fairlane.systems

Umsetzung · Mandantenportal & RAG

Mandantenportal mit KI-Assistent: sicherer Self-Service-Chat auf eigenem Treuhand-Wissen (RAG)

Mandantenportal mit RAG-Chatbot auf eigenem Kanzleiwissen: Zugriffskontrolle, Mandantentrennung, revDSG, Halluzinationsbegrenzung und Eskalation an den Menschen.

Recherche & Faktencheck: · Stand: 2026-06

Was ist ein Mandantenportal mit KI-Assistent?

Ein Mandantenportal ist ein abgesicherter, eingeloggter Bereich, in dem Ihre Mandantinnen und Mandanten Dokumente austauschen, Status abrufen und Fragen stellen. Der KI-Assistent ist ein Chat-Element in diesem Portal, das Fragen in natürlicher Sprache beantwortet – aber ausschliesslich auf Basis Ihres eigenen, freigegebenen Kanzleiwissens.

Technisch beruht der Assistent auf Retrieval-Augmented Generation (RAG). Statt das Sprachmodell frei antworten zu lassen, wird zu jeder Frage zuerst relevantes Material aus einer durchsuchbaren Wissensbasis gesucht (Merkblätter, FAQ, Fristenkalender, AGB, freigegebene Mandatsunterlagen). Erst diese gefundenen Textstellen werden dem Modell als Kontext mitgegeben, zusammen mit der Anweisung, nur aus diesen Quellen zu antworten und die Fundstelle zu nennen.

Der Unterschied zu einem generischen Chatbot ist entscheidend: Der Assistent stützt Antworten primär auf die abgerufenen Textstellen Ihrer Wissensbasis, statt frei aus seinem Trainingswissen zu antworten. Das macht Antworten prüfbar und reduziert Falschaussagen erheblich – schliesst sie aber nicht vollständig aus. Die Reduktion ist substanziell, aber domänen- und qualitätsabhängig: Gerade im rechtlichen und steuerlichen Kontext bleibt ein nicht vernachlässigbares Restrisiko für unbelegte Aussagen bestehen.

Wichtig: Ein solcher Assistent ersetzt keine Beratung. Er beantwortet wiederkehrende, klar dokumentierte Fragen im Self-Service und übergibt alles Unklare an einen Menschen.

Warum das für Treuhandkanzleien relevant ist

Treuhandkanzleien beantworten täglich dieselben Fragen: «Welche Unterlagen brauchen Sie für die Steuererklärung?», «Bis wann muss die MWST-Abrechnung eingereicht sein?», «Wie lade ich Belege hoch?». Diese Fragen binden qualifizierte Mitarbeitende, obwohl die Antworten längst dokumentiert sind. Ein Self-Service-Assistent fängt einen Teil dieses Volumens ab – rund um die Uhr, in DE und EN.

Der eigentliche Hebel ist aber nicht nur Zeitersparnis, sondern Konsistenz und Vertraulichkeit. Antworten stammen aus einer einzigen, gepflegten Quelle statt aus dem Gedächtnis einzelner Personen. Und weil die Wissensbasis Mandantendaten enthalten kann, gelten erhöhte Anforderungen: Mandantentrennung, Zugriffskontrolle und Datenschutz nach revDSG sind hier nicht optional, sondern Grundvoraussetzung.

In der Schweiz gilt seit dem 1. September 2023 das totalrevidierte Datenschutzgesetz (revDSG). Es verlangt unter anderem Transparenz über die Datenbearbeitung, Privacy by Design und Privacy by Default sowie eine klare Zweckbindung. Ein Mandantenportal mit KI muss diese Grundsätze von Anfang an in der Architektur abbilden – nicht nachträglich aufsetzen.

Für Kanzleien, die mit Anbieterunabhängigkeit und Datenstandort Schweiz arbeiten möchten, ist die freie Wahl der Modell- und Hosting-Komponenten ein zusätzliches Argument: Datenstandort Schweiz oder in einem Staat mit angemessenem Datenschutzniveau (EU/EWR gemäss Angemessenheitsliste in Anhang 1 DSV), wobei für EU/EWR keine weiteren Garantien erforderlich sind; für Anbieter in nicht gelisteten Drittstaaten sind geeignete Garantien gemäss Art. 16 Abs. 2 revDSG nötig (z.B. Standardvertragsklauseln). So binden Sie sich nicht an einen einzigen Cloud-Anbieter.

