Wo bleiben deine Daten? KI-Projekte ehrlich erklärt

Datenschutz wird bei KI-Projekten gern zum Nebelfeld. Auf der einen Seite die Angst, dass Kundendaten irgendwo in einem Rechenzentrum versickern. Auf der anderen das Versprechen, dass schon alles sicher sei. Beides hilft dir nicht. Was hilft, ist zu wissen, welche Daten wann wohin fliessen. Und das lässt sich sauber auseinandernehmen.

Drei Orte, an denen Daten landen (oder eben nicht)

Wenn wir für dich bauen, gibt es drei verschiedene Dinge, die oft in einen Topf geworfen werden:

Erstens der Code selbst. Das ist die Logik deiner Software, nicht deine Geschäftsdaten. Zweitens die Daten, die deine Software im Betrieb verarbeitet: Kundennamen, Bestellungen, was auch immer dein Produkt verwaltet. Drittens das, was wir während der Entwicklung an KI-Tools schicken, um schneller zu bauen.

Diese drei haben völlig unterschiedliche Anforderungen. Wer sie vermischt, bekommt entweder unnötige Panik oder falsche Sicherheit.

Während der Entwicklung: kein echter Datensatz verlässt das Haus

Wenn wir mit Agentic Coding arbeiten, schicken wir Code-Ausschnitte an KI-Modelle. Was wir nicht schicken, sind deine echten Kundendaten. Dafür gibt es keinen Grund: Zum Programmieren brauchen wir die Struktur deiner Daten, nicht ihren Inhalt.

Für Tests arbeiten wir mit synthetischen Daten. Erfundene Namen, generierte Bestellungen, ein realistisches Abbild ohne eine einzige echte Person darin. Das ist kein Mehraufwand zur Beruhigung, sondern ohnehin saubere Praxis. Mit Produktivdaten zu entwickeln ist auch ohne KI eine schlechte Idee.

Zum Bauen brauchen wir die Form deiner Daten, nicht ihren Inhalt. Den lassen wir dort, wo er hingehört.

Wenn dein Produkt selbst KI nutzt

Anders wird es, wenn dein Produkt im Betrieb KI verwendet. Ein Chat, der Kundenanfragen beantwortet. Eine Funktion, die Dokumente zusammenfasst. Hier fliessen echte Daten zum Modell, und genau hier entscheidet sich der Datenschutz.

Die gute Nachricht: Du hast die Wahl. Ein Modell muss nicht in einem US-Rechenzentrum laufen. Es gibt EU-Regionen mit vertraglich zugesicherter Datenhaltung, es gibt Anbieter mit Hosting in der Schweiz, und für sensible Fälle gibt es Modelle, die komplett auf deiner eigenen Infrastruktur laufen. Welche Variante passt, hängt davon ab, wie heikel die Daten sind und was sie kosten dürfen.

Daten bleiben, wo du sie haben willst

EU-Region, Schweizer Hosting oder ganz ohne Cloud-Modell auf eigener Infrastruktur. Die Frage ist nie nur technisch, sondern: Wie heikel sind die Daten, und was darf die Lösung kosten? Diese Abwägung treffen wir mit dir, nicht für dich.

Dazu kommt ein zweiter Hebel, den viele übersehen: Datensparsamkeit. Oft muss gar nicht der ganze Datensatz zum Modell, sondern nur der Teil, der für die Aufgabe nötig ist. Was nie verschickt wird, kann auch nicht verloren gehen.

Was das nDSG wirklich verlangt

Seit September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz. Es klingt nach einer Hürde, ist aber vor allem eine Liste vernünftiger Dinge, die man sowieso tun sollte.

Du musst wissen, wo deine Daten liegen und wer sie verarbeitet. Mit Anbietern, die in deinem Auftrag Daten bearbeiten, braucht es einen Auftragsbearbeitungsvertrag. Verlassen Daten die Schweiz, muss das Zielland ein angemessenes Schutzniveau bieten oder vertraglich abgesichert sein. Und Betroffene haben ein Recht darauf zu erfahren, was mit ihren Daten passiert.

Nichts davon ist KI-spezifisch. Es sind dieselben Fragen, die für jeden Cloud-Dienst gelten, den du schon nutzt. KI macht sie nur sichtbarer, weil plötzlich alle hinschauen.

Daten, die bleiben, wo sie hingehören. Reden wir darüber, was dein Projekt wirklich braucht.