Generative KI im Rechtswesen rechtskonform einzusetzen bedeutet: Datenhoheit sicherstellen, Datenschutzrecht (DSG/DSGVO) einhalten, keine Trainingsdaten aus Mandantenmaterial generieren und menschliche Kontrolle über KI-gestützte Ergebnisse behalten. CASUS, eine Schweizer Legal-AI-Plattform, speichert keine Daten nach der Sitzung (Zero Data Retention), hostet ausschliesslich in der Schweiz und der EU und überträgt keine Daten in die USA.
Warum Compliance beim KI-Einsatz im Recht nicht optional ist
Generative KI hält Einzug in Kanzleien und Legal Departments – zur Vertragsprüfung, Recherche, Dokumentenanalyse. Die regulatorischen Konturen schärfen sich dabei schneller als viele Teams antizipiert haben: Das revidierte Schweizer Datenschutzgesetz (revDSG) ist seit dem 1. September 2023 in Kraft, die europäische DSGVO gilt für viele Schweizer Unternehmen mit EU-Bezug, und der EU AI Act tritt ab August 2026 mit Hochrisiko-Klassifizierungspflichten nach Art. 6 stufenweise verbindlich in Kraft.
Wer generative KI im Rechtsbereich einsetzt, ohne die Compliance-Fragen zu klären, riskiert Datenschutzverletzungen, Verlust von Mandantenvertrauen und regulatorische Konsequenzen nach Art. 60 revDSG, der Bussen bis CHF 250 000 vorsieht. Das gilt nicht nur für grosse Kanzleien, sondern auch für kleine Teams und Inhouse Legal.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat klargestellt, dass Cloud-Verarbeitungen mit Personendaten auch dann den Bearbeitungsgrundsätzen von Art. 6 revDSG unterliegen, wenn der Cloud-Anbieter in der EU sitzt – Bearbeiter-Verträge nach Art. 9 revDSG sind damit Pflicht, nicht Kür. Der EDÖB-Jahresbericht 2024/2025 benennt KI-basierte Datenverarbeitung als Schwerpunktthema der laufenden Aufsichtstätigkeit.
Laut dem TrustArc Global Privacy Benchmarks Report 2025 ist KI inzwischen die meistgenannte Datenschutz-Herausforderung von Organisationen (47 %), und zwischen Organisationen, die sich für KI-bereit halten, und den übrigen klafft eine Lücke von 16 Punkten. KI kann helfen, diesen Rückstand aufzuholen. Aber nur, wenn der Einsatz selbst den Anforderungen entspricht.
Was bedeutet "generative AI legal compliance" konkret?
Generative AI Legal Compliance beschreibt den rechtskonformen Einsatz von KI-Systemen, die auf Basis grosser Sprachmodelle (Large Language Models, LLMs) Texte generieren, analysieren oder zusammenfassen – im rechtlichen Kontext also Verträge, Schriftsätze, Rechtsgutachten oder Compliance-Dokumente.
Compliance bedeutet hier nicht nur, dass die KI selbst technisch sicher ist. Es geht um drei Ebenen:
Datenschutz: Wohin fliessen die Daten? Wer hat Zugriff? Werden Mandantendaten zum Training verwendet?
Haftung und Sorgfalt: Wer trägt die Verantwortung für KI-generierte Ergebnisse? Welche Kontrolle behält die Anwaltschaft?
Urheberrecht und Eigentum: Wem gehören KI-generierte Texte? Können sie rechtlich verwertet werden?
Diese Fragen sind nicht akademisch. Im März 2025 bestätigte das U.S. Court of Appeals for the D.C. Circuit in Thaler v. Perlmutter (No. 23-5233, Urteil vom 18. März 2025), dass urheberrechtlicher Schutz menschliche Urheberschaft voraussetzt – rein KI-generierte Werke sind nicht schutzfähig. Für Schriftsätze und Vertragswerke, die unter Anwaltshaftung stehen, ist diese Abgrenzung unmittelbar relevant.
