Datenschutz & Geheimhaltung – kompakt erläutert.
Die Kernaussage: KI-gestützte Vertragsprüfung erhöht Effizienz, verlangt aber klare Datenschutz- und Geheimhaltungsregeln, um DSGVO/DSG‑Konformität sowie Geschäftsgeheimnisse zu schützen.
Risiken bei KI in der Vertragsprüfung
KI-Modelle verarbeiten Vertragsdaten oft in Drittinfrastrukturen. Das birgt Risiken: ungewollte Datenweitergabe, Speicherung sensibler Inhalte und mangelhafte Löschung. Für KMU sind besonders relevant: personenbezogene Daten von Vertragspartnern, Geschäftsgeheimnisse (Preise, Konditionen) und strategische Klauseln. Beispiel: Ein Liefervertrag enthält personenbezogene Kontaktdaten und Preiskomponenten. Werden diese an einen externen KI-Dienst geschickt, kann die Kontrolle über Verarbeitungszwecke und Speicherorte verloren gehen.
Konkrete Datenschutzanforderungen
Prüfen Sie Datenminimierung, Rechtmässigkeit und Zweckbindung. Nur notwendige Vertragsabschnitte übergeben. Dokumentieren Sie Rechtsgrundlage (z. B. berechtigtes Interesse oder Einwilligung) und stellen Sie Auftragsverarbeitungsverträge (AVV) mit Dienstleistern sicher. Beispiel: Für die automatische Extraktion von Vertragslaufzeiten genügt oft das Übermitteln der entsprechenden Paragraphen statt ganzer Dokumente.
Geheimhaltung und Informationssicherheit
Verschlüsselte Übertragung, Zugriffskontrollen und klare Löschfristen sind Pflicht. Bevorzugen Sie on-premise oder abgesicherte EU‑/CH-Cloud-Lösungen mit zertifizierter Infrastruktur. Rollenbasierte Rechte stellen sicher, dass nur befugte Mitarbeitende KI-Ergebnisse sehen. Beispiel: Das KMU betreibt ein internes Prüf-Portal, das Vertragsmetadaten lokal verarbeitet und nur anonymisierte Auszüge an den KI-Service sendet.
Technische und organisatorische Massnahmen
Setzen Sie Pseudonymisierung sowie Template-basierte Extraktion ein. Führen Sie Logs über Datenzugriffe und Modellversionen. Testen Sie das Modell mit synthetischen, nicht sensiblen Verträgen, bevor Sie Live-Daten nutzen. Vereinbaren Sie mit Anbieter:innen klare Datenlöschfristen und Auditrechte. Beispiel: Vor Einführung läuft ein Pilot mit 50 anonymisierten NDAs, um False Positives bei Geheimhaltungsbestimmungen zu identifizieren.
Typische Fehler und Korrekturen
Fehler 1: Gesamte Vertragsdokumente ungefiltert an KI-API senden. Korrektur: Segmentieren und nur relevante Abschnitte übermitteln; Pseudonymisieren personenbezogene Daten vorher.
Fehler 2: Kein AVV oder unklare Speicherorte. Korrektur: AVV ausarbeiten, Nachweis über Speicherorte (EU/CH) verlangen und im Risikoregister dokumentieren.
Fehler 3: Keine Löschstrategie für Trainingsdaten. Korrektur: Vereinbarte Löschfristen durchsetzen und Löschnachweise fordern; lokale Verarbeitung bevorzugen, wenn möglich.
Rechtliche und vertragliche Tipps
Prüfen Sie die lokale Gesetzgebung (DSG, DSGVO-Anforderungen) und halten Sie Nachweispflichten ein. Formulieren Sie klare Vertragsklauseln mit KI-Anbietern: Verarbeitungsumfang, Zweckbindung, Subunternehmer, Sicherheitsmassnahmen, Audit- und Löschrechte sowie Haftung für Datenverstösse. Binden Sie Datenschutzbeauftragte oder rechtliche Beratung bei Vertragsgestaltung ein.
Handlungsanleitung 14–30 Tage: Umsetzungsschritte
Tag 1–3: Inventar erstellen — Identifizieren Sie Vertragsarten, die KI-prüfbar sind, und markieren Sie sensible Felder (Personen, Preise, Geschäftsgeheimnisse).
Tag 4–7: Risikoanalyse — Bewerten Sie Datenarten, Verarbeitungszwecke und erforderliche Rechtsgrundlagen; entscheiden Sie on-premise vs. Cloud.
Tag 8–11: Anbieterprüfung — AVV, Speicherorte, Verschlüsselung, Auditrechte und Löschfristen einholen und vergleichen.
Tag 12–15: Pilot vorbereiten — Erstellen Sie anonymisierte Testverträge oder Extraktionsvorlagen; definieren Sie Erfolgskriterien (Genauigkeit, Fehlerrate).
Tag 16–20: Technische Umsetzung — Pseudonymisierung einführen, API-Zugriffe auf whitelisted Systemen einschränken, Logs und Zugriffskontrollen aktivieren.
Tag 21–24: Pilotphase durchführen — Testen mit 20–50 Dokumenten, dokumentieren Sie Ergebnisse und Datenschutzvorfälle.
Tag 25–28: Anpassungen — Parameter, Datenminimierung oder Anbieterwechsel vornehmen; AVV finalisieren.
Tag 29–30: Rollout-Entscheid — Freigabeprotokoll erstellen, Schulung für Mitarbeitende durchführen und Lösch- sowie Auditprozesse implementieren.
Diese Schritte sichern, dass KI-gestützte Vertragsprüfung KMU echten Nutzen bringt, ohne Datenschutz oder Geschäftsgeheimnisse zu gefährden.
Kommentare