Wer EU-Mandanten betreut oder dessen Portal in der EU zugänglich ist, sollte zudem prüfen, ob der EU AI Act extraterritorial greift. Zentrale Hochrisiko-KI-Anforderungen (insb. menschliche Aufsicht, technische Dokumentation, Konformitätsbewertung) gelten ab dem 2. August 2026. Dies ist keine abschliessende Rechtsprüfung – eine Fachperson ist beizuziehen.

Wie es technisch funktioniert: Architektur und Sicherheit

Die Pipeline hat fünf Schichten. Erstens die Aufbereitung: Dokumente werden in sinnvolle Abschnitte (Chunks) zerlegt, mit Metadaten versehen (Mandant, Sichtbarkeit, Sprache, Quelle, Datum) und in Vektoren umgewandelt (Embeddings). Diese landen in einer durchsuchbaren Wissensbasis (Vektordatenbank).

Zweitens die Suche: Stellt eine eingeloggte Person eine Frage, wird sie ebenfalls in einen Vektor übersetzt und die ähnlichsten Textstellen werden gesucht – aber gefiltert auf das, was diese Person sehen darf. Drittens die Antwort: Nur die gefundenen Stellen plus eine strikte Systemanweisung («Antworte ausschliesslich aus den Quellen; wenn die Information fehlt, sage das und biete Eskalation an; nenne die Fundstelle») gehen an das Sprachmodell.

Die Mandantentrennung ist der heikelste Punkt. Der Quellenfilter darf nie nur im Prompt stehen, sondern muss in der Datenebene erzwungen werden: Jede Suchanfrage trägt die Identität und Berechtigungen der eingeloggten Person, und die Wissensbasis liefert nur passende Treffer zurück. So kann der Assistent strukturell keine Dokumente eines fremden Mandats zitieren, selbst wenn jemand danach fragt.

RAG reduziert das Halluzinationsrisiko im Vergleich zu einem generischen Chatbot erheblich – eliminiert es aber nicht. Studien zeigen verbleibende Fehlerquoten, die stark von der Retrieval-Qualität und der Domäne abhängen. Zudem ist die Wissensbasis selbst ein Angriffspunkt: Kompromittierte oder manipulierte Quelldokumente können falsche Antworten erzeugen (Knowledge Poisoning), und vergiftete Dokumente können Prompt-Injection auslösen. Deshalb sind Zugriffskontrolle auf die Wissensbasis, Dokumenten-Integrität und der menschliche Eskalationspfad keine optionalen Ergänzungen, sondern technische Sicherheitspflichten.

Für revDSG-Konformität kommen hinzu: Verschlüsselung im Transport und im Ruhezustand, Datenstandort Schweiz oder EU/EWR (angemessenes Schutzniveau kraft Anhang 1 DSV, keine weiteren Garantien erforderlich; für sonstige Drittstaaten geeignete Garantien gemäss Art. 16 Abs. 2 revDSG, z.B. Standardvertragsklauseln), ein Vertrag oder eine nachweisbare Vereinbarung mit jedem Auftragsbearbeiter gemäss Art. 9 revDSG (im Privatrecht keine Schriftformvorschrift, aber Nachweis der Genehmigung erforderlich; bei gleichzeitiger DSGVO-Relevanz schriftliche Vereinbarung gemäss Art. 28 DSGVO), Protokollierung (wer hat was gefragt) und definierte Aufbewahrungs- und Löschfristen. Anbieterunabhängigkeit hilft dabei, Modell und Hosting so zu wählen, dass keine Mandantendaten zu Trainingszwecken abfliessen.

