top of page

Datenschutz bei KI im Bau: Was Sie als Geschäftsführer hochladen dürfen

  • 25. Mai
  • 4 Min. Lesezeit

KI im Bau ist Chefsache, auch rechtlich. Wenn Mitarbeiter ohne klare Weisung Ausschreibungen, Personendaten oder Kalkulationen in ChatGPT laden, haftet das Unternehmen. Bussen bis CHF 250'000 sind möglich, im Wiederholungsfall auch mehr.


Wo Ihre Daten landen, wenn ein Mitarbeiter sie hochlädt

Sobald ein Mitarbeiter ein Dokument in ChatGPT oder Gemini lädt, verlässt es die Schweiz. Die Daten landen auf US-Servern und können je nach Lizenz für Trainingszwecke ausgewertet werden. Für ein Bauunternehmen mit Personendaten oder Geschäftsgeheimnissen ist das eine rechtlich relevante Verarbeitung, die der Geschäftsführung gehört.

Die meisten Mitarbeiter wissen das nicht. Sie sehen ein Chatfenster und denken an Google, nicht an Datenexport. Tatsächlich ist jeder Upload eine Datenübermittlung in die USA, an einen Anbieter, mit dem Ihr Unternehmen meistens keinen direkten Vertrag hat.

In der Gratisversion und teilweise auch in den Plus-Versionen behalten sich die Anbieter vor, hochgeladene Daten für die Verbesserung ihrer Modelle zu nutzen. Inhalte aus Ihrer Kalkulation oder einem Werkvertrag können theoretisch in zukünftige Modellversionen einfliessen. Niemand wird je nachweisen, dass Ihre konkrete Klausel aus dem nächsten Modell antwortet. Das Risiko ist trotzdem real.

In den Datenschutzeinstellungen lässt sich das Training abschalten. Diese Einstellung gibt Anwendern ein gutes Gefühl, ist aber rechtlich nicht verbindlich. Im Streitfall müssen Sie nachweisen können, dass Daten nicht weitergegeben wurden. Mit einer Checkbox gelingt das nicht.


Drei Datentypen, drei Risikostufen

Datenschutz wird konkret, wenn man die Daten klassifiziert. Drei Stufen reichen für den Alltag im Bau: öffentliche Daten, geschäftsbezogene oder personenbezogene Daten, und besonders schützenswerte Daten wie Berufsgeheimnisse oder Kalkulationsstrategien. Jede Stufe hat eine andere Antwort auf die Frage, wo sie verarbeitet werden darf.

  • Stufe 1: Öffentliche Daten. Allgemeine Marktdaten, Branchenbegriffe, anonymisierte Beispieltexte oder Pressemitteilungen. Diese Daten dürfen Sie auch in der Gratisversion eines KI-Tools verarbeiten. Risiko praktisch null.

  • Stufe 2: Geschäfts- und Personendaten. Standard-Geschäftsdaten, interne Korrespondenz, Mitarbeiterinformationen, Kundennamen, Telefonnummern. Diese Daten gehören nicht in die Gratisversion. Ohne Vertrag verstossen Sie gegen das Schweizer Datenschutzgesetz.

  • Stufe 3: Besonders schützenswerte Daten. Berufsgeheimnisse, also Daten von Anwälten, Ärzten oder Treuhändern. Diese Daten gehören in eine kontrollierte Umgebung, idealerweise mit Schweizer oder europäischer Datenhaltung.

Die Klassifikation ist die Grundlage jeder Weisung. Ohne Klassifikation diskutieren Sie über Tools, ohne klar zu wissen, was Sie überhaupt schützen wollen.


Cloud Act: Warum US-Behörden auf Schweizer Daten zugreifen können

Der amerikanische Cloud Act erlaubt US-Behörden den Zugriff auf Daten, die bei US-Unternehmen liegen. Egal wo der Nutzer sitzt. Für Schweizer Bauunternehmen ist das relevant, weil ChatGPT, Claude und Gemini alles US-Anbieter sind.

In der Praxis nutzt diese Regel im Moment fast niemand. US-Behörden interessieren sich selten für Schweizer Bauunternehmen. Das kann sich ändern. Politische Lagen verschieben sich. Und KI macht es technisch immer einfacher, riesige Datenmengen automatisiert auszuwerten.

Wer heute Daten in eine US-Cloud lädt, geht das Risiko ein, dass diese Daten in fünf oder zehn Jahren auswertbar sind, ohne dass jemand etwas davon erfährt. Für tagesaktuelle Geschäfte mag das verkraftbar sein. Für strategische Daten, die einen Wettbewerbsvorteil darstellen, ist es eine bewusste Entscheidung. Sie sollte nicht zufällig im Browser fallen.


