«Mit einer durchdachten AI Governance können sich Unternehmen besser positionieren»

Künstliche Intelligenz bringt grosse Chancen für Unternehmen mit sich – aber auch Risiken. Warum gerade eine AI Governance hier Abhilfe schafft und für mehr Vertrauen bei Ihren Kunden sorgt, erklärt im Interview Anne-Sophie Morand, Rechtsanwältin und Data Governance Counsel bei Swisscom.

Nutzen Sie in Ihrem privaten Alltag GenAI-Services, und falls ja, wozu? 

Ja, ich nutze privat GenAI-Services wie ChatGPT, DeepL und DALL-E. Bei ChatGPT schätze ich die Möglichkeit des Brainstormings und der Ideenentwicklung. DeepL nutze ich regelmässig für schnelle Übersetzungen in unterschiedliche Sprachen oder um meine verfassten Texte in Fremdsprachen zu prüfen. Und mit DALL-E habe ich gerade kürzlich für meine Website www.ki-recht.ch ein passendes Bild generiert. Insgesamt tragen diese GenAI-Services dazu bei, meinen privaten Alltag effizienter zu gestalten und kreative Prozesse zu unterstützen.

Worauf müssen wir achten, wenn wir solche GenAI-Services privat einsetzen? 

Bei der privaten Nutzung von GenAI-Services ist es wichtig, sich der Leistungsfähigkeit sowie Grenzen dieser Tools bewusst zu sein. Obwohl diese Services beeindruckende Ergebnisse liefern können, sollte man nicht blind den automatisch generierten Inhalten vertrauen. Es ist ratsam, die Ergebnisse stets zu überprüfen, da sie nicht immer fehlerfrei sind und manchmal falsche oder unangemessene Informationen liefern.  

In meinem privaten Umgang mit diesen Services achte ich darauf, meine eigene Privatsphäre sowie diejenige von anderen Personen zu schützen und eine unnötige Datenexposition zu vermeiden. Daher verzichte ich bewusst darauf, sensible persönliche Informationen wie Namen, Adressen oder andere private Details in diese Systeme einzugeben.

Darf man privat genutzte GenAI-Services auch im beruflichen Alltag einsetzen? 

Das kommt auf den Einzelfall an. Die geschäftliche Nutzung von privaten KI-basierten Tools ist bei Swisscom in einer Weisung zur Nutzung von ICT-Mitteln geregelt. Vor der Nutzung eines entsprechenden Services müssen Mitarbeitende also stets sicherstellen, dass das Unternehmen über die notwendige Lizenz und das entsprechend benötigte Nutzungsrecht des Outputs verfügt. Dies gilt für Software oder Services, für die Mitarbeitende selbst bezahlt haben, wie auch für kostenlose Software oder Services. Man kann ein privat genutztes Tool also nicht einfach für die Arbeit einsetzen, sondern sollte zuerst prüfen, ob ein geschäftlicher Einsatz erlaubt ist und welche Art von Daten man in das Tool einspeisen darf. In jedem Fall sollten aber bereits bestehende interne Tools vorgezogen werden, wie zum Beispiel SwisscomGPT.

Neben dem privaten Einsatz von GenAI-Services müssen wir vor allem die Risiken diskutieren, die entstehen, wenn Mitarbeitende und Unternehmen KI nutzen und mit sensitiven Daten anreichern. Welche Gefahren lauern bei KI-Systemen?  

Der Einsatz von KI-Systemen kann erstens ein Compliance-Risiko mit sich bringen. Eine ernst zu nehmende Herausforderung stellt der Datenschutz dar, denn KI-Systeme bearbeiten oft umfangreiche Datenmengen, die personenbezogene Informationen enthalten können. Eingespeiste Daten in KI-Systemen werden zudem auch regelmässig für die Weiterentwicklung des Systems genutzt. Sie fliessen dann in das KI-System ein und verschmelzen mit ihm. Inwiefern können hier beispielsweise betroffene Kunden noch ihr Recht auf Löschung der Daten wahrnehmen?

