Rechtsgrundlage und Schutzniveau: Die zwei Schlüsselfragen für jeden KI-Einsatz

Bevor eine Organisation entscheidet, welches KI-Tool sie einsetzt, müssen zwei Fragen beantwortet sein. Erste Frage: Gibt es eine ausreichende Rechtmässigkeit für die Datenbearbeitung, die mit diesem KI-Einsatz verbunden ist? Zweite Frage: Entspricht das Schutzniveau dem Risiko? Diese Fragen sind nicht KI-spezifisch, aber KI macht sie dringlich.

Warum nicht das Tool das Problem ist

In der Praxis wird die falsche Frage gestellt: «Dürfen wir dieses Tool nutzen?» Das führt zu Tool-spezifischen Diskussionen, die am eigentlichen Problem vorbeigehen. Die richtige Frage lautet: «Darf ein Dritter diese konkreten Informationen in diesem konkreten Kontext bearbeiten und ist das Schutzniveau angemessen?»

Diese Logik gilt nicht nur für KI. Sie gilt für Cloud-Dienste, für Outsourcing, für jeden IT-Dienstleister. KI ist keine neue Rechtskategorie, sie ist eine Ausprägung der bereits bekannten Problematik: Datenbearbeitung durch Dritte. Wer Cloud und Outsourcing rechtssicher im Griff hat, hat 80 Prozent der Arbeit für KI bereits erledigt.

Die Rechtsgrundlage: Drei Kategorien

Je nach Art der Information und Art der Organisation gelten unterschiedliche Anforderungen an die Rechtsgrundlage (aufgepasst: damit ist nicht Rechtsgrundlage nach DSGVO gemeint):

Personendaten – Auftragsbearbeitung

Wenn ein externer Anbieter Personendaten im Auftrag verarbeitet, liegt Auftragsbearbeitung vor. Die Rechtsgrundlage ist der AVV. Er muss sicherstellen, dass der Anbieter nur nach Weisung handelt, die Daten nicht für eigene Zwecke nutzt und die Bearbeitungsgrundsätze einhält. Der AVV legitimiert die Bearbeitung nicht selbst, er setzt voraus, dass die Bearbeitung an sich erlaubt ist.

Für Privatunternehmen genügt in der Regel die Rechtmässigkeit als Grundlage. Bei der DSGVO hingegen bräuchte es ein berechtigtes Interesse. Für öffentliche Organe braucht es eine gesetzliche Grundlage. Für besonders schützenswerte Daten sind die Anforderungen verschärft.

Geschäftsgeheimnisse – Vertragsrecht

Geschäftsgeheimnisse sind keine Personendaten. Der AVV schützt sie nicht. Ihr Schutz entsteht durch vertragliche Vertraulichkeitsklauseln, die ausdrücklich Geschäftsgeheimnisse einschliessen. Ohne diese Klausel sind Geschäftsgeheimnisse beim externen Provider schutzlos, selbst wenn ein vollständiger AVV besteht.

In der Praxis wird dieser Unterschied häufig übersehen. Viele Organisationen glauben, mit dem AVV sei alles geregelt und übersehen dabei, dass Preisinformationen, Kundenlisten, strategische Pläne und andere Geschäftsgeheimnisse ohne explizite Vertragsklausel nicht geschützt sind.

Amts- und Berufsgeheimnisse – Hilfspersonenlogik

Bei Amts- und Berufsgeheimnissen gelten die engsten Anforderungen. Es geht nicht um eine Risikoabwägung, sondern um strafrechtlich bewehrte Geheimnisschutzpflichten. Der Provider muss als Hilfsperson qualifizieren: weisungsgebunden, kein Eigenrecht an den Daten, kein Training, kein unkontrolliertes Monitoring.

Die drei Kategorien können sich überschneiden: Mandantendaten einer Anwaltskanzlei sind gleichzeitig Personendaten (DSG), Berufsgeheimnis (Art. 321 StGB) und häufig auch Geschäftsgeheimnisse des Mandanten. Alle drei Schichten müssen bedacht werden.

Das Schutzniveau: Risikobasiert, nicht technologiegetrieben

Das DSG verlangt keine absolute Sicherheit. Es verlangt angemessene technische und organisatorische Massnahmen, abgestimmt auf Risiko und Schutzwürdigkeit der bearbeiteten Daten. Diese Verhältnismässigkeitslogik gilt auch für KI.

