Am 23. Juli 2025 hat der Schweizer VPN-Pionier, Proton AG, der 2014 von Wissenschaftlern des CERN gegründet wurde, den Chatbot bzw. KI-Assistenten «Lumo» lanciert (s. https://proton.me/blog/lumo-ai). Wie das VPN von Proton, zeichnet sich gemäss Angaben von Proton auch der Chatbot Lumo durch «No-logs», Zero‑Access‑Verschlüsselung und zusätzlich das Nicht-Nutzen zum KI-Modell-Training, Open-Source-Software und ein EU-Hosting aus.
Zero‑Access‑Verschlüsselung garantiert Anwalts- und Amtsgeheimnis
Das Anwalts- und das Amtsgeheimnis (u. a. Art. 13 Anwaltsgesetz, BGFA; Art. 320 ff. Strafgesetzbuch, StGB) gehen bedeutend weiter als der Datenschutz. Es dürfen keinerlei Daten in einen Chatbot eingegeben werden, die unter das Anwalts- oder Amtsgeheimnis fallen. Keiner uns bisher bekannten Chatbots, wie ChatGPT von OpenAI, Gemini von Google oder Le Chat des französischen Providers Mistral AI, sieht die Möglichkeit der verschlüsselten Kommunikation mit Ausschluss des Zugriffs auch durch den Provider vor. Proton wendet nun bei seinem Chatbot Lumo in jedem Fall (muss nicht aktiviert werden) die Zero‑Access‑Verschlüsselung an (s. https://proton.me/blog/lumo-ai). Damit stellt Proton sicher, dass nicht nur Dritte, sondern auch Proton selbst keinen Zugriff auf die gespeicherten Inhalte der User hat, weder technisch noch rechtlich. Zugriffsanforderungen durch Behörden sind zwecklos, da Proton keine Inhalte entschlüsseln kann, auch nicht auf richterliche Anordnung.
Zero‑Access‑Verschlüsselung auch im Datenschutz relevant
Im Datenschutz gilt der Grundsatz der Verhältnismässigkeit (s. https://digilaw.ch/06-04-grundsatz-der-verhaltnismassigkeit). In Bezug auf den Zugriff auf die Daten der User bedeutet dies, dass ein Provider nur dann auf die Daten zugreifen darf, wenn die benutzte Applikation ohne diesen Zugriff nicht betrieben werden kann. Das Beispiel von Proton zeigt, dass Zero‑Access‑Verschlüsselungen technisch möglich sind. Wenn ein Provider die Zero‑Access‑Verschlüsselung also nicht anwendet, obwohl technisch möglich, wäre dies ein Verstoss gegen die Datenschutzregulierung.
So funktioniert Zero‑Access‑Verschlüsselung bei Proton Lumo
Alle Inhalte (z. B. Chatverläufe, hochgeladene Dateien, Notizen) werden so verschlüsselt, dass nur der User selbst den Schlüssel besitzt, um die Daten zu entschlüsseln. Proton kennt diesen Schlüssel nicht, auch nicht in technischer Hinsicht. Die Inhalte werden auf dem Gerät des Users verschlüsselt, bevor sie an die Server von Proton gesendet werden. Die Entschlüsselung erfolgt ebenfalls lokal. Proton sieht nur verschlüsselten «Datenmüll». Die Kryptoschlüssel werden aus dem Login bzw. einem verschlüsselten lokalen Speicher abgeleitet. Proton speichert keinen Master‑Key und hat keine Möglichkeit, Inhalte wiederherzustellen, sollte der User seinen Zugang verlieren. Auch wenn man Chatverläufe oder Dateien speichert (z. B. in Lumo Plus), bleiben diese end-zu-end verschlüsselt. Nur das Endgerät, nicht Proton, kann die Daten entschlüsseln.
Zertifizierung durch unabhängige Dritte
Die Zero‑Access‑Verschlüsselung von Proton Lumo selbst ist nach aktuellem Informationsstand von unabhängiger Stelle nicht explizit geprüft und bestätigt worden. Im Juli 2025 erhielt Proton aber die bescheinigende SOC 2 Type II‑Attestation durch die unabhängige Prüffirma Schellman. Der Audit umfasste umfangreiche Dokumentenprüfungen, Mitarbeitenden-Interviews und technische Kontrollen, mit dem Ziel, die konsequente Anwendung der Sicherheitsmassnahmen im Betrieb zu verifizieren. (s. dazu u.a. https://proton.me/blog/soc-2, https://www.techradar.com/vpn/vpn-privacy-security/proton-reaffirms-commitment-to-security-in-independent-audit, https://www.tomsguide.com/computing/online-security/proton-passes-its-first-soc-2-type-ii-audit-verifying-its-business-security-credentials).
Proton Lumo in der Praxis
Der Chatbot Lumo erscheint bisher nicht in Benchmarks. Lumo nutzt die LLM NeMo von Mistral, OpenHands 32B von All-Hands-AI, OLMO 2 32B von Allen Institute for Artificial Intelligence (AI2) und Mistral Small 3 (s. https://proton.me/support/lumo-privacy). Die Anwendung in den vergangenen Tagen, insbesondere in der Rechtspraxis, zeigt, dass der Chatbot Lumo bisher nicht die gleiche Feinheit oder Tiefe erreicht wie die grossen Anbieter OpenAI ChatGPT oder Google Gemini. Der USP für Rechtsanwältinnen und Rechtsanwälte sowie User in Verwaltung und an Gerichten liegt aktuell eindeutig bei der Zero‑Access‑Verschlüsselung. Wenn es also auf die Geheimhaltung ankommt, ist Lumo von Proton erste Wahl; nota bene aus schweizerischer Sicht. Wenn mit keinen geheimen Informationen gearbeitet wird, leisten ChatGPT & Co. im Moment (noch) bessere Dienste.
