Vertrauen ist die knappste Ressource in regulierten Branchen. Es dauert Jahre, es aufzubauen, und Sekunden, es zu zerstören. Anwälte, Banker, Compliance-Beauftragte und medizinische Fachkräfte haben ihre Karrieren damit verbracht, Urteilsvermögen zu entwickeln, Vertraulichkeit zu wahren und die Interessen ihrer Mandanten und Kunden zu schützen. Sie zu bitten, einem KI-System zu vertrauen, ist eine bedeutsame Forderung.
Die meisten KI-Unternehmen nähern sich diesem Problem mit Marketing. «Enterprise-Grade Security.» «SOC 2 zertifiziert.» «Vertrauenswürdig bei führenden Firmen.» Das sind Worte auf einer Website. Das ist kein Vertrauen.
Vertrauen in regulierte KI wird durch Architektur aufgebaut. Durch Entscheidungen auf der Infrastrukturebene, die Vertrauen verifizierbar machen statt bloss behauptet. Dieser Artikel erklärt die konkreten Entscheidungen, die wir bei Mont Virtua getroffen haben, und warum.
Prinzip 1: Jeder Output muss eine Quelle haben
Das ist das grundlegende Prinzip. Keine Ausnahmen.
Wenn Enclava sagt «Artikel 271 OR verlangt, dass die Kündigung eines Mietvertrags mit dem vom Kanton genehmigten Formular erfolgt», sieht der Nutzer einen direkten Link zu Artikel 271 OR auf Fedlex, die aktuelle Version, die Änderungshistorie und die relevante kantonale Umsetzung. Die Aussage lässt sich in dreissig Sekunden verifizieren.
Wenn das System sagt «Das Bundesgericht hat dies in BGE 142 III 91 behandelt», kann der Nutzer zum tatsächlichen Entscheid durchklicken, die relevante Passage lesen und das Zitat bestätigen.
Das ist keine Funktion, die wir nachträglich zum System hinzugefügt haben. Es ist die Architektur. Enclava nutzt Retrieval-Augmented Generation, was bedeutet, dass jede Antwort aus spezifisch abgerufenen Dokumenten generiert wird. Das Zitat ist kein Nachtrag. Es ist der Mechanismus, durch den die Antwort produziert wurde.
Warum das wichtig ist: In regulierter Arbeit hat eine nicht belegte Behauptung keinen Wert. Ein Anwalt kann einem Mandanten nicht sagen «Die KI sagt das». Ein Compliance-Beauftragter kann der FINMA nicht berichten «unser System hat angezeigt». Jede professionelle Aussage muss auf eine autoritative Quelle zurückführbar sein. Unser System ist so konzipiert, dass diese Rückverfolgung immer verfügbar ist.
Was wir bewusst vermeiden: Antworten aus dem parametrischen Wissen des Modells zu generieren. Wenn die Information nicht in unserer verifizierten Datenbank ist, sagt das System, dass es keine relevanten Informationen hat, statt eine plausibel klingende Antwort aus Trainingsdaten zu generieren. Wir bevorzugen eine Lücke in der Abdeckung gegenüber einer fabrizierten Antwort.
Prinzip 2: Die Daten müssen aus autoritativen Quellen stammen
Unsere Rechtsdatenbank wird ausschliesslich aus offiziellen Behördenquellen aufgebaut:
- Bundesgesetzgebung von Fedlex (fedlex.data.admin.ch)
- Kantonale Gesetzgebung aus offiziellen kantonalen Rechtsdatenbanken
- Bundesgerichtsentscheide vom BGer-Portal
- Bundesverwaltungsgerichtsentscheide vom BVGer-Portal
- FINMA-Rundschreiben und Leitfäden aus den offiziellen FINMA-Publikationen
- SHAB-Einträge aus dem Schweizerischen Handelsamtsblatt
- Curia Vista Parlamentsdaten der Bundesversammlung
Wir scrapen keine Rechtsblogs. Wir erfassen keine Rechtskommentare (sofern nicht explizit lizenziert). Wir verwenden keine Crowdsource-Rechtsinformationen. Wir verlassen uns nicht auf die Trainingsdaten des Modells für rechtliche Inhalte.
Jede Datenquelle hat eine dokumentierte Herkunftskette: woher die Daten stammen, wie sie erfasst werden, wie sie geparst werden und wie sie gegen die Quelle verifiziert werden. Diese Dokumentation ist für Mandanten im Rahmen der Due Diligence verfügbar.
