unterschiedliche Anforderungen fest. Bestimmte KI-Anwendungen, die als Gefahr für die Grundrechte oder die öffentliche Sicherheit angesehen werden, sind verboten. Für KI-Systeme mit hohem Risiko gelten strenge Anforderungen an Datenqualität, Robustheit, Transparenz und menschliche Aufsicht. Die EU-Mitgliedstaaten sind für die Marktüberwachung zuständig und müssen sicherstellen, dass KI-Systeme die Anforderungen des AI Act erfüllen. Eine europäische Behörde soll die Zusammenarbeit der Mitgliedstaaten koordinieren und die einheitliche Anwendung des AI Act sicherstellen.

Der AI Act wird erhebliche Auswirkungen auf die Entwicklung und den Einsatz von KI-Systemen haben. Unternehmen, die KI-Systeme entwickeln oder einsetzen, müssen sich auf umfangreiche Anpassungen einstellen. Insbesondere für Unternehmen, die KI-Systeme in risikoreichen Bereichen einsetzen, wird der administrative Aufwand steigen. Anbieter von Hochrisiko-Systemen müssen eine sog. Konformitätsbewertung durchlaufen, um ihr Produkt in der EU auf den Markt zu bringen. Gleichzeitig bietet der AI Act auch Chancen für Unternehmen, die sich an die neuen Regeln anpassen und vertrauenswürdige KI-Lösungen anbieten können.

Kritiker argumentieren, dass die Anforderungen, insbesondere für risikoreiche KI, zu hoch und bürokratisch sind. Dies könne Innovationen hemmen und kleinere Unternehmen benachteiligen. Die Definitionen von Begriffen wie „Hochrisiko-KI“ sind teilweise unklar und führen zu Rechtsunsicherheit. Die Beurteilung, welche KI-Systeme als risikoreich einzustufen sind, ist subjektiv und kann zu unterschiedlichen Interpretationen führen. Zudem erschwert die schnelle Entwicklung von KI-Modellen eine statische Risikobewertung. Zu strenge Vorschriften könnten die europäische KI-Forschung und -Entwicklung behindern und dazu führen, dass Unternehmen ihre Aktivitäten in Regionen mit weniger strengen Vorschriften verlagern.  

Dies könnte dazu führen, dass Europa im globalen Wettlauf um die Führungsrolle im Bereich der KI zurückfällt.

 

Was ist bei der Regulierung nach dem AI Act zu beachten?

Der AI Act ist ein wichtiger Schritt in Richtung einer ethischen und verantwortungsvollen Entwicklung von künstlicher Intelligenz. Mit der Einführung eines umfassenden Rechtsrahmens schafft die EU die Grundlage für den Einsatz von KI-Systemen. 

Unternehmen und Entwickler müssen sich auf die neuen Anforderungen einstellen, um weiterhin erfolgreich am Markt bestehen zu können. Gleichzeitig bietet der AI Act auch Chancen für Innovation und Wachstum in diesem Bereich. Wichtig ist jedoch, die Kritik ernst zu nehmen und den Rechtsrahmen kontinuierlich zu evaluieren und anzupassen. Ein ausgewogenes Verhältnis zwischen Regulierung und Innovation ist entscheidend, um die Vorteile von KI zu nutzen und die Risiken zu minimieren.

Wenn Sie Fragen zum AI Act oder zu anderen Aspekten der KI-Regulierung haben, setzen Sie sich mit uns in Verbindung. Unser Expertenteam steht Ihnen gerne zur Verfügung, um Sie umfassend zu beraten und Ihre Anliegen zu klären. Ob Sie Unterstützung bei der Umsetzung der neuen Regelungen benötigen oder einfach nur mehr über die Auswirkungen auf Ihr Unternehmen erfahren möchten – wir sind für Sie da! Kontaktieren Sie uns und lassen Sie uns gemeinsam die Chancen und Herausforderungen der Künstlichen Intelligenz erkunden. Wir freuen uns auf Ihre Nachricht!

 

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Sicherer Umgang mit KI im Unternehmensalltag

Sicherer Umgang mit künstlicher Intelligenz im Unternehmensalltag 

Was darf Ki im Unternehmen?

Einleitung

Wir haben in unserem ersten Artikel bereit einen kurzen Überblick darüber gegeben, was genau eigentlich unter Künstliche Intelligenzen (KI) verstanden wird und haben in diesem Rahmen die Verordnung zur Regulierung von KI den sogenannten Artificial Intelligence Act (AI Act) beleuchtet. 