Der Schweizerische Bundesrat hat im Februar 2025 in seiner Stellungnahme zur KI-Governance festgehalten, dass bestehende sektorale Regulierung – einschliesslich des revDSG und der berufsrechtlichen Sorgfaltspflichten nach Art. 12 des Anwaltsgesetzes (BGFA) – für KI-gestützte Tätigkeiten im Rechtsbereich bereits heute gilt. Ein separates KI-Haftungsgesetz ist in der Schweiz vorerst nicht geplant; die Haftung richtet sich nach Art. 97 ff. OR.
Die Compliance-Checkliste: Was vor dem KI-Einsatz geklärt sein muss
Datenschutz und Datenhoheit
Wo werden die Daten verarbeitet? (Schweiz / EU oder USA / Drittstaaten)
Werden Mandantendaten zum Training des Modells verwendet?
Gibt es Zero Data Retention – also keine Speicherung nach der Sitzung?
Ist No Human Review garantiert, d.h. kein Zugriff durch Anbieter-Mitarbeitende auf Inhalte?
Sind Auftragsbearbeitungsverträge (ABV) nach Art. 9 revDSG bzw. Auftragsverarbeitungsverträge nach Art. 28 DSGVO vorhanden?
Hat der EDÖB die Übermittlung in den Drittstaat – soweit relevant – als angemessen anerkannt, oder sind Standardvertragsklauseln vorhanden?
Modell- und Anbieterprüfung
Welches Basismodell wird verwendet, und wie transparent ist der Anbieter darüber?
Gibt es eine ISO-27001-Zertifizierung oder vergleichbare Sicherheitsnachweise?
Werden regelmässige Security-Audits oder Penetrationstests durchgeführt und dokumentiert?
Interne Governance und Standesrecht
Gibt es eine interne KI-Nutzungsrichtlinie?
Sind Mitarbeitende geschult, KI-Outputs kritisch zu prüfen?
Werden KI-Ergebnisse immer durch qualifizierte Juristinnen und Juristen freigegeben, bevor sie in Arbeitsergebnisse einfliessen?
Sind die berufsrechtlichen Anforderungen nach den Standesregeln des Schweizerischen Anwaltsverbands (SAV/FSA) – insbesondere das Sorgfaltsprinzip und das Verbot der Delegation von Kernaufgaben ohne Kontrolle – im KI-Prozess abgebildet?
Urheberrecht und IP
Ist der Einsatz von KI bei der Erstellung von Schriftsätzen oder Verträgen gegenüber dem Gericht oder dem Mandanten offenzulegen?
Werden keine urheberrechtlich geschützten Texte ungeprüft übernommen?
Legal Teams, die diese Punkte strukturiert durchgehen wollen, können CASUS kostenlos testen – die Plattform ist darauf ausgelegt, genau diese Anforderungen von Anfang an zu erfüllen: Jetzt kostenlos registrieren.
DSG vs. DSGVO: Risikoматrix für eine Zürcher Kanzlei mit EU-Mandanten
Für eine in Zürich ansässige Kanzlei, die sowohl Schweizer als auch EU-Mandanten betreut, gelten zwei Rechtsregimes parallel. Die folgende Matrix zeigt, wo die Pflichten divergieren und wo Überschneidungen entstehen.
