DSGVO-konforme KI für Anwälte: Worauf Kanzleien achten

Freitag, 18:47 Uhr, in einer mittelständischen Kanzlei in Düsseldorf: Ein Associate kopiert schnell einen Schriftsatzentwurf in einen frei verfügbaren Chatbot, nur zur sprachlichen Glättung. Im Text stehen keine vollen Mandantennamen mehr. Also alles unkritisch? Genau an diesem Punkt beginnt das Missverständnis. DSGVO-konforme KI für Anwälte entscheidet sich nicht an einem Marketing-Siegel und auch nicht daran, ob jemand zwei Namen aus dem Text gelöscht hat.

Für Kanzleien ist das Thema deutlich anspruchsvoller. DSGVO-konforme KI für Anwälte betrifft nicht nur Datenschutz, sondern auch anwaltliche Verschwiegenheit, Dienstleisterauswahl, interne Freigaben, Schulung und die Frage, welche Daten überhaupt in ein System eingegeben werden dürfen. Die gute Nachricht: Ein sauberer, praxistauglicher Einsatz ist möglich. Aber nur mit klaren Leitplanken.

Dieser Artikel zeigt Ihnen, was DSGVO-konforme KI für Anwälte in der Praxis wirklich bedeutet, welche rechtlichen Vorgaben Kanzleien beachten müssen und wie ein belastbarer Rollout aussieht. Wenn Sie zuerst den operativen Nutzen von KI im Kanzleialltag sehen möchten, finden Sie ihn in unserem Beitrag zur KI juristischen Recherche.

Was DSGVO-konforme KI für Anwälte wirklich bedeutet

Viele Kanzleien reduzieren das Thema auf eine einzige Frage: "Steht der Server in der EU?" Das ist wichtig, aber zu kurz gedacht. DSGVO-konforme KI für Anwälte bedeutet in der Praxis ein Zusammenspiel aus Einsatzfeld, Datenfluss, Vertragslage, technischen Schutzmaßnahmen, internen Regeln und menschlicher Endkontrolle.

Die Datenschutzkonferenz beschreibt ihre Orientierungshilfe vom 6. Mai 2024 ausdrücklich als Leitfaden, um KI-Anwendungen auszuwählen, zu implementieren und zu nutzen. Das ist die richtige Denkweise für Kanzleien. Nicht zuerst die Demo, sondern zuerst der Rahmen.

Die BRAK argumentiert ähnlich. Ihr Leitfaden zum KI-Einsatz in Anwaltskanzleien sowie die begleitende BRAK-Mitteilung betonen nicht nur Effizienzgewinne, sondern vor allem Prüfungs- und Kontrollpflichten, Verschwiegenheitspflichten und Transparenzfragen. Anders gesagt: DSGVO-konforme KI für Anwälte ist kein reines Produktmerkmal. Sie ist eine Organisationsentscheidung.

Hosting ist wichtig, aber Beherrschbarkeit ist wichtiger

Ein Tool kann in Europa gehostet werden und trotzdem problematisch sein, wenn niemand in der Kanzlei weiß, welche Daten hineingegeben werden dürfen, ob ein AVV vorliegt, ob Mandatsbezug über den Kontext rekonstruierbar bleibt und wer den Output fachlich freigibt.

• —

  welche Daten hineingegeben werden dürfen

• —

  ob ein AVV vorliegt

• —

  ob Mandatsbezug über den Kontext rekonstruierbar bleibt

• —

  wer den Output fachlich freigibt

Umgekehrt kann ein gut geführter Kanzlei-Workflow mit klaren Regeln, Anonymisierung, RAG, EU-Hosting und dokumentierter Freigabe deutlich näher an DSGVO-konformer KI für Anwälte liegen als ein populäres Public-Chat-Tool ohne saubere Governance.

Welche rechtlichen Leitplanken für DSGVO-konforme KI für Anwälte gelten

1. Verschwiegenheit und Dienstleisterauswahl

Der zentrale berufsrechtliche Maßstab bleibt die anwaltliche Verschwiegenheit. Das betrifft nicht nur den offensichtlichen Sachverhalt, sondern regelmäßig auch Namen, Aktenzeichen, Mandatsinhalte und oft schon die Tatsache, dass ein Mandat überhaupt besteht. Strafrechtlich ist das durch § 203 StGB abgesichert.

