Immer mehr Unternehmen greifen zu kostengünstigen Tools, um rechtliche Texte zu generieren. In Automated Boilerplate zeigen Nenadic & Rodriguez erstmals empirisch, wie häufig solche Generatoren bei Schweizer Websites eingesetzt werden und wie stark sie die Qualität von Datenschutzerklärungen beeinflussen. Ihr Ergebnis: Wo Generatoren verwendet werden, steigt die Compliance um bis zu 15 Prozentpunkte. Für KMU, Behörden und Regulatoren wirft das wichtige Fragen auf: von der Qualitätssicherung bis zur Rolle gesetzlicher Anbieter. Dieser Beitrag beleuchtet das Paper, zieht Schlussfolgerungen und gibt praktische Empfehlungen.
Einleitung
Das Forschungsinteresse von Nenadic und Rodriguez liegt in der zunehmenden Regulierung im digitalen Raum und der Herausforderung, dass viele kleinere Unternehmen nicht über die Ressourcen verfügen, um komplexe rechtliche Texte juristisch korrekt zu formulieren. Stattdessen greifen sie zu automatisierten Vertragsgeneratoren, sogenannten Generators, die je nach Eingaben vorgefertigte Klauseln zusammensetzen.
Rechtlicher und regulatorischer Kontext
In der Schweiz wurde das Datenschutzrecht im Jahr 2023 umfassend revidiert und das neue Bundesgesetz über den Datenschutz (DSG) in Kraft gesetzt, das stärker an die Datenschutzgrundverordnung (DSGVO) der Europäischen Union angeglichen wurde.
Diese Revision stellt eine natürliche „Experimentierphase“ dar, um zu untersuchen, wie sich gesetzliche Änderungen auf die Praxis der Datenschutzerklärungen auswirken – insbesondere im Hinblick auf automatisierte Generatoren.
Forschungsfragen und Untersuchungsdesign
Das Paper verfolgt dabei drei zentrale Fragestellungen: Wie verbreitet sind Generatoren bei Schweizer Websites? Verbessern sie tatsächlich die Qualität, sprich die Compliance, der Datenschutzerklärungen? Und welche methodischen sowie theoretischen Implikationen ergeben sich daraus – beispielsweise im Hinblick auf den sogenannten Brussels Effect oder auf den Einsatz mehrsprachiger Large Language Models (LLMs)?
Gemäss den Autoren handelt es sich bei Generatoren nicht notwendigerweise um generative KI im engeren Sinne, sondern um Tools, die Nutzer durch Fragebögen oder Auswahlmasken führen und aus vordefinierten Klausel-Bausteinen eine nahezu fertige Datenschutzerklärung generieren. Der Gedanke ähnelt einem modularen Baukastensystem: Abhängig von den Eingaben werden passende Textmodule zusammengestellt.
Der rechtliche Rahmen für die Untersuchung ist das 2023 revidierte Schweizer Datenschutzgesetz, das unter anderem Transparenzpflichten, Auskunftsrechte, Meldepflichten bei Datenschutzverletzungen sowie Regelungen zur internationalen Datenübermittlung harmonisiert. Die Analyse des Papers stützt sich auf einen multilingual annotierten Benchmark-Datensatz, der Texte in Deutsch, Englisch, Französisch und Italienisch umfasst. Dieser enthält 120 manuell annotierte Datenschutzrichtlinien, anhand derer die Autoren eine auf GPT-5 basierende Methode zur automatisierten Prüfung von Datenschutztexten hinsichtlich ihrer Konformität entwickelt und validiert haben.
Ergebnisse und empirische Befunde
Die Studie zeigt eine statistische Assoziation zwischen der Nutzung eines Generators und einer höheren Compliance, ohne jedoch eine Kausalität nachweisen zu wollen. Trotzdem sind die beobachteten Effekte erheblich: Etwa 18 Prozent der untersuchten Schweizer Websites erwähnen explizit die Verwendung eines Generators. Bei diesen Seiten liegt die gemessene Compliance um bis zu 15 Prozentpunkte höher als im Durchschnitt der Seiten ohne Generatorennutzung.
Zudem zeigt sich, dass die Revision des Datenschutzgesetzes selbst zu einem allgemeinen Anstieg der Compliance geführt hat, was ein Hinweis darauf ist, dass gesetzgeberische Impulse durchaus Wirkung entfalten können.
Der „Brussels Effect“ und transnationale Implikationen
Ein weiterer wesentlicher Befund betrifft den sogenannten Brussels Effect, das Phänomen, dass regulatorische Standards der EU global übernommen werden. Die Annäherung des Schweizer Datenschutzgesetzes an die DSGVO zeigt, dass sich auch in der Schweiz EU-Normen durchsetzen und messbare Compliance-Gewinne zur Folge haben. Generatorenanbieter, die sich an EU-Vorgaben orientieren, können so übernationale Standards etablieren.
