Wer als Schweizer Kanzlei oder Inhouse-Legal-Team eine KI-gestützte Plattform für Vertragsarbeit einsetzt, stellt sich früher oder später eine konkrete Frage: Wo liegen die Daten eigentlich? Diese Frage ist keine Formalität. Sie hat direkte Auswirkungen auf die Einhaltung des Schweizer Datenschutzgesetzes, auf berufsrechtliche Pflichten und auf das Vertrauen der Mandanten.
Legal AI und Data Residency in der Schweiz sind daher kein Randthema für IT-Verantwortliche. Es ist eine Grundvoraussetzung für den rechtskonformen Einsatz moderner Legal-Tech-Tools.
Was Data Residency bedeutet – und warum sie im Rechtsbereich besonders zählt
Data Residency beschreibt, in welchem Land Daten gespeichert und verarbeitet werden. Im Kontext von Legal-AI-Plattformen geht es um alle Inhalte, die beim Arbeiten mit der Plattform anfallen: hochgeladene Vertragsdokumente, Prompts, Antworten, extrahierte Klauseln und ähnliche Inputs.
Für Anwältinnen und Anwälte sowie für Unternehmen mit internen Rechtsteams ist das besonders relevant, weil Mandate häufig Informationen enthalten, die dem Berufsgeheimnis oder vertraglich vereinbarter Vertraulichkeit unterliegen. Ein Vertrag über eine M&A-Transaktion, ein NDA mit noch nicht öffentlichen Technologieplänen oder ein Streitbeilegungsverfahren – solche Dokumente dürfen nicht unkontrolliert über Grenzen hinweg verarbeitet werden.
Erschwerend kommt hinzu: Bei vielen bekannten KI-Plattformen ist nicht klar geregelt, ob Daten in die USA übertragen werden. Das US-amerikanische Recht – insbesondere der CLOUD Act – erlaubt US-Behörden unter bestimmten Umständen den Zugriff auf Daten, die von US-Unternehmen verwaltet werden, selbst wenn diese physisch in Europa liegen.
Die rechtliche Ausgangslage in der Schweiz
Seit dem 1. September 2023 gilt das revidierte Schweizer Datenschutzgesetz (revDSG). Es ist technologieneutral formuliert und gilt damit ausdrücklich auch für KI-gestützte Datenverarbeitungen, wie der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) mehrfach klargestellt hat.
Das revDSG verlangt bei der Bearbeitung besonders schützenswerter Personendaten in risikoreichen Kontexten eine Datenschutz-Folgenabschätzung. Wer personenbezogene Daten ins Ausland übermittelt, muss sicherstellen, dass der Empfängerstaat ein angemessenes Schutzniveau bietet oder geeignete Garantien bestehen.
Für Kanzleien gilt zusätzlich das Anwaltsgeheimnis gemäss Art. 13 BGFA. Mandatsdaten dürfen grundsätzlich nicht ohne Zustimmung an Dritte weitergegeben werden – und das gilt auch für externe Technologieanbieter, die Zugriff auf diese Daten haben könnten.
Die Grauzone bei US-basierten KI-Anbietern
Viele global bekannte Legal-AI-Anbieter wie Harvey, Spellbook oder Legora sind US-amerikanische Unternehmen. Selbst wenn sie europäische Serverstandorte anbieten, bleiben sie dem US-Recht unterworfen. Der CLOUD Act verpflichtet US-Unternehmen unter bestimmten Voraussetzungen dazu, Daten gegenüber US-Behörden herauszugeben – unabhängig davon, wo die Daten physisch gespeichert sind.
Das schafft ein strukturelles Risiko für Schweizer Kanzleien: Selbst bei technischer Datenlokalisation in Europa oder der Schweiz bleibt die rechtliche Kontrolle über die Daten bei einem US-Unternehmen. Für mandatssensible Informationen ist das problematisch.
Was Schweizer Kanzleien konkret prüfen sollten
Bei der Evaluation einer Legal-AI-Plattform sind folgende Punkte relevant:
Hosting-Standort: Werden Daten ausschliesslich in der Schweiz verarbeitet und gespeichert, oder werden sie ins Ausland übertragen?