Im Nachfolgenden möchten wir noch tiefer ins Detail gehen und Darstellen wie man KI im Unternehmen einsetzten kann. 

Künstliche Intelligenzen sind heute aus dem Unternehmensalltag nicht mehr wegzudenken. Sie ermöglichen Innovation, Effizienz und könnten europäischen Unternehmen einen Wettbewerbsvorteil verschaffen. Mit dem AI Act soll ein Regelwerk für den sicheren Umgang mit Künstlichen Intelligenzen in der Europäischen Union festgelegt werden (dazu haben wir bereits in unserem ersten Artikel Stellung genommen.). Adressaten dieses Gesetzes sind nicht nur die Entwickler von KI, sondern auch Unternehmen, die KI nutzen. Welche laut Lars Klingholz, Leiter Künstliche Intelligenz beim Digitalverband Bitcom, ein Großteil der europäischen Unternehmen sein. Der Verband begrüßt jedoch den AI Act und sieht ihn als Möglichkeit nachhaltig KI einzusetzen. 

Wie kann man Künstliche Intelligenzen im Unternehmen nutzen? 

Ob in Form eines Chatbot im Bereich des Kundenservice, zur Auswertung von Kundenbewertungen, in Gestalt von Robotern in der Fabrikation oder gar Tools zur Zusammenfassung von Kundengesprächen, die Einsatzmöglichkeiten von KI in Unternehmen sind vielfältig. 

KI ist in der Lage, ganze Aufgabenbereiche selbständig zu übernehmen und kann dabei helfen, neue Produkte und Dienstleistungen zu entwickeln, Vertriebswege zu optimieren und die Produktionsleistung zu steigern. Das Europäische Parlament hofft, dass dies zu einer positiven Entwicklung in Sektoren führen wird, die bereits in der Europäischen Union etabliert sind, wie Maschinenbau, Landwirtschaft, Gesundheitswesen oder auch Mode. 

Im Bereich Human Resources kann KI beispielsweise bei der Einstellung neuer Mitarbeiter:innen unterstützen, indem sie das gesamte Verfahren der Stellenausschreibung, der Durchführung des Bewerbungsgesprächs und der Auswahl der Teilnehmenden übernimmt. Einzig die Entscheidung, welcher Kandidat eingestellt wird, muss dann nur noch der Arbeitgebende treffen, da automatisierte Einzelentscheidungen nach Art. 22 DS-GVO verboten sind. 

Das Thema Videoüberwachung, insbesondere im Unternehmenskontext ist hingegen heikel und nicht selten mit Stolperfallen für den Arbeitgeber verbunden. Während bei Berufen mit hohem Berufsrisiko, beispielsweise bei der Polizei, KI zur Wahrung des persönlichen Schutzes verwendet wird, ist KI in anderen Bereichen in der Lage die Erstellung von Leistungs- und Bewegungsprofile der Mitarbeitenden zu ermöglichen. Dies stellt jedoch regelmäßig einen nicht notwendigen Eingriff in die Rechte und Freiheiten der Mitarbeitenden dar und soll daher künftig durch das neue Beschäftigtendatenschutzgesetz besser geregelt werden. 

Bei der Nutzung von KI am Arbeitsplatz kann sich auch ein Konflikt mit der Informationspflicht des Arbeitsgebers gegenüber den Arbeitnehmenden ergeben. Neben der Information darüber, dass mit KI gearbeitet wird, ist auch die Offenlegung des Aufbaus und die Funktionsweise des Algorithmus der KI nötig. Oftmals arbeiten Unternehmen jedoch mit KI-Anwendungen anderer Unternehmen, deren Algorithmus ein Geschäftsgeheimnis ist und haben daher selbst keine Kenntnis über die konkrete Funktionsweise der KI. Hieraus kann sich dann ein Informationsdefizit des Arbeitgebers gegenüber den Arbeitnehmenden ergeben. 

Künstliche Intelligenzen sind imstande, zahlreiche Aufgaben übernehmen. Wie sieht es mit den Arbeitsplätzen aus? 

Bei vielen Arbeitnehmenden besteht nach wie vor die Sorge aufgrund von KI ihren Arbeitsplatz zu verlieren. Künstliche Intelligenzen sind stetig in der Entwicklung und erweitern daher täglich ihr Wissen und ihre Fähigkeiten. Während einige Ökonomen dies für Berufe mit routinierten Tätigkeiten vorhersagen, sehen andere das Problem eher bei den fehlenden Investitionen in die Entwicklung von KI, insbesondere in Deutschland. Durch diesen Marktanteilverlust würden viel mehr Arbeitsplätze verloren gehen und nicht etwa durch die Übernahme von Tätigkeiten durch KI. Während in den USA allein im Jahr 2022 47,4 Mrd. US-Dollar in die Entwicklung Künstlicher Intelligenzen investiert wurde, gefolgt von China mit 13,4 Mrd. US-Dollar, waren es in Deutschland hingegen nur 2,4 Mrd. US-Dollar. Allerdings investierte auch kein anderer EU-Staat mehr.  

