Generative KI findet in Schweizer Kanzleien und Inhouse Legal Teams zunehmend Eingang in den Arbeitsalltag - von der Vertragsanalyse über die Rechtsprechungsrecherche bis zur Dokumentenprüfung. Damit stellen sich konkrete Compliance-Fragen: Welche Datenschutzregeln gelten? Wer haftet für fehlerhafte KI-Outputs? Und wie lässt sich der Einsatz intern so organisieren, dass er rechtssicher bleibt? Diese Checkliste gibt einen strukturierten Überblick.
Was "Generative AI legal compliance" bedeutet
"Generative AI legal compliance" bezeichnet den Rahmen aus rechtlichen, technischen und organisatorischen Anforderungen, den Unternehmen und Kanzleien einhalten müssen, wenn sie KI-Systeme in der juristischen Arbeit einsetzen. Es geht nicht um ein einzelnes Gesetz, sondern um das Zusammenspiel mehrerer Rechtsgebiete: Datenschutz, Haftungsrecht, Berufsrecht und - wo anwendbar - branchenspezifische Regulierung.
Für Schweizer Organisationen sind vor allem zwei Regelwerke relevant: das revidierte Schweizer Datenschutzgesetz (DSG), das seit September 2023 in Kraft ist, und die Datenschutz-Grundverordnung (DSGVO) der EU, die immer dann gilt, wenn Personendaten von EU-Bürgern verarbeitet werden. Hinzu kommen die sich entwickelnden Anforderungen aus dem EU AI Act, der bestimmte KI-Anwendungen in Hochrisikokategorien einordnet.
Warum das Thema für Kanzleien besonders relevant ist
Anwältinnen und Anwälte unterliegen besonderen berufsrechtlichen Pflichten: Vertraulichkeit gegenüber Mandanten, Sorgfalt bei der Aufgabenerfüllung und die Verantwortung für die Richtigkeit von Rechtsauskünften. Generative KI-Systeme produzieren Outputs, die inhaltlich überzeugend wirken, aber sachlich unrichtig sein können - ein Phänomen, das häufig als "Halluzinieren" bezeichnet wird.
Hinzu kommt die Frage, wohin Mandantendaten fliessen, wenn sie in ein KI-Tool eingespeist werden. Viele Anbieter speichern Eingaben zur Modellverbesserung oder leiten sie in Rechenzentren ausserhalb der Schweiz und der EU weiter. Wer vertrauliche Vertragsdaten oder personenbezogene Informationen eingibt, muss wissen, was mit diesen Daten passiert.
Die Haftungsfrage ist komplex. Wird ein fehlerhafter KI-Output ohne Prüfung an einen Mandanten weitergegeben, kann das Haftungsfolgen nach sich ziehen - wegen Beratungsfehlers, Falschdarstellung oder Verletzung der Sorgfaltspflicht. Auf wen die Haftung fällt, hängt von mehreren Faktoren ab: ob die Nutzungsbedingungen eingehalten wurden, ob das Tool sich noch in einer Entwicklungsphase befand, und ob der Fehler in der Entwicklung oder in der Anwendung entstanden ist.
Compliance-Checkliste: Generative KI im juristischen Einsatz
Die folgende Checkliste richtet sich an Kanzleien und Inhouse Legal Teams, die KI-Tools bereits einsetzen oder deren Einführung planen.
Datenschutz und Datenresidenz
Werden Personendaten oder vertrauliche Mandanteninformationen in das KI-System eingegeben? Falls ja, ist zu klären, ob eine Rechtsgrundlage nach DSG/DSGVO besteht.
Wo sind die Server des Anbieters? Datenübertragungen in die USA unterliegen nach geltendem Schweizer und EU-Recht besonderen Anforderungen.
Speichert der Anbieter Eingaben dauerhaft oder nutzt er sie zum Modelltraining? Zero-Data-Retention-Richtlinien des Anbieters sind explizit zu prüfen.
Gibt es eine Auftragsverarbeitungsvereinbarung (AVV/DPA) mit dem KI-Anbieter?
Outputs und Verifikation
Werden KI-generierte Outputs - insbesondere rechtliche Einschätzungen, Klauselvorschläge oder Rechercheergebnisse - vor der Weiterverwendung von einer qualifizierten Person geprüft?
Besteht ein internes Prozess, der sicherstellt, dass halluzinierte Quellen oder unrichtige Aussagen nicht ungeprüft in Schriftsätze oder Mandate einfliessen?
Sind die Mitarbeitenden für die Grenzen generativer KI sensibilisiert?
Interne Richtlinien und Governance
Gibt es eine schriftliche Richtlinie zum KI-Einsatz, die regelt, welche Tools für welche Aufgaben genutzt werden dürfen?