Zero Data Retention: Speichert der Anbieter Prompts und Dokumente nach der Verarbeitung? Werden diese Daten für das Training von Modellen verwendet?
Human Review: Hat Personal des Anbieters Zugriff auf hochgeladene Dokumente? Können Inputs von Menschen eingesehen werden?
Rechtlicher Sitz des Anbieters: Gilt für den Anbieter US-amerikanisches Recht, das ihn zur Herausgabe von Kundendaten verpflichten kann?
Diese Punkte sollten nicht nur vertraglich geregelt, sondern auch technisch überprüfbar sein.
Wie CASUS mit Data Residency umgeht
CASUS ist eine Schweizer Legal-AI-Plattform, die speziell für Schweizer Kanzleien und Inhouse-Legal-Teams entwickelt wurde. Sämtliche Daten und Dokumente werden ausschliesslich auf sicheren, ISO 27001 zertifizierten Servern in der Schweiz gespeichert – es findet keine Datenübertragung ins Ausland statt.
Darüber hinaus gilt für CASUS Zero Data Retention beim LLM-Provider: Hochgeladene Dokumente und Prompts werden nicht im LLM oder beim LLM-Anbieter gespeichert und auch nicht für das Training von Modellen verwendet. CASUS selbst speichert Daten und Dokumente sicher auf Schweizer Servern, aber beim KI-Modell verbleibt nichts. Es gibt auch kein Human Review – Inputs werden nicht von Mitarbeitenden des Anbieters eingesehen. Diese Kombination aus Schweizer Hosting, Zero Data Retention beim LLM-Provider und fehlendem menschlichen Zugriff ist keine Selbstverständlichkeit im Markt.
Für die Dokumentenarbeit stehen verschiedene Module bereit: der AI Contract Review für strukturierte Risikoanalysen, der AI Data Room für die parallele Verarbeitung vieler Dokumente, sowie Legal Research und AI Chat für gezielte Recherchearbeit und Dokumentennavigation. Alle diese Workflows laufen innerhalb derselben Datenschutzarchitektur.
Details zur Sicherheitsarchitektur sind auf der Sicherheitsseite dokumentiert.
Was Zero Data Retention in der Praxis bedeutet
Zero Data Retention bedeutet: Beim LLM bzw. LLM-Provider werden weder hochgeladene Dokumente noch Prompts noch generierte Antworten gespeichert. Es werden keine Daten für das Training von KI-Modellen verwendet, und es gibt keine Logging-Datenbank beim LLM-Anbieter, auf die im Nachhinein zugegriffen werden könnte.
CASUS selbst speichert Daten und Dokumente sehr wohl – jedoch ausschliesslich auf sicheren, ISO 27001 zertifizierten Servern in der Schweiz. So bleiben Mandatsdaten jederzeit unter Schweizer Recht geschützt, ohne dass sie den KI-Anbieter oder das Ausland je erreichen.
Praktische Auswirkungen für Legal Teams
Für Inhouse-Teams in Schweizer Unternehmen stellen sich ähnliche Fragen wie für Kanzleien: Interne Verträge, Lieferantenvereinbarungen, M&A-Unterlagen oder Compliance-Dokumente enthalten oft schutzbedürftige Informationen. Die Frage, welcher Anbieter Zugriff auf diese Daten hat und wo sie verarbeitet werden, ist Teil eines ordentlichen Vendor-Due-Diligence-Prozesses.
In regulierten Branchen – Finanzdienstleistungen, Gesundheitswesen, Infrastruktur – gelten teilweise noch strengere Anforderungen an die Datenverarbeitung. Dort ist ein Anbieter ohne klares Schweizer oder EU-Hosting schon aus regulatorischen Gründen oft keine Option.
Der EDÖB hat ausdrücklich darauf hingewiesen, dass Transparenzpflichten auch für KI-gestützte Systeme gelten: Nutzende haben das Recht zu wissen, ob und wie ihre Daten verarbeitet werden. Für B2B-Konstellationen gilt das analog – Unternehmen müssen gegenüber ihren Kunden und Mitarbeitenden Rechenschaft ablegen können.
Warum Schweizer Hosting kein Marketingargument ist
Data Residency wird gelegentlich als Marketing-Feature behandelt. In Wirklichkeit ist es eine Compliance-Anforderung – für manche Mandate sogar eine zwingende Voraussetzung.