Thema | Schweizer revDSG (seit 1.9.2023) | EU DSGVO (Art.) | Praktische Konsequenz für Zürcher Kanzlei |
|---|---|---|---|
Rechtsgrundlage Datenbearbeitung | Art. 6 revDSG: Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung | Art. 6 DSGVO: Rechtsgrundlage (Einwilligung, Vertrag, berechtigtes Interesse) | Für EU-Mandanten braucht es eine explizite Rechtsgrundlage nach Art. 6 DSGVO; das revDSG kennt kein äquivalentes Erlaubnisprinzip, sondern Bearbeitungsgrundsätze |
Auftragsbearbeitung KI-Anbieter | Art. 9 revDSG: schriftlicher Vertrag, Pflichten des Auftraggebers | Art. 28 DSGVO: schriftlicher Vertrag, Subauftragnehmer-Genehmigung | Kanzlei muss mit KI-Anbieter sowohl ABV (CH) als auch DPA (EU) abschliessen, wenn EU-Personendaten verarbeitet werden |
Meldepflicht bei Verletzung | Art. 24 revDSG: Meldung an EDÖB bei hohem Risiko, ohne Frist (unverzüglich) | Art. 33 DSGVO: 72-Stunden-Frist an Aufsichtsbehörde | Die DSGVO-Frist ist strenger; ein Prozess für beide Regime muss existieren |
Drittstaatübermittlung | Art. 16 revDSG: angemessener Schutz oder Standardklauseln | Art. 44 ff. DSGVO: Angemessenheitsbeschluss oder SCCs | USA gilt nach revDSG nicht als angemessener Drittstaat; EU-SCCs nach Schrems II-Folgeregeln erforderlich |
Auskunftsrecht Mandant | Art. 25 revDSG | Art. 15 DSGVO | Inhaltlich ähnlich, aber Fristen und Ausnahmen weichen ab |
Sanktionen | Art. 60 revDSG: bis CHF 250 000 (Individualstrafe) | Art. 83 DSGVO: bis EUR 20 Mio. / 4 % Jahresumsatz | Das revDSG bestraft Individuen, nicht Unternehmen direkt; die DSGVO trifft die juristische Person |
Profiling / automatisierte Entscheidungen | Art. 21 revDSG: Recht auf Erklärung und Widerspruch | Art. 22 DSGVO: Recht auf menschliche Überprüfung | KI-gestützte Vertragsanalysen, die Empfehlungen an Mandanten auslösen, können als Profiling gelten |
Was das für den Kanzleialltag bedeutet: Eine Zürcher M&A-Boutique, die einen deutschen Konzern bei einem Schweizer Akquisitionsprozess begleitet, muss KI-Tools wählen, die beide Regime technisch abdecken. Ein Anbieter, der Daten in die USA überträgt, erfüllt weder Art. 16 revDSG noch Art. 44 DSGVO ohne zusätzliche vertragliche und technische Massnahmen. Die Wahl eines Anbieters mit Hosting in der Schweiz und der EU ist damit keine Komfortentscheidung, sondern eine Compliance-Anforderung.
Wie CASUS die Compliance-Anforderungen technisch umsetzt
CASUS ist so aufgebaut, dass die genannten Compliance-Anforderungen technisch eingehalten werden – nicht als nachträgliches Add-on, sondern als Grundarchitektur.
Zero Data Retention: Eingaben und Ergebnisse werden nach der Sitzung nicht gespeichert. Es gibt keine Verwendung von Mandantendaten zum Modelltraining.
Hosting Schweiz / EU: Keine Datenübertragung in die USA. Für Kanzleien, die unter revDSG oder DSGVO arbeiten, ist das eine zentrale Voraussetzung.
No Human Review: Es gibt keinen Zugriff durch Mitarbeitende des Anbieters auf Inhalte. Das Abuse-Monitoring kann per Opt-out deaktiviert werden.
Transparenz der Ergebnisse: Beim Legal Research verweist CASUS auf konkrete Quellen aus über 660 000 Kantons- und Bundesgerichtsentscheiden sowie Gesetzesartikel. Ergebnisse sind quellenbasiert, strukturiert und nachvollziehbar. Die relevanten Erwägungen (Begründungsabschnitte) werden direkt in den Antworten eingeblendet, ohne Klick-Through. Das erlaubt es Juristinnen und Juristen, die Quelle sofort zu prüfen – eine Anforderung, die sich aus der Sorgfaltspflicht nach Art. 12 BGFA ergibt.
Ein Beispiel aus der Praxis: Eine Inhouse-Juristin eines Basler Pharmaunternehmens prüft regelmässig Lieferverträge auf Änderungen gegenüber dem internen Vertragsstandard. Mit dem Benchmark-Modul vergleicht sie einen eingehenden Entwurf gegen das interne Playbook und erhält innerhalb von Minuten eine strukturierte Übersicht: welche Klauseln fehlen (z.B. kein Haftungscap, IP-Ownership nicht definiert), welche abweichen und einen Prozentgrad der Übereinstimmung. Die rechtliche Bewertung und Freigabe bleibt bei ihr; was sich verändert hat, ist die Zeit für die Erstanalyse – von rund zwei Stunden auf unter zwanzig Minuten pro Dokument.