Ergänzende Infos aus Diskussion auf LinkedIn
Auf www.linkedin.com/in/ueli-grueter läuft eine interessante Diskussion zu diesem Beitrag. Aus dieser Diskussion folgende ergänzenden Infos.
Ein User wendet ein: «Bei «Lumo» sehe ich das alte Problem, dass die behauptete Vertraulichkeit mit weniger Funktionsumfang erkauft werden muss. Das ist für [die] meisten Anwaltskanzleien auf Dauer wirtschaftlich nicht haltbar, denn die nicht regulierte Konkurrenz kann die Angebote mit den besten Funktionen nutzen. Kaum jemand bezahlt einen Anwalt dafür, dass dieser Dienste nutzt, die funktional unterlegen sind und allenfalls auch noch teurer sind als die etablierten Dienste.»
Man muss die Sache anwendungsspezifisch sehen. Für ein VPN muss man sich fragen, ob man, insbesondere bei juristisch problematischen Online-Aktivitäten, als Schweizer ein VPN von einem Provider mit Sitz in der Schweiz nutzen möchte. Beim Anwalts- und Amtsgeheimnis ist das jedoch eine andere Sache. Hier ist ein Schweizer Provider wie Proton mit Lumo geradezu ideal. In meinem Artikel «Proton Lumo schützt als erster Chatbot Anwalts- und Amtsgeheimnis» (https://juristenfutter.ch/2025/07/26/proton-lumo-schuetzt-als-erster-chatbot-anwalts-und-amtsgeheimnis), den ich im Post verlinkt habe, schreibe ich: Die Anwendung der letzten Tage, besonders in der Rechtspraxis, zeigt, dass der Chatbot Lumo bisher nicht die gleiche Tiefe erreicht wie grosse Anbieter wie OpenAI ChatGPT oder Google Gemini. Wie mein Kollege und AI-Experte Yves Zumbühl und ich in unserem Kurs «ChatGPT & Co. für Juristinnen und Juristen» (https://www.hslu.ch/de-ch/informatik/weiterbildung/digital-transformation/fachkurs-chatgpt-juristinnen/) erklären, gibt es den besten Chatbot für die Rechtspraxis nicht. Es hängt davon ab, wofür man ihn konkret benötigt. Geht es um das Anwalts- oder Amtsgeheimnis, ist Lumo derzeit erste Wahl.
Ein User wendet ein: «Proton gibt gemäss meinem Kenntnisstand übrigens keinerlei Zusicherungen zum Amts- oder Berufsgeheimnis, so wie die meisten anderen Anbieter in der Schweiz auch nicht. Ohnehin kommuniziert Proton eher oberflächlich und nicht immer zutreffend, was die Datensicherheit betrifft. Interessanterweise arbeitet man in anderen Bereichen inzwischen häufig mit Einwilligungen, zum Beispiel bei den Banken oder in der Medizin. […]»
Eine zusätzliche Zusicherung der Wahrung des Anwaltsgeheimnisses oder Amtsgeheimnisses ist bei einer Zero‑Access‑Verschlüsselung nicht nötig. Auch m.E. sollte es grundsätzlich möglich sein, dass ein/e Rechtsanwalt/in von einem/r Klienten/in das Einverständnis zur Nutzung von KI in seinem/ihrem Fall einholen kann. Gemäss Rechtsprechung und Literatur muss sich der/die Klient/in aber über die Konsequenzen der Entbindung im Klaren sein, um eine gültige Entbindung erteilen zu können (vgl. BGE 98 IV 217, zit. Brunner/Henn/Kriesi, a.a.O., 5/56). Da liegt m.E. bei KI die Krux! Die Konsequenzen der Verwendung von Daten in KI sind wohl nicht einmal den Providern klar (…). Und dann müssten dann auch noch die Aufsichtsbehörden und Gerichte überzeugt sein, dass ein Klient/in die entsprechenden Konsequenzen überhaupt absehen bzw. erfassen kann …
Ein User wendet ein: «No Logs… kann man wirklich darauf vertrauen? Natürlich muss der Promt ans LLM unverschlüsselt übergeben werden – eine andere praxistaugliche Technologie gibt es nicht.»
Bei Proton Lumo geht es in Bezug auf das Anwaltsgeheimnis und das Amtsgeheimnis nicht um das No log, sondern um die Zero‑Access‑Verschlüsselung. Wenn diese gegeben ist, spielt das No log keine Rolle. Die End-to-End-Verschlüsselung ist implizit und heute ja bei den meisten seriösen Providern Standard. Die von Proton verwendeten LLM laufen gemäss Angabe von Proton «ausschließlich auf Servern, die von Proton kontrolliert werden, sodass […] [die Daten der User] niemals auf einer Plattform eines Drittanbieters gespeichert werden» (s. https://proton.me/support/lumo-privacy). Proton gehört zu den renommiertesten Anbietern von VPN weltweit und deren VPN Proton VPN wird von Menschenrechtsaktivisten, investigativ tätigen Journalistinnen und anderen personenbezogenen Gruppen mit erhöhtem Risiko eingesetzt (s. z.B. https://www.compiler.news/proton-vpn-venezuela-russia/). Also, kann man Proton vertrauen? Sehr wahrscheinlich schon 😉.
Proton Lumo ist nun Teil des Fachkurses «ChatGPT & Co. für Juristinnen und Juristen» an der Hochschule Luzern – Informatik
Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.hslu.ch, www.linkedin.com/in/ueli-grueter, www.digilaw.ch, advolab.ai, www.intla.ch
Aktualisiert am 21. August 2025