Warum die Wahl des KI-Anbieters für Berufsgeheimnisträger keine Komfortfrage ist — sondern eine Rechtsfrage.
ChatGPT, Copilot, Gemini — generative KI ist im Berufsalltag angekommen. Dokumente zusammenfassen, Recherchen beschleunigen, Texte entwerfen: Die Produktivitätsgewinne sind real. Doch wer mit fremden Geheimnissen arbeitet, muss eine Frage beantworten, bevor er den ersten Prompt eingibt: Wo landen meine Daten — und wer kann darauf zugreifen?
§ 203 StGB: Ein Paragraph, der es in sich hat
Wer fremde Geheimnisse unbefugt einem Dritten offenbart, macht sich nach § 203 StGB strafbar. Der Paragraph richtet sich nicht nur gegen absichtlichen Verrat — auch die fahrlässige Weitergabe kann strafrechtliche Konsequenzen haben. Entscheidend ist das Wort unbefugt: Sobald Daten einen Verarbeitungsweg nehmen, den der Mandant oder Patient nicht kennt und dem er nicht zugestimmt hat, wird es kritisch.
Und genau hier liegt das Problem mit den großen US-Cloud-Diensten.
Wer ist betroffen?
§ 203 Abs. 1 und Abs. 2 StGB erfassen eine lange Liste von Berufsgruppen. Einige Beispiele:
Ärzte und Psychotherapeuten verarbeiten Patientendaten, Befunde und Diagnosen — Informationen, die zum Sensibelsten gehören, was ein Mensch preisgeben kann. Schon das Hochladen eines Arztbriefs in ein US-amerikanisches KI-Tool kann eine Offenbarung im Sinne des Gesetzes darstellen.
Steuerberater und Wirtschaftsprüfer arbeiten täglich mit Bilanzen, Steuererklärungen und internen Finanzdaten ihrer Mandanten. Diese Unterlagen zeichnen ein vollständiges Bild der wirtschaftlichen Verhältnisse — in den Händen Dritter ein erhebliches Risiko.
Rechtsanwälte und Notare sind an das Mandatsgeheimnis gebunden. Vertragsentwürfe, Schriftsätze und Korrespondenz mit Mandanten gehören zu den am strengsten geschützten Informationen unserer Rechtsordnung.
Apotheken und Pharmaunternehmen verarbeiten Rezeptdaten, Patienteninformationen und Beratungsunterlagen — ebenfalls unter dem Schutz des § 203 StGB.
Pflege- und Sozialeinrichtungen dokumentieren Pflegeverläufe und führen Fallakten, die intime Details über das Leben schutzbedürftiger Menschen enthalten.
Die Aufzählung ist nicht abschließend. Auch Suchtberater, Schwangerschaftskonfliktberater, Sozialarbeiter und weitere Berufsgruppen fallen unter den Schutz des § 203 StGB.
Das Problem mit der US-Cloud
Wenn ein Berufsgeheimnisträger ein Dokument in ein KI-Tool hochlädt, das auf US-amerikanischen Servern läuft, passieren potenziell mehrere Dinge gleichzeitig:
Datenübermittlung in ein Drittland. Sobald personenbezogene Daten die EU verlassen, greifen die strengen Anforderungen der DSGVO an Drittlandtransfers. Nach dem Schrems-II-Urteil des EuGH ist die Rechtsgrundlage für Transfers in die USA nach wie vor umstritten — das aktuelle EU-US Data Privacy Framework steht bereits unter Beobachtung.
Zugriff durch US-Behörden. Der US CLOUD Act verpflichtet amerikanische Unternehmen, Daten auf Anforderung von US-Behörden herauszugeben — selbst wenn die Server physisch in Europa stehen. Für einen Berufsgeheimnisträger bedeutet das: Er kann nicht garantieren, dass die ihm anvertrauten Geheimnisse tatsächlich geheim bleiben.
Training fremder KI-Modelle. Viele Anbieter behalten sich in ihren Nutzungsbedingungen vor, hochgeladene Inhalte zur Verbesserung ihrer Modelle zu verwenden. Was als harmloses „Modelltraining" klingt, ist im Ergebnis eine Weitergabe an Dritte — und damit potenziell eine Offenbarung im Sinne des § 203 StGB.
Was bedeutet das in der Praxis?
Die Konsequenz ist unbequem, aber klar: Berufsgeheimnisträger können nicht einfach das erstbeste KI-Tool nutzen, nur weil es bequem und leistungsfähig ist. Sie brauchen eine Lösung, die von Grund auf für den Umgang mit vertraulichen Daten gebaut ist.
Die zentralen Anforderungen lauten:
- Verarbeitung in Deutschland und der EU. KI-Modell, Datenspeicher und Vektordatenbank müssen auf Servern in Deutschland oder der EU laufen — ohne Umwege über US-Infrastruktur.
- Keine Datenweitergabe an Modellbetreiber. Die hochgeladenen Dokumente dürfen nicht zum Training fremder KI-Systeme verwendet werden. Was in der Wissensdatenbank liegt, bleibt dort.
- Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Ohne AVV keine rechtssichere Nutzung — so einfach ist das.
- Kein Zugriff durch US-Behörden. Kein CLOUD Act, kein US-amerikanischer Mutterkonzern, keine Hintertür.
Wie KnowledgePilot diese Anforderungen erfüllt
KnowledgePilot wurde für genau dieses Szenario entwickelt: KI-gestützte Wissensarbeit mit vertraulichen Dokumenten — ohne Kompromisse beim Datenschutz.
Das KI-Modell, die Vektordatenbank und der gesamte Datenspeicher laufen ausschließlich auf Servern in Deutschland. Es gibt keinen US-amerikanischen Mutterkonzern und keinen Durchgriff über den CLOUD Act. Hochgeladene Dokumente trainieren keine fremden KI-Systeme. Und ein Verarbeitungsvertrag nach Art. 28 DSGVO wird selbstverständlich bereitgestellt.
Für Kanzleien, Praxen, Beratungsgesellschaften und Pflegeeinrichtungen bedeutet das: Sie können die Produktivitätsvorteile generativer KI nutzen, ohne ihr wichtigstes Kapital zu riskieren — das Vertrauen ihrer Mandanten, Patienten und Klienten.
Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Wir empfehlen, die Eignung einer KI-Lösung im Einzelfall mit einem Datenschutzbeauftragten oder Rechtsanwalt zu prüfen.