Ist geregelt, wer innerhalb der Organisation KI-Tools freigeben darf?
Werden KI-Nutzungsprotokolle für Revisionszwecke gespeichert?
Urheberrecht und geistiges Eigentum
Wurden mit dem KI-Anbieter Fragen des Urheberrechts an erstellten Outputs geklärt? In vielen Jurisdiktionen - so auch nach einem US-Urteil vom März 2025 (Thaler v. Perlmutter, DC Circuit) - kann KI-erzeugtes Material ohne menschlichen Schöpfungsbeitrag nicht urheberrechtlich geschützt werden.
Besteht das Risiko, dass das KI-System urheberrechtlich geschütztes Drittmaterial in seinen Outputs reproduziert?
Berufsrechtliche Anforderungen
Sind die eingesetzten KI-Tools mit den Berufspflichten nach BGFA (Bundesgesetz über die Anwältinnen und Anwälte) vereinbar?
Werden Mandanten informiert, wenn KI-Tools bei ihrer Mandatsbearbeitung eingesetzt werden? In bestimmten Situationen kann eine Offenlegungspflicht bestehen.
Wie eine spezialisierte Legal-AI-Plattform den Unterschied macht
Generische KI-Tools wie allgemeine Sprachmodelle sind nicht auf die spezifischen Compliance-Anforderungen des juristischen Sektors ausgelegt. CASUS, eine Schweizer Legal-AI-Plattform, ist auf die Bedürfnisse von Schweizer Kanzleien und Inhouse Legal Teams zugeschnitten - mit konkreten Merkmalen, die für die Compliance-Checkliste oben unmittelbar relevant sind.
Die Plattform wird in der Schweiz und der EU gehostet, ohne Datenübertragung in die USA. Es gibt keine dauerhafte Datenspeicherung (Zero Data Retention) und keinen menschlichen Zugriff auf eingegebene Dokumente (No Human Review, Abuse Monitor Opt-out). Das sind keine Marketingversprechen, sondern technische und vertragliche Grundlagen, die in einer Sicherheits- und Datenschutzdokumentation nachgelesen werden können.
Für den Verifikationsschritt - ein Kernelement jeder KI-Compliance-Strategie - liefert CASUS strukturierte, quellenbasierte Outputs. Der Legal Research-Modus greift auf über 660'000 kantonal- und bundesgerichtliche Entscheide sowie auf Gesetzesartikel zu. Ergebnisse sind mit konkreten Quellen verknüpft und direkt im Chat-Interface als Vorschau einsehbar, ohne Klickumwege. Das macht die Verifikation durch die zuständige Juristin oder den zuständigen Juristen wesentlich effizienter, als wenn ein allgemeines Sprachmodell eine Quellenangabe ohne Nachweis liefert.
Beim AI Data Room - dem Modul für die Parallelanalyse vieler Dokumente - lassen sich gezielt Datenschutz-relevante Felder extrahieren: Personennamen, E-Mail-Adressen, IDs, sensible Datenkategorien wie Gesundheits- oder Bankdaten. Das unterstützt Compliance-Prüfungen und Anonymisierungsworkflows, ohne dass Dokumente manuell durchgesehen werden müssen.
Lücken im Regelwerk: Was noch fehlt
Auch wenn DSG und DSGVO bereits heute anwendbar sind, bestehen regulatorische Lücken. Der EU AI Act tritt schrittweise in Kraft und wird für bestimmte KI-Anwendungen im Rechtsbereich Hochrisiko-Anforderungen stellen - etwa bezüglich Transparenz, menschlicher Aufsicht und Risikobewertung. Schweizer Unternehmen, die Dienstleistungen für EU-Kunden erbringen, werden davon erfasst sein.
Gleichzeitig läuft international eine Diskussion darüber, wem KI-generierte Werke gehören und ob bestehende Haftungsregeln für autonome Systeme ausreichen. Diese Fragen sind noch nicht abschliessend geregelt. Laut einer Umfrage der TrustArc (Global Privacy Benchmarks Report 2025) verlassen sich 53 Prozent der Organisationen noch auf manuelle Prozesse zur Verwaltung von Datenschutzaktivitäten, und 62 Prozent dieser Teams berichten, mit regulatorischen Anforderungen im Rückstand zu sein.
Das zeigt: Compliance ist kein einmaliges Projekt, sondern ein laufender Prozess - gerade wenn sich die Regulierung so schnell entwickelt wie derzeit.
So gelingt der Einstieg
Wer KI-Tools im Rechtswesen einsetzen möchte, ohne unnötige Compliance-Risiken einzugehen, kann mit den folgenden Schritten starten:
Eine Bestandsaufnahme der bereits genutzten Tools machen - inkl. inoffizieller Nutzung durch Mitarbeitende.
