Disclaimer: Dies ist ein sensitives Thema und wir bemühen uns um Korrektheit der Informationen in diesem Artikel, garantieren die Korrektheit aber nicht

Ist die Nutzung von Cloud-basierter KI für juristische Aufgaben ein Risiko bezüglich Datenschutz und Haftung?

Dieser Artikel untersucht drei Schlüsselszenarien mit Fokus auf die Schweiz:

1. Die Verarbeitung nicht personenbezogener Daten, bei denen rechtliche Bedenken gering sind;

2. Fälle mit personenbezogener Daten, in denen aber kein Anwalt-Mandanten-Verhältnis besteht, und daher nur die DSGVO/GDPR und die Schweizer Anpassungen dazu gelten;

3. Situationen, in denen es um personenbezogene Daten geht und ein Anwalt-Mandanten-Verhältnis vorlieg. Diese fallen unter das Anwaltsgeheimnis und daher gilt eine besondere Sorgfaltspflicht für den Anwalt.

Für jedes dieser Szenarien werden die rechtlichen Herausforderungen und mögliche Lösungsansätze erörtert, um die Risiken zu minimieren und die Compliance zu sichern.

Fall 1: Verarbeitung nicht personenbezogener Daten

Kontext und Herausforderungen

Bei der Verarbeitung nicht personenbezogener Daten in der juristischen Praxis, etwa durch den Einsatz von Cloud-basierter KI, sind die Datenschutzbedenken im Vergleich zu personenbezogenen Daten deutlich geringer. Diese Datenkategorie umfasst typischerweise allgemeine Rechtsprechungen, Gesetzestexte oder anonymisierte Fallstudien, die keine direkte oder indirekte Identifizierung einer Person ermöglichen.

Datenschutzkonformität

Da es sich um nicht personenbezogene Daten handelt, gelten nicht die strengen Datenschutzauflagen, die für personenbezogene Daten erforderlich sind. Das Hauptaugenmerk liegt daher auf der Qualität und Vertrauenswürdigkeit der Daten als Informationsquelle.

Haftungsfragen

Beim Einsatz von KI-Technologien, wie sie von Anbietern wie Ailegis bereitgestellt werden, ist oft die Haftung für die Genauigkeit der Informationen ausgeschlossen. Dies überträgt die Verantwortung für die Beurteilung der Genauigkeit der Informationen auf den Benutzer. Juristen müssen sich bewusst sein, dass eine falsche Interpretation oder ein Fehlschluss basierend auf inkorrekten Informationen zu fehlerhaften Rechtsberatungen und -strategien führen kann.

Risikomanagement und Best Practices

Um die Risiken zu minimieren, ist es entscheidend, dass Juristen bei der Auswahl eines KI-Anbieters folgende Best Practices berücksichtigen:

• Auswahl eines Anbieters mit transparenten und nachvollziehbaren Methoden zur Datenerfassung und Verarbeitung.

• Idealerweise Wahl von einem Service der die KI erklärbar macht, also zum Beispiel auf die benutzten Quellen verlinkt.

• Bei KI-generierten Texten und anderen Outputs eine sorgfältige Überprüfung auf Korrektheit, zum Beispiel durch überprüfen der Quellen.

Diese Massnahmen tragen dazu bei, die Verlässlichkeit der KI-gestützten Dienste zu sichern und die Qualität der juristischen Arbeit zu gewährleisten.

Fall 2: Nutzung von Cloud-basierter KI in Fällen ohne Anwaltsgeheimnis

Kontext und Herausforderungen

In Situationen ohne Anwaltsgeheimnis steht die Nutzung von Cloud-basierter KI im Rechtswesen vor der Herausforderung, die DSGVO/GDPR und die entsprechenden Schweizer Anpassungen dazu einzuhalten. Diese Datenschutzvorschriften sind für alle Branchen relevant und erfordern eine sorgfältige Handhabung der personenbezogenen Daten.

Datenschutzkonformität

Juristen müssen in diesen Fällen sicherstellen, dass die Verarbeitung personenbezogener Daten durch Cloud-basierte KI-Systeme den Datenschutzbestimmungen entspricht. Dies umfasst die Einholung der Einwilligung der betroffenen Personen, die Implementierung von Sicherheitsmassnahmen zum Schutz der Daten und die Gewährleistung der Transparenz bei der Datenverwendung. Zum Beispiel darf es nicht erlaubt sein das Modelle auf diesen personenbezogenen Daten trainiert werden und danach diese Daten dadurch potentiell ungewollt weitergeben. Weitergabe an Dritte, die auch die lokalen Datenschutzbestimmungen erfüllen, ist in diesem Fall jedoch grundsätzlich erlaubt.

Haftungsfragen

Während der KI-Anbieter in der Regel für die Einhaltung der Datenschutzbestimmungen verantwortlich ist, liegt es auch hier beim benutzenden Juristen, die Zuverlässigkeit und Relevanz der Informationen zu überprüfen. Eine sorgfältige Auswahl des KI-Anbieters ist daher essenziell.

Risikomanagement und Best Practices

Zusätzlich zu den im vorherigen Fall genannten gehören zu den Best Practices in diesem Fall:

• Sorgfältige Auswahl des KI-Anbieters: Juristen sollten nur mit vertrauenswürdigen KI-Anbietern zusammenarbeiten, die nachweislich die Datenschutzbestimmungen einhalten.