Warum das wichtig ist: Die Qualität des Outputs eines KI-Systems wird durch die Qualität seiner Eingabedaten begrenzt. Ein System, das auf im Internet gescrapten Rechtsinhalten trainiert wurde, wird Fehler, veraltete Bestimmungen und inoffizielle Interpretationen enthalten. Ein System, das auf offiziellen Behördenquellen aufgebaut ist, hat dieselbe Autorität wie die Quellen selbst.
Der Verifizierungsschritt: Nach Erfassung und Parsing führen wir Hash-Vergleiche gegen die Quelle durch, um zu bestätigen, dass kein Inhalt während der Verarbeitung verändert wurde. Wir verfolgen Versionsnummern und Gültigkeitsdaten, um sicherzustellen, dass Nutzer immer die aktuelle Version einer Bestimmung sehen. Wenn eine Bestimmung geändert wird, spiegelt das System die Änderung wider und behält den Zugang zur früheren Version mit entsprechender Datierung.
Prinzip 3: Schweizer Infrastruktur, Schweizer Kontrolle
Enclava läuft auf Schweizer Infrastruktur. Nicht «Schweizer Rechenzentrum, betrieben von einem US-Unternehmen.» Schweizer Infrastruktur, betrieben von einem Schweizer Unternehmen.
Die Details:
- Unternehmenseinheit: Mont Virtua GmbH, eingetragen in Zug, Schweiz. Kein US-Mutterunternehmen, keine Tochtergesellschaft, kein kontrollierender Aktionär.
- Recheninfrastruktur: Schweizer GPU-Cloud (Exoscale, mit Rechenzentren in Genf und Zürich). Keine AWS-, Azure- oder GCP-Abhängigkeiten.
- KI-Modelle: Open-Source-Modelle (Llama, Mistral, Qwen), deployed auf Schweizer Infrastruktur. Keine API-Aufrufe an US-Modellanbieter. Keine Daten verlassen die Schweiz für Inferenz.
- Datenbank: PostgreSQL mit pgvector, gehostet in der Schweiz. Alle Kundendaten, Abfrageprotokolle und Systemdaten befinden sich auf Schweizer Servern.
Diese Konfiguration bietet echte Datensouveränität. Keine US-CLOUD-Act-Exposition. Kein Zugang durch ausländische Regierungen. Keine Datenübermittlungen ausserhalb der Schweiz.
Wir veröffentlichen unsere Infrastruktur-Architektur, weil Transparenz Vertrauen effektiver aufbaut als Behauptungen. Mandanten und ihre Compliance-Teams können unsere Hosting-Konfiguration, unsere Unternehmensstruktur und unser Modell-Deployment unabhängig verifizieren.
Prinzip 4: Open-Source-Modelle, keine Black Boxes
Wir verwenden ausschliesslich Open-Source-KI-Modelle. Das ist eine bewusste Entscheidung mit mehreren Implikationen.
Prüfbarkeit. Wenn ein Regulator, Mandant oder Auditor fragt «Wie trifft Ihre KI Entscheidungen?», können wir die Modellarchitektur, die Modellgewichte und die Inferenz-Pipeline zeigen. Bei proprietären Modellen (GPT-4, Claude, Gemini) lautet die Antwort «Wir wissen es nicht, und der Anbieter auch nicht.» Für Hochrisiko-KI-Anwendungen unter dem EU AI Act ist dieser Unterschied der Unterschied zwischen Compliance und Nicht-Compliance.
Kein Vendor Lock-in. Wenn ein bestimmtes Open-Source-Modell eingestellt wird, wechseln wir zu einem anderen. Unser Wert liegt in der Datenschicht, der Retrieval-Infrastruktur und der Plattform, nicht in einem bestimmten Modell. Das schützt uns und unsere Mandanten vor Modellanbieter-Risiken.
Keine Datenweitergabe an Modellanbieter. Wenn Sie ein proprietäres Modell über eine API nutzen, gehen Ihre Abfragen an die Server des Modellanbieters. Auch mit Enterprise-Vereinbarungen, die Training auf Ihren Daten verbieten, verarbeitet der Anbieter Ihre Abfragen auf seiner Infrastruktur. Mit lokal deployten Open-Source-Modellen verlassen keine Daten unsere Infrastruktur. Das Modell läuft auf unseren Servern, verarbeitet Abfragen auf unseren Servern und liefert Ergebnisse von unseren Servern.
Kostenvorhersehbarkeit. Proprietäre Modell-APIs berechnen pro Token. Bei steigender Nutzung steigen die Kosten linear. Open-Source-Modelle, deployed auf eigener oder gemieteter Infrastruktur, haben fixe Kosten unabhängig von der Nutzung. Das ermöglicht uns, vorhersagbare Preise für Mandanten anzubieten und rechenintensive Prozesse (wie kontinuierliche Re-Indexierung und Anreicherung) durchzuführen, ohne sich um Kosten pro Abfrage zu sorgen.
