top of page
  • LinkedIn
  • Youtube
Suche

Amtsgeheimnis und KI: Was Behörden und Verwaltungsjuristen wissen müssen

  • Autorenbild: David Schneeberger
    David Schneeberger
  • vor 7 Tagen
  • 3 Min. Lesezeit

Wer in einer Behörde arbeitet und KI einsetzen will, steht vor einer Zusatzfrage, die Privatrechtssubjekte nicht kennen: das Amtsgeheimnis nach Art. 320 StGB. Es schützt alle Informationen, die eine Behördenangehörige in ihrer amtlichen Tätigkeit zur Kenntnis nimmt, unabhängig davon, ob es sich um Personendaten handelt.


Was das Amtsgeheimnis erfasst

Das Amtsgeheimnis nach Art. 320 StGB gilt für alle Personen, die im Dienst von Bund, Kantonen oder Gemeinden stehen oder eine öffentliche Aufgabe erfüllen. Es erfasst alle Tatsachen, die in Ausübung dieser Tätigkeit bekannt werden, Sachverhalte, Entscheidungsgrundlagen, Akteninhalte, Verfahrensstand, aber auch Informationen über Dritte, die im Rahmen des Verfahrens eingehen.

Im Unterschied zum Datenschutzrecht: Das Amtsgeheimnis schützt nicht nur Angaben über natürliche Personen, sondern alle amtlich bekannt gewordenen Tatsachen, einschliesslich Informationen über juristische Personen, Behördenkommunikation und vertrauliche Verfahrenselemente.

Strafrechtlich ist es relevant: Wer das Amtsgeheimnis verletzt, macht sich nach Art. 320 StGB strafbar. Die Strafverfolgung ist an keinen Mindestschaden geknüpft; es reicht die unbefugte Bekanntgabe.


Kantonales Datenschutzrecht: Was zusätzlich gilt

Behörden auf kantonaler Ebene unterstehen in erster Linie dem kantonalen Datenschutzgesetz, nicht dem Bundes-DSG. Viele kantonale Gesetze bzw. deren Auslegung durch den jeweiligen Datenschutzbeauftragten, haben strengere Anforderungen als das Bundes-DSG, insbesondere bezüglich Datenbekanntgabe ins Ausland und Cloud-Nutzung.

Der Kanton Genf kennt zum Beispiel besonders restriktive Bestimmungen zur Datenbekanntgabe ins Ausland. Wer in einem solchen Kanton eine KI-Lösung mit US-Provider einsetzen will, muss die kantonalen Anforderungen separat prüfen. Ein AVV, der dem Bundes-DSG genügt, kann im kantonalen Recht unzureichend sein.

Empfehlung: Kantonale Datenschutzgesetze und die Praxis der jeweiligen Datenschutzaufsichtsbehörde frühzeitig prüfen. Viele kantonale Aufsichtsstellen verlangen bei neuen Technologien, insbesondere KI und Cloud, proaktive Konsultation. Im Kanton Zürich läuft dies bspw. unter dem Begriff der Vorabkontrolle und ist verpflichtend, u.a. bei KI.


Hilfspersonenlogik gilt auch im Amtsgeheimnis

Wie beim Berufsgeheimnis gilt auch beim Amtsgeheimnis, dass Informationen an Hilfspersonen weitergegeben werden dürfen, die an die Weisung der Behörde gebunden sind. Die Reform von Art. 320 StGB hat dies ausdrücklich klargestellt.

Konkret: Eine Behörde kann einen KI-Provider als Hilfsperson einsetzen, wenn der Vertrag sicherstellt, dass der Provider die Informationen nur für den beauftragten Zweck nutzt, keine Eigenrechte an den Daten erwirbt und insbesondere keine Modell-Trainingsklausel greift.

Zusätzlich gilt: Behörden stehen unter erhöhter Legitimationslast. Sie brauchen je nach Kanton eine gesetzliche Grundlage für die Datenbearbeitung. Bundesorgane brauchen nach DSG Art. 34 eine gesetzliche Grundlage, wenn sie Personendaten bearbeiten.


Spezielle Risiken für Behörden

Im Kurs «Rechtssicher mit KI» gehen wir regelmässig insb. auf drei Risikobereiche ein, die für Behörden besonders relevant sind:

  • Verfahrensdaten: Informationen über laufende Verfahren, Verdächtige, Steuerdaten oder soziale Unterstützungsleistungen sind hochsensibel. Hier ist der Handlungsspielraum besonders eng.

  • Öffentlichkeitsgesetz: Gewisse Informationen müssen auf Anfrage offengelegt werden. Eine KI-gestützte Bearbeitung solcher Daten kann unbeabsichtigt Offenlegungsansprüche tangieren.

  • Automatisierte Einzelentscheidungen: Wenn eine Behörde KI-Outputs direkt in Verwaltungsentscheide einfliessen lässt, ohne menschliche Überprüfung, riskiert sie, gegen Verfahrensrechte der Betroffenen zu verstossen.


Praktische Empfehlung für Behörden

Behörden, die KI einsetzen wollen, sollten in drei Schritten vorgehen: Erstens den Use Case genau definieren: welche Daten, welcher Zweck, welche Entscheidungswirkung? Zweitens die gesetzliche Grundlage klären: sowohl das Datenschutzrecht als auch das Spezialgesetz für das jeweilige Sachgebiet. Drittens den Provider auf Hilfspersonenkonformität prüfen: Vertragsgestaltung, Training-Opt-out, Server-Standort.

Die Abklärung mit der zuständigen kantonalen Datenschutzaufsichtsbehörde ist für Behörden oftmals sogar eine gesetzliche Pflicht, und in allen Fällen eine kluge Massnahme: Sie schützt vor späteren Beanstandungen und schafft Dokumentation für die Rechenschaftspflicht.

Für Behörden gilt: KI-Einsatz braucht gesetzliche Grundlage, Hilfspersonenvertrag und – je nach Kanton – proaktive Abstimmung mit der Datenschutzaufsicht. Das ist mehr als im Privatrecht, aber lösbar.

 Selbsttest

Besteht eine gesetzliche Grundlage für den KI-Use-Case?

Behörden brauchen eine ausdrückliche gesetzliche Grundlage für die Datenbearbeitung. Spezialgesetz und kantonales DSG prüfen.

Gilt kantonales Datenschutzrecht mit strengeren Anforderungen?

Nicht alle kantonalen DSG sind gleich. Insbesondere Datenbekanntgabe ins Ausland und Cloud-Nutzung sind kantonal unterschiedlich geregelt. Frühzeitig abklären.

Ist Abuse Monitoring beim gewählten Provider ausgeschlossen?

Besonders bei Verfahrensdaten und Strafverfolgungskontext ist Abuse Monitoring ein ernsthaftes Risiko. Nur Provider mit explizitem Opt-out in Betracht ziehen.

 

Weiterführende Beratung & Kurse

Sie möchten KI rechtssicher in Ihrer Organisation einführen und nutzen? Dr. David Schneeberger begleitet Kanzleien, Behörden und Rechtsdienste mit Workshops, Strategieberatung und dem Kurs «Rechtssicher mit KI».

bottom of page