Ein Schweizer oder EU-basiertes Hosting schafft keine absolute Sicherheit. Aber es schafft Rechtssicherheit: Man weiss, welches Recht gilt, welche Behörden Zugriff haben könnten und welche Garantien der Anbieter schuldet. Das ist bei einem US-basierten Anbieter strukturell schwieriger.
Für Schweizer Kanzleien, die mit internationalen Mandaten arbeiten, ist das kein theoretisches Problem. Es ist eine praktische Frage der Berufspflicht.
CASUS ausprobieren
Wer eine Legal-AI-Plattform sucht, die ausschliesslich in der Schweiz auf ISO 27001 zertifizierten Servern gehostet wird, kein Human Review hat und Zero Data Retention beim LLM-Provider garantiert, kann CASUS direkt testen. Auf app.getcasus.com/signup ist der Einstieg ohne Verpflichtung möglich. Auf der Sicherheitsseite sind die technischen und rechtlichen Grundlagen zur Datenhaltung dokumentiert.
FAQ
Was bedeutet Data Residency bei einer Legal-AI-Plattform?
Data Residency bezeichnet das Land, in dem Daten gespeichert und verarbeitet werden. Bei Legal-AI-Plattformen umfasst das hochgeladene Vertragsdokumente, Prompts und generierte Outputs. Für Schweizer Kanzleien ist relevant, ob diese Daten die Schweiz verlassen und ob US-amerikanisches Recht auf den Anbieter anwendbar ist.
Gilt das revDSG auch für den Einsatz von KI-Tools?
Ja. Das seit dem 1. September 2023 geltende revidierte Schweizer Datenschutzgesetz ist technologieneutral und gilt damit auch für KI-gestützte Datenverarbeitungen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat das mehrfach bestätigt.
Was ist Zero Data Retention?
Zero Data Retention bedeutet, dass Prompts, Dokumente und generierte Antworten nicht beim LLM oder LLM-Provider gespeichert werden und nicht für das Training von Modellen verwendet werden. CASUS selbst speichert Daten und Dokumente sicher auf ISO 27001 zertifizierten Servern in der Schweiz – aber beim KI-Modell verbleibt nichts.
Warum ist der CLOUD Act für Schweizer Kanzleien relevant?
Der CLOUD Act erlaubt US-Behörden unter bestimmten Voraussetzungen, Daten von US-Unternehmen anzufordern – auch wenn diese physisch in Europa gespeichert sind. Für Kanzleien, die mit US-basierten KI-Anbietern arbeiten, bleibt dieses Risiko auch bei europäischem Serverstandort bestehen.
Hat CASUS Zugriff auf hochgeladene Dokumente?
Nein. CASUS bietet No Human Review: Dokumente und Prompts werden nicht von Mitarbeitenden des Anbieters eingesehen. Zusammen mit Zero Data Retention bedeutet das, dass Mandatsdaten nicht dauerhaft beim Anbieter verbleiben.
Wo werden CASUS-Daten gehostet?
CASUS speichert sämtliche Daten ausschliesslich auf ISO 27001 zertifizierten Servern in der Schweiz. Es findet keine Datenübertragung ins Ausland statt.
Was müssen Kanzleien bei der Wahl eines Legal-AI-Anbieters prüfen?
Massgeblich sind: Hosting-Standort (ausschliesslich Schweiz), Zero Data Retention beim LLM-Provider (keine Speicherung beim KI-Modell), Human Review (kein Zugriff durch Anbieter-Personal) und der rechtliche Sitz des Anbieters (Anwendbarkeit von US-Recht). Diese Punkte sollten vertraglich geregelt und – wo möglich – technisch überprüfbar sein.
Gilt das Anwaltsgeheimnis auch beim Einsatz von KI-Tools?
Ja. Das Anwaltsgeheimnis gemäss Art. 13 BGFA schützt Mandatsdaten auch gegenüber externen Technologieanbietern. Kanzleien müssen sicherstellen, dass ein KI-Anbieter keinen dauerhaften Zugriff auf Mandatsinhalte hat und diese nicht weiterverarbeitet oder speichert.