Entscheidend sind vier Faktoren: Erstens die Sensibilität der Daten. Besonders schützenswerte Personendaten erfordern höhere Schutzmassnahmen als allgemeine Kontaktdaten. Zweitens der Umfang der Bearbeitung. Grossflächige, systematische Bearbeitung erhöht das Risiko und damit die Anforderungen. Drittens die möglichen Auswirkungen für Betroffene. Je gravierender die Konsequenzen eines Datenlecks, desto höher der Schutzstandard. Viertens die Entscheidungswirkung des KI-Outputs. Wenn der Output direkt in Entscheide mit Rechtswirkung einfliesst, gelten erhöhte Anforderungen.

Server-Standort, Drittlandtransfer und Standardvertragsklauseln

Viele Diskussionen zum Datenschutz beginnen beim Server-Standort. Das ist verständlich, greift aber zu kurz. Entscheidend ist nicht, wo ein Server physisch steht, sondern ob Personendaten ins Ausland bekanntgegeben werden und ob dort ein angemessenes Datenschutzniveau besteht.

Ausgangspunkt ist die Liste der Staaten, Gebiete und Organisationen mit angemessenem Datenschutz gemäss Anhang 1 der Datenschutzverordnung (DSV). Diese Liste ist zentral, weil sie vorgibt, wohin Personendaten ohne zusätzliche Absicherungen übermittelt werden dürfen. Staaten wie diejenigen der EU oder des EWR gelten als unproblematisch. Erfolgt eine Datenbearbeitung in solchen Ländern, sind in der Regel keine weiteren Garantien erforderlich. Ein AVV ist gleichwohl notwendig.

Komplexer ist die Situation bei Staaten, die nicht pauschal als sicher gelten. Ein besonders wichtiger Fall sind die Vereinigten Staaten. Für sie besteht kein genereller Angemessenheitsentscheid. Gleichzeitig sieht der Anhang 1 der Datenschutzverordnung (DSV) vor, dass für Personendaten, die von Organisationen bearbeitet werden, die nach dem Datenschutzrahmen zwischen der Schweiz und den USA zertifiziert sind, ein angemessenes Datenschutzniveau angenommen wird.

Diese Zertifizierung erfolgt über das US-Handelsministerium im Rahmen des Data Privacy Framework: Unternehmen müssen sich registrieren, verbindliche Datenschutzgrundsätze umsetzen und sich einer behördlichen Aufsicht unterstellen. Grosse Anbieter wie Microsoft, Google und Amazon verfügen über entsprechende Zertifizierungen; entscheidend ist jedoch stets, welche konkrete Konzerngesellschaft und welcher Dienst erfasst sind.

Entscheidend ist somit nicht das Land als solches, sondern die konkrete Organisation. Liegt eine entsprechende Zertifizierung vor, ist eine Übermittlung zulässig. Fehlt sie, gilt das Datenschutzniveau als nicht ausreichend.

In solchen Fällen verlangt das Schweizer Datenschutzrecht zusätzliche Garantien. In der Praxis kommen vor allem die von der Europäischen Kommission entwickelten Standardvertragsklauseln zum Einsatz, die auch in der Schweiz anerkannt sind. Sie müssen jedoch korrekt implementiert und auf den konkreten Datenfluss abgestimmt werden. Zudem ist zu prüfen, ob im Einzelfall Risiken bestehen, etwa durch Zugriffsmöglichkeiten von Behörden im Drittstaat. Die blosse Verwendung von Vertragsklauseln genügt daher nicht immer.

Ein häufiger Irrtum besteht darin, den Vertragspartner mit dem tatsächlichen Datenfluss gleichzusetzen. Dass ein Vertrag mit einer europäischen Gesellschaft abgeschlossen wird, bedeutet nicht automatisch, dass keine Daten in Drittstaaten gelangen. Innerhalb von Konzernen können Daten weitergegeben werden, etwa für Support, Wartung oder Analysezwecke. Auch Zugriffe aus dem Ausland sind möglich. Für die datenschutzrechtliche Beurteilung ist daher entscheidend, wohin die Daten tatsächlich fliessen oder von wo aus darauf zugegriffen werden kann.

Grosse Anbieter wie Microsoft, Google oder Amazon strukturieren ihre Verträge häufig über europäische Gesellschaften, etwa in Irland. Gleichzeitig kombinieren sie verschiedene Mechanismen, insbesondere Zertifizierungen unter dem Datenschutzrahmen sowie Standardvertragsklauseln. Damit wird das Risiko reduziert, aber nicht vollständig beseitigt. Die Prüfung eines Drittlandtransfers bleibt auch in diesen Konstellationen erforderlich.

Technische Massnahmen wie eine sogenannte Zero Data Retention können zusätzlich zur Risikoreduktion beitragen. Dabei werden Daten nur kurzfristig verarbeitet und nicht dauerhaft gespeichert. Solche Ansätze sind insbesondere bei sensiblen Daten relevant. Sie ersetzen jedoch keine rechtliche Beurteilung, da auch eine kurzfristige Verarbeitung eine Bekanntgabe ins Ausland darstellen kann.