Welche konkreten Probleme ergeben sich beim Einsatz von KI im Unternehmensalltag? 

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) kritisiert in einer Stellungnahme den Einsatz von generativer KI-Anwendungen durch Arbeitnehmende am Arbeitsplatz. Gerade durch die Integration generativer KI in alltäglich genutzte Anwendungen wie Textverarbeitungsprogrammen oder auch Suchmaschinen ist die Hürde für die Nutzung denkbar gering. Arbeitnehmende müssen sich dessen bewusst sein, dass sie auch hier die datenschutzrechtlichen Grundsätze beachten und insbesondere eine Rechtsgrundlage für die Verarbeitung haben müssen. Dabei sind insbesondere Arbeitgeber in der Pflicht, entsprechend zu schulen und ihre Beschäftigten für die Problematik zu sensibilisieren. Die Verwendung solcher Systeme führt zudem häufig zu einem Konflikt mit dem datenschutzrechtlichen Transparenzgebot. Es ist häufig kaum oder gar nicht zu erkennen aus welchem Datenpool die KI ihr Wissen bezieht. 

Ein Fall aus den USA zeigt, dass das Wissen der KI auch veraltet oder vielmehr noch die herausgegebenen Informationen falsch sein kann. Ein Anwalt aus den USA hatte mithilfe des Chatbots ChatGPT nach Präzedenzfällen im Zusammenhang mit Verjährungen gesucht. ChatGPT hatte ihm daraufhin falsche Fälle präsentiert. Die KI war in der Lage mithilfe ihres Wissens ganze Fallakten zu erfinden, welche wiederum Verweise auf weitere erfundene Gerichtsurteile enthielten. Das Gericht sah darin einen Täuschungsversuch, welcher gravierende Folgen für den Rechtsanwalt haben könnte.  

Kompliziert wird es also vor allem bei der Frage der Haftung. Ob Fehler auf Anwender- oder Programmfehler zurückzuführen sind, kann gegebenenfalls schwierig zu beweisen sein. Auch bei der Generierung von Bildern stellt sich die Frage, wem dieses gehört. Dem Unternehmen, dass die KI eingesetzt hat, dem Mitarbeiter, der die Daten in das System eingespeist hat oder doch dem Entwickler? 

Fazit und Ausblick 

KI im Unternehmen? Ja oder nein? 

Ob der Einsatz von KI-Anwendungen sinnvoll ist, hängt von dem Tätigkeitsbereich ab. Innerhalb der Produktion stellt die Verwendung von KI eher kein Problem dar. Auch für Recherchearbeiten oder im Bewerbungsverfahren kann KI eine Erleichterung darstellen, jedoch sollten die ausgegebenen Informationen anschließend kontrolliert werden.  

Bei der Bewertung des Einsatzes von KI muss jedoch klar differenziert werden, ob gerade personenbezogene Daten verwendet werden und basierend darauf abgewogen werden, ob eine Nutzung nicht mit einem zu hohen Risiko verbunden ist. Grundsätzlich können Künstliche Intelligenzen für Unternehmen ein großer Gewinn sein, die Anwendung ist jedoch mit Vorsicht zu genießen.  

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Regulierungen von Künstlicher Intelligenz – Was plant die EU?

Regulierung von Künstlicher Intelligenz - Was plant die EU?

Neue EU-Verordnung zur Regulierung von künstlicher intelligenz

Die Rechtslage bezüglich Künstlicher Intelligenz (KI) ist momentan noch undurchsichtig. Daher hat das EU-Parlament nach dem Vorschlag vom April 2021 nun eine Verordnung zur Regulierung von KI, den sogenannten Artificial Intelligence Act (AI Act), verabschiedet.  Ziel der Verordnung ist es, einheitliche Anforderungen für die Nutzung von KI-Anwendungen zu schaffen, die das Potential von künstlicher Intelligenz ausschöpfen und gleichzeitig den Schutz von Daten des Einzelnen gewährleisten. 

Doch was genau ist Künstliche Intelligenz und wie funktioniert sie? 

