Datenschutzgesetze wurden für eine Welt gebaut, in der Daten in Datenbanken liegen – abrufbar, löschbar, kategorisierbar. Large Language Models funktionieren nach einem grundlegend anderen Prinzip: Sie absorbieren Daten beim Training und verteilen das Wissen über Millionen von Parametern, ohne dass einzelne Informationseinheiten danach noch isoliert auffindbar wären. Dieser strukturelle Widerspruch zwischen Rechtsnorm und technischer Realität ist kein Randproblem – er ist das Kernproblem jeder KI-Compliance-Strategie in der Schweiz und im DACH-Raum.
Das „Recht auf Vergessenwerden" vs. Unumkehrbarkeit
Artikel 17 DSGVO und das nDSG-Äquivalent garantieren betroffenen Personen das Recht auf Löschung. In einer klassischen SQL-Datenbank ist das ein DELETE – operativ trivial. Bei einem trainierten neuronalen Netz existiert kein solcher Befehl. Daten werden in die Gewichtungsmatrix eingearbeitet, ohne isoliert lokalisierbar zu sein.
Machine Unlearning: der aktuelle Stand
Die Forschungsrichtung Machine Unlearning versucht gezielte Anpassungen, um den Einfluss spezifischer Trainingsdaten zu minimieren. Ansätze wie SISA Training (Sharded, Isolated, Sliced, and Aggregated) existieren, sind aber für grosse Modelle derzeit weder skalierbar noch zuverlässig genug für den Rechtsbeweis. In der Praxis müssen Unternehmen Modelle oft neu trainieren oder nachweisen, dass Daten nicht reproduzierbar sind.
Mangelnde Transparenz – Das Blackbox-Problem
DSGVO und nDSG verpflichten zur Auskunft über automatisierte Entscheidungen. Transformer-Modelle bieten jedoch keine direkte kausale Erklärung für Ausgaben. Es gibt keinen isolierbaren „Entscheidungspfad", der sich einem Menschen einfach erklären liesse.
Explainable AI (XAI): Werkzeuge mit Grenzen
Methoden wie SHAP-Werte oder LIME liefern nur post-hoc Näherungserklärungen. Für hochregulierte Bereiche wie Kreditvergabe oder medizinische Diagnosen reichen sie als Rechtsgrundlage allein nicht aus.
Datenminimierung vs. „Data Hunger" der KI
Datenminimierung (Art. 5 DSGVO) verlangt Sparsamkeit. LLMs benötigen Billionen von Tokens für ihre Leistungsfähigkeit. Die Masse macht die Generalisierung erst möglich.
Öffentlich zugänglich ≠ rechtlich unbedenklich
Ein LinkedIn-Profil von 2015 gilt nicht automatisch als frei für KI-Training verwertbar, da Nutzer nicht damit rechnen mussten. KI-Verfahren gegen OpenAI und Meta laufen in mehreren EU-Ländern bereits.
Zweckbindung vs. General Purpose AI
Zweckbindung (Art. 5 DSGVO) verlangt, dass Daten nur für den erhobenen Zweck genutzt werden. Generalist-LLMs sind per Definition zweckoffen. Der EU AI Act adressiert dies mit der Kategorie General Purpose AI Models (GPAI), was Anbieter zu technischer Dokumentation und Urheberrechtsrichtlinien verpflichtet.
Das Risiko der Re-Identifizierung
KI-Systeme können Muster erkennen, die für Menschen unsichtbar bleiben, und so anonymisierte Daten „re-identifizieren" (Inferenzangriff).
Konkrete Angriffsszenarien
- Membership Inference Attack: Erschliesst, ob ein Datenpunkt im Training enthalten war.
- Model Inversion: Rekonstruiert Trainingsdaten (z.B. Gesichtszüge) aus Modellausgaben.
- Attribute Inference: Sagt unbekannte sensible Attribute (Gesundheit, Gesinnung) statistisch genau voraus.
Was Schweizer Unternehmen konkret tun können
| Massnahme | Adressiert Konflikt | Aufwand |
|---|---|---|
| Kein Modelltraining auf Kundendaten ohne DSFA | 01, 03 | Gering |
| Einsatzzweck im System Prompt präzise definieren | 02, 04 | Gering |
| Vertragsklauseln mit LLM-Anbietern prüfen (Logging) | 01, 03 | Mittel |
| Scope Limitation im System Prompt umsetzen | 02, 04 | Gering |
| Anonymisierungskonzepte re-evaluieren | 05 | Hoch |
| Datenschutz-Folgenabschätzung (nDSG Art. 22) | 01-05 | Mittel |
Nächste Schritte
Die regulatorische Landschaft ist in Bewegung. Wer heute die fünf Konfliktfelder dokumentiert, ist morgen besser aufgestellt. CuonzTech ThinkLab begleitet Sie hierbei mit massgeschneiderten Workshops.