Start
KI in der Praxis
Impuls & Orientierung Inhouse-Formate Strategische Begleitung
Kurse & Programme
Rechtssicher mit KI
Wissen
Blog
Rechtsberatung
Über mich Kontakt

KI-Tools einsetzen: Warum nicht das Tool das Problem ist, sondern Rechtsgrundlage und Schutzniveau

amtsgeheimnis auftragsdatenbearbeitung avv berufsgeheimnis datenschutz dpa geschäftsgeheimnisse ki Dec 28, 2025
Infografik zur notwendigen rechtlichen Grundlage für die Datenbearbeitung bei KI-Tools

Kurzantwort

KI-Tools sind rechtlich neutral. Entscheidend ist nicht, ob KI eingesetzt wird, sondern ob eine ausreichende rechtliche Grundlage für die Datenbearbeitung besteht und ob das Schutzniveau dem Risiko entspricht. Eine DPA regelt nur Personendaten – nicht Geschäftsgeheimnisse, nicht Amts- und Berufsgeheimnisse.

Warum diese Frage oft falsch gestellt wird

In der Praxis lautet die Diskussion häufig:

„Dürfen wir dieses KI-Tool nutzen?“

Diese Frage führt in die Irre.
Rechtlich relevant ist nicht das Tool, sondern die Drittbearbeitung von Informationen.

Die korrekte Frage lautet:

Darf ein Dritter diese Informationen in diesem Kontext bearbeiten – und ist das Schutzniveau angemessen?

Diese Logik gilt für:

  • KI-Systeme

  • Cloud-Dienste

  • ausgelagerte IT

  • klassische Software

KI ist kein Sonderfall.

Ebene 1: Personendaten – Auftragsbearbeitung statt KI-Debatte

Sobald ein externer Anbieter Personendaten im Auftrag bearbeitet, bewegen wir uns im klassischen Datenschutzrecht.

Relevant sind:

  • Zulässigkeit der Datenbearbeitung

  • Zweckbindung

  • Transparenz

  • Datensicherheit

Die Auftragsdatenbearbeitungsvereinbarung (DPA / AVV) regelt genau diesen Punkt:
Wie Personendaten durch Dritte bearbeitet werden dürfen.

Wichtig ist dabei:

  • Eine DPA legitimiert keine unzulässige Datenbearbeitung.

  • Sie setzt voraus, dass die Bearbeitung an sich erlaubt ist.

  • KI ändert daran nichts.

Datenschutzrechtlich ist es sekundär, ob die Bearbeitung durch Menschen oder durch ein KI-System erfolgt.

Ebene 2: Schutzniveau – risikobasiert, nicht technologiegetrieben

Neben der Rechtsgrundlage ist das Schutzniveau entscheidend.

Datenschutzrecht verlangt keine absolute Sicherheit, sondern:

angemessene technische und organisatorische Massnahmen, abgestimmt auf Risiko und Schutzwürdigkeit.

Konsequenz:

  • Je sensibler die Daten

  • je grösser der Umfang

  • je gravierender die möglichen Auswirkungen

desto höher müssen Sicherheits-, Kontroll- und Organisationsmassnahmen sein.

Ein Tool ist nicht „unsicher“, weil es KI nutzt.
Es ist ungeeignet, wenn Risiko und Schutzniveau nicht zusammenpassen.

Ebene 3: Geschäftsgeheimnisse – ausserhalb des Datenschutzrechts

Ein häufiger Denkfehler:
Geschäftsgeheimnisse werden wie Personendaten behandelt.

Das ist falsch.

Geschäftsgeheimnisse sind keine Personendaten.
Eine DPA schützt sie nicht.

Ihr Schutz entsteht durch:

  • Vertragsrecht (Vertraulichkeit, Nutzungsrechte)

  • Organisationsentscheide

  • technische Zugriffsbeschränkungen

  • klare Vorgaben, was extern verarbeitet werden darf

Wer glaubt, mit einer DPA seien Geschäftsgeheimnisse ausreichend abgesichert, verkennt den Regelungsbereich des Datenschutzrechts.

Ebene 4: Amts- und Berufsgeheimnisse – kein Spielraum

Amts- und Berufsgeheimnisse bilden eine eigene Kategorie.

Hier geht es nicht um Risikoabwägung, sondern um:

  • gesetzlich geschützte Geheimhaltung

  • strafrechtliche Verantwortung

  • enge Voraussetzungen für den Einsatz von Hilfspersonen

Entscheidend ist nicht, ob ein Tool „sicher genug“ ist, sondern:

  • ob der Anbieter rechtlich als Hilfsperson zulässig ist

  • ob Weisung, Kontrolle und Geheimnisschutz effektiv sichergestellt sind

  • ob eine ausreichende gesetzliche Grundlage besteht

Eine DPA allein reicht hier nicht.

Praxisreflexion

In der Praxis zeigt sich ein klares Muster:

  • Personendaten werden korrekt über DPAs adressiert.

  • Geschäftsgeheimnisse werden stillschweigend „mitgenommen“.

  • Amts- und Berufsgeheimnisse werden ausgeblendet oder falsch eingeordnet.

Das Risiko entsteht nicht durch KI, sondern durch unscharfe Kategorisierung von Informationen.

Kurze Einordnung für die Praxis

  • KI-Tools sind rechtlich neutral

  • DPA regelt nur Personendaten

  • Geschäftsgeheimnisse brauchen eigene Schutzmechanismen

  • Amts- und Berufsgeheimnisse sind Sonderfälle

  • Entscheidend sind Rechtsgrundlage und Schutzniveau

Selbsttest

  1. Ist klar definiert, welche Datenkategorien extern bearbeitet werden dürfen?

  2. Besteht für Personendaten eine tragfähige Auftragsbearbeitung?

  3. Würde ich denselben Einsatz auch bei Amts- oder Berufsgeheimnissen vertreten können?

Wenn diese Fragen nicht sauber beantwortet sind, liegt das Problem nicht bei der KI – sondern bei der Governance.

Einordnung

KI verschärft bestehende Fragen. Sie erfindet sie nicht neu. Wer Datenbearbeitung systemisch sauber denkt, braucht keine pauschalen KI-Verbote – sondern klare Linien.

Autor

David Schneeberger

RA Dr.

... unterstützt juristische Teams dabei, KI sinnvoll einzusetzen und ihre Arbeitsweise zu modernisieren. Er bietet Impulse, Workshops und langfristige Beratung – praxisnah, rechtssicher und auf die Realität von Kanzleien, Behörden und Rechtsdiensten abgestimmt.