Unter dem Begriff “Künstlicher Intelligenz” versteht das Europäische Parlament die Fähigkeit einer Maschine, menschliche Fähigkeiten wie logisches Denken, Lernen, Planen und Kreativität zu imitieren. Sie kann z.B. aus früheren Handlungen lernen und so selbstständig ihr Verhalten anpassen. Gängige Beispiele für KI-Systeme sind persönliche digitale Assistenten auf Smartphone, Online-Shopping, Web-Suche und autonome Autos.  

Die konkreten Funktionsweisen sind jedoch unterschiedlich. Der Chatbot ChatGPT des Betreibers OpenAI beispielsweise beruht auf der Sprach-KI GPT-3, die zuerst gelernt hat, wie Sprache im Internet funktioniert. ChatGPT lernt neue Informationen sowohl unüberwacht und selbstständig als auch überwacht mithilfe von menschlichem Feedback. Grundsätzlich nutzt die KI maschinelles Lernen, um künstliche neuronale Netze zu bilden, die dem menschlichen Nervensystem ähneln. 

Welche Regulierungen von Künstlicher Intelligenz wird es geben? 

Mit dem AI Act hat die EU-Kommission ein Gesetz über Künstliche Intelligenz veröffentlicht. Er enthält konkrete Vorschläge zur Reglung im Umgang mit KI in der Forschung und Wirtschaft. 

Im Rahmen des AI Act erfolgt eine Einteilung der Anwendungen in die folgenden vier Risikoklassen: minimales, geringes, hohes und unannehmbares Risiko.  

Bei der letztgenannten Kategorie erfolgt ein Verbot ihrer Anwendung. KI, die die Sicherheit von Menschen gefährdet, z. B. Social Scoring-Systeme oder eine automatische Erkennung von Emotionen, werden als solche bezeichnet.  

Risikoreiche Anwendungen sollen mithilfe von Maßnahmen zur Risikominimierung reguliert werden, wie etwa der Einführung eines Risikomanagementsystems, der Veröffentlichung detaillierter Zusammenfassungen von Daten, die zu Trainingszwecken verwendet wurden und externen Audits. Für risikoärmer KI-Systeme sind bislang wenige bis gar keine Regulierungen geplant. 

Kritik an den Regulierungen 

Alleine die Einteilung in Risikoklassen scheint jedoch schon problematisch zu sein. Bei Multifunktions-KI (sog. generative KI), wie ChatGPT, fehlt es an der Zweckbestimmung, welche gerade das Maß an Regulierung bestimmen soll. Kritisch wird insbesondere gesehen, dass obwohl generative KI seit 2021 bereits existieren, die EU die weiten Anwendungsmöglichkeiten nicht bedacht habe. Es gibt Hinweise darauf, dass geplant ist, solche als Hochrisiko KI einzustufen, was bedeutet, dass diese von hohen Regulierungen betroffen sein könnten. 

Allerdings gibt es auch einige Stimmen, die das Ausmaß der geplanten Regulierungen kritisch sehen. Während sie einerseits in den niedrigen Risikoklassen als nicht weitreichend genug empfunden werden, wird besonders im Wirtschaftssektor angemerkt, dass eine solche Überregulierung europäischen Anbietern im internationalen Konkurrenzkampf schadet und zur Abwanderung in Regionen mit weniger Regulierungen für KI, führt. Vor allem kleinere Unternehmen und Startups würden durch die Umsetzung vor finanzielle Herausforderungen gestellt. 

Was bedeutet das für die Zukunft von Künstlicher Intelligenz in Europa?

In vielen EU-Staaten wurden die Stimmen gerade in Bezug auf generative KI lauter, und einige haben bereits Untersuchungen wegen datenschutzrechtlicher Bedenken eingeleitet. In Italien beispielsweise war der Chatbot gesperrt, bis der Betreiber eine Altersverifizierung und die Möglichkeit einführte, gegen der Datennutzung zu widersprechen. OpenAI Gründer Sam Altman sieht zwar die Notwendigkeit einer Regulierung von KI, hat jedoch bereits angekündigt, sich aus Europa zurückzuziehen, wenn die Regelungen des AI Acts in der Form umgesetzt werden sollten. 

Der AI Act muss nun in einem Trilog zwischen der EU-Kommission und den Mitgliedsstaaten abgestimmt werden, bevor er voraussichtlich im Jahr 2026 in Kraft treten könnte. Ob der Spagat zwischen Regulierung zum Schutz persönlicher Daten vor Missbrauch und technischem Fortschritt gelingen wird, bleibt abzuwarten. 

