Zurück zum Blog
Legal

Schweizer Datenschutz und KI-Erkennungstools: Was Schulen wissen müssen

10 min Lesezeit

Eine neue Datenschutzlandschaft

Am 1. September 2023 trat das revidierte Schweizer Bundesgesetz über den Datenschutz (nDSG, auch bekannt als revDSG) in Kraft und ersetzte ein Gesetz, das seit 1992 galt. Für Schweizer Schulen und Universitäten, die KI-Erkennungstools einsetzen, hat diese Gesetzgebung erhebliche Auswirkungen. In Kombination mit der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die auf viele Schweizer Institutionen mit EU-Bezug anwendbar ist, erfordert das regulatorische Umfeld sorgfältige Beachtung.

Dieser Artikel bietet einen praktischen Überblick über die Datenschutzanforderungen, die Schweizer Bildungseinrichtungen beim Einsatz von KI-Erkennungstools berücksichtigen müssen, und erklärt, wie konforme Lösungen wie AIDetector.ch diese Anforderungen erfüllen.

Das neue Schweizer Bundesgesetz über den Datenschutz (nDSG)

Zentrale Änderungen gegenüber dem alten Gesetz

Das nDSG stellt eine substanzielle Modernisierung des Schweizer Datenschutzrechts dar und nähert es der DSGVO an, während es eigenständige Schweizer Merkmale beibehält. Zentrale Änderungen für Bildungseinrichtungen:

  • Erweiterte Transparenzpflichten: Verantwortliche müssen betroffene Personen über die Erhebung und Bearbeitung ihrer Personendaten informieren, einschliesslich des Zwecks und allfälliger Auslandübermittlungen (Art. 19 nDSG)
  • Datenschutz-Folgenabschätzung (DSFA): Erforderlich, wenn eine Bearbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte betroffener Personen mit sich bringt (Art. 22 nDSG)
  • Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen: Technische und organisatorische Massnahmen müssen ab der Entwurfsphase umgesetzt werden (Art. 7 nDSG)
  • Gestärkte Rechte der betroffenen Personen: Einschliesslich des Rechts auf Datenübertragbarkeit (Art. 28 nDSG)
  • Strengere Sanktionen: Bussen bis CHF 250'000 für natürliche Personen bei vorsätzlicher Verletzung bestimmter Bestimmungen

Was gilt als Personendaten?

Unter dem nDSG sind Personendaten alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (Art. 5 lit. a nDSG). Im Kontext der KI-Erkennung stellt sich eine wichtige Frage: Stellt ein studentischer Aufsatz Personendaten dar?

Die Antwort lautet in der Regel ja, aus mehreren Gründen:

  • Der Text wird typischerweise mit dem Namen und der Matrikelnummer des Studierenden eingereicht
  • Der Schreibstil selbst kann als identifizierende Information betrachtet werden
  • Das Erkennungsergebnis — ob KI-generiert oder nicht — ist eine Information über den Studierenden
  • Die Kombination aus Textinhalt und Metadaten macht eine Identifizierung trivial

Anwendbarkeit der DSGVO für Schweizer Institutionen

Viele Schweizer Bildungseinrichtungen unterliegen auch der DSGVO, obwohl die Schweiz kein EU-Mitgliedstaat ist. Die DSGVO gilt, wenn:

  • Die Institution Dienstleistungen an Personen in der EU anbietet (z.B. EU-Studierende aufnimmt)
  • Die Institution das Verhalten von Personen in der EU beobachtet
  • Die Institution Auftragsbearbeiter mit Sitz in der EU einsetzt

Schweizer Universitäten mit internationalem Studierendenkörper, Austauschprogrammen mit EU-Universitäten oder Partnerschaften mit EU-basierten Dienstleistern fallen häufig in den Anwendungsbereich der DSGVO.

Anforderungen an die Datenbearbeitung bei KI-Erkennungstools

Rechtsgrundlage für die Bearbeitung

Sowohl unter dem nDSG als auch der DSGVO erfordert die Bearbeitung von Personendaten eine Rechtsgrundlage. Für Bildungseinrichtungen, die KI-Erkennungstools nutzen, sind die relevantesten Grundlagen:

  • Überwiegendes Interesse (nDSG Art. 31): Die Wahrung der akademischen Integrität ist ein berechtigtes Interesse von Bildungseinrichtungen, muss aber gegen das Interesse des Studierenden am Schutz seiner Persönlichkeit abgewogen werden.
  • Wahrnehmung einer Aufgabe im öffentlichen Interesse (DSGVO Art. 6 Abs. 1 lit. e): Öffentliche Universitäten können sich auf ihren Auftrag zur Wahrung von Bildungsstandards stützen.
  • Einwilligung: Zwar möglich, wird aber im Bildungskontext generell nicht als primäre Rechtsgrundlage empfohlen, da das Machtgefälle zwischen Institution und Studierenden die Freiwilligkeit der Einwilligung in Frage stellen kann.

Transparenz- und Informationspflichten

Bevor studentische Arbeiten an ein KI-Erkennungstool übermittelt werden, müssen Institutionen die Studierenden informieren über:

  • Dass ihre Einreichungen von einem KI-Erkennungstool analysiert werden
  • Welches Tool verwendet wird und wer es betreibt
  • Welche Daten erhoben und wie sie bearbeitet werden
  • Wie lange die Daten aufbewahrt werden
  • Ob Daten ins Ausland übermittelt werden
  • Die Rechte der Studierenden bezüglich ihrer Daten

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat betont, dass Transparenz ein Eckpfeiler des nDSG ist.

