Null RAG auf Kunden: unsere Wahl der Souveränität für KI im Treuhandbüro
Warum FidUp kein Kundendokument an OpenAI oder US-Modelle sendet. Architektur, Grenzen und was das für ein Schweizer Treuhandbüro konkret ändert.
GA
Greg Annas
Mitgründer BeGenerous Digital
In der Konzeption von FidUp wurde eine Entscheidung früh getroffen und nie verändert: Keine Kundendaten überqueren den Atlantik. Keine Sendung an OpenAI, kein Aufruf an Google Gemini, kein auf US-Servern indexiertes Steuerdokument. Diese Seite erklärt warum, wie und was das für ein Schweizer Treuhandbüro konkret ändert.
TL;DR — Das Prinzip
Keine Sendung an OpenAI / Gemini für Kundendaten (Steuerbelege, Bankdokumente, Identitäten)
Generative KI nur via Claude API EU (Anthropic, Frankfurt-Hosting) mit DPA-Vereinbarung
Embeddings via Voyage AI (EU-kompatibler Anbieter, Modell voyage-finance-2)
RAG nur auf öffentlichem Korpus (Regulierung, ESTV, SRO) — nie auf Kundendokumenten
Alle KI-Inferenzen werden auditiert und pro Tenant nachverfolgt
1. Der Kontext: warum diese Frage für ein Treuhandbüro zählt
Ein Treuhandbüro verarbeitet täglich:
Bilanzen und KMU-Konten (oft strategisch vertraulich)
Modell-Lernen: Standardmässig trainieren mehrere Anbieter ihre Modelle auf gesendeten Daten (ausser explizitem Opt-out)
DSG / DSGVO: Der Transfer in die USA ohne ausreichende Garantien kann dem Schweizer Rahmen widersprechen
Für ein Treuhandbüro, das das Berufsgeheimnis (Art. 321 StGB) und DSG-Compliance garantieren muss, sind diese Risiken nicht theoretisch.
2. Die Falle des "RAG auf alles"
Das RAG-Pattern (Retrieval Augmented Generation) ist Standard für SaaS geworden, die KI zu ihrem Produkt hinzufügen wollen. Die Idee: alle Dokumente eines Kunden in einer Vektordatenbank indexieren, dann mit diesen Dokumenten im Kontext einen LLM abfragen.
Das Problem: Damit das RAG funktioniert, muss der Dokumenteninhalt an den LLM gesendet werden. Falls der LLM in den USA gehostet ist (OpenAI, Anthropic US, Google), exponiert jede Anfrage ein Dokumentfragment einem dem Cloud Act unterliegenden Akteur.
Die meisten B2B-SaaS umgehen das mit "wir nutzen OpenAI, aber haben Training-Opt-out". Technisch wahr, deckt aber die zwei anderen Risiken nicht ab (Cloud Act + DSG-Transfer).
3. Unsere Architektur: was wir tun, was wir nicht tun
Was wir tun
Dokumentenspeicherung: Infomaniak Public Cloud Genf (S3-kompatibel, souveränes Schweizer Hosting)
Strukturierte DB: Supabase Postgres eu-central-2 Zürich (AWS Zürich, Schweizer Jurisdiktion)
Generative KI: Claude API via EU-Endpunkt (Anthropic Frankfurt), DPA unterzeichnet
Embeddings: Voyage AI voyage-finance-2, EU-kompatibler Anbieter
Was wir nicht tun
Kein Aufruf OpenAI / GPT-4 / GPT-5 auf Kundendokumenten
Keine Sendung an Google Gemini, auch nicht via Workspace
Keine Sendung an Microsoft Copilot oder Azure OpenAI (Microsoft Cloud Jurisdiktion)
Keine Dateienspeicherung Kunde auf Supabase Storage (Cloud Act US)
Kein RAG auf Tenant-eigenen Dokumenten (ausser explizites Opt-in mit dokumentiertem Kundenkonsens)
Was das in der Praxis bedeutet
Wenn der GwG-Verantwortliche Ihres Treuhandbüros eine Frage stellt vom Typ "fasse mir die FATF-Entwicklungen 2026 für Treuhandbüros zusammen":
Der Claude-LLM empfängt die Frage + einen öffentlichen Korpus (GwG-Text, öffentliche FATF-Empfehlungen, FINMA-Jurisprudenz)
Kein Dokument Ihres Tenants wird gesendet
Die Antwort wird generiert, zurückgegeben und nicht über die Verarbeitungsdauer hinaus bei Anthropic aufbewahrt (Standard-DPA)
Wenn ein Mitarbeiter einen Morgen-Brief KI generiert:
Der Brief nutzt Metadaten aktiver Aufträge (Daten, Fristen, Systemalerts)
Kein Steuerbeleginhalt wird an den LLM gesendet
Die Brief-Erstellung erfolgt aus Vorlage + strukturierten Daten
4. Die Grenzen unserer Wahl (Transparenz)
Diese Wahl hat einen Preis. Es ist ehrlich anzuerkennen:
Grenze 1 — Kein konversationeller RAG auf "all Ihren Dokumenten"
Viele SaaS bieten "frage die KI alles über deine Kundendossiers". Wir nicht. Eine Frage zum Dossier des Kunden X verlangt vom GwG-Verantwortlichen, das Dossier zu öffnen, betreffende Belege auszuwählen und sie dem Copilot mit explizitem Kontext zu stellen. Die KI sieht, was der Nutzer ihr zeigt, nie mehr.