Wir zeigen Ihnen im zweiten Teil des Artikels die konkreten Einsatzmöglichkeiten von KI und deren Voraussetzungen im Unternehmen. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wieviel EU steckt im Datenschutz von UK & CH?

EU-Datenschutz

Datenschutz im Vereinigten Königreich und der Schweiz

EU-Datenschutz

Wieviel EU steckt im Datenschutz in UK und CH?  

Einleitung

Nach etwas mehr als zwei Jahren nach dem Austritt des Vereinigten Königreichs („UK) werden jetzt die unterschiedlichen Gesinnungen von UK und der Europäischen Union („EU“) deutlich. Der Austritt zieht datenschutzrechtliche Folgen nach sich. Ein dem britischen Parlament vorliegender Gesetzesentwurf befindet sich derzeit noch in der Anfangsphase der Lesungen. Dahinter steckt die Motivation der britischen Regierung, Verbesserungen der 2018 in Kraft getretenen EU-Datenschutz-Grundverordnung (DS-GVO) vorzunehmen. 

Im Kontrast dazu steht das neueste datenschutzrechtliche Gesetzesvorhaben der Schweiz. Obwohl die Schweiz kein Mitglied der Europäischen Union ist, nähert sie sich dieser in vielerlei Hinsicht an – so auch im Datenschutzrecht. 

Mögliche neue Regelungen in UK 

Die britische Seite kritisiert, dass gemäß den derzeitigen Regelungen gewisse Hürden für Unternehmen und Konsumenten bestünden, weshalb der Regierung ein neuer Gesetzesentwurf namens „Data Protection and Digital Information Bill“ vorliegt.  

So sei es beispielsweise für kleine Unternehmen umständlich, einen Datenschutzbeauftragten zu ernennen. Diese Pflicht soll wegfallen. Weiterhin seien vor allem kleine Unternehmen zunehmend mit einer Ungewissheit konfrontiert, weshalb allgemein ein Verbesserungsbedürfnis bestehe, insbesondere in Bezug auf die vermeintlich hohen datenschutzrechtlichen Anforderungen an Unternehmen. Befürchtet wird ein Regime, das nur auf der Einhaltung von Verpflichtungen basiere anstelle eines Systems, welches zu proaktivem Handeln ermutige.  

Behörden müssen Betroffene nicht mehr über automatisierte Entscheidungsfindung informieren 

Diese Änderung stellt einen großen Unterschied zur EU-DS-GVO dar. Die zuständigen Behörden sollen nicht mehr verpflichtet sein, betroffene Personen über eine automatisierte Entscheidungsfindung zu informieren. Ein begründendes Beispiel: Wenn die Daten einer Person von polizeilichem Interesse sind, würde ein Hinweis an die Person die laufende polizeiliche Untersuchung beeinträchtigen können.  

Die Protokoll-Pflicht entfällt  

Zudem soll die Pflicht zur Erstellung von Protokollen über Datenverarbeitungen wegfallen. Diese Protokolle stellen eine technische und organisatorische Maßnahme im Sinne des Art. 32 EU-DS-GVO dar und dienen der sog. Eingabekontrolle. Hierdurch soll, in DS-GVO konformer Weise, protokolliert werden, wer wann Zugriff auf personenbezogene Daten genommen hat und wie er diese weiterverarbeitet hat (insbes. Veränderung der Daten), um eine unbefugte Verarbeitung nachträglich feststellen und überprüfen zu können. Der britische Gesetzgeber hält dies jedoch für zu ressourcenintensiv, es stünde in keinem Verhältnis zum daraus resultierenden Mehrwert. Es sei unwahrscheinlich, dass jemand, der zu Unrecht auf Daten zugreift, eine ehrliche Rechtfertigung dokumentiere.  

Regelungen zur Einwilligung bleiben, erweitert um eine Liste, wann ein legitimes Interesse an der Datenverarbeitung besteht 

Unverändert erhalten   sollen die Regelungen zur Einwilligung bleiben. Um den Unternehmen aber die Einschätzung zu erleichtern, ob eine Einwilligung erforderlich ist, oder ob die Verarbeitung ggf. auf die flexiblere Rechtsgrundlage des legitimen Interesses gestützt werden kann, hat die Regierung dem neuen Gesetzesentwurf in Anhang 1 eine Liste angefügt. Sie führt auf, unter welchen Voraussetzungen sie ein legitimes Interesse an der Datenverarbeitung anerkennt. Zum Beispiel für die nationale und öffentliche Sicherheit und zur Verteidigung („national security, public security and defence“), oder zum Erkennen, Ermitteln und Verhindern von Straftaten („detecting, investigating or preventing crime“).  

