Schutzniveau bei KI konkret: Was Provider anbieten müssen und was nicht reicht

Der Begriff «Schutzniveau» klingt abstrakt. In der Praxis ist er die entscheidende Messlatte: Entsprechen die technischen und organisatorischen Massnahmen eines Providers dem Risiko der geplanten Datenbearbeitung? Die Antwort auf diese Frage bestimmt, ob ein KI-Tool rechtlich eingesetzt werden darf und nicht die Marke des Anbieters.

Was «angemessenes Schutzniveau» konkret bedeutet

Das DSG verlangt kein absolutes Sicherheitsniveau, sondern Verhältnismässigkeit: Die Schutzmassnahmen müssen dem Risiko der Bearbeitung entsprechen. Drei Faktoren bestimmen das erforderliche Niveau: Sensibilität der Daten, Umfang der Bearbeitung und mögliche Auswirkungen eines Sicherheitsvorfalls für Betroffene.

Für einen Use Case, bei dem allgemeine Rechtstexte mit minimalem Personenbezug überarbeitet werden, reicht ein niedrigeres Schutzniveau als für einen Use Case, bei dem Patientendaten oder Mandatsinformationen im Spiel sind. Fehlt es am Personenbezug kommt streng genommen das DSG gar nicht mehr zur Anwendung. Das Schutzniveau muss also zum Use Case kalibriert werden und nicht zum Image des Providers.

Die drei Schutzniveau-Zonen in der Praxis

Zone Grün: Standardschutz ausreichend

Kein oder minimaler Personenbezug, keine Geheimnisinformationen, kein Entscheidungseffekt für Dritte. Typische Use Cases: Recherche mit öffentlichen Texten, Entwürfe auf Basis eigener Inhalte, Übersetzungen allgemeiner Dokumente. Standardverträge der grossen Provider (Enterprise-Tier) sind in der Regel ausreichend. Kein besonderer Verhandlungsbedarf.

Zone Gelb: Erhöhte Anforderungen

Personendaten ohne besondere Schutzbedürftigkeit, Geschäftsgeheimnisse, vertragliche Informationen von Dritten. Use Cases: Vertragsprüfungen mit Klientenangaben, interne Korrespondenzunterstützung, Recherche mit Fallbezug. Hier braucht es: expliziter AVV, Vertraulichkeitsklausel für Nicht-Personendaten, Training-Opt-out, Klarheit über Server-Standort. Enterprise-Tier der grossen Hyperscaler genügt in der Regel, aber die Konfiguration muss stimmen.

Zone Rot: Höchste Anforderungen

Besonders schützenswerte Personendaten, Amts- und Berufsgeheimnisse, strafrechtlich relevante Mandatsinformationen, sicherheitsrelevante Verwaltungsdaten. Use Cases: Strafverteidigung, psychiatrische Behandlungsdokumentation, Steuerverfahren mit sensitiven Daten. Hier braucht es: Hilfspersonenvertrag mit explizitem Geheimnisschutz, Training-Opt-out, Abuse-Monitoring-Opt-out, vertragliche Zusicherung des Server-Standorts Schweiz oder EWR, Zero Data Retention bei sensiblen Inputs.

Was Provider vertraglich anbieten und wo die Lücken liegen

Die grossen Anbieter wie Microsoft, Google, OpenAI und Anthropic bieten für Enterprise-Kunden heute ein relativ standardisiertes Vertragsset an. Dazu gehören insbesondere Auftragsbearbeitungsverträge nach europäischem und schweizerischem Standard, konfigurierbare Server-Regionen im EWR oder teilweise in der Schweiz, ein Training-Opt-out sowie ergänzende schweizerische Vertragszusätze zu den EU-Dokumenten.

Diese Elemente schaffen eine solide Grundlage, lösen die datenschutzrechtlichen Fragen jedoch nicht vollständig. Insbesondere der Server-Standort wird häufig überschätzt. Zwar lassen sich Regionen auswählen, eine vollständige Datenlokalisierung ist damit aber nicht garantiert. Metadaten, Protokolle oder Supportzugriffe können weiterhin ausserhalb der gewählten Region erfolgen.

Entscheidend ist daher nicht nur, was vertraglich vereinbart wird, sondern wohin Daten tatsächlich fliessen oder von wo aus darauf zugegriffen werden kann. Auch bei einem europäischen Vertragspartner oder einem Server-Standort im EWR können Drittstaatenzugriffe bestehen, die gesondert zu beurteilen sind. Fragen des Drittlandtransfers bleiben damit regelmässig relevant, selbst wenn die Vertragsstruktur auf den ersten Blick „europäisch“ erscheint.