Methodische Innovation und technologische Perspektiven
Die methodische Innovation des Papers liegt unter anderem in der Validierung einer GPT-5-basierten Methode zur automatischen Prüfung von Datenschutzerklärungen. Diese zeigt das Potenzial für skalierbare, automatisierte Qualitätssicherung im Bereich rechtlicher Dokumente. Daraus ergibt sich ein Zukunftsszenario, in dem Vertragsgeneratoren nicht nur Texte erzeugen, sondern diese in Echtzeit auf ihre Rechtskonformität prüfen – ein Ansatz, der sowohl Effizienz als auch juristische Sicherheit erhöhen kann.
Risiken und Grenzen automatisierter Generatoren
Dem stehen jedoch auch Risiken gegenüber. Eine übermässige Standardisierung durch Generatoren könnte dazu führen, dass individuelle rechtliche Besonderheiten unberücksichtigt bleiben. Ferner besteht die Gefahr, dass durch Automatisierung die juristische Verantwortung verwischt wird, insbesondere bei fehlerhaften oder rechtswidrigen Klauseln.
Auch sind Sicherheitsaspekte zu berücksichtigen: KI-gestützte Tools können sogenannte „Halluzinationen“ erzeugen oder unangemessene Inhalte generieren, insbesondere bei rechtlich komplexen Fragestellungen. Die Autoren weisen zudem darauf hin, dass die Qualität der erzeugten Texte stark von der Sorgfalt und juristischen Qualität der zugrunde liegenden Klauselbibliotheken abhängt.
Handlungsempfehlungen für Praxis und Regulierung
Für die Praxis ergeben sich daraus konkrete Handlungsempfehlungen. Unternehmen, insbesondere KMU, sollten Generatoren nur dann einsetzen, wenn diese transparent darlegen, welche Klauseln verwendet werden, und eine juristische Prüfung ermöglichen. Die Nutzung sollte durch automatisierte Compliance-Prüfungen flankiert werden, beispielsweise durch LLM-basierte Tools.
Zudem sollte dokumentiert werden, welcher Generator mit welchen Parametern verwendet wurde und wer den Endtext juristisch abgenommen hat. Die Aktualität der Klauselbibliotheken ist ein weiterer kritischer Erfolgsfaktor.
Für Anbieter von Generatoren und LegalTech-Unternehmen empfiehlt sich, maximale Transparenz hinsichtlich der verwendeten Klauseln zu gewährleisten und Prüfal-gorithmen zu integrieren, die in Echtzeit Rückmeldung zur Rechtskonformität geben. Insbesondere in der Schweiz sollte der Fokus auf mehrsprachiger Rechtskonformität liegen.
Regulatorische Kooperationen, etwa durch staatlich unterstützte Generatoren, könnten die Mindestqualität von Datenschutzerklärungen sicherstellen. Auch der Gesetzgeber ist gefordert: Staatlich zertifizierte Generatoren könnten als Standardlösungen etabliert werden. Aufsichtsbehörden sollten stichprobenartige Prüfungen durchführen und regulatorisch klarstellen, in welchem Umfang Nutzer oder Anbieter der Generatoren im Haftungsfall verantwortlich sind.
Schlussfolgerung
Automatisierte Vertragsgeneratoren sind in der Schweiz nicht nur verbreitet, sondern gehen auch mit einer signifikant höheren Qualität von Datenschutzerklärungen einher. Die Kombination mit KI-basierten Prüfverfahren verleiht der Studie zusätzliche methodische Relevanz.
Für die Praxis bedeutet dies, dass Vertragsgeneratoren gezielt und verantwortungsvoll eingesetzt werden können – nicht als Ersatz für juristische Beratung, sondern als Hilfsmittel zur Effizienz- und Qualitätssteigerung. Entscheidend ist, dass die Automatisierung nicht auf Kosten von Transparenz und juristischer Präzision erfolgt.
Fazit: Die Nutzung automatisierter Vertragsgeneratoren kann zur Standardisierung und Verbesserung der Datenschutzerklärungen beitragen. Dennoch entbindet sie Unternehmen nicht von ihrer Verantwortung, die datenschutzrechtlichen Grundsätze und Pflichten umfassend und nachvollziehbar umzusetzen. Das Führen eines Bearbeitungsverzeichnisses, die Durchführung von Risikoanalysen und die kontinuierliche Anpassung an rechtliche Entwicklungen bleiben unerlässlich – unabhängig davon, wie intelligent der verwendete Generator auch sein mag.
Quellen