Grenze 2 — Keine Auto-Vervollständigung auf Kundendokumenten
Kein "GPT füllt automatisch die MWST-Erklärung aus all deinen Dokumenten". Die Auto-Vervollständigung nutzt strukturierte Daten (Steuerrubriken, Beträge in DB), keinen LLM, der im Hintergrund liest.
Grenze 3 — Infrastrukturkosten
Dateien bei Infomaniak Genf zu speichern, kostet mehr als auf Standard-S3 US. Nicht dramatisch, aber eine bewusst angenommene Budget-Entscheidung.
Grenze 4 — Kein Cloud-OCR der grossen Marken
Für OCR nutzen wir pdfkit + Claude PDF nativ (PDF-Parse ohne Bildkonvertierung). Was wir nicht tun: Azure Document Intelligence, Google Document AI, AWS Textract. Weniger leistungsstark bei exotischen Fällen, aber by design gesichert.
Kohärenz ist alles
Viele Tools verkünden "Schweizer Hosting" auf ihrer Startseite und senden die Dokumente in der Analyse-Pipeline an OpenAI. Detaillierte technische Bedingungen (DPA + Sub-Auftragnehmer) zu lesen, ist essenziell, um die Kohärenz zu prüfen.
5. Warum Claude und nicht Mistral oder ein Schweizer Modell?
Legitime Frage. Unsere Claude-Wahl vs. Alternativen:
Mistral (französisch)
Pro: französische Jurisdiktion, EU
Contra: 2026 schwächere Leistung bei juristischer Argumentation und komplexen Finanztabellen
Verdikt: 2027 zu überdenken, falls Mistral Large bei diesen Use Cases an Claude aufschliesst
Open-Source-Modelle lokal (Llama, Qwen, DeepSeek)
Pro: 100% lokal, keine Daten gehen raus
Contra: deutlich schwächere Qualität für Treuhand-Aufgaben, schwere GPU-Infrastrukturkosten
Verdikt: 2026 nicht tragfähig für erforderliche Qualität
Claude (Anthropic, EU-Endpunkt)
Pro: bestes verfügbares Modell für juristische Argumentation und Finanzanalyse
Pro: EU-Endpunkt verfügbar mit DPA, Training-Opt-out standardmässig, Audit-Log
Contra: Anthropic ist eine US-Gesellschaft, also kann Cloud Act technisch auch via EU-Endpunkt angewendet werden
Verdikt: bester praktischer Kompromiss 2026, neu zu bewerten falls Mistral Large 3 oder ein ernsthaftes europäisches Modell entsteht
Stack-Potenzial 2027
Falls ein seriöser europäischer Akteur (Mistral, Aleph Alpha oder ein Schweizer Konsortium) Claude-Qualität erreicht, kann der Stack migriert werden. Die Architektur ist so konzipiert, diesen Swap ohne komplettes Refactoring zu ermöglichen.
6. Was das für Ihr Treuhandbüro ändert
Rechtlich
DSG: kein Transfer in die USA, kein US-DSFA zu dokumentieren
Berufsgeheimnis: keine Exposition der Kundendokumente einem dem Cloud Act unterliegenden Akteur
SRO-Audit: KI-Datensouveränität ist ein kontrollierbarer Punkt
Operativ
Sie behalten die Kontrolle darüber, was die KI sieht
KI-Workflows sind vorhersehbar, nicht magisch
Die Leistungen entsprechen einem US-Produkt für 95% der Treuhand-Use-Cases
Kommerziell
Sie können "Ja, DSG-konform und souverän" Ihren Kunden antworten, die diese Frage stellen
Für Ihre eigenen Kunden in kritischer Compliance (Banken, Versicherungen, Medizin-Sozial) kann dieser Punkt den Unterschied machen
Souveräne KI-Architektur von FidUp
Alle technischen Details unserer Architektur (Sub-Auftragnehmer, DPA, Jurisdiktionen) sind öffentlich in unseren Sicherheits-Engagements. Sie können sie Ihrem GwG-Verantwortlichen oder Ihrem DSB zur internen Validierung liefern.
Generative KI ist ein mächtiges Werkzeug. Aber "alles an OpenAI senden" ist nicht die einzige mögliche Architektur. Für ein Schweizer Treuhandbüro 2026 sind präzise technische Entscheidungen zur Souveränität kein Luxus — sie sind eine Bedingung der rechtlichen Tragfähigkeit.