Beim AI Contract Review werden Risiken partei-bezogen bewertet und nach Schweregrad (niedrig / mittel / hoch) priorisiert. Das erlaubt gezieltes Prüfen – KI unterstützt, ersetzt keine Urteilsbildung.
Was rechtlich noch ungeklärt ist – und warum das relevant bleibt
Generative KI im Recht bewegt sich noch in einem regulatorischen Graubereich. Der EU AI Act klassifiziert KI-Systeme nach Risikoklassen; Hochrisikoanwendungen im Sinne von Art. 6 EU AI Act – darunter potenziell KI-Systeme, die in der Rechtspflege eingesetzt werden – unterliegen Transparenzpflichten, Konformitätsbewertungen und Protokollierungspflichten. Die Anhang-III-Pflichten nach Art. 6 Abs. 2 gelten ab dem 2. August 2026, die Anhang-I-Produktregeln nach Art. 6 Abs. 1 erst ab dem 2. August 2027; die laufende Digital-Omnibus-Reform könnte diese Daten noch weiter verschieben. Für Schweizer Kanzleien mit EU-Mandanten kann das relevant werden, auch wenn die direkte Anwendung vom Einzelfall abhängt.
Die Frage der Plattformhaftung für KI-generierte Inhalte ist ebenfalls noch nicht abschliessend beantwortet. In der Schweiz richtet sich die Haftung nach Art. 97 OR (Schuldnerverzug und Schlechterfüllung) und Art. 41 OR (ausservertragliche Haftung). Eine Kanzlei, die KI-Output ungeprüft in eine Klageschrift übernimmt und damit einen Mandanten schädigt, riskiert eine Haftungsklage nach Art. 97 OR – die Sorgfaltspflichtverletzung wäre kaum zu bestreiten. Nach den anerkannten berufsrechtlichen Grundsätzen werden anwaltliche Sorgfaltspflichten nicht durch den Einsatz technischer Hilfsmittel reduziert; der Anwalt bleibt für die Richtigkeit des Ergebnisses verantwortlich.
Für Schweizer Kanzleien mit internationalem Mandantenstamm gilt: Die rechtlichen Rahmenbedingungen in den USA, der EU und der Schweiz entwickeln sich parallel und nicht immer synchron. Wer heute eine KI-Governance-Struktur aufbaut, legt damit auch die Grundlage für Anforderungen, die in den nächsten zwölf bis vierundzwanzig Monaten verbindlich werden.
Praktische Implikationen – was in der Praxis tatsächlich schiefgeht
Die technische Compliance ist lösbar. Was in der Praxis häufiger unterschätzt wird, sind die inhaltlichen Fallstricke von LLMs im Schweizer Rechtskontext.
LLMs haben eine bekannte Schwäche bei gesetzlichen Fristen, die stark jurisdiktionsspezifisch sind. Ein konkretes Beispiel: Schweizer Kaufverträge unterliegen nach Art. 210 OR einer Verjährungsfrist von zwei Jahren ab Ablieferung für Gewährleistungsansprüche – davon zu unterscheiden ist die Mängelrüge nach Art. 201 OR, die sofort nach Entdeckung zu erfolgen hat. Beides wird in der Praxis oft miteinander und mit der allgemeinen Verjährungsfrist nach Art. 127 OR (zehn Jahre für vertragliche Ansprüche) vermischt. LLMs, die auf breiten internationalen Trainingsdaten beruhen, tendieren dazu, diese Differenzierung zu glätten – und produzieren Klauselformulierungen, die auf deutsches Recht oder US-amerikanische Warranty-Konzepte abgestimmt sind, statt auf das Schweizer OR. Wer KI-generierte Vertragsentwürfe ungeprüft übernimmt, kann damit Mandanten exponieren, die sich auf eine Zweijahresfrist verlassen, ohne zu wissen, dass die Klausel de facto einen anderen Standard setzt.
Ähnliches gilt für Verzugszinsklauseln: Der gesetzliche Verzugszins nach Art. 104 OR beträgt 5 % – ein Wert, den international trainierte Modelle manchmal mit EURIBOR-basierten oder US-Prime-Rate-Referenzen überschreiben, weil diese in den Trainingsdaten häufiger vorkommen.
