top of page
  • LinkedIn
  • Youtube
Suche

KI, Cloud und Outsourcing: Wo die rechtlichen Unterschiede wirklich liegen

  • Autorenbild: David Schneeberger
    David Schneeberger
  • 13. Apr.
  • 3 Min. Lesezeit

«Das geht nicht, das ist KI.» Dieser Satz begegnet in Beratungen ebenso häufig wie sein Geschwister: «Cloud dürfen wir nicht» oder «Outsourcing ist heikel». Die Sätze klingen nach rechtlichem Befund. Meistens sind sie Ausdruck von Unsicherheit, in der die Begriffe KI, Cloud und Outsourcing wie eigenständige Rechtskategorien behandelt werden. Das sind sie nicht.


Der zentrale Denkfehler

Die implizite Annahme hinter diesen Aussagen lautet: KI ist rechtlich etwas grundlegend anderes als Cloud oder Outsourcing. Wer mit Cloud-Diensten oder ausgelagerten Dienstleistern seit Jahren gearbeitet hat, muss für KI bei null anfangen. Dieser Gedanke ist falsch, und er erzeugt unnötige Blockaden.

Rechtlich relevant ist nicht die Technologie, sondern vier Aspekte: die Datenbearbeitung und ihre Grundlage, die Verantwortlichkeiten zwischen den Beteiligten, das angemessene Schutzniveau und die Risikokonstellation des konkreten Einsatzes. KI, Cloud und Outsourcing sind unterschiedliche technische Organisationsformen derselben Bearbeitung. Das Datenschutzrecht fragt nicht, wie modern die Technologie ist, sondern wie kontrolliert sie eingesetzt wird.


Was alle drei gemeinsam haben

In allen drei Konstellationen werden Informationen ausserhalb der eigenen Organisation bearbeitet. Das begründet in jedem Fall dieselben Grundfragen: Wer ist rechtlich verantwortlich für die Bearbeitung? Besteht eine ausreichende Rechtsgrundlage? Ist das angemessene Schutzniveau gewährleistet? Sind die Rollen vertraglich und organisatorisch klar abgebildet?

Die Verantwortlichkeit verbleibt in allen drei Fällen bei der auftraggebenden Organisation. Wer eine externe Infrastruktur nutzt, ein Cloud-System betreibt oder eine KI-Plattform einsetzt, bleibt Verantwortlicher im datenschutzrechtlichen Sinne. Er muss sicherstellen, dass die Bearbeitung durch Dritte oder mit Drittinfrastruktur die gesetzlichen Anforderungen erfüllt.


Wo die Unterschiede tatsächlich liegen

Unterschiede bestehen, aber sie sind gradueller, nicht kategorialer Natur. Bei Cloud-Lösungen ist die Funktionalität in der Regel klar definiert. Der Anbieter ist typischerweise Auftragsbearbeiter und handelt nach Weisung. Rechtlich geht es um Auftragsdatenbearbeitung, Datensicherheit, Zugriffsrechte und Datenstandorte. Cloud ist rechtlich gut beherrschbar, weil der Output vorhersehbar ist.

Beim Outsourcing werden Aufgaben ganz oder teilweise ausgelagert. Dritte handeln dabei oft mit eigenem Entscheidungsspielraum, was zu gemeinsamer Verantwortung oder gar Eigenverantwortung führen kann. Das ist organisatorisch komplexer, aber die Rechtsfragen sind dieselben: Rollenklärung, Haftung, Weisungsrechte, Kontrollmechanismen.

Bei KI entstehen neue Inhalte, Bewertungen oder Empfehlungen, die probabilistischen Charakter haben. Das erhöht die Anforderungen an Entscheidwirkung, Nachvollziehbarkeit und Erwartungsmanagement. KI ist nicht gefährlicher als Cloud oder Outsourcing, aber schwieriger zu erklären, weil der Entstehungsprozess des Outputs weniger transparent ist.


Warum KI besonders viel Aufmerksamkeit erhält

KI bündelt mehrere Faktoren, die Aufmerksamkeit erzeugen: neue Technologie, hohe Automatisierung, Geschwindigkeit und Sichtbarkeit nach aussen. Das macht KI zum Brennglas für Fragen, die bei Cloud und Outsourcing längst geklärt wurden, oder eben nicht. Organisationen, die bei Cloud und Outsourcing nie sauber gearbeitet haben, spüren das bei KI mit verstärkter Dringlichkeit.

Rechtlich ist KI kein Sonderfall. Sie ist ein Stresstest für bestehende Strukturen. Wer seine Datenbearbeitungs-Prozesse, Vertragsgrundlagen und Schutzniveaus für Cloud und Outsourcing sauber aufgebaut hat, hat 80 Prozent der Arbeit für KI bereits erledigt. Die verbleibenden 20 Prozent betreffen KI-spezifische Aspekte wie Entscheidwirkung, Transparenz und Governance, nicht die Grundlogik.


Die entscheidende Frage

Statt «Dürfen wir KI einsetzen?» sollte die Frage lauten: Haben wir für diese konkrete Datenbearbeitung eine ausreichende Rechtsgrundlage, klare Verantwortlichkeit und ein angemessenes Schutzniveau? Wenn diese Frage sauber beantwortet ist, spielt es kaum eine Rolle, ob im Hintergrund ein KI-System, eine Cloud-Plattform oder ein externer Dienstleister arbeitet. Die Technologie wird rechtlich nachrangig.

Wer Cloud und Outsourcing seit Jahren rechtssicher nutzt, verfügt bereits über das methodische Handwerk. Dieses Handwerk ist auf KI übertragbar, mit der Ergänzung, dass KI-spezifische Aspekte wie Entscheidwirkung und Nachvollziehbarkeit separat geprüft werden müssen.

KI ist rechtlich kein Sonderfall. Sie ist ein Stresstest für bestehende Strukturen. Wer Cloud und Outsourcing rechtssicher im Griff hat, hat die Grundlage für KI bereits gelegt.

 Selbsttest

Welche Informationskategorien werden durch den KI-Einsatz an Dritte übermittelt?

Unterscheiden: Personendaten (DSG), Geschäftsgeheimnisse (Vertragsrecht), Amts-/Berufsgeheimnisse (StGB). Jede Kategorie verlangt eine eigene rechtliche Grundlage.

Besteht eine klare Rollentrennung zwischen Verantwortlichem und Auftragsbearbeiter?

Der KI-Provider ist in der Regel Auftragsbearbeiter, sofern er nur nach Weisung handelt. Training und Monitoring-Klauseln können die Rolle verändern.

Ist das Schutzniveau dem Risiko der konkreten Bearbeitung proportional?

Nicht jeder Use Case erfordert dasselbe Schutzniveau. Risikobasiert differenzieren statt pauschal maximal absichern.

Weiterführende Beratung & Kurse

Sie möchten KI rechtssicher in Ihrer Organisation einführen und nutzen? Dr. David Schneeberger begleitet Kanzleien, Behörden und Rechtsdienste mit Workshops, KI-Rechtsberatung und dem Kurs «Rechtssicher mit KI».

bottom of page