Zusammenfassend ist festzuhalten, dass der Server-Standort allein keine verlässliche Aussage über die datenschutzrechtliche Zulässigkeit einer Bearbeitung erlaubt. Massgeblich ist vielmehr, ob das Zielland oder die empfangende Organisation gemäss Anhang 1 der DSV ein angemessenes Datenschutzniveau aufweist. Ist dies nicht der Fall, sind zusätzliche Garantien erforderlich. Entscheidend ist dabei stets der effektive Datenfluss und nicht die formale Vertragsstruktur.

Praktische Prüflogik für die Organisation

Eine Prüfung entlang einzelner Tools führt in die Irre. Entscheidend ist eine strukturierte Einordnung der verarbeiteten Informationen. Daraus ergibt sich, was rechtlich und technisch erforderlich ist.

Die Prüfung lässt sich auf fünf Kernfragen reduzieren:

• Erstens: Welche Datenkategorie liegt vor? Zu unterscheiden ist insbesondere zwischen Personendaten, Geschäftsgeheimnissen sowie Amts- oder Berufsgeheimnissen. Diese Einordnung steuert die gesamte weitere Prüfung.

• Zweitens: Welche rechtliche Einbindung ist erforderlich? Je nach Konstellation sind unterschiedliche Instrumente relevant, etwa ein Auftragsbearbeitungsvertrag, vertragliche Vertraulichkeitsregelungen oder die Einordnung als Hilfsperson. Diese Frage wird häufig zu schematisch beantwortet und muss konkret auf die Nutzung abgestimmt werden.

• Drittens: Welcher Schutzstandard ist verhältnismässig? Nicht jede Bearbeitung erfordert das gleiche Schutzniveau. Entscheidend ist eine risikobasierte Differenzierung, etwa zwischen einem Standardniveau, erhöhten Anforderungen oder besonders hohen Schutzbedürfnissen.

• Viertens: Welche Garantien bietet der Anbieter tatsächlich? Massgeblich sind nicht Marketingaussagen, sondern die vertraglichen und technischen Zusicherungen. Dazu gehören insbesondere Regelungen zum Training der Modelle, zum Umgang mit Missbrauchserkennung, zur Datenlokation sowie zu allfälligen Speichermechanismen.

• Fünftens: Ist die konkrete Konfiguration korrekt umgesetzt? Viele Risiken entstehen nicht im Vertrag, sondern in der Anwendung. Einstellungen im Tool, Zugriffsrechte und organisatorische Vorgaben sind oft entscheidend dafür, ob eine Nutzung rechtlich tragfähig ist.

Wer diese fünf Fragen systematisch beantwortet, schafft ein belastbares Fundament für den Einsatz von KI-Systemen. Die konkrete Wahl des Tools wird damit zweitrangig. Entscheidend ist, dass die Nutzung in die eigene Organisation, die Datenkategorien und die rechtlichen Anforderungen passt.

Konfiguration und Vertrag: Beides ist nötig

Ein Vertrag mit dem Provider ist notwendig, aber nicht hinreichend. Im Kurs «Rechtssicher mit KI» gehen wir gerne darauf ein, dass Provider-Verträge häufig vorsehen, dass der Server-Standort Schweiz gewählt werden kann, aber diese Einstellung aktiv vorgenommen werden muss. Wer den Vertrag hat, aber die Konfiguration nicht angepasst hat, hat keinen effektiven Schutz.

Das gilt auch für Training-Opt-outs: Bei vielen Tools muss die Einstellung «Trainingsdaten deaktivieren» aktiv vorgenommen werden. Sie ist nicht automatisch Standard. Wer das übersieht, verletzt möglicherweise das Berufsgeheimnis, nicht trotz, sondern wegen des scheinbar sauberen Vertrags.

Abgrenzung zu KI-spezifischen Rechtsfragen

Rechtsgrundlage und Schutzniveau sind datenschutzrechtliche Konzepte, die vor KI existiert haben und für KI dieselbe Logik behalten. Was KI-spezifisch ist: Entscheidungswirkung, Transparenz, Nachvollziehbarkeit und Hochrisiko-KI nach AI Act.

 Selbsttest

Weiterführende Beratung & Kurse

Sie möchten KI rechtssicher in Ihrer Organisation einführen und nutzen? Dr. David Schneeberger begleitet Kanzleien, Behörden und Rechtsdienste mit Workshops, Strategieberatung und dem Kurs «Rechtssicher mit KI».