Benennung eines „Senior Responsible Individual“ statt eines Datenschutzbeauftragten 

Die Pflicht zur Ernennung eines Datenschutzbeauftragten soll vor allem für kleine Unternehmen wegfallen. Stattdessen sollen Behörden und Unternehmen unter bestimmten Voraussetzungen eine „leitende verantwortliche Person“ („Senior Responsible Individual“) bestimmen. Sie wäre zuständig für die Datenschutzrisiken innerhalb der Organisation sowie für die Delegierung der erforderlichen Aufgaben an angemessen fähige Personen. Diese Person soll zum „Senior Management“ gehören, und damit eine signifikante Rolle in der Entscheidungsfindung über Verarbeitungsaktivitäten in der Gesamtheit oder wesentlichen Teilen der Organisation einnehmen.  

Sie wäre verantwortlich für die Durchführung oder Delegierung folgender Aufgaben:  

  • Überwachung der Datenschutz-Compliance mit geltenden Gesetzen;  
  • sicherstellen, dass der Verantwortliche Maßnahmen zur Einhaltung der Compliance entwickelt, implementiert und regelmäßig überprüft;  
  • Schulungen der Mitarbeiter;  
  • Bearbeitung von Beschwerden im Zusammenhang mit der Datenverarbeitung;  
  • Bearbeitung von Datenpannen.  

Die Aufgaben der verantwortlichen Person des Senior Managements unterscheiden sich nach dem Gesetzesentwurf nicht wesentlich von den Aufgaben, die der Datenschutzbeauftragte nach der EU-DS-GVO übernimmt oder übernehmen kann. Der wesentliche Unterschied ist also die Zugehörigkeit zum Senior Management.  

Damit dürfte die Unabhängigkeit bzw. die Neutralität der verantwortlichen Person in Frage stehen, denn als Teil des Senior Managements hat sie, im Gegensatz zu einem unabhängigen oder gar externen Datenschutzbeauftragten, wohl ein erhebliches Interesse daran, Datenverarbeitungen ohne größere Hürden zu ermöglichen. Auch wenn die verantwortliche Person ihre Aufgaben an andere fähige Personen des Unternehmens delegieren kann, so besteht doch die Befürchtung, dass künftig die ein oder andere Datenverarbeitung aufgrund des Interesses des Unternehmens eher durchgewunken wird, als wenn ein externer Datenschutzbeauftragter beraten hätte. 

Auch im Hinblick auf die Konsumenten sollen Hürden genommen und Verarbeitungen vereinfacht werden.  

Opt-Out-Verfahren statt Opt-In-Verfahren bzgl. Cookies 

Die Zustimmung zur Cookies-Nutzung auf Websites soll von dem derzeitigen Opt-In-Verfahren in ein Opt-Out-Verfahren umgewandelt werden. Dies solle Nutzern helfen, sich nicht durch zahlreiche Zustimmungsbanner klicken zu müssen und dadurch mögliche Frustration verhindern. Ähnlich wie bei dem Deutschen Verfahren „PIMS“ („Personal Information Management System“) nach dem TTDSG, soll es zudem eine generelle Verwaltungsmöglichkeit und Übersicht über die Datenverarbeitung in den Browser-Einstellungen geben, sodass eine Einwilligung auf jeder einzelnen Website überflüssig werde.  

Soft-Opt-In für Marketing-Maßnahmen durch nicht-kommerzielle Organisationen 

Eine weitere Änderung sieht das neue Gesetzesvorhaben im Rahmen des sog. „Soft-Opt-In“ vor. „Soft-Opt-In“ ermöglicht Direktwerbung an bestehende Kunden zu senden, die dem nicht unbedingt ausdrücklich zugestimmt haben. Bisher war diese Möglichkeit des Marketings nicht-kommerziellen Organisationen verwehrt, nun soll eine Erweiterung diesbezüglich stattfinden. 

Gemeinsames Vorhaben von UK und USA, aber Sanktionen für Datenschutzverstöße wie in der EU 

Bemerkenswert ist auch ist ein geplantes Vorhaben des Vereinigten Königreichs in Kooperation mit den USA. Die beiden Länder gaben in einem gemeinsamen Statement im Juli 2022 bekannt, dass sie den Zugriff auf Daten, welche strafrechtlich relevant sind, zwischen den Staaten erleichtern möchten. Ziel sei es, schwere Kriminalität zu bekämpfen, aber gleichzeitig die demokratischen Standards zu wahren. 

