KI-Services für Berufsgeheimnisträger entwickeln: ein Leitfaden mit Privatemode AI

Ömer Tekin
Senior Enterprise Account Executive


Ömer Tekin
Senior Enterprise Account Executive
Wer KI-Services für Berufsgeheimnisträger entwickelt, ob als Legal-AI-Startup, als Kanzlei mit eigener Entwicklung oder für Steuerberatung, Wirtschaftsprüfung oder Insolvenzverwaltung, steht überall vor derselben Architekturfrage. Wie lässt sich ein LLM produktiv nutzen, ohne dass der Infrastruktur- oder Modellanbieter selbst auf die Daten zugreifen kann? Das ist kein deutsches Spezialthema. Dieselbe Anforderung taucht in jeder Jurisdiktion mit Mandatsvertraulichkeit, Berufsgeheimnis oder vertraglicher Vertraulichkeitspflicht auf.
Verschlüsselung bei Übertragung und Speicherung ist heute Standard, löst das Problem aber nicht. Während der Verarbeitung liegen Daten bei klassischer Cloud-Infrastruktur im Klartext vor, einsehbar für Infrastruktur- und Modellbetreiber und im Zweifel für staatliche Zugriffsansprüche gegen den Anbieter, unabhängig vom Speicherort der Daten in der EU. Das ist kein theoretisches Risiko: Im Juni 2025 musste ein Microsoft-Vertreter vor dem französischen Senat unter Eid einräumen, nicht garantieren zu können, dass Daten französischer Bürger ohne Zustimmung der französischen Regierung nicht an US-Behörden herausgegeben werden, eine direkte Folge des US CLOUD Act. Eine Standard-Auftragsverarbeitungsvereinbarung ändert daran nichts: Sie regelt die datenschutzrechtliche Verantwortlichkeit, nicht den technischen Zugriff.
Privatemode verarbeitet Anfragen in Confidential-Computing-Umgebungen, sodass Daten während Übertragung, Speicherung und Inferenz durchgehend verschlüsselt bleiben. Eine kleine Software-Komponente läuft bei Ihnen selbst, übernimmt die Verschlüsselung und prüft vor jeder Anfrage automatisch, dass auf der anderen Seite tatsächlich die erwartete, unveränderte Software läuft und keine Fremdsoftware. Der komplette Code der sicherheitsrelevanten Komponenten liegt offen auf GitHub, und die Builds sind reproduzierbar. Das lässt sich unabhängig nachvollziehen, statt nur vertraglich zuzusichern.
Für die Praxis heißt das: kein Vertrauen auf ein Versprechen, sondern ein technisch erzwungener und von außen überprüfbarer Schutz, der auch dann hält, wenn der Anbieter selbst kompromittiert oder zur Herausgabe gezwungen werden würde.
Die API von Privatemode ist OpenAI/Anthropic-kompatibel und lässt sich daher direkt in bestehende Codebases integrieren. Der Proxy läuft als Docker-Container oder natives Binary lokal beim Entwickler oder in der eigenen Infrastruktur und übernimmt Verschlüsselung und Attestierung automatisch im Hintergrund, ohne dass die Anwendung selbst Kryptografie implementieren muss. Verfügbar sind unter anderem Chat-Completions, Embeddings, Tool-Calling und Speech-to-Text. Außerdem haben wir eine wachsende Auswahl an Modellen (wie etwa Kimi K2.6, GLM 5.2 in der Preview oder auch Embedding-Modelle von Qwen), sodass sich damit auch komplexere Produkte bauen lassen, nicht nur ein einfacher Chat.
Auch mit dieser Architektur bleibt eine vertragliche Ebene nötig. In Deutschland etwa verlangen die Berufsordnungen für Rechtsanwälte, Steuerberater, Wirtschaftsprüfer und Insolvenzverwalter (§ 43e BRAO, § 62a StBerG, § 50a WPO) beim Einschalten eines Dienstleisters eine gesonderte, in Textform geschlossene Verschwiegenheitsvereinbarung mit strafrechtlicher Belehrung nach § 203 StGB. Eine Standard-AVV genügt dafür laut Kammern nicht. Mit einem Kunden aus dem Legal-Tech-Bereich haben wir eine solche Zusatzvereinbarung abgeschlossen: Sie erkennt unsere Stellung als eigenständig strafbewehrte "mitwirkende Person" an, schreibt Confidential Computing als vereinbarte technische Maßnahme fest und regelt zusätzlich Zeugnisverweigerungsrecht und Beschlagnahmeschutz. Als mitwirkende Person drohen bei unbefugter Offenbarung bis zu einem Jahr Freiheitsstrafe oder Geldstrafe, bei Handeln gegen Entgelt oder in Bereicherungsabsicht bis zu zwei Jahren (§ 203 Abs. 4 und 6 StGB). Wer die Daten darüber hinaus verwertet, etwa zum Training eines Modells, macht sich zusätzlich nach § 204 StGB strafbar, ebenfalls mit bis zu zwei Jahren Freiheitsstrafe oder Geldstrafe. Das wirkt auch in die andere Richtung: Wer als Anbieter nachweisen kann, dass die eigenen Unterauftragnehmer wie Privatemode technisch keinen Zugriff auf die Klardaten haben, erfüllt die eigene Sorgfaltspflicht bei deren Auswahl leichter und trägt entsprechend selbst ein geringeres Risiko, für eine unbefugte Offenbarung durch die eigene Lieferkette zur Verantwortung gezogen zu werden. Das Muster lässt sich auf andere Branchen mit vergleichbaren Vertraulichkeitspflichten übertragen, das Prinzip bleibt gleich: Technik und Vertrag ergänzen sich, keins ersetzt das andere.
Die letzte Frage betrifft die Jurisdiktion des Anbieters selbst. Unterliegt er einer ausländischen Herausgabepflicht wie dem US CLOUD Act, kann eine vertragliche Zusicherung durch eine gültige behördliche Anordnung überholt werden, es sei denn, die Architektur macht das gegenstandslos, weil es nichts Verwertbares herauszugeben gibt. Unsere Unterauftragnehmer sitzen entsprechend innerhalb der EU und sind ISO 27001-zertifiziert.
Wer diese vier Punkte vor dem Start klärt, kann einen KI-Service für Berufsgeheimnisträger entwickeln, der nicht nachträglich nachgebessert werden muss, wenn der erste größere Kunde nach der Architektur fragt.
How to use LLMs productively without the provider accessing the data – confidential computing and the confidentiality agreement under § 203 StGB that technology can't replace.
Apple Private Cloud Compute now runs on third-party hardware. As confidential AI becomes standard for private inference on widespread data-center hardware, the real question is about transparent verification.
