Spheriq AI arbeitet mit Informationen, die für Nonprofits und Förderorganisationen wertvoll und oft sensibel sind. Was nicht in einem Profil öffentlich gemacht wurde, ist häufig schützenswert oder trägt die Spuren interner Arbeitskontexte, die auch intern bleiben sollen. Datenschutz ist kein Zusatz, sondern Fundament der Architektur von Spheriq AI.
Im gemeinnützigen Sektor geht es nicht nur um öffentliche Organisationsdaten. Gesuche können Informationen zu Krankheit, Armut, sozialer Lage, vulnerablen Gruppen, Organisationsstrategien oder Finanzdetails enthalten, die vertraulichen Charakter haben. Auch unscheinbare institutionelle Informationen können sensibel sein, wenn sie etwa Rückschlüsse auf Personen, Förderentscheide oder strategische Entscheide zulassen.
Datenschutz ist im gemeinnützigen Sektor besonders wichtig
Das gilt nicht weniger für die Gegenseite: Der Zugang zu Fördermitteln ist ja nicht einfach eine «technische» Frage. Er wird durch Statuten und Richtlinien gesteuert, die nicht vollumfänglich öffentlich sind, ebenso aber auch durch interne Diskussionen und menschliche Entscheidungen, die im vertraulichen Rahmen geführt werden. Eine KI, die in diesem Umfeld unterstützt, muss deshalb besonders sorgfältig mit Daten umgehen.
Spheriq AI folgt dem Grundsatz: Die KI darf nur verwenden, was die jeweilige Nutzerin oder der jeweilige Nutzer im konkreten Kontext selbst sehen darf. Sie bekommt keinen freien Blick auf alle Daten, sondern arbeitet konsequent innerhalb der bestehenden Berechtigungen. Die KI ist deshalb nur für eingeloggte Nutzer:innen verfügbar, weil nur sie einen spezifischen Plattformkontext sehen. Der Zugriff erfolgt rollen- und kontextbasiert. Das bedeutet: Eine Nutzerin auf einem Organisationsprofil, ein Förderer im Gesuchskontext oder eine Nonprofit-Organisation bei der Förderrecherche haben jeweils unterschiedliche Sichtweisen und Zugriffsmöglichkeiten. Spheriq AI übernimmt diese Grenzen exakt. Die KI sieht nicht mehr als die Nutzer:innen selbst.
Vertrauenswürdige KI als Leitprinzip
Doch nicht nur der Datenschutz fordert Konsequenzen. Generell wird gerade im gemeinnützigen Sektor ein verantwortungsvoller Technologieeinsatz erwartet – gerade in Bezug auf KI. Mittlerweile haben sich Konzepte wie «Responsible AI» oder «Explainable AI» etabliert. Spheriq orientiert sich in der Architektur an solch anerkannten Grundsätzen für vertrauenswürdige KI (siehe dazu Teil 1 der Hintergrundserie: Spheriq AI als Pipeline).
Besonders klar formuliert wurden diese in den Leitlinien der KI-Expertengruppe der Europäischen Kommission (vergleichbare Prinzipien finden sich bei OECD, UNESCO, ISO, IEEE, BSI oder dem Europarat). Für Spheriq AI sind diese sieben Anforderungen besonders relevant:
- Menschliche Aufsicht: Spheriq AI unterstützt die Vorbereitung und Einordnung, trifft aber keine Förderentscheide.
- Technische Robustheit und Sicherheit: Die Pipeline prüft Kontext, Datenzugriff, Evidenz und Antwort, bevor ein Resultat ausgegeben wird.
- Datenschutz und Datenmanagement: Die KI nutzt nur Informationen, die im jeweiligen Rollen- und Arbeitskontext zugänglich sind.
- Transparenz: Genutzte Werkzeuge, Dokumente und Quellen sollen nachvollziehbar bleiben.
- Fairness und Nichtdiskriminierung: Bewertungen stützen sich auf fachliche Kriterien, Profile, Förderlogiken und dokumentierte Evidenz, nicht auf unsichtbare Zuschreibungen.
- Gesellschaftliches und ökologisches Wohlergehen: Spheriq AI wird ressourcenschonend betrieben und verzichtet (auch) aus ökologischen Gründen auf energiefressende Top-Performance-Modelle.