Annäherungen an die Europäische Union gäbe es nach dem Gesetzesentwurf jedoch in Sachen Sanktionen. Das derzeitige Maximum von £ 500.000 soll auf bis zu 4% des Jahresumsatzes eines Unternehmens oder max. £17.5 Mio. erhöht werden. Dies entspricht den vergleichbaren Regelungen der EU-DS-GVO in Art. 83. 

Neue Regelungen in der Schweiz 

Im Gegensatz zum Vereinigten Königreich regelt die Schweiz die Dinge hingegen positiv. Das neue Datenschutzgesetz (DSG) und die Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) der Schweiz soll am 01.09.2023 in Kraft treten. Die wichtigste Neuerung umfasst die Forderung nach erhöhter Transparenz und Stärkung der Rechte der betroffenen Personen.  

Ausweitung der Informationspflichten gegenüber Betroffenen 

Die erhöhte Transparenz soll unter anderem durch eine Erweiterung der Informationspflichten gewährleistet werden. Diese sind vergleichbar mit den Pflichten aus Art. 13/14 EU-DS-GVO. Ab September nächsten Jahres soll nun auch eine Informationspflicht für die Verarbeitung jeglicher personenbezogenen Daten gelten. Bisher galt dies nur für die Verarbeitung besonders schützenswerter Daten und die Erstellung von Persönlichkeitsprofilen. Außerdem soll die betroffene Person von der verantwortlichen Stelle darüber informiert werden, wenn eine Entscheidung ausschließlich auf automatisierter Verarbeitung beruht. Zusätzlich soll die betroffene Person auch fordern können, dass eine Einzelentscheidung von einer natürlichen Person überprüft werden soll. Eine Einwilligung soll auf jeden Fall bei sog. „Profiling mit hohem Risiko“ notwendig sein. 

Pflicht zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten 

Vergleichbar mit der aus der EU-DS-GVO bekannten Pflicht zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten, sollen auch nach dem neuen Schweizer DSG alle Datenverarbeitungen vom Verantwortlichen Auftragsbearbeiters (in der EU-DS-GVO Auftragsverarbeiter) dokumentiert werden („Verzeichnis der Bearbeitungstätigkeiten“). Sinngemäß enthalten die Verzeichnisse dieselben Inhalte und Informationen wie sie aus Art. 30 EU-DS-GVO bereits bekannt sind.  

Gesetzliche Regelung der Rolle des Auftragsverarbeiters & Auftragsverarbeitungsvereinbarung 

Die Rolle des Auftragsbearbeiters ist dabei neu und entspricht dem klassischen Auftragsverarbeiter im Sinne der EU-DS-GVO. Die Verarbeitung darf an einen Auftragsbearbeiter nur vertraglich oder durch Gesetz übertragen werden.

Eine weitere Übertragung der Verarbeitung durch den Auftragsbearbeiter an einen Dritten muss vorab durch den Verantwortlichen genehmigt werden. In der DSV finden sich ergänzende Regelungen zu dem dann erforderlichen Vertrag zwischen dem Verantwortlichen und Auftragsbearbeiters.

Die verpflichtenden Inhalte stimmen im Wesentlichen mit den Anforderungen der EU-DS-GVO überein, z.B.: Kategorien der Personendaten sowie der betroffenen Personen; Art und Zweck der Bekanntgabe von Personendaten („Zweck der Verarbeitung“), Datentransfers in weitere Staaten, Empfänger oder Kategorien von Empfänger (bspw. Unter-Auftragsbearbeiter), Anforderungen an Aufbewahrung, Löschung und Vernichtung der Daten, Verpflichtung angemessene Maßnahmen zur Einhaltung der vertraglichen Klauseln.  

Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung 

Hinzu kommt – ebenfalls in Anlehnung an die EU-DS-GVO – die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung. Auch hier entsprechen die schweizerischen Regelungen im Wesentlichen denen des Art. 35 EU-DS-GVO.  

Erhöhung der Sanktionen für Datenschutzverstöße 

Hier hält es die Schweiz wie die UK: Die Sanktionen für Verstöße sollen verschärft werden. Sie erreichen aber bei weitem nicht das Niveau der auf EU-Ebene geregelten Sanktionen. Zwar ist die Rede von „privaten Personen“, jedoch dürfen hier nicht Privatpersonen darunter verstanden werden.