Einführung in der Praxis: Schritt für Schritt

  1. 01Wissensbestand sichten: FAQ, Merkblätter, Fristen, AGB sammeln, veraltete Versionen entfernen, Quellen mit Datum und Sichtbarkeit kennzeichnen.
  2. 02Datenklassen festlegen: öffentlich (für alle), mandantenübergreifend (für eingeloggte Mandate) und mandantenspezifisch (nur das eigene Mandat) – mit klaren Zugriffsregeln.
  3. 03Wissensbasis aufbauen: Dokumente in Chunks zerlegen, mit Metadaten versehen, als Embeddings in eine Vektordatenbank laden; Datenstandort Schweiz/EU festlegen.
  4. 04Mandantentrennung in der Datenebene erzwingen: Jede Suchanfrage trägt Identität und Berechtigung; Filter greift vor dem Sprachmodell, nicht nur im Prompt.
  5. 05Datenschutz-Folgenabschätzung (DSFA) nach Art. 22 revDSG prüfen und ggf. durchführen: Bei KI-gestützter Bearbeitung von Mandantendaten (neue Technologie, grosser Umfang, sensible Finanz-/Steuerdaten) liegt ein potenziell hohes Risiko vor; die DSFA dokumentiert Risiken und Massnahmen. Bei DSGVO-Relevanz: DSFA nach Art. 35 DSGVO.
  6. 06Antwortverhalten konfigurieren: Strikte Anweisung «nur aus Quellen, mit Fundstelle, sonst Eskalation»; Sprache DE/EN; Tonalität neutral und sachlich.
  7. 07Eskalationspfad definieren: Bei fehlender Quelle, Unsicherheit oder Beratungsfrage Übergabe an Postfach/Termin/zuständige Person inklusive Gesprächsverlauf.
  8. 08revDSG umsetzen: Vereinbarung mit Auftragsbearbeiter (Nachweis der Genehmigung), Verschlüsselung, Protokollierung, Aufbewahrungs- und Löschfristen, Datenschutzhinweis im Portal.
  9. 09Pilot mit echten Fragen: Antworten gegen Quellen prüfen (Faithfulness), Fehlgriffe sammeln, Wissensbasis und Filter nachschärfen.
  10. 10Live schalten und überwachen: Kennzahlen zu Trefferqualität, Eskalationsquote und Zufriedenheit verfolgen; Wissensbasis regelmässig pflegen.

Wann ein KI-Mandantenportal sinnvoll ist

Geeignet ist der Ansatz, wenn Sie wiederkehrende, gut dokumentierte Fragen in hoher Zahl erhalten und bereits Merkblätter, FAQ oder Checklisten pflegen. Je sauberer Ihr bestehendes Wissen, desto schneller liefert der Assistent verlässliche Antworten – RAG ist nur so gut wie die zugrunde liegende Wissensbasis.

Sinnvoll ist es auch, wenn Sie ohnehin ein Portal für Dokumentenaustausch betreiben oder einführen. Der Assistent setzt dann auf vorhandene Logins und Berechtigungen auf, statt eine separate, ungeschützte Chat-Insel zu schaffen. Mehrsprachige Mandate (DE/EN) profitieren besonders, weil ein Assistent beide Sprachen aus derselben Quelle bedienen kann.

Ebenfalls passend: prozessuale Statusfragen («Wo steht meine Steuererklärung?»), wenn der Portal-Status maschinell abrufbar ist und der Assistent ihn personenbezogen und korrekt gefiltert wiedergeben darf. Hier entsteht echter Self-Service-Wert ohne Beratungsrisiko.

Wann Sie es (noch) nicht einsetzen sollten

Nicht geeignet ist der Assistent für individuelle Rechts-, Steuer- oder Anlageberatung. Solche Fragen erfordern Beurteilung des Einzelfalls und Verantwortung – sie gehören an einen Menschen. Der Assistent sollte hier nicht raten, sondern sauber eskalieren. Dies ist keine Rechtsberatung.

Problematisch ist der Einsatz auch, wenn Ihr Wissen lückenhaft, veraltet oder widersprüchlich ist. Dann zitiert der Assistent zwar Quellen, aber falsche – das Vertrauen leidet stärker als bei gar keinem Assistenten. Erst aufräumen, dann ausspielen.

Verzichten Sie zudem auf den produktiven Einsatz, solange Mandantentrennung, Zugriffskontrolle und eine nachweisbare Vereinbarung mit dem Auftragsbearbeiter nicht stehen. Ohne durchgesetzte Datentrennung droht der schwerwiegendste Fehler: dass Daten eines Mandats in der Antwort an ein anderes Mandat auftauchen. Bis diese Schutzschicht nachweislich greift, darf der Assistent keine mandantenspezifischen Daten verarbeiten.

Häufige Fragen

Kann der KI-Assistent Mandantendaten an die falsche Person ausgeben?

Nicht, wenn die Mandantentrennung in der Datenebene erzwungen wird. Jede Suchanfrage trägt die Identität und Berechtigung der eingeloggten Person; die Wissensbasis liefert nur freigegebene Treffer zurück. Der Filter darf nie allein im Prompt stehen, sondern muss strukturell vor dem Sprachmodell greifen. Ohne diesen Nachweis darf der Assistent keine mandantenspezifischen Daten verarbeiten.