- Rechenschaftspflicht: Verarbeitungsschritte, Quellen und Entscheidungsgrundlagen bleiben überprüfbar.
Durch ihre Architektur ist Spheriq AI grundsätzlich auf datensparsame Verarbeitung ausgelegt. Der Kontext wird präzise mitgeliefert und nicht jedes Mal aufs Neue im Netz recherchiert. Daten werden dadurch nicht beliebig eingesetzt, sondern im Rahmen klar definierter Arbeitsschritte verarbeitet.
Souveräne Infrastruktur
Die Verarbeitung der Daten findet bei Spheriq AI in einer eigenen Datenumgebung statt. Betrieben wird die KI von PeakPrivacy, der Schweizer Plattform für souveräne KI-Anwendungen. Während gängige KI-Dienste Daten an internationale Hyperscaler weiterreichen, betreibt PeakPrivacy seine Modelle in Rechenzentren in der Schweiz, in Deutschland und Frankreich, womit sichergestellt ist, dass keine Daten die Server verlassen oder für das Training von KI-Modellen verwendet werden.
Diese Architektur stärkt die Governance für alle Nutzer:innen. Sie reduziert Drittland-, Anbieter- und Kontrollrisiken. Gerade für Organisationen, die Gesuchsdaten, interne Einschätzungen oder vertrauliche Dokumente verarbeiten, ist das entscheidend.
Warum nicht einfach ChatGPT?
Allgemeine KI-Tools sind leistungsfähig, aber sie sind nicht automatisch auf die spezifischen Datenschutzanforderungen des gemeinnützigen Sektors ausgelegt. Wer Daten in bekannte KI-Chats wie ChatGPT oder Claude eingibt, muss im Einzelfall prüfen, ob diese Daten weitergegeben werden dürfen, ob sie personenbezogen oder vertraulich sind und ob die Nutzung mit internen Vorgaben vereinbar ist.
Entscheidend sind das Vertragsmodell, aber auch die Auftragsbearbeitung aus Sicht der Eigentümer der eingegebenen Daten. In der Vergangenheit waren zudem immer wieder Zugriffsrechte ausländischer Behörden ein Thema, gerade auch für die USA, wo die meisten Modelle betrieben werden. Zudem zeigen verschiedene publik gewordene Beispiele, dass Nutzerdaten für das Modelltraining verwendet wurden, auch wenn die Firma vorher das Gegenteil behauptet hatte.
Spheriq AI verfolgt hier einen vollständig anderen Ansatz. Die KI arbeitet mit kontrolliertem Zugriff, nutzt die bestehenden Datensätze und führt deren Verarbeitung vollständig auf der kontrollierten PeakPrivacy-Infrastruktur durch. Damit wird KI direkt innerhalb des geschützten Arbeitsraums nutzbar gemacht. Die Kombination aus Zugriffskontrolle und souveräner Infrastruktur schafft auf diese Weise eine doppelte Sicherheit.
Verantwortung und menschliche Kontrolle
Datenschutz endet nicht bei Technik. Spheriq AI ist als unterstützendes System gestaltet. Sie kann Informationen strukturieren, Vorschläge machen, eine Passung einschätzen, Lücken benennen oder Texte vorbereiten. Entscheidungen mit erheblicher Wirkung auf Personen oder Organisationen bleiben jedoch konsequent bei Menschen.
Das gilt insbesondere für Förderentscheide. Spheriq AI kann eine Vorprüfung zwar unterstützen, eine Förderlogik anwenden oder ein Gutachten vorbereiten. Sie entscheidet aber nicht über Zusage oder Ablehnung. Diese Entscheidungen müssen auch aus rechtlicher Sicht immer Menschen und Organe der Förderorganisation verantworten.
Für Spheriq AI ist Datenschutz ein architektonisches Grundprinzip. Rollenbasierter Zugriff, Login-Pflicht, Datensparsamkeit, souveräne Infrastruktur ohne Modelltraining und nachvollziehbare Quellen bilden zusammen einen soliden Rahmen. So kann KI dort eingesetzt werden, wo sie im gemeinnützigen Sektor besonders nützlich ist: direkt im Arbeitsalltag, mit klarem Kontext, kontrolliertem Datenzugriff und ohne die Kontrolle aus der Hand zu geben.