Vielmehr sind hierunter die juristischen Personen des Privatrechts der Schweiz zu verstehen, denn das DSG findet Anwendung auf private Personen und Bundesorgane. Für etwaige Pflichtverletzungen können schweizerische Unternehmen künftig also mit Bußen bis zu 250.000 Franken belegt werden.

Dieser Höchstsatz gilt insoweit für sämtliche mögliche Verfehlungen, also insbesondere Verletzung Informations-, Auskunfts- und Mitwirkungspflichten sowie von Sorgfaltspflichten (hier auf Antrag) und Verletzungen der beruflichen Schweigepflicht sowie bei Missachtung von Verfügungen.

Bei dem derzeitigen Wechselkurs (Stand 26.09.2022) entsprächen 250.000 Franken in etwa 261.977,50 €. Im Vergleich zu den EU-DS-GVO Höchstsätzen von 10 Millionen bzw. 20 Millionen Euro also nur ein Bruchteil.  

Gebührenpflichtige Unterstützung des EDÖB 

Auffällig ist hingegen, dass im Gegensatz EU-DS-GVO oder bspw. dem deutschen Bundesdatenschutzgesetz, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte („EDÖB“) Gebühren für bestimmte Leistungen verlangen. Zum Beispiel für: Stellungnahmen zu einem Verhaltenskodex, Genehmigungen von Standarddatenschutzklauseln und verbindlichen unternehmensinternen Datenschutzvorschriften, Konsultation aufgrund einer Datenschutz-Folgenabschätzung, Beratung in Fragen des Datenschutzes.

Hier bleibt nur zu hoffen, dass die Gebührenforderungen am Ende nicht zu einem Hindernis für den Datenschutz und die Einhaltung durch die schweizerischen Unternehmen werden. 

Fazit 

Während das Vereinigte Königreich einen eher unternehmensfreundlichen Kurs einschlägt, passt sich die Schweiz mehr den konsumentenfreundlichen Regelungen der EU an und nimmt viele Bestimmungen der EU-DS-GVO in das neue DSG auf.  

Die wesentlichen Änderungen bzw. Angleichungen sollen anhand der nachfolgenden Tabelle veranschaulicht werden.

 

Vergleichstabelle

EU-DS-GVO

Vereinigtes Königreich

Schweiz

Art. 5 I lit. b) 

Grundsatz der Zweckbindung 

Erweiterung um Faktoren, die beachtet werden sollen, wenn ein neuer Zweck hinzukommen soll 

Art. 6 Abs. 1 f) 

Rechtmäßigkeit der Verarbeitung 

Abwägung des Verantwortlichen, ob Interessen an Verarbeitung personenbezogener Daten die Rechte der betroffenen Personen überwiegen 

Liste von berechtigten Interessen, für deren Verarbeitung das Erfordernis der Abwägung entfällt 

Direktmarketing

„Soft-Opt-In“ nun auch für nicht-kommerzielle Organisationen 

Art. 13/14  

Informationspflichten

Abschaffung von Informationspflichten ggü. Betroffenen bzgl. automatisierter Entscheidungsfindung

Informationspflicht nun auch für Verarbeitung jeglicher personenbezogenen Daten

Art. 27 

Ernennung eines EU-Vertreters 

Anforderung aus Art. 27 EU-DS-GVO wurde gestrichen (Paragraf 13 DPDI) 

Wegfall der Pflicht der Ernennung eines Datenschutzbeauftragten für (kleine) Unternehmen 

Benennung eines Vertreters in Schweiz, wenn Verantwortliche nicht in Schweiz ansässig 

Art. 28 

Auftragsverarbeitung 

Auftragsbearbeiter und Vertrag zur Auftragsbearbeitung 

Art. 32 

Technische und organisatorische Maßnahmen (TOMs) 

Verankerung von TOMs 

Art. 35, 36 

Datenschutzfolgenabschätzung 

Wenn Verarbeitung wahrscheinlich zu hohem Risiko für Einzelnen führt 

Anforderung einer vorherigen Konsultation abgeschafft, ersetzt durch freiwilligen Konsultationsprozess (Paragraf 17, 18 DPDI) 

Datenschutzfolgenabschätzung

Art. 83  

Geldbußen 

Im Fokus Unternehmen 

Bis zu 20 Mio. € oder 4% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens 

Erhöhung der Bußgelder 

Derzeitiges Maximum bei £ 500.000  

Annährung an EU-DSGVO 

Bis zu 4% des Jahresumsatzes oder £17.5 Mio. 

 

Verschärfung der Sanktionen 

Aber nicht vergleichbar mit Höhe der Geldbußen aus DSGVO 

Bis zu 250.000 Franken 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!