Das ist kein Argument gegen den KI-Einsatz, sondern ein Argument für qualifizierte Nachprüfung. Der AI-Chat mit Agent Mode kann gezielt genutzt werden, um solche Klauseln zu identifizieren und auf Schweizer OR-Konformität zu prüfen – aber die finale Einschätzung braucht eine Person, die das OR kennt.
Standesrechtliche Spannung: Die SAV-Standesregeln verpflichten Anwältinnen und Anwälte zur persönlichen Aufgabenerfüllung und zur Wahrung des Berufsgeheimnisses. Beides schafft Spannungen mit dem KI-Einsatz. Die persönliche Aufgabenerfüllung verbietet nicht den Einsatz technischer Hilfsmittel, setzt aber voraus, dass die Anwältin das Ergebnis inhaltlich verantwortet – eine Qualitätsprüfung ist kein optionales Add-on. Das Berufsgeheimnis nach Art. 13 BGFA verbietet die Weitergabe mandatsbezogener Informationen an Dritte; ein KI-Anbieter, der Daten speichert oder zum Training verwendet, ist rechtlich als Dritter zu qualifizieren. Die Wahl eines Anbieters ohne Datenspeicherung ist damit aus Standesrechtsperspektive keine Präferenzfrage, sondern eine Pflichtvoraussetzung.
Die Kantonalverbände – etwa der Zürcher Anwaltsverband (ZAV) oder der Bernische Anwaltsverband (BAV) – haben bislang keine eigenen KI-Richtlinien veröffentlicht. Die SAV-Generalversammlung 2024 hat das Thema auf die Traktandenliste für 2025 gesetzt; bis zur Verabschiedung formeller Richtlinien gilt: die bestehenden Standesregeln sind vollumfänglich anwendbar.
Nächste Schritte: Compliance konkret umsetzen
Compliance beim KI-Einsatz ist kein einmaliges Projekt, sondern ein laufender Prozess. Die technische Grundlage – Zero Data Retention, Hosting in der Schweiz und EU, keine Datenübertragung in die USA, kein Zugriff durch Anbieter-Mitarbeitende – legt CASUS von Anfang an vor. Wer zusätzlich mit quellenbasierter Rechtsrecherche oder strukturierter Vertragsprüfung arbeitet, bekommt nachvollziehbare Ergebnisse, die sich in die eigene Qualitätssicherung einbetten lassen.
Mehr zu den Sicherheits- und Datenschutzstandards von CASUS: Security. Informationen über die Plattform: About.
Wer die Plattform ohne Risiko ausprobieren möchte, kann das direkt tun: Jetzt kostenlos registrieren.
FAQ
Was ist generative AI legal compliance?
Generative AI Legal Compliance bezeichnet den rechtskonformen Einsatz von KI-Systemen, die Texte generieren oder analysieren, im rechtlichen Umfeld. Das umfasst Datenschutzkonformität nach revDSG und DSGVO, Haftungsfragen nach Art. 97 OR, Transparenzpflichten und interne Governance, einschliesslich der berufsrechtlichen Anforderungen nach SAV-Standesregeln und Art. 12 BGFA.
Darf generative KI Mandantendaten verarbeiten?
Ja, wenn die Anforderungen des anwendbaren Datenschutzrechts erfüllt sind: kein Training mit Mandantendaten, Hosting in der Schweiz oder EU, Auftragsbearbeitungsvertrag nach Art. 9 revDSG bzw. Art. 28 DSGVO mit dem Anbieter, kein Zugriff durch Dritte. Bei EU-Mandanten ist zusätzlich eine Rechtsgrundlage nach Art. 6 DSGVO erforderlich.
Was bedeutet Zero Data Retention bei KI-Tools?
Zero Data Retention bedeutet, dass Eingaben und Ergebnisse nach dem Ende einer Sitzung nicht gespeichert werden. Der Anbieter hält keine Daten vor und verwendet sie nicht zum Modelltraining. Bei CASUS ist dies standardmässig aktiviert. Das ist aus Sicht des Berufsgeheimnisses nach Art. 13 BGFA eine Grundvoraussetzung für den rechtskonformen Einsatz.