Prinzip 5: Vollständige Audit-Trails
Jede Interaktion mit Enclava wird protokolliert:
- Welche Abfrage eingereicht wurde
- Welche Dokumente abgerufen wurden
- Welche Ranking-Scores sie erhielten
- Welcher Kontext dem Modell bereitgestellt wurde
- Welche Antwort generiert wurde
- Welche Quellenangaben enthalten waren
- Wann die Interaktion stattfand
- Welches Benutzerkonto beteiligt war
Dieser Audit-Trail dient mehreren Zwecken:
Regulatorische Compliance. Wenn die FINMA, eine kantonale Datenschutzbehörde oder ein EU-AI-Act-Aufseher fragt, wie ein bestimmter Output produziert wurde, kann die Institution die gesamte Kette von der Abfrage bis zur Antwort rekonstruieren.
Professionelle Verantwortlichkeit. Wenn ein Anwalt Informationen aus Enclava in einem Mandantenmemo zitiert und der Mandant oder die Gegenpartei das Zitat anficht, kann der Anwalt genau nachweisen, was das System abgerufen hat, welche Quellen verwendet wurden und was der Output des Systems war. Das professionelle Urteil bei der Nutzung des Outputs ist dokumentiert.
Systemverbesserung. Audit-Trails ermöglichen es uns, Retrieval-Fehler, Ranking-Fehler und Nutzungsmuster zu identifizieren, die darauf hindeuten, dass das System die Erwartungen nicht erfüllt. Kontinuierliche Verbesserung erfordert kontinuierliche Messung.
Mandantenvertrauen. Das Wissen, dass jede Interaktion protokolliert und prüfbar ist, gibt Compliance-Teams die Sicherheit, die sie brauchen, um das Tool für regulierte Arbeit zu genehmigen. Der häufige Einwand «Wir können nicht verifizieren, was die KI getan hat» wird auf der Architekturebene adressiert.
Prinzip 6: Menschliche Aufsicht als Designprinzip
Enclava ist als Werkzeug für Fachleute konzipiert, nicht als deren Ersatz. Dies spiegelt sich in der Produktarchitektur wider:
- Outputs werden mit Quellen zur Verifizierung präsentiert, nicht als autoritative Aussagen
- Die Oberfläche fördert Überprüfung und Gegenkontrolle, nicht blindes Akzeptieren
- Administrative Kontrollen ermöglichen es Firmen, einzuschränken, welche Abfragetypen verarbeitet werden können
- Keine automatisierten Aktionen: Das System ruft ab, synthetisiert und präsentiert. Der Fachmann entscheidet
Das ist keine Einschränkung. Es ist ein Feature. In regulierten Branchen ist der Mensch in der Schlaufe nicht nur Best Practice. Es ist eine rechtliche Anforderung unter dem EU AI Act für Hochrisikosysteme und eine Erwartung im Aufsichtsrahmen der FINMA.
Wir glauben, dass die effektivsten KI-Systeme diejenigen sind, die Fachleute bei ihrer Arbeit besser machen, nicht diejenigen, die versuchen, die Arbeit für sie zu erledigen. Das Urteilsvermögen, die Mandantenbeziehung, die ethischen Verpflichtungen und das strategische Denken verbleiben beim Fachmann. Recherche, Retrieval und Synthese werden schneller und umfassender.
Warum wir das veröffentlichen
Die meisten KI-Unternehmen schützen ihre Architektur als proprietäre Information. Wir veröffentlichen unsere, weil in regulierten Branchen Undurchsichtigkeit der Feind des Vertrauens ist.
Wenn unsere Mandanten und deren Compliance-Teams nicht verifizieren können, wie unser System funktioniert, können sie ihm nicht vertrauen. Und sie sollten ihm nicht vertrauen. Vertrauen, das auf einem Verkaufsgespräch basiert, ist kein Vertrauen. Vertrauen, das auf verifizierbarer Architektur basiert, ist es.
Das ist der Ansatz, den wir bei Mont Virtua gewählt haben. Verifizierbare Quellen, souveräne Infrastruktur, Open-Source-Modelle, vollständige Audit-Trails und menschliche Aufsicht als Designprinzip. Nicht weil diese Entscheidungen einfach sind, sondern weil sie die richtigen für die Märkte sind, die wir bedienen.
Um diesen Ansatz in der Praxis zu sehen, besuchen Sie enclava.ch.