KI & Berufsgeheimnis: Art. 321 StGB und Cloud-Tools
Darf ich Mandantendaten in ein KI-Tool eingeben? Warum die Antwort von der Architektur abhängt — und nicht bloss vom Serverstandort.
Das anwaltliche Berufsgeheimnis (Art. 13 BGFA, strafbewehrt durch Art. 321 StGB) verpflichtet Anwältinnen und Anwälte zur Verschwiegenheit über alles, was ihnen in ihrer beruflichen Tätigkeit anvertraut wird. Es ist kein blosses Standesprinzip, sondern strafrechtlich abgesichert und zivilrechtlich haftungsrelevant. Mit dem Einzug generativer KI-Werkzeuge stellt sich eine praktische Frage neu und dringlich: Darf ich Angaben aus einem Mandat in ein KI-Tool eingeben — und wenn ja, unter welchen Bedingungen?
Was schützt Art. 321 StGB — und wann greift er bei KI-Tools?
Art. 321 StGB stellt die Verletzung des Berufsgeheimnisses unter Strafe. Geschützt ist nicht nur der Inhalt eines Mandats, sondern bereits die Tatsache, dass jemand Klientin ist, sowie sämtliche Umstände, die der Anwältin in dieser Eigenschaft anvertraut oder bekannt werden. Der Schutz ist weit: Er erfasst Namen, Sachverhalte, Strategien, Beweismittel und Metadaten. Sobald solche Informationen in ein KI-Tool eingegeben werden, das sie an einen Server überträgt, findet eine Bekanntgabe an einen Dritten — den Betreiber des Tools und seine Unterauftragnehmer — statt. Ob diese Bekanntgabe zulässig ist, hängt von der Einwilligung der Klientschaft, von der vertraglichen Absicherung (insbesondere einem Auftragsbearbeitungsvertrag) und von den technischen Garantien des Anbieters ab. Fehlt eine dieser Voraussetzungen, riskiert die Anwältin nicht nur eine Disziplinarmassnahme, sondern eine Strafbarkeit nach Art. 321 StGB.
Hinzu kommt das revidierte Datenschutzgesetz (revDSG). Mandatsdaten enthalten regelmässig besonders schützenswerte Personendaten — Gesundheitsdaten, Daten über Strafverfahren, finanzielle Verhältnisse. Deren Bekanntgabe an einen Auftragsbearbeiter setzt eine gültige Rechtsgrundlage, eine Datenminimierung und angemessene technische und organisatorische Massnahmen voraus. Das Berufsgeheimnis und das Datenschutzrecht wirken hier zusammen und verschärfen sich gegenseitig.
Warum der Serverstandort nicht die ganze Antwort ist
Viele Anbieter werben mit „Hosting in der Schweiz“. Das ist relevant, greift aber zu kurz. Denn selbst wenn Daten in einem Schweizer Rechenzentrum gespeichert werden, findet die Verarbeitung durch das eigentliche KI-Modell häufig anderswo statt — etwa „in Europa“ oder in den USA. Der Speicherort einer Datenbank sagt nichts darüber aus, wo das Sprachmodell rechnet, wer technisch Zugriff auf die Eingaben hat und unter welcher Rechtsordnung dieser Zugriff steht. Client-Inhalte verlassen dann das Gerät und die Kanzlei — unabhängig davon, wo am Ende die Ergebnisse liegen.
Ebenso entscheidend ist die Frage nach dem Training. Wird eine Eingabe genutzt, um das Modell zu verbessern, verlässt der Mandatsinhalt nicht nur kurzzeitig das Gerät, sondern fliesst potenziell dauerhaft in ein Modell ein, das Dritten zur Verfügung steht. Eine belastbare Zero-Retention-Zusicherung — keine Speicherung, kein Training — ist deshalb kein Nice-to-have, sondern Voraussetzung für eine berufsrechtlich vertretbare Cloud-Nutzung. Wie Causidicus die Cloud-Stufe auf Frage und öffentlichen Gesetzestext beschränkt und unter Zero-Retention betreibt, ist auf der Seite Sicherheit & Architektur im Detail beschrieben.
On-Device: warum lokale Verarbeitung die datensparsamste Variante ist
Die sicherste Variante ist, die Daten gar nicht erst zu übermitteln. Läuft das Sprachmodell lokal auf dem Gerät der Anwältin (on-device), werden Mandatsdaten für die Verarbeitung nicht ins Netz gegeben. Es gibt keinen Server, der kompromittiert werden könnte, keinen Anbieter, dem man vertrauen muss, und keine ausländische Behörde, die auf die Daten zugreifen könnte. Das Berufsgeheimnis wird so nicht durch einen Vertrag geschützt, sondern durch die Architektur — es ist eine Eigenschaft des Systems, keine Zusicherung auf Papier.
