Eine Legal AI Procurement Checklist hilft Kanzleien und Inhouse-Teams, KI-Anbieter strukturiert zu evaluieren. Die wichtigsten Prüfpunkte sind Datenhosting und -residenz, Zero Data Retention, Einhaltung von DSG und DSGVO, Vertragsbedingungen zum Modelltraining sowie der konkrete Funktionsumfang. Wer in der Schweiz arbeitet, sollte ausserdem klären, ob Daten in die USA übertragen werden – und wenn ja, auf welcher rechtlichen Grundlage.
Warum die Auswahl von Legal-AI-Tools mehr Sorgfalt braucht als andere Software
Juristische Arbeit ist vertraulich. Vertragsunterlagen, Due-Diligence-Resultate, Mandantendaten – das alles landet in einem Legal-AI-Tool, sobald es im Einsatz ist. Anders als bei einem Projektmanagement-Tool oder einem Buchhaltungsprogramm sind die Folgen einer Fehlevaluation bei Legal AI erheblich: Datenschutzverletzungen, berufsrechtliche Risiken, Vertragsbrüche gegenüber Mandanten.
Gleichzeitig wächst der Markt schnell. Internationale Plattformen wie Harvey oder Spellbook werben aggressiv um europäische Kanzleien. Schweizer Anwaltsbüros und Inhouse-Teams stehen vor der Frage, welche Angebote wirklich zu den hiesigen Anforderungen passen – und welche schlicht für den US-Markt gebaut wurden.
Dieser Leitfaden strukturiert den Evaluierungsprozess. Er deckt die technischen, rechtlichen und funktionalen Prüfpunkte ab, die vor einer Kaufentscheidung zu klären sind.
Wo beginnt eine seriöse Evaluation?
Vor dem ersten Anbietergespräch lohnt sich eine interne Bestandsaufnahme. Welche Aufgaben soll das Tool übernehmen? Welche Dokumenttypen werden verarbeitet? Welche Datenkategorien sind betroffen – nur interne Entwürfe, oder auch personenbezogene Daten von Mandanten?
Diese Fragen definieren den Risikohorizont. Ein Tool, das ausschliesslich anonymisierte Vertragsvorlagen verarbeitet, braucht einen anderen Compliance-Rahmen als eines, das Due-Diligence-Unterlagen aus einer M&A-Transaktion analysiert.
Mit einem klaren internen Profil lässt sich die Anbieterevaluation gezielt führen – statt einem allgemeinen Funktionskatalog zu folgen.
Die Legal AI Procurement Checklist: Acht Prüfbereiche
1. Datenhosting und -residenz
Wo werden die Daten verarbeitet und gespeichert? Konkrete Antworten auf diese Frage sind keine Selbstverständlichkeit. Viele Anbieter nennen einen europäischen Serverstandort, betreiben aber Subprozessoren in den USA.
Kanzleien in der Schweiz unterliegen dem revidierten DSG, Inhouse-Teams in EU-Konzernen zusätzlich der DSGVO. Beide Regelwerke verlangen, dass Datenübertragungen in Drittstaaten entweder durch Standardvertragsklauseln oder andere anerkannte Mechanismen abgesichert sind.
Zu fragen ist: Werden Daten in die USA übertragen? Wenn ja: auf welcher Rechtsgrundlage? Wer sind die Subprozessoren, und wo sitzen diese?
2. Zero Data Retention und Modelltraining
Viele grosse Sprachmodelle verbessern sich auf Basis von Nutzerdaten – sofern die Nutzungsbedingungen das zulassen. Das ist für juristische Inhalte inakzeptabel.
Die relevante Frage lautet: Werden die verarbeiteten Inhalte für das Modelltraining verwendet? Und: Werden Inhalte nach der Verarbeitung gespeichert?
Zero Data Retention bedeutet, dass nach Abschluss einer Sitzung keine Inhalte beim Anbieter verbleiben. Das ist nicht der Standard – aber es ist das, was juristische Anwender verlangen sollten.
3. Human Review und Datenzugang durch Anbietermitarbeitende
Selbst ohne Modelltraining kann es vorkommen, dass Anbietermitarbeitende auf Inhalte zugreifen – etwa zur Qualitätssicherung oder bei Support-Eskalationen. Das ist in den meisten Anwaltsmandaten nicht zulässig.
Der Anbieter sollte klar bestätigen können, ob und unter welchen Umständen Mitarbeitende Zugang zu verarbeiteten Inhalten haben. Viele Plattformen bieten einen Opt-out aus dem sogenannten Abuse Monitoring an; ob dieser tatsächlich greift, sollte vertraglich verankert werden.
4. Zertifizierungen und Compliance-Dokumentation
SOC 2 Type II ist heute ein Mindeststandard für SaaS-Anbieter im professionellen Umfeld. ISO 27001 signalisiert ein formalisiertes Informationssicherheits-Managementsystem. Beide Zertifizierungen sagen jedoch nichts darüber aus, wie ein Anbieter mit KI-spezifischen Risiken umgeht.