Auftragsverarbeitungsvertrag: Was eine Business-Lizenz wirklich ändert

Ein Auftragsverarbeitungsvertrag, kurz AVV oder DPA, regelt, was der KI-Anbieter mit Ihren Daten tun darf und was nicht. Für die meisten Bauunternehmen löst er den grössten Teil der rechtlichen Probleme. Personendaten dürfen verarbeitet werden, Daten dürfen nicht für Training genutzt werden, und Sie haben einen Vertragspartner, falls etwas schiefgeht. Bei Scait garantieren wir ein solches AVV bei jeder Nutzung.


Schatten-KI: Das versteckte Risiko ohne klare Weisung

Schatten-KI bezeichnet die KI-Nutzung durch Mitarbeiter, ohne dass die Geschäftsführung sie freigegeben hat. Wer keine Weisung erlässt, signalisiert stillschweigend «alles erlaubt». Im Schadensfall haftet das Unternehmen. Eine klare schriftliche Weisung schützt Sie und gibt den Mitarbeitern Sicherheit darüber, was sie dürfen und was nicht.


Was eine Weisung leisten muss:

  • Welche Tools sind freigegeben und für welche Datentypen

  • Was ist verboten, etwa Personendaten in Gratisversionen oder Account-Sharing

  • Wer ist Ansprechpartner für Fragen

  • Welche Konsequenzen drohen bei Verstössen

Eine Seite reicht. Wichtig ist, dass es sie gibt. Im Schadensfall ist die Existenz dieser Weisung Ihr stärkster Schutz als Geschäftsführer.


Zwei-Spalten-Vergleich zur KI-Nutzung im Bauunternehmen. Linke Spalte ohne Weisung zeigt vier Risikofaktoren: geteilte Accounts, Personendaten in Gratisversionen, unsichtbare Schatten-KI, kein Vertragspartner im Schadensfall. Konsequenz: Geschäftsführer haftet persönlich mit Bussen bis CHF 250'000. Rechte Spalte mit Weisung zeigt vier Kontrollelemente: Tool-Liste pro Datenkategorie, Auftragsverarbeitungsvertrag mit allen Anbietern, dokumentierte Schulung, klare Verantwortlichkeiten. Konsequenz: Pflicht erfüllt, Risiko begrenzt.


Wenn KI bei Ausschreibungen wirklich helfen soll

Bei Ausschreibungen kommen Anforderungen hinzu, die über reinen Datenschutz hinausgehen. Wer komplette Submissionen mit KI bearbeiten will, kommt mit einer Gratis-Lizenz allein nicht weit. Hier braucht es Plattformen, die Schweizer Baunormen integriert haben, mit Branchen-Datenschutz aufgesetzt sind und die Bearbeitung als Workflow abbilden, nicht als einzelnen Chat.

Scait wurde genau für diesen Anwendungsfall gebaut. Die Plattform hält Daten in einer kontrollierten Umgebung, hat alle nötigen Verträge im Standard und ist auf die Bearbeitung kompletter Submissionen ausgelegt. Scait liefert die Fakten. Sie treffen die Entscheidung.

Wenn Sie wissen wollen, wie Scait mit Ihren Daten umgeht: 30 Minuten unverbindliche Demo mit einem Ihrer eigenen Projekte.



FAQ

Welche Bussen drohen bei Datenschutzverstössen mit KI?

Nach Schweizer Datenschutzgesetz drohen Bussen bis CHF 250'000 für die verantwortliche Person, also häufig die Geschäftsführung. Das Unternehmen selbst kann zusätzlich belangt werden.


Reicht es, in den Einstellungen das Training auszuschalten?

Nein. Diese Einstellung ist eine Komfortfunktion des Anbieters, kein Vertragsbestandteil. Im Streitfall müssen Sie nachweisen können, dass Daten nicht weitergegeben oder verarbeitet wurden. Das gelingt nur mit einem Auftragsverarbeitungsvertrag, der diese Pflichten verbindlich macht.


Was, wenn Mitarbeiter trotz Weisung KI privat nutzen?

Das passiert, lässt sich aber durch klare Kommunikation und gute Tools eindämmen. Wer Mitarbeitern ein ordentliches Tool zur Verfügung stellt, reduziert die Motivation für Schatten-KI deutlich. Die Pflicht der Geschäftsführung ist erfüllt, sobald Weisung und freigegebene Tools da sind. Die Kontrolle erfolgt stichprobenartig und dokumentiert.

bottom of page