Was häufig fehlt oder nur eingeschränkt verfügbar ist, betrifft zentrale Schutzmechanismen. Ein vollständiges Opt-out aus dem Abuse Monitoring ist in vielen Fällen technisch nicht vorgesehen, da es integraler Bestandteil der Sicherheitsarchitektur der Anbieter ist. Ebenso enthalten Standardverträge in der Regel keine spezifischen Regelungen zum Schutz von Berufs- oder Amtsgeheimnissen. Auch die Haftung ist stark begrenzt; Anbieter arbeiten mit weitgehenden Haftungsausschlüssen oder -limiten, die das wirtschaftliche Risiko weitgehend beim Kunden belassen.

Ein weiteres praktisches Problem ist die mangelnde Transparenz der Vertragswerke. Die relevanten Regelungen verteilen sich auf verschiedene Dokumente, Anhänge und dienstspezifische Bedingungen. Welche Bestimmungen für welchen Service gelten, unter welchen Voraussetzungen und mit welchen Ausnahmen, ist oft selbst für juristisch geschulte Personen nur mit erheblichem Aufwand nachvollziehbar.

Zusammenfassend bieten die grossen Provider heute eine belastbare vertragliche Basis. Die eigentlichen Risiken liegen jedoch in den Details: im effektiven Datenfluss, in Zugriffsmöglichkeiten aus Drittstaaten, in fehlenden spezifischen Schutzmechanismen und in der begrenzten Haftung. Wer sich auf Standardformulierungen verlässt, übersieht genau diese Punkte.

Konfiguration ist nicht Vertrag

Ein häufiger Fehler: Der Vertrag sieht den Server-Standort Schweiz vor, aber die Konfiguration wurde nicht entsprechend eingestellt. Oder der Training-Opt-out ist vertraglich vereinbart, aber in den Tool-Einstellungen nicht aktiviert. Vertrag und Konfiguration müssen übereinstimmen, nur dann entsteht tatsächlicher Schutz.

Konkrete Checkliste für die Konfiguration: Server-Standort auf Schweiz oder EWR setzen (wo verfügbar), Conversational History deaktivieren oder auf minimale Aufbewahrung einstellen, Training-Opt-out in den Account-Einstellungen aktivieren, Abuse-Monitoring-Einstellungen prüfen und dokumentieren, ZDR für API-Zugriffe konfigurieren.

Lokale Installationen: Die Alternative und ihre Kosten

Wer maximale Kontrolle will, setzt auf lokale KI-Installationen. Open-Source-Modelle auf eigener Infrastruktur oder privaten Cloud-Umgebungen bieten das höchste Schutzniveau, aber zu erheblichen Kosten: Infrastruktur, IT-Personal, Modellwartung, Leistungseinbussen gegenüber grossen Modellen.

Die Entscheidung für eine lokale Installation ist kein Sicherheitsautomatismus, sondern eine Abwägung. Für kleine Kanzleien und Behörden ohne grosse IT-Ressourcen ist sie oft unrealistisch. Die Frage lautet nicht «lokal oder nicht», sondern «welches Schutzniveau brauche ich, und mit welchem Anbieter-Setup lässt es sich erreichen?»

Schweizer Anbieter: Vertrauensbonus mit Grenzen

Schweizer Anbieter werden oft als vertrauenswürdiger wahrgenommen als US-Hyperscaler. Dieser Vertrauensbonus ist implizit nachvollziehbar, aber nicht immer begründet und er ersetzt auf keinen Fall eine Vertragsanalyse. Auch kleinere Schweizer Anbieter können Daten zu Trainingszwecken nutzen, können suboptimale Sicherheitsmassnahmen haben oder können nicht als Hilfsperson qualifizieren.

Vertrauen ist gut, Vertrag ist besser. Für Schweizer Anbieter gilt dieselbe Prüflogik wie für internationale: Welche Daten werden wie genutzt, welche Schutzversprechen gibt es vertraglich, und hält die technische Realität, was der Vertrag verspricht?

Selbsttest

Weiterführende Beratung & Kurse

Sie möchten KI rechtssicher in Ihrer Organisation einführen und nutzen? Dr. David Schneeberger begleitet Kanzleien, Behörden und Rechtsdienste mit Workshops, Strategieberatung und dem Kurs «Rechtssicher mit KI».