Seit dem Inkrafttreten des EU AI Act müssen Anbieter, die europäische Kunden bedienen, ihr System unter dem risikobasierten Rahmen des Gesetzes klassifizieren können. Wer hierzu keine Angaben machen kann, hat die Anforderungen möglicherweise noch nicht vollständig geprüft.
Einzufordern sind: aktueller SOC 2 Type II Report, DPA (Data Processing Agreement) mit Subprozessorliste, ISO 27001 Zertifikat falls vorhanden, und – für EU-Recht relevante Mandate – EU AI Act Klassifizierungsdokumentation.
5. Funktionsumfang: Tiefe vor Breite
Marketing-Materialien beschreiben Legal-AI-Tools oft generisch als "KI-gestützte Vertragsanalyse". Was das konkret bedeutet, unterscheidet sich erheblich.
Ein strukturierter Risikoanalyse-Workflow, der Findings einer Vertragspartei zuordnet und nach Schweregrad (niedrig/mittel/hoch) priorisiert, ist etwas anderes als eine allgemeine Zusammenfassung. Ein Benchmark-Workflow, der ein Dokument gegen ein internes Playbook prüft und fehlende Klauseln mit Einfügeoption anzeigt, ist etwas anderes als ein einfaches Compliance-Screening.
Wer eine Demo anfragt, sollte konkrete Szenarien mitbringen – nicht nur fragen, was das Tool "kann", sondern wie es mit einem realen Dokument umgeht.
6. Word-Integration und Workflow-Kompatibilität
Legal AI, das ausschliesslich in einer proprietären Weboberfläche funktioniert, verlangt einen Medienwechsel. Formulierungsvorschläge müssen kopiert, Formatierungen manuell nachgezogen werden. Das kostet Zeit und erzeugt Fehlerquellen.
Ein Tool, das direkt in Microsoft Word arbeitet, ist für die meisten Kanzleien und Inhouse-Teams operativ vorzuziehen. Verbesserungsvorschläge können direkt übernommen werden, ohne Copy-Paste und ohne Formatierungsverlust.
Die Frage an den Anbieter: Wo findet die Arbeit statt – im Browser, in Word, oder beides? Wie werden Änderungen ins Originaldokument übertragen?
7. Vertragsbedingungen und Haftung
Standardverträge von SaaS-Anbietern schliessen Haftung für fehlerhafte Outputs oft vollständig aus. Das ist bei anderen Tools akzeptabel; bei Legal AI, das Vertragsrisiken einschätzt oder Klauseln formuliert, ist ein vollständiger Haftungsausschluss bedenklicher.
Zu prüfen sind: IP-Ownership der generierten Inhalte, Vertraulichkeitsverpflichtungen des Anbieters, Haftungsregelungen für fehlerhafte Ergebnisse, und die Frage, ob der Anbieter bereit ist, einen individuell ausgehandelten DPA zu unterzeichnen.
8. Referenzen und Marktpositionierung
Welche Kanzleien oder Inhouse-Teams nutzen das Tool bereits? Gibt es nachvollziehbare Use Cases aus einem vergleichbaren juristischen Kontext – nicht nur generische Testimonials?
Ein Anbieter, der ausschliesslich auf den US-Markt ausgerichtet ist, kennt die spezifischen Anforderungen des Schweizer Rechts möglicherweise nicht: Schweizer Rechtschreibkonventionen (ss statt ß), kantonale Rechtsprechung, DSG-spezifische Anforderungen.
Wer die Evaluation strukturiert angehen möchte, kann CASUS, die Schweizer Legal-AI-Plattform, kostenlos testen. Die Plattform verarbeitet Daten ausschliesslich in der Schweiz und der EU, überträgt keine Daten in die USA, und bietet Zero Data Retention sowie keinen Human Review. Ein Konto lässt sich in wenigen Minuten einrichten.
Was Legal AI in der Praxis leisten kann – und was nicht
KI-gestützte Vertragsanalyse ersetzt keine juristische Prüfung. Was sie tut: Sie beschleunigt die Identifikation von Risikostellen, strukturiert Findings, und reduziert den Aufwand für Routineaufgaben wie Cross-Reference-Checks oder das Erkennen fehlender Standardklauseln.
Ein AI Data Room kann bei einer Due Diligence dutzende Verträge parallel auf definierte Felder hin durchsuchen – Haftungscaps, Kündigungsfristen, IP-Klauseln. Was er nicht ersetzt: die juristische Bewertung der Befunde.
Ein Benchmark-Workflow zeigt, ob ein NDA von einem Playbook abweicht und welche Klauseln fehlen. Er sagt nicht, ob das aus strategischen Gründen akzeptabel ist. Diese Einschätzung bleibt beim Juristen.
Wer den Funktionsumfang eines Tools realistisch einschätzt, wird weder enttäuscht noch überfordert – und kann Legal AI so einsetzen, dass es echten Mehrwert bringt.