Wie wird verhindert, dass der Assistent Dinge erfindet (halluziniert)?

Durch RAG: Das Modell antwortet primär aus den gefundenen Textstellen Ihrer Wissensbasis und muss die Fundstelle nennen. Die Systemanweisung verlangt, bei fehlender Quelle keine Antwort zu erraten, sondern dies offenzulegen und zu eskalieren. Im Pilot werden Antworten gegen die Quellen geprüft (Faithfulness), und unbelegte Aussagen werden markiert. RAG reduziert das Risiko erheblich, eliminiert es aber nicht – ein Restrisiko bleibt, gerade im rechtlichen und steuerlichen Kontext. Deshalb der menschliche Eskalationspfad.

Erfüllt ein solches Portal das revDSG?

Es kann es erfüllen, wenn die Grundsätze von Anfang an eingebaut sind: Transparenz über die Bearbeitung, Zweckbindung, Privacy by Design und by Default, Verschlüsselung, geeigneter Datenstandort, eine Vereinbarung mit jedem Auftragsbearbeiter gemäss Art. 9 revDSG (im Privatrecht ohne Schriftformzwang, aber mit Nachweis der Genehmigung; bei DSGVO-Relevanz schriftlich nach Art. 28 DSGVO) sowie definierte Aufbewahrungs- und Löschfristen. Zu prüfen ist zudem eine Datenschutz-Folgenabschätzung nach Art. 22 revDSG. Das totalrevidierte DSG gilt in der Schweiz seit dem 1. September 2023. Die konkrete Beurteilung Ihres Falls gehört zu einer Fachperson – dies ist keine Rechtsberatung.

Müssen Schweizer Kanzleien den EU AI Act beachten?

Möglicherweise. Der EU AI Act kann extraterritorial greifen, wenn Sie EU-Mandanten betreuen oder Ihr Portal in der EU zugänglich ist und dessen Output dort genutzt wird. Ein Mandantenportal mit KI-Assistent für juristische oder steuerliche Zwecke könnte je nach Ausgestaltung als Hochrisiko-KI-System eingestuft werden; diese Frage ist im Einzelfall zu klären. Zentrale Hochrisiko-Anforderungen (menschliche Aufsicht, technische Dokumentation, Konformitätsbewertung) gelten ab dem 2. August 2026. Dies ist keine abschliessende Rechtsprüfung – eine Fachperson ist beizuziehen.

Was passiert, wenn der Assistent eine Frage nicht beantworten kann?

Dann greift der Eskalationspfad: Der Assistent sagt offen, dass ihm die Information fehlt oder die Frage Beratung erfordert, und übergibt an einen Menschen – etwa per Terminbuchung, Kontaktformular oder Postfach, inklusive des bisherigen Gesprächsverlaufs. So entsteht keine falsche Sicherheit, und die Anfrage geht nicht verloren.

Verwandte Themen

RAG MIT EIGENEM WISSEN · SERVICERAG mit eigenem Wissen: Antworten aus Ihren Dokumenten – mit Quelle, nicht erfundenBOTS · SERVICEWhatsApp- & Telegram-Bot: KI, die auf den Kanälen antwortet, die Ihre Kundschaft nutztHALLUZINATIONEN · AI-KONZEPTHalluzinationen begrenzen: Fünf Gegenmittel gegen erfundene KI-AntwortenrevDSG · COMPLIANCErevDSG / revFADP und KI: Was das revidierte Schweizer Datenschutzgesetz für LLM-Nutzung bedeutet

Quellen

  1. KMU.admin.ch – Neues Datenschutzgesetz (revDSG) · 2026
  2. Eidg. Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) · 2026
  3. Bundesgesetz über den Datenschutz (DSG), Fedlex SR 235.1 · 2023 (Inkrafttreten 1.9.2023)
  4. EUR-Lex – Verordnung (EU) 2024/1689 über künstliche Intelligenz (EU AI Act) · 2024
  5. arXiv – Retrieval-Augmented Generation: A Comprehensive Survey (Preprint, under review) · 2025 (arXiv preprint, under review)

PASSEND ZU IHREM STACK?

Wie das in Ihrem Betrieb konkret aussieht – 30 Minuten Erstgespräch.

Erstgespräch buchen