DSGVO-konforme KI für Kanzleien

DSGVO-konforme KI für Kanzleien: Was rechtlich zulässig ist – und was nicht

Künstliche Intelligenz hält Einzug in immer mehr Anwaltskanzleien. Automatisierte Dokumentenanalyse, intelligente Recherchesysteme und KI-gestützte Vertragsgestaltung versprechen erhebliche Effizienzgewinne und entlasten Anwältinnen und Anwälte bei zeitintensiven Routineaufgaben. Doch gerade in der Rechtsbranche stellt sich eine zentrale Frage: Wie lässt sich der Einsatz moderner KI-Systeme mit den strengen Anforderungen der Datenschutz-Grundverordnung vereinbaren? Denn Kanzleien verarbeiten täglich hochsensible Mandantendaten – und stehen dabei in einer besonderen Verantwortung gegenüber ihren Mandanten, aber auch gegenüber dem Gesetzgeber.
 

Dieser Beitrag gibt einen fundierten Überblick über die datenschutzrechtlichen Rahmenbedingungen für KI in Kanzleien, benennt typische Risikobereiche und zeigt, wie eine rechtskonforme Implementierung gelingen kann.

Warum KI in Kanzleien datenschutzrechtlich besonders sensibel ist

Anwaltskanzleien nehmen im deutschen Rechtssystem eine besondere Stellung ein

Sie sind nicht nur Dienstleistungsunternehmen, sondern auch Träger beruflicher Schweigepflichten nach § 203 StGB. Die anwaltliche Verschwiegenheitspflicht ist ein fundamentales Recht des Mandanten und zugleich eine gesetzliche Verpflichtung des Anwalts. Werden mandantenbezogene Daten im Rahmen von KI-Systemen verarbeitet, entsteht ein Spannungsfeld, das weit über die allgemeine DSGVO-Compliance hinausgeht.
 

Die Art der in Kanzleien verarbeiteten Daten ist dabei besonders heikel:

Personenbezogene Daten aus Rechtsstreitigkeiten, strafrechtliche Informationen, Gesundheitsdaten, Vermögensverhältnisse oder familienrechtliche Details – all dies fällt unter die besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO, die einem erhöhten Schutzniveau unterliegen. Werden diese Daten in ein KI-System eingespeist, das auf externen Servern oder in der Cloud betrieben wird, kann dies eine unerlaubte Weitergabe an Dritte darstellen und sowohl datenschutzrechtliche als auch berufsrechtliche Konsequenzen haben.

Hinzu kommt, dass viele gängige KI-Lösungen auf Sprachmodellen basieren, die ursprünglich für den Massenmarkt entwickelt wurden und bei denen Trainingsdaten aus Nutzereingaben gewonnen werden können. Ohne klare vertragliche Regelungen ist die Gefahr groß, dass Mandantendaten in Trainingsprozesse einfließen – ein klarer Datenschutzverstoß.

Anforderungen der Datenschutz-Grundverordnung

Die DSGVO stellt klare Anforderungen an jede Form der Datenverarbeitung. Für Kanzleien, die KI-Systeme einsetzen wollen, sind insbesondere folgende Grundsätze aus Art. 5 DSGVO maßgeblich:
 

• Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden.
• Datenminimierung: Es dürfen nur die Daten verarbeitet werden, die für den jeweiligen Zweck tatsächlich erforderlich sind.
• Integrität und Vertraulichkeit: Die Verarbeitung muss so gesichert sein, dass unbefugter Zugriff, Verlust oder Zerstörung verhindert wird.
• Rechenschaftspflicht: Kanzleien müssen die Einhaltung aller Datenschutzprinzipien nachweisen können.

Darüber hinaus verlangt Art. 13 und 14 DSGVO, dass Mandanten über Art, Umfang und Zweck der Datenverarbeitung informiert werden.

Wenn eine KI bei der Bearbeitung ihrer Rechtssache eingesetzt wird, haben Mandanten ein Recht, dies zu erfahren. Besonders relevant ist zudem Art. 22 DSGVO, der das Recht einräumt, nicht ausschließlich einer automatisierten Entscheidungsfindung unterworfen zu werden – insbesondere wenn diese Entscheidungen rechtliche Wirkung entfalten oder den Betroffenen erheblich beeinträchtigen.
 

Für Kanzleien bedeutet das konkret: KI darf assistieren, aber die finale rechtliche Bewertung muss immer durch einen menschlichen Anwalt erfolgen. Vollautomatisierte Rechtsentscheidungen ohne menschliche Prüfung sind datenschutzrechtlich und berufsrechtlich bedenklich.