Weitere zu beachtende Rechtsgebiete sind unter anderem der Geheimnisschutz, Immaterialgüterrechte (zum Beispiel Urheberrecht), Persönlichkeitsschutz, Diskriminierungsrechte, Konsumentenschutzrecht oder auch das Wettbewerbsrecht. Der Einsatz von KI-Systemen kann je nach konkretem Fall gegen unterschiedliche Rechtsnormen verstossen und dann Klagen und Bussen mit sich bringen. Im Übrigen kann ein Unternehmen auch eine klassische Vertragsverletzung gegenüber Business-Kunden begehen, wenn zum Beispiel der Gang mit Kundendaten in eine Cloud vertraglich untersagt ist, aber trotzdem cloudbasierte KI-Systeme genutzt werden.

«Der Datenschutz stellt eine ernst zu nehmende Herausforderung dar, denn KI-Systeme bearbeiten oft umfangreiche Datenmengen, die personenbezogene Informationen enthalten können.»

Anne-Sophie Morand

Zweitens kann der Einsatz von KI-Systemen Sicherheitsrisiken mit sich bringen. So können Angriffe zum Beispiel darauf abzielen, nicht beabsichtigte Outputs zu generieren, vertrauliche Informationen preiszugeben oder die Verfügbarkeit des KI-Systems zu beeinträchtigen.

Drittens sind ethische Risiken zu beachten. KI-Systeme treffen oft Entscheidungen, welche Kunden betreffen. Zum Beispiel entscheiden sie, welche Werbung angezeigt wird oder ob ein Kredit bewilligt werden soll. Dabei können KI-Systeme bekanntlich sozusagen abdriften, was zu Veränderungen in der Qualität und Zuverlässigkeit der Ergebnisse führt. Dies birgt das weitere Risiko eines Vertrauensverlustes bei Kunden, Mitarbeitenden und Partnern, und damit letztlich einer Reputationsschädigung des Unternehmens.

Sind bestimmte Branchen den genannten Risiken stärker ausgesetzt?  

Unternehmen, die eine Vielzahl von KI-Systemen einsetzen, darin grosse Datenmengen verarbeiten und besonders heikle Daten verwenden, sind automatisch einem höheren Risiko in Bezug auf Compliance, Reputation und Sicherheit ausgesetzt. Zu denken ist hier beispielsweise an den Gesundheitsbereich. Eine hohe Risikoexponierung ist aber nicht unbedingt branchenabhängig, denn jedes Unternehmen kann sogenannte Hochrisiko-KI-Systeme einsetzen. Das sind KI-Systeme, die ein besonders hohes Risiko für die Gesundheit und Sicherheit oder die Grundrechte von Personen darstellen. So könnte ein Unternehmen im HR bei der Veröffentlichung von gezielten Stellenanzeigen oder bei der Analyse und Filterung von Bewerbungen ein KI-System einsetzen. Unter der KI-Verordnung der EU würde ein solches System in die Risikokategorie «Hochrisiko-KI-System» fallen, für welche unter der KI-Verordnung der EU strenge Anforderungen gelten werden.

Data Governance kann dazu beitragen, diese Risiken zu minimieren. Reicht eine effektive Data Governance beim Einsatz von KI-Systemen aus?   

Eine gute Data Governance in einem Unternehmen deckt bereits einen grossen Teil der Risiken ab, aber in der Regel nicht alle. Die Risikolandschaft im Zusammenhang mit KI-Systemen ist vielfältig und erfordert neben einer Data Governance auch umfassende, KI-spezifische Massnahmen im Rahmen einer AI Governance.

Wie Sie bereits erwähnt haben, werfen KI-Systeme neben dem Datenschutz in den Bereichen Ethik, Urheberrecht, Grundrechte und Cybersecurity Fragen auf. Wie sieht die AI Governance von Swisscom aus? Welche Unternehmen benötigen eine umfassende AI Governance? 

AI Governance bezeichnet ein umfassendes System von Regeln, organisatorischen Massnahmen, Prozessen, Kontrollen und Tools, die einem Unternehmen helfen und eine vertrauenswürdige, verantwortungsvolle, ethische und effiziente Entwicklung und Nutzung von KI-Systemen und auch General Purpose AI Models (GPAI Models) gewährleisten. Bei Swisscom haben wir seit Ende letzten Jahres unter der Leitung der Organisationseinheit Data Governance in einem durchmischten Team aus verschiedenen Organisationseinheiten an einem AI Governance Framework gearbeitet. Seit Anfang April verfügen wir über eine Ad-Interim-Lösung in Sachen AI Governance, und bis im September arbeiten wir an der Implementierung einer umfassenden, risikobasierten Lösung.