Datenschutzrechtliche Grundlagen klären: Rechtsgrundlage, Datenflüsse, Anbieterdokumentation.
Eine schriftliche Nutzungsrichtlinie verabschieden.
Mitarbeitende auf die Grenzen generativer KI-Outputs schulen.
Spezialisierte Legal-AI-Tools prüfen, die von Grund auf für juristische Anforderungen und Datenschutzkonformität entwickelt wurden.
CASUS kann als Ausgangspunkt für diesen letzten Schritt dienen. Das AI Chat-Modul beantwortet Fragen zu Dokumenten mit Quellenverknüpfung, der Benchmark-Workflow prüft Verträge gegen Standards wie NDA, SPA oder DPA, und der Risk & Quality Review identifiziert Risiken und schlägt Formulierungsoptionen direkt in Word vor. Wer sich ein Bild machen möchte, kann die Plattform unter app.getcasus.com/signup kostenlos testen.
FAQ
Was versteht man unter "Generative AI legal compliance"?
"Generative AI legal compliance" bezeichnet die Gesamtheit der rechtlichen, technischen und organisatorischen Anforderungen, die beim Einsatz generativer KI-Systeme in der Rechtsarbeit einzuhalten sind. Dazu gehören Datenschutz (DSG/DSGVO), Haftungsfragen, berufsrechtliche Pflichten und - zunehmend - Vorgaben aus dem EU AI Act.
Darf eine Kanzlei Mandantendaten in ein KI-Tool eingeben?
Das hängt vom Tool und der Rechtsgrundlage ab. Entscheidend sind: Wo werden die Daten verarbeitet? Speichert der Anbieter die Eingaben? Gibt es einen AVV? Wer einen DSGVO- oder DSG-konformen Einsatz sicherstellen will, sollte Tools wählen, die Daten in der Schweiz oder der EU hosten, keine Daten dauerhaft speichern und keinen menschlichen Zugriff auf die Inputs haben.
Wer haftet, wenn ein KI-Output einen Fehler enthält und in ein Mandat einfliessen ist?
Die Haftung liegt in der Regel beim Nutzer, nicht beim KI-Anbieter - ähnlich wie bei der Verwendung eines fehlerhaften Rechercheergebnisses. Kanzleien sind verpflichtet, KI-Outputs zu prüfen, bevor sie an Mandanten weitergegeben oder in Schriftsätze übernommen werden.
Was ist der EU AI Act und gilt er für Schweizer Kanzleien?
Der EU AI Act ist eine EU-Verordnung, die KI-Systeme nach Risikoklassen reguliert. Schweizer Kanzleien, die Mandanten in der EU betreuen oder KI-Tools für EU-bezogene Vorgänge einsetzen, können davon erfasst sein. Bestimmte Anwendungen im Rechtsbereich fallen in die Hochrisikokategorie und werden erhöhte Transparenz- und Aufsichtsanforderungen mit sich bringen.
Können KI-generierte Vertragstexte urheberrechtlich geschützt werden?
In vielen Jurisdiktionen nicht - zumindest nicht ohne substantiellen menschlichen Schöpfungsbeitrag. Ein US-Berufungsgericht (DC Circuit) stellte im März 2025 in Thaler v. Perlmutter fest, dass Urheberrecht menschliche Urheberschaft voraussetzt. Für die Schweiz ist die Rechtslage noch nicht abschliessend geklärt.
Wie erkenne ich, ob ein KI-Tool für den juristischen Einsatz geeignet ist?
Zentrale Kriterien sind: Datenresidenz (Schweiz/EU), Zero Data Retention, kein Human Review, eine klare AVV, quellenbasierte statt halluzinierte Outputs und ein nachvollziehbares Audit-Trail. Tools, die explizit für den juristischen Sektor entwickelt wurden, erfüllen diese Anforderungen eher als Allzweck-Sprachmodelle.
Muss der Einsatz von KI gegenüber Mandanten offengelegt werden?
Das ist von der jeweiligen Situation und dem anwendbaren Berufsrecht abhängig. Eine generelle gesetzliche Offenlegungspflicht besteht in der Schweiz aktuell nicht. Es empfiehlt sich jedoch, interne Richtlinien zu führen und im Zweifelsfall Transparenz gegenüber Mandanten zu wählen - insbesondere wenn KI bei der inhaltlichen Mandatsbearbeitung eingesetzt wird.
Was ist der Unterschied zwischen Zero Data Retention und No Human Review?
Zero Data Retention bedeutet, dass der Anbieter eingegebene Daten nach der Verarbeitung nicht speichert. No Human Review bedeutet, dass Mitarbeitende des Anbieters keinen Zugriff auf die verarbeiteten Inhalte haben. Beides sind unabhängige Sicherheitsmassnahmen, die im juristischen Kontext gemeinsam relevant sind.