• Datenschutz-Folgenabschätzung: Vor der Benutzung von KI-Systemen sollte eine Bewertung der Datenschutzrisiken durchgeführt werden, um potenzielle Gefahren zu identifizieren und abzumildern.

• Vertragsmanagement: Klare vertragliche Vereinbarungen mit dem KI-Anbieter über die Nutzung und Verarbeitung der Daten, einschliesslich Datenschutzklauseln und Geheimhaltungsvereinbarungen.

• Regelmässige Überprüfung der KI-Systeme: Um sicherzustellen, dass die Systeme den sich ändernden rechtlichen Anforderungen und den Bedürfnissen der juristischen Praxis entsprechen, sollten sie regelmässig überprüft werden.

Diese Massnahmen tragen dazu bei, das Risiko einer Datenschutzverletzung oder Falschinformation zu minimieren und die Einhaltung der gesetzlichen Vorschriften zu gewährleisten, während die Vorteile der KI-Technologie auch bei personenbezogenen Daten im Rechtswesen genutzt werden können.

Fall 3: Nutzung von Cloud-basierter KI mit personenbezogenen Daten und Anwaltsgeheimnis

Kontext und Herausforderungen

In diesem Szenario stehen Anwälte in der Schweiz vor der Herausforderung, personenbezogene Daten, die unter das Anwaltsgeheimnis fallen, mittels Cloud-basierter KI zu verarbeiten. Die besondere Sorgfaltspflicht besteht in der Wahrung der Vertraulichkeit dieser sensiblen Daten, insbesondere bei der Nutzung von Diensten internationaler Cloud-basierter KI-Anbieter wie OpenAI oder Microsoft Azure.

Gesetzliche Grundlagen und Rechtsprechung

Für die Schweiz Gemäss Art. 321 Ziff. 1 Abs. 1 StGB und Art. 13 BGFA sind Anwälte zur Geheimhaltung verpflichtet. Die Rechtsprechung (BGE 145 II 229) erlaubt aber die Qualifikation von Cloud-Anbietern als Hilfspersonen. Dies bedeutet, dass die Weitergabe geschützter Informationen an diese Anbieter nicht automatisch eine Verletzung des Anwaltsgeheimnisses darstellt, solange bestimmte Sorgfaltspflichten beachtet werden. Beispielsweise muss der Anwalt sicherstellen das die Daten nicht an andere Drittparteien weitergegeben werden weil die nach Rechtsprechung nicht als Hilfspersonen im Sinne des Anwaltsgeheimnisses gelten (BGE 145 II 229).

Datenschutzkonformität

Anwälte müssen also sicherstellen, dass die Nutzung von Cloud-basierter KI nicht nur im Einklang mit den üblichen Datenschutztgesetzten, sondern auch im Einklang mit dem Anwaltsgeheimnis steht. Dies beinhaltet die sorgfältige Auswahl von Cloud-Anbietern, die als zuverlässige Hilfspersonen gelten können, und das Treffen vertraglicher Vereinbarungen zur Geheimhaltung und Nutzung der Daten ausschliesslich zur Vertragserfüllung.

Haftungsfragen

Die Haftung bei der Nutzung von Cloud-Diensten kann also komplex sein, insbesondere wenn es um sensible, vom Anwaltsgeheimnis geschützte Daten geht. In der Schweiz können nach Art. 321 Ziff. 1 Abs. 1 StGB sowohl Anwälte als auch deren Hilfspersonen bei Verletztung des Datenschutztes haftbar gemacht werden wenn sie ihre Sorgfaltspflichten verletzten. Anwälte müssen daher alle zumutbaren Massnahmen ergreifen, um einen hinreichenden Schutz der Daten sicherzustellen.

Risikomanagement und Best Practices

Zu den Best Practices gehören zusätzlich:

• Klare vertragliche Vorgaben zur Geheimhaltung und Datenverwendung inklusive zum Beispiel Verbot zur Weitergabe an Dritte.

• Kontinuierliche Kontrolle der Einhaltung der Datenschutzvorgaben.

• Implementierung eines Sicherheitsdispositivs entsprechend der Grösse und Tätigkeit des Unternehmens.

Besondere Vorsicht bei ausländischen Anbietern

Die Nutzung ausländischer Cloud-Anbieter birgt zusätzliche Risiken, da diese nicht den lokalen Gesetzgebung unterliegen und somit die Durchsetzung des Datenschutzrechts und des Anwaltsgeheimnisses erschwert ist. Es empfiehlt sich daher, bei einer Auslagerung ins Ausland besondere Vorsicht walten zu lassen und nach Möglichkeit Anbieter mit lokalen Servern zu bevorzugen.

Fazit

Die Nutzung von Cloud-basierter KI im Rechtswesen in der Schweiz ist möglich, stellt jedoch Juristen vor zentrale Herausforderungen hinsichtlich Datenschutz und Haftung. Unabhängig von der Art der Daten oder des Bestehens eines Anwaltsgeheimnisses müssen Juristen bei der Verwendung von KI-Technologien Vorsicht walten lassen, da die Haftung oft bei ihnen liegt. Insbesondere die Auswahl und Überwachung von KI-Anbietern, gerade bei internationalen Diensten, erfordert besondere Aufmerksamkeit. Ein umsichtiges Risikomanagement und eine bewusste Auseinandersetzung mit technologischen Möglichkeiten und deren rechtlichen Implikationen sind unerlässlich, um die Integrität und Vertraulichkeit in der juristischen Praxis zu sichern und gleichzeitig die Vorteile moderner Technologie zu nutzen.