FAQ
Was ist eine Legal AI Procurement Checklist?
Eine Legal AI Procurement Checklist ist ein strukturierter Fragenkatalog, mit dem Kanzleien und Inhouse-Teams KI-Anbieter für juristische Anwendungen evaluieren. Sie deckt typischerweise Datenschutz, Hosting, Vertragsbedingungen, Funktionsumfang und Compliance-Zertifizierungen ab.
Welche Datenschutzanforderungen gelten beim Einsatz von Legal AI in der Schweiz?
Das revidierte Schweizer Datenschutzgesetz (DSG) verlangt, dass Datenübertragungen in Drittstaaten auf einer anerkannten Rechtsgrundlage basieren. Für Kanzleien, die auch EU-Mandanten betreuen, gilt zusätzlich die DSGVO. Legal-AI-Anbieter sollten Hosting in der Schweiz oder der EU, keine US-Datentransfers, und einen unterzeichneten DPA mit Subprozessorliste nachweisen können.
Was bedeutet Zero Data Retention bei Legal AI?
Zero Data Retention bedeutet, dass der Anbieter nach Abschluss einer Verarbeitungssitzung keine Inhalte der Nutzer speichert. Dokumente, Fragen und Antworten verbleiben nicht beim Anbieter. Das ist für juristische Anwender relevant, weil Vertragsunterlagen und Mandantendaten nicht dauerhaft bei einem Dritten liegen sollten.
Sollte Legal AI direkt in Microsoft Word integriert sein?
Für die meisten Kanzleien und Inhouse-Teams ist eine Word-Integration sinnvoll, weil der Grossteil der Dokumentenarbeit in Word stattfindet. Eine reine Web-Oberfläche verlangt zusätzliche Schritte beim Übertragen von Änderungen ins Originaldokument. Tools mit nativer Word-Integration können Verbesserungsvorschläge direkt und korrekt formatiert einfügen.
Was ist der Unterschied zwischen einem Risk Review und einem Benchmark-Workflow?
Ein Risk Review analysiert ein Dokument auf Schwachstellen und Risiken aus der Perspektive einer bestimmten Vertragspartei. Ein Benchmark-Workflow vergleicht ein Dokument mit einem Referenzstandard – etwa einem internen Playbook oder gängigen Best Practices für NDA, SPA oder DPA – und zeigt Abweichungen und fehlende Klauseln. Beide Workflows ergänzen sich, dienen aber unterschiedlichen Zwecken.
Wie überprüfe ich, ob ein Anbieter wirklich kein Modelltraining mit meinen Daten durchführt?
Das lässt sich nicht technisch verifizieren, aber vertraglich absichern. Der DPA sollte explizit ausschliessen, dass Nutzerdaten für das Training oder Fine-Tuning von Modellen verwendet werden. Ein seriöser Anbieter gibt darüber im Vertrag klare Auskunft – wer ausweicht, gibt damit bereits ein Signal.
Welche Zertifizierungen sollte ein Legal-AI-Anbieter vorweisen können?
Mindeststandard für professionelle SaaS-Umgebungen ist SOC 2 Type II. ISO 27001 ist ein weiteres positives Signal. Für Anbieter, die europäische Kunden bedienen, sollte zudem eine Einschätzung zur EU AI Act Klassifizierung vorhanden sein. Ein unterzeichneter DPA mit Subprozessorliste ist keine Zertifizierung, aber ein nicht verhandelbares Dokument.
Ist Legal AI für kleinere Kanzleien in der Schweiz relevant?
Ja. Gerade kleinere Kanzleien profitieren, weil der Aufwand für Routineaufgaben – Proofreading, Cross-Reference-Checks, Ersteinschätzungen zu Klauseln – überproportional ins Gewicht fällt. Voraussetzung ist, dass die Evaluation der Datenschutz- und Sicherheitsanforderungen genauso sorgfältig erfolgt wie bei grossen Einheiten.
Wie CASUS in diesen Rahmen passt
CASUS ist eine Schweizer Legal-AI-Plattform, die speziell für Schweizer Kanzleien und Inhouse-Teams entwickelt wurde. Alle Daten werden in der Schweiz und der EU verarbeitet; es gibt keine Datenübertragung in die USA. Zero Data Retention und kein Human Review sind keine optionalen Features, sondern Standard.
Die Plattform arbeitet direkt in Microsoft Word und im Browser. Der Risk & Quality Review analysiert Vertragsrisiken aus Parteienperspektive, der Benchmark-Workflow prüft Dokumente gegen einen Referenzstandard. Für die Rechtsrecherche greift der Legal Research Modus auf über 660'000 Entscheide aus kantonalen und Bundesgerichten zu.
Wer Legal AI unter Schweizer Bedingungen evaluieren möchte, findet auf der Sicherheitsseite von CASUS die technischen Details zu Hosting, Datenschutz und Zertifizierungen.