Genau das ist der Ansatz von Causidicus. Die Standard-Stufe läuft als natives Programm direkt auf dem Mac; das Sprachmodell, die Rechtsbibliothek und Ihre Dossiers liegen lokal. Für die Beantwortung Ihrer Fragen besteht in dieser Stufe keine Netzwerkverbindung. Zusätzlich werden Dossiers und Arbeitsprodukte verschlüsselt abgelegt (AES-GCM, Schlüssel im macOS-Schlüsselbund, gerätegebunden), sodass die Inhalte auch bei Verlust des Geräts nicht ohne Weiteres lesbar sind.
Was Sie vor der KI-Nutzung prüfen sollten
Bevor eine Kanzlei ein KI-Werkzeug einführt, lohnt sich eine kurze, ehrliche Checkliste:
- Verlassen Mandatsdaten das Gerät — und wenn ja, wohin, zu welchem Zweck und für wie lange?
- Werden Eingaben zum Training verwendet, oder gilt eine belastbare Zero-Retention-Zusicherung?
- Wer hat technisch Zugriff, und unter welcher Rechtsordnung steht dieser Zugriff?
- Liegt für eine allfällige Übermittlung die Einwilligung der Klientschaft vor?
- Besteht ein Auftragsbearbeitungsvertrag, der die datenschutzrechtlichen Pflichten abbildet?
- Werden nur die nötigen Daten übermittelt (Datenminimierung), oder das ganze Dossier?
Causidicus ist so gebaut, dass die On-Device-Stufe Mandatsdaten gar nicht erst übermittelt. Wo eine Cloud-Stufe genutzt wird, geschieht dies ausdrücklich und beschränkt auf Frage und öffentliche Gesetzestexte; erst eine gesondert zu aktivierende, erweiterte Aktenanalyse verarbeitet pseudonymisierte Akteninhalte — und das nur mit Einwilligung der Klientschaft und einem Auftragsbearbeitungsvertrag. Wer die Kostenseite dieser gestuften Nutzung verstehen will, findet die Modelle unter Preise; der deterministische Fristenrechner bleibt davon unabhängig dauerhaft kostenlos.
Reicht die Einwilligung der Klientschaft — und was ist mit Pseudonymisierung?
Eine ausdrückliche Einwilligung der Klientschaft kann eine Übermittlung von Mandatsdaten legitimieren, ist aber kein Freibrief. Sie muss informiert erfolgen: Die Klientschaft muss wissen, welche Daten an wen, wohin und zu welchem Zweck übermittelt werden. Zudem entbindet die Einwilligung nicht von den übrigen datenschutzrechtlichen Pflichten — Datenminimierung, Auftragsbearbeitungsvertrag, angemessene technische Massnahmen bleiben bestehen. In heiklen Konstellationen, etwa bei Interessenkonflikten oder Mehrparteienverhältnissen, kann eine wirksame Einwilligung praktisch schwer zu erlangen sein.
Pseudonymisierung — das Ersetzen von Namen durch Kürzel und das Entfernen von Identifikatoren wie AHV-, Referenz- und IBAN-Nummern — reduziert das Risiko, beseitigt es aber nicht. Pseudonymisierung ist keine Anonymisierung: Ein Restrisiko der Re-Identifikation bleibt, gerade in kleinen Verhältnissen, wo sich Personen aus dem Sachverhalt erschliessen lassen. Deshalb behandelt Causidicus pseudonymisierte Akten nicht als «unbedenklich», sondern koppelt ihre Verarbeitung an Einwilligung und Auftragsbearbeitungsvertrag. Das ist die ehrliche, berufsrechtlich saubere Einordnung — und der Grund, warum die Standard-Stufe konsequent lokal bleibt.
Ein Praxisbeispiel
Angenommen, eine Anwältin will eine komplexe Rechtsfrage zu einem laufenden Mandat mit KI klären. In der On-Device-Stufe formuliert sie die abstrakte Rechtsfrage und lässt sich die einschlägigen Normen mit Quellenbeleg vorschlagen — ohne dass Namen oder Aktenzeichen das Gerät verlassen. Braucht sie für eine besonders anspruchsvolle Teilfrage mehr Modellleistung, schaltet sie die Cloud-Stufe frei; übermittelt werden nur die abstrakte Frage und der öffentliche Gesetzestext, nicht die Akte. Erst wenn sie den konkreten Aktentext analysieren lassen will, aktiviert sie mit Einwilligung der Klientschaft und Auftragsbearbeitungsvertrag die erweiterte, pseudonymisierte Aktenanalyse. So bleibt sie in jedem Schritt Herrin über das Schutzniveau — und kann jederzeit begründen, warum die gewählte Verarbeitung mit dem Berufsgeheimnis vereinbar ist.
Die Kernbotschaft bleibt nüchtern: Nicht der Serverstandort entscheidet über die Vereinbarkeit mit dem Berufsgeheimnis, sondern die Architektur — die Frage, ob Daten überhaupt übermittelt werden, und unter welchen Garantien. Datensparsamkeit ist der beste Berufsgeheimnis-Schutz, den eine Kanzlei technisch treffen kann.