Datenverarbeitung vs. Auftragsverarbeitung bei KI-Systemen

Ein zentrales Thema beim Einsatz externer KI-Dienste ist die Frage der Verantwortlichkeit: Handelt der KI-Anbieter als eigenverantwortlicher Verarbeiter oder als Auftragsverarbeiter im Sinne von Art. 28 DSGVO?

Als Auftragsverarbeiter darf ein Dienstleister Daten nur nach den dokumentierten Weisungen der Kanzlei verarbeiten. Er ist verpflichtet, geeignete technische und organisatorische Maßnahmen zum Datenschutz zu ergreifen, und darf die Daten nicht für eigene Zwecke – etwa für das Training seiner KI-Modelle – nutzen. Hierfür muss zwingend ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen werden.

In der Praxis ist jedoch Vorsicht geboten: Viele KI-Anbieter agieren faktisch als eigenverantwortliche Verarbeiter, weil sie die eingegebenen Daten zur Modellverbesserung nutzen oder keine ausreichende Weisungsgebundenheit gewährleisten. Ohne klar vereinbarte und gelebte Auftragsverarbeitung fehlt die rechtliche Grundlage für die Übermittlung mandantenbezogener Daten an den Anbieter – ein gravierender Datenschutzverstoß.
 

Kanzleien sollten daher vor dem Einsatz jedes KI-Tools folgende Fragen klären: Werden meine Eingaben zur Modellverbesserung genutzt? Existiert ein datenschutzkonformer AVV? Wer hat Zugriff auf die verarbeiteten Daten? Welche Unterauftragsverarbeiter werden eingesetzt?

Drittstaatentransfers und Cloud-Risiken

Viele KI-Systeme werden von US-amerikanischen Anbietern bereitgestellt und betrieben. Die Nutzung solcher Dienste birgt erhebliche datenschutzrechtliche Risiken, da die Daten dabei typischerweise in Drittstaaten außerhalb der EU übertragen werden.

Grundsätzlich ist eine Übermittlung personenbezogener Daten in Drittstaaten nur unter engen Voraussetzungen zulässig (Art. 44 ff. DSGVO). Für die USA existiert seit 2023 zwar das EU-US Data Privacy Framework als Nachfolger des gescheiterten Privacy Shield. Allerdings ist auch dieses Abkommen nicht unangefochten – Datenschützer zweifeln an der dauerhaften Rechtsbeständigkeit, und Klagen sind anhängig. Eine rein auf das Data Privacy Framework gestützte Übermittlung kann also ein Restrisiko darstellen.

Problematisch sind zudem die weitreichenden Zugriffsmöglichkeiten US-amerikanischer Behörden auf Daten, die bei US-Unternehmen oder deren Tochtergesellschaften gespeichert sind – auch wenn die Server physisch in Europa stehen. Der US CLOUD Act ermöglicht es amerikanischen Behörden unter bestimmten Voraussetzungen, auf Daten zuzugreifen, die US-Unternehmen weltweit verwalten. Dies steht in einem grundsätzlichen Spannungsverhältnis zur DSGVO.

Für Kanzleien bedeutet dies: Cloud-basierte KI-Dienste US-amerikanischer Anbieter können auch bei EU-Serverstandorten datenschutzrechtlich problematisch sein. Eine sorgfältige Risikoabwägung und – wo möglich – der Einsatz europäischer Alternativen sind dringend empfehlenswert.

On-Premise als datenschutzrechtlicher Vorteil

Eine zunehmend beliebte Lösung für datenschutzsensible Bereiche – und insbesondere für Anwaltskanzleien – sind sogenannte On-Premise-KI-Systeme. Dabei wird die KI nicht über externe Server oder die Cloud betrieben, sondern auf der eigenen IT-Infrastruktur der Kanzlei oder in einem dedizierten, lokal kontrollierten Rechenzentrum installiert.

Die datenschutzrechtlichen Vorteile liegen auf der Hand:

• Vollständige Datensouveränität: Mandantendaten verlassen niemals die kontrollierte IT-Umgebung der Kanzlei. Es gibt keine Übermittlung an Dritte, keine Drittstaatentransfers und kein Risiko, dass Daten für Trainingszwecke genutzt werden.
• Kein Auftragsverarbeitungsbedarf: Da kein externer Anbieter Daten verarbeitet, entfällt die Notwendigkeit eines AVV für den KI-Betrieb selbst.
• Vereinbarkeit mit der Schweigepflicht: Weil keine Daten die Kanzlei verlassen, ist die anwaltliche Verschwiegenheitspflicht strukturell gewahrt.
• Transparenz und Kontrolle: Die Kanzlei hat vollständige Kontrolle über die verarbeiteten Daten, kann Lösch- und Zugriffspflichten eigenständig umsetzen und Auskunftsanfragen von Mandanten ohne Abhängigkeit von Drittanbietern bearbeiten.