Datenminimierung

Sowohl das nDSG als auch die DSGVO verlangen, dass nur das Minimum an Personendaten bearbeitet wird, das für den spezifischen Zweck erforderlich ist. Für die KI-Erkennung bedeutet dies:

  • Nur der zu analysierende Text sollte an das Erkennungstool übermittelt werden
  • Studierendennamen und Matrikelnummern sollten wenn möglich vor der Übermittlung entfernt werden
  • Erkennungsergebnisse sollten nur so lange wie nötig gespeichert werden
  • Das Tool sollte keine Kopien eingereichter Texte über den Analysezeitraum hinaus aufbewahren

Grenzüberschreitende Datenübermittlung

Viele KI-Erkennungstools werden von Unternehmen ausserhalb der Schweiz betrieben. Unter dem nDSG dürfen Personendaten nur in Staaten übermittelt werden, die einen angemessenen Datenschutz gewährleisten, wie vom Bundesrat festgestellt (Art. 16 nDSG).

Für Staaten, die nicht auf dieser Liste stehen, sind zusätzliche Schutzmassnahmen erforderlich, wie etwa Standardvertragsklauseln oder die ausdrückliche Einwilligung der betroffenen Person.

Hier wird die Wahl des KI-Erkennungstools entscheidend. Tools, die Daten innerhalb der Schweiz verarbeiten, vermeiden Probleme bei grenzüberschreitenden Übermittlungen vollständig.

Wie AIDetector.ch die Anforderungen erfüllt

AIDetector.ch wurde von Grund auf entwickelt, um die Schweizer Datenschutzanforderungen zu erfüllen:

  • Schweizer Hosting-Infrastruktur: Alle Datenverarbeitung erfolgt auf Servern in der Schweiz
  • Datenminimierung durch Design: Nur der eingereichte Text wird verarbeitet; keine unnötigen Personendaten werden erhoben
  • Automatische Datenlöschung: Eingereichte Texte und Analyseergebnisse werden nicht dauerhaft gespeichert
  • Kein Training mit Nutzerdaten: Eingereichte Texte werden nicht zum Training von Erkennungsmodellen verwendet
  • Transparente Verarbeitung: Klare Dokumentation darüber, welche Daten wie verarbeitet werden
  • DSFA-bereit: Die Plattform stellt die technische Dokumentation bereit, die Institutionen für ihre Datenschutz-Folgenabschätzungen benötigen

Vergleich mit EU-Länderanforderungen

  • Deutschland: Der strengste Ansatz in der EU. Einzelne Landesdatenschutzbehörden geben häufig Empfehlungen zu Bildungstechnologie heraus. Mehrere Bundesländer haben die Nutzung bestimmter KI-Erkennungstools wegen Bedenken bei der Datenübermittlung eingeschränkt.
  • Frankreich: Die CNIL hat spezifische Leitlinien zu KI in der Bildung herausgegeben mit Betonung der menschlichen Aufsicht bei automatisierten Entscheidungen.
  • Österreich: In vielen Aspekten ähnlich wie die Schweiz, mit Fokus auf Verhältnismässigkeit bei der Bildungsdatenverarbeitung.

Der Schweizer Ansatz gilt allgemein als pragmatisch — schützend für individuelle Rechte, aber nicht prohibitiv restriktiv, sofern Institutionen ihre Pflichten ernst nehmen.

Praktische Schritte für Schulen und Universitäten

  1. Datenschutz-Folgenabschätzung durchführen für das spezifische Tool
  2. Datenschutzrichtlinien aktualisieren mit Informationen zur KI-Erkennungsverarbeitung
  3. Studierende klar informieren über den Einsatz von Erkennungstools, idealerweise zu Beginn jedes Kurses
  4. Konforme Tools wählen, die die Datenerhebung minimieren und idealerweise Daten innerhalb der Schweiz verarbeiten
  5. Auftragsbearbeitungsverträge mit Tool-Anbietern abschliessen, die den nDSG-Anforderungen entsprechen
  6. Personal schulen im korrekten Umgang mit Erkennungstools und der Interpretation von Ergebnissen
  7. Alles dokumentieren — von der Entscheidung für ein Tool bis zu den Verfahren für markierte Einreichungen

Ausblick

Die Schnittstelle von KI-Erkennung und Datenschutz wird sich weiter entwickeln. Das EU-KI-Gesetz (AI Act), das im August 2024 in Kraft trat, führt zusätzliche Anforderungen für KI-Systeme im Bildungsbereich ein, die als «hochriskant» eingestuft werden. Obwohl der AI Act in der Schweiz nicht direkt gilt, wird er das regulatorische Denken in der Schweiz und die Praktiken von Tool-Anbietern auf dem europäischen Markt wahrscheinlich beeinflussen.

Schweizer Institutionen, die jetzt robuste, konforme Prozesse etablieren, werden gut aufgestellt sein, wenn sich die regulatorische Landschaft weiterentwickelt.

Quellen

  • Bundesgesetz über den Datenschutz (nDSG), AS 2022 491, in Kraft seit 1. September 2023.
  • Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), «Leitfaden zum neuen Datenschutzgesetz», 2023.
  • Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung).
  • swissuniversities, «Datenschutzrahmen für Schweizer Hochschulen», 2023.
  • EDÖB, «Empfehlungen zur Nutzung von Cloud-Diensten im Bildungsbereich», 2023.
  • Europäische Kommission, «Verordnung (EU) 2024/1689 — Gesetz über künstliche Intelligenz», 2024.
  • Rosenthal, D., «Das neue Datenschutzgesetz», Jusletter, 16. November 2020.