KI-Software revDSG-konform: Ihre Daten bleiben in der Schweiz

OreaAI ist vollständig revDSG-konform. Wir hosten auf Schweizer Servern und nutzen geschlossene LLM-Pipelines, damit Ihre sensiblen Kalkulationen niemals für das Training öffentlicher KI-Modelle verwendet werden.

Ihre Daten bleiben in der Schweiz

Datenschutz und Compliance sind im Jahr 2026 keine «Nice-to-haves» mehr – sie sind harte Geschäftsanforderungen. Schweizer Firmen lagern sensible Daten nur ungern aus, und das aus gutem Grund: Kalkulationen, Kundenbeziehungen und Offertdaten sind Geschäftsgeheimnisse, die den Wettbewerbsvorteil eines Unternehmens ausmachen. Ein Datenleck bei Kalkulationsgrundlagen kann dazu führen, dass Konkurrenten die eigene Preisgestaltung nachvollziehen und unterbieten – ein existenzielles Risiko für jedes Bauunternehmen.

Die Sensibilität der Thematik wird durch aktuelle Ereignisse unterstrichen: Mehrere prominente Fälle von Datenpannen bei internationalen Cloud-Anbietern haben gezeigt, dass die Datensicherheit bei US-amerikanischen Diensten nicht denselben Standards genügt wie in der Schweiz. Das Schweizer Datenschutzrecht bietet einen der stärksten Rechtsrahmen weltweit – und OreaAI hält sich vollumfänglich daran.

Was revDSG-Konformität konkret bedeutet

Das revidierte Datenschutzgesetz (revDSG), das seit dem 1. September 2023 in Kraft ist, stellt strenge Anforderungen an die Verarbeitung personenbezogener Daten. Es orientiert sich in wesentlichen Punkten an der europäischen DSGVO, berücksichtigt aber die Besonderheiten des Schweizer Rechtsraums. OreaAI erfüllt sämtliche Anforderungen:

• Datenminimierung: Wir verarbeiten nur die Daten, die für den Offertprozess notwendig sind. Es werden keine überflüssigen Metadaten gesammelt oder gespeichert.
• Zweckbindung: Ihre Daten werden ausschliesslich für Ihre Angebotsverarbeitung genutzt – nicht für Analysen, nicht für Werbung, nicht für das Training von KI-Modellen.
• Transparenz: Sie wissen jederzeit, welche Daten verarbeitet werden. Ein detailliertes Verarbeitungsverzeichnis steht Ihnen im Dashboard zur Verfügung.
• Löschrecht: Vollständige Datenlöschung auf Anfrage, inklusive aller Backups, innerhalb von 30 Tagen.
• Swiss Hosting: Alle Daten auf Schweizer Servern in Tier-IV-Rechenzentren, keine Übermittlung ins Ausland – auch nicht vorübergehend für die Verarbeitung.
• Datenschutz-Folgenabschätzung: Für jede neue Funktion führen wir eine DSFA durch, bevor sie in Produktion geht.

Geschlossene LLM-Pipelines: Was das bedeutet

Die meisten KI-Dienste – von ChatGPT über Google Gemini bis zu Microsoft Copilot – nutzen die eingegebenen Daten potenziell zur Verbesserung ihrer Modelle. Das bedeutet: Wenn Sie Ihre Kalkulationsgrundlagen in ein öffentliches KI-Tool eingeben, besteht das Risiko, dass diese Daten in das Training des nächsten Modells einfliessen und indirekt für andere Nutzer zugänglich werden.

OreaAI geht einen fundamental anderen Weg mit geschlossenen LLM-Pipelines:

• Ihre Daten werden nicht für das Training von KI-Modellen verwendet – weder für unsere eigenen noch für die von Drittanbietern
• Die KI-Verarbeitung erfolgt in isolierten Umgebungen (sogenannten «Private Instances»), die ausschliesslich Ihrem Unternehmen zugeordnet sind
• Kein Datenaustausch mit Drittanbietern oder öffentlichen Cloud-Diensten – die gesamte Verarbeitungskette bleibt innerhalb der Schweizer Infrastruktur
• Vollständige Kontrolle über den Lebenszyklus Ihrer Daten, inklusive verschlüsselter Speicherung (AES-256) und automatischer Löschung nach konfigurierbaren Aufbewahrungsfristen
• Regelmässige Penetrationstests und Sicherheitsaudits durch unabhängige Schweizer Prüfstellen

Praktische Umsetzung: Datenschutz im Arbeitsalltag

Datenschutz darf kein theoretisches Konzept bleiben, das nur in Compliance-Dokumenten existiert. Bei OreaAI ist Datenschutz in jeden Aspekt des Produkts integriert («Privacy by Design»):

• Automatische Anonymisierung: Bei der Verarbeitung von E-Mails können persönliche Daten automatisch anonymisiert werden, bevor sie die KI erreichen
• Rollenbasierte Zugriffskontrolle: Jeder Benutzer sieht nur die Daten, die für seine Rolle relevant sind. Kalkulationsdetails sind z.B. für den Support nicht einsehbar.
• Verschlüsselung auf allen Ebenen: Daten sind verschlüsselt – bei der Übertragung (TLS 1.3), bei der Speicherung (AES-256) und im Arbeitsspeicher
• Audit-Trail: Jeder Datenzugriff wird protokolliert und ist für den Datenschutzverantwortlichen einsehbar

EU AI Act Readiness

Neben dem revDSG bereitet sich OreaAI auch auf die Anforderungen des EU AI Act vor, der auch für Schweizer Unternehmen relevant wird, sofern sie Kunden in der EU bedienen oder mit EU-Partnern zusammenarbeiten. Unsere KI-Systeme sind:

• Transparent: Dokumentierte Entscheidungsprozesse, die nachvollziehen lassen, warum die KI eine bestimmte Klassifizierung vorgenommen hat
• Erklärbar: Nachvollziehbare KI-Ergebnisse mit Konfidenzwerten – kein «Black Box»-Verhalten
• Auditierbar: Vollständiges Logging aller KI-Entscheidungen, das externen Prüfern auf Anfrage zugänglich gemacht werden kann
• Risikoklassifiziert: Einordnung gemäss EU AI Act Risikoklassen – die OreaAI-Funktionen fallen in die Kategorie «begrenztes Risiko» und erfüllen alle entsprechenden Transparenzpflichten

Checkliste: Ist Ihre aktuelle KI-Software compliant?

Prüfen Sie anhand der folgenden Fragen, ob Ihre aktuell eingesetzte Software den Anforderungen genügt:

1. Werden Daten ausschliesslich in der Schweiz verarbeitet und gespeichert?
2. Gibt es eine vertragliche Zusicherung, dass Daten nicht für KI-Training verwendet werden?
3. Ist eine vollständige Datenlöschung auf Anfrage möglich?
4. Existiert ein Verarbeitungsverzeichnis gemäss revDSG Art. 12?
5. Werden regelmässige Sicherheitsaudits durchgeführt?

Wenn Sie eine oder mehrere dieser Fragen mit «Nein» oder «Weiss nicht» beantworten, sollten Sie Ihre aktuelle Lösung kritisch hinterfragen. OreaAI beantwortet alle fünf Fragen mit einem klaren «Ja».