Muss der KI-Einsatz bei Schriftsätzen offengelegt werden?
In der Schweiz gibt es aktuell keine gesetzliche Offenlegungspflicht gegenüber Gericht oder Gegenpartei. Die SAV-Standesregeln setzen jedoch voraus, dass die Anwältin das eingereichte Produkt inhaltlich verantwortet – eine reine Weiterleitung von KI-Output ohne Prüfung wäre damit standesrechtlich problematisch. Ob Schweizer Gerichte künftig eine Deklarationspflicht einführen werden, ist offen; mehrere kantonale Gerichte diskutieren das Thema intern.
Sind KI-generierte Texte urheberrechtlich geschützt?
Nach aktuellem US-Recht nicht, wenn kein menschlicher Autor nachweisbar ist (Thaler v. Perlmutter, No. 23-5233, 18. März 2025). In der Schweiz ist die Rechtslage noch nicht abschliessend durch Bundesgerichtsurteile geklärt. Das Urheberrecht (URG) setzt nach herrschender Lehre menschliche Geistestätigkeit voraus; rein KI-generierte Texte dürften nicht schutzfähig sein. Wer KI-generierten Text als eigenes Werk einreicht, trägt das IP-Risiko.
Welche typischen Fehler machen LLMs bei Schweizer Verträgen?
LLMs mit internationalem Trainingsdatensatz übersehen oder vermischen regelmässig Schweizer Besonderheiten. Bekannte Schwachstellen: Verwechslung der zweijährigen Gewährleistungsverjährung nach Art. 210 OR und der sofortigen Mängelrüge nach Art. 201 OR mit der allgemeinen Verjährungsfrist nach Art. 127 OR; Verzugszinsklauseln, die statt des gesetzlichen Satzes von 5 % nach Art. 104 OR auf EURIBOR oder US-Prime verweisen; IP-Klauseln, die auf US-Copyright-Konzepte statt auf URG-Strukturen abgestimmt sind. Diese Fehler sind durch qualifizierte Nachprüfung vermeidbar – nicht durch blinden Verlass auf KI-Output.
Wie unterscheidet sich CASUS von Tools wie Harvey oder ChatGPT?
CASUS hostet ausschliesslich in der Schweiz und der EU, überträgt keine Daten in die USA, speichert keine Sitzungsdaten und richtet sich gezielt an Schweizer Kanzleien und Inhouse Legal Teams. Harvey und generische LLMs wie ChatGPT sind nicht auf das Schweizer revDSG, Art. 9 revDSG oder die SAV-Standesregeln ausgerichtet und erfüllen die Anforderungen des Berufsgeheimnisses nach Art. 13 BGFA ohne zusätzliche vertragliche Massnahmen in der Regel nicht.
Was sollte eine interne KI-Nutzungsrichtlinie für Kanzleien enthalten?
Mindestens: welche Tools erlaubt sind (mit Prüfung gegen Art. 9 revDSG / Art. 28 DSGVO), wie Ergebnisse zu dokumentieren und zu kennzeichnen sind, wann manuelle Überprüfung Pflicht ist, wie mit Abweichungen von Schweizer OR-Spezifika umzugehen ist, und wer bei Fragen zur Haftung nach Art. 97 OR Ansprechperson ist. Für Kanzleien mit EU-Mandanten: zusätzliche Prüfung der DSGVO-Rechtsgrundlage nach Art. 6 für jede Verarbeitungsaktivität.
Gilt der EU AI Act auch für Schweizer Kanzleien?
Direkt anwendbar ist er nur für Unternehmen mit EU-Niederlassung oder EU-Marktbezug. Schweizer Kanzleien, die EU-Mandanten betreuen oder Dienstleistungen in der EU anbieten, können in den Anwendungsbereich fallen. Art. 6 EU AI Act zu Hochrisiko-KI-Systemen wird ab August 2026 relevant; ob KI-gestützte Rechtsberatung darunter fällt, hängt vom Anwendungsfall ab. Die Schweiz hat keinen eigenständigen KI-Act angekündigt; der Bundesrat setzt auf technologieneutrale Anwendung bestehender Gesetze, einschliesslich revDSG und OR.