Jedes Unternehmen, das KI-Systeme einsetzt oder entwickelt oder auch GPAI Models entwickelt, sollte meines Erachtens künftig eine unternehmensweite AI Governance aufbauen – dies nicht nur, um Reputationsrisiken vorzubeugen, sondern auch, um bestehenden und künftigen Regulierungen gerecht zu werden. Die KI-Technologie entwickelt sich rasch weiter, weshalb es umso wichtiger ist, Schritt zu halten und einen verantwortungsvollen Einsatz bzw. eine verantwortungsvolle Entwicklung sicherzustellen.

Die EU arbeitet seit 2021 an einer KI-Verordnung (AI Act), die demnächst in Kraft treten wird. Inwiefern ist die geplante KI-Verordnung für Schweizer Unternehmen von Relevanz? 

Die kommende KI-Verordnung gilt für alle Unternehmen, die in der EU ansässig sind. Die Verordnung wird auch Auswirkungen auf Unternehmen in der Schweiz haben, die KI-Systeme anbieten oder betreiben, selbst wenn sie nicht in der EU ansässig sind. Die KI-Verordnung gilt erstens dann für Schweizer Unternehmen, wenn diese als Anbieter KI-Systeme in der EU in Verkehr bringen. Zweitens gilt die KI-Verordnung auch für Anbieter und Betreiber von KI-Systemen, wenn das vom System hervorgebrachte Ergebnis innerhalb der EU verwendet wird. Das heisst also insgesamt, dass auch in der Schweiz ansässige Unternehmen der Regulierung unterworfen sein können, auch wenn sie weder ihren Sitz noch einen Ableger auf EU-Territorium haben. 

Deshalb dürfte es in der Schweiz meines Erachtens auch bei der KI-Verordnung zum sogenannten Brüssel-Effekt kommen. Dies, weil viele Schweizer KI-Anbieter ihre Produkte nicht speziell nur für die Schweiz entwickeln werden, sondern für beide Märkte. Dabei müssen sie sich natürlich an den strengen, europäischen Vorschriften orientieren. Wir können deshalb davon ausgehen, dass die KI-Verordnung in der Schweiz einen grossen Einfluss haben wird.

Welche Rolle spielt die KI-Verordnung der EU, wenn ein Unternehmen eine gute AI Governance aufbauen möchte?  

International tätige Unternehmen werden sich vermutlich an internationalen Standards und den regulatorischen Anforderungen der EU orientieren müssen, insbesondere wenn sie KI-Systeme exportieren. Der eben genannte Brüssel-Effekt verstärkt diesen Einfluss. Somit ist die KI-Verordnung ein wichtiger Faktor bei der Gestaltung einer umfassenden und international ausgerichteten AI Governance.

Bremst eine AI Governance nicht die Innovation und Effizienz von GenAI aus? 

Nein, im Gegenteil. Eine effektive AI Governance mit klaren und verständlichen Spielregeln hilft, dass ein Unternehmen vertrauenswürdige KI-Systeme entwickelt und einsetzt. Bei einer AI Governance geht es also nicht nur um die Einhaltung KI-spezifischer Rechtsvorschriften, sondern auch um die Einhaltung ethischer Standards und gesellschaftlicher Erwartungen. Dies schützt nicht nur die langfristige Stabilität des Unternehmens, sondern stärkt auch seinen Ruf. Eine wirksame AI Governance erlaubt es ausserdem, das Bekenntnis eines Unternehmens zu einer verantwortungsbewussten KI-Anwendung und -Entwicklung aktiv zu demonstrieren, und trägt so zur Stärkung des Vertrauens der Kunden und Partner bei. Eng verbunden mit der Vertrauensbildung ist der daraus resultierende Wettbewerbsvorteil. Unternehmen können sich mit einer gut durchdachten AI Governance besser am Markt positionieren und langfristig von den Vorteilen des Einsatzes und der Entwicklung von KI-Systemen und GPAI Models profitieren. Durch die Schaffung klarer Spielregeln können sie sich in einem dynamischen Marktumfeld differenzieren und einen nachhaltigen Wettbewerbsvorteil erzielen.