On-Premise-Lösungen erfordern zwar in der Regel eine höhere Anfangsinvestition in Hard- und Software sowie in die interne IT-Infrastruktur. Für Kanzleien, die regelmäßig mit besonders sensiblen Daten arbeiten, ist dieser Aufwand jedoch gut investiert – nicht nur aus Compliance-Gesichtspunkten, sondern auch im Hinblick auf das Vertrauen der Mandanten.
 

Checkliste für Kanzleien

Die folgende Checkliste unterstützt Kanzleien dabei, den datenschutzkonformen Einsatz von KI systematisch zu überprüfen:
 

• Rechtliche Grundlage: Liegt für jede KI-gestützte Datenverarbeitung eine Rechtsgrundlage gemäß Art. 6 (und ggf. Art. 9) DSGVO vor?
• Auftragsverarbeitungsvertrag: Wurde mit jedem externen KI-Anbieter, der Zugriff auf personenbezogene Daten hat, ein DSGVO-konformer AVV geschlossen?
• Drittstaatentransfer-Prüfung: Wurden mögliche Datenübermittlungen in Drittstaaten identifiziert und rechtlich abgesichert?
• Trainingsdaten-Ausschluss: Ist vertraglich sichergestellt, dass Eingaben nicht für das Training von KI-Modellen des Anbieters verwendet werden?
• Mandanteninformation: Werden Mandanten transparent darüber informiert, dass und wie KI bei der Bearbeitung ihrer Angelegenheiten eingesetzt wird?
• Menschliche Kontrolle: Ist gewährleistet, dass alle rechtlich relevanten Entscheidungen durch einen Anwalt geprüft und verantwortet werden?
• Verarbeitungsverzeichnis: Ist der KI-Einsatz im Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO dokumentiert?
• Datenschutz-Folgenabschätzung: Wurde geprüft, ob eine DSFA gemäß Art. 35 DSGVO erforderlich ist?
• Technische Sicherheit: Sind angemessene technische und organisatorische Maßnahmen (TOMs) zum Schutz der verarbeiteten Daten implementiert?
• Betroffenenrechte: Können Auskunfts-, Lösch- und Berichtigungsanfragen von Mandanten auch in Bezug auf KI-verarbeitete Daten fristgerecht bearbeitet werden?

Handlungsempfehlung

Der Einsatz von KI in Kanzleien ist datenschutzrechtlich möglich – aber er erfordert Sorgfalt, Planung und die richtigen technologischen Entscheidungen. Wer einfach eine marktübliche KI-Lösung einführt, ohne die datenschutzrechtlichen Implikationen zu prüfen, riskiert nicht nur Bußgelder nach der DSGVO, sondern auch Verstöße gegen das Berufsrecht und den Verlust des Vertrauens seiner Mandanten.

Unsere klaren Empfehlungen für Kanzleien:

• Priorisieren Sie On-Premise-Lösungen oder zertifizierte europäische Cloud-Dienste, um Drittstaatentransfers zu vermeiden und die vollständige Datenkontrolle zu behalten.
• Schließen Sie mit jedem externen KI-Anbieter einen wasserdichten AVV, der ausdrücklich die Nutzung Ihrer Daten für Trainingszwecke ausschließt.
• Führen Sie eine Datenschutz-Folgenabschätzung durch, bevor Sie ein KI-System einführen, das sensible Mandantendaten verarbeitet.
• Schulen Sie Ihre Mitarbeitenden im datenschutzgerechten Umgang mit KI-Tools und legen Sie klare interne Richtlinien fest.
• Kommunizieren Sie transparent mit Ihren Mandanten über den KI-Einsatz in Ihrer Kanzlei – das stärkt das Vertrauen und erfüllt die Informationspflichten der DSGVO.

Legal Solution unterstützt Kanzleien bei der rechtssicheren Einführung von KI-Systemen. Wir beraten Sie zu DSGVO-konformen Lösungsarchitekturen, erstellen Auftragsverarbeitungsverträge und begleiten Sie bei der Datenschutz-Folgenabschätzung. Mit unserem Spezialwissen an der Schnittstelle von Datenschutzrecht und Legal Tech helfen wir Ihnen, die Potenziale künstlicher Intelligenz zu nutzen – ohne datenschutzrechtliche oder berufsrechtliche Risiken einzugehen.

Sprechen Sie uns an – wir freuen uns auf das Gespräch.