Für Dienstleister ist § 43e BRAO entscheidend. Wer ein KI-Tool in der Kanzlei nutzt, muss den Anbieter sorgfältig auswählen und vertraglich sauber einbinden.

2. DSGVO: Rechtsgrundlage, AVV und DSFA

Datenschutzrechtlich beginnt DSGVO-konforme KI für Anwälte nicht erst bei der Datenschutzerklärung. Für jeden Verarbeitungsschritt mit personenbezogenen Daten braucht es eine Rechtsgrundlage. Gerade spontane KI-Experimente in Kanzleien scheitern oft genau hier.

Wenn die KI-Anwendung als Cloud-Lösung betrieben wird, spielt der Auftragsverarbeiter eine zentrale Rolle. Ohne belastbaren AVV und ohne ausreichende Anbieterinformationen ist DSGVO-konforme KI für Anwälte schwer vertretbar.

Noch wichtiger ist die Datenschutz-Folgenabschätzung. Die DSK schreibt, dass beim Einsatz von KI-Anwendungen mit personenbezogenen Daten vielfach eine DSFA nach Art. 35 DSGVO erforderlich sein wird. Für Kanzleien mit sensiblen Mandatsdaten ist das oft eher der Regelfall als die Ausnahme.

3. KI-Kompetenz ist nicht optional

Seit dem 2. Februar 2025 gelten nach Art. 113 der KI-VO bereits Kapitel I und II der Verordnung. Damit ist Art. 4 zur KI-Kompetenz anwendbar. Nach dem offiziellen Text auf AI Act Service Desk und auf EUR-Lex müssen Anbieter und Betreiber Maßnahmen treffen, um ein ausreichendes Maß an KI-Kompetenz bei ihrem Personal sicherzustellen.

Für Kanzleien heißt das praktisch: DSGVO-konforme KI für Anwälte braucht Schulung. Wer nicht versteht, wie ein System arbeitet, welche Risiken bestehen und wo Datenflüsse entstehen, kann keine belastbare Freigabeentscheidung treffen.

4. Müssen Mandanten über KI informiert werden?

Hier lohnt die Differenzierung. Nach dem Stand Ende 2024 ergibt sich aus BRAO und BORA grundsätzlich keine allgemeine berufsrechtliche Pflicht, Mandanten über jede KI-Nutzung zu informieren. Gleichzeitig empfiehlt die BRAK einen transparenten Umgang mit KI-Tools und im Zweifel eine vertragliche Regelung mit Mandanten.

Die 5-Punkte-Checkliste für DSGVO-konforme KI in der Kanzlei

1. Einsatzfeld zuerst, Tool danach

• —

  interne Recherche

• —

  Gutachten-Entwürfe

• —

  Vertragsprüfung

• —

  Zusammenfassungen ohne Personenbezug

• —

  Mandatsvorbereitung

Die DSK verlangt eine klare Zweckfestlegung vor dem Einsatz. Erst daraus lässt sich ableiten, ob personenbezogene Daten überhaupt erforderlich sind.

2. Datenfluss und Anbieter prüfen

• —

  Wo werden Daten verarbeitet?

• —

  Wird mit Mandatsdaten trainiert?

• —

  Gibt es einen AVV?

• —

  Werden Informationen für DSFA und Risikobewertung bereitgestellt?

• —

  Kann das System ohne Übermittlung personenbezogener Daten an Dritte betrieben werden?

Gerade hier ist RAG ein relevanter Punkt. Die DSK-Pressemitteilung zu RAG-Systemen hebt hervor, dass RAG die Genauigkeit, Nachvollziehbarkeit und Verlässlichkeit von KI-Ausgaben erhöhen kann. Für DSGVO-konforme KI für Anwälte ist das ein echter Unterschied.

3. Interne Regeln schriftlich festlegen

• —

  welche Tools zugelassen sind

• —

  welche Daten verboten sind

• —

  wann Anonymisierung Pflicht ist

• —

  wann eine menschliche Freigabe erfolgen muss

• —

  zu welchen Zwecken die Nutzung erlaubt ist

Ein gutes Beispiel dafür ist eine Hamburger Kanzlei, die Anfang 2026 mehrere parallele Schatten-Setups mit privaten Accounts beendete, nachdem sie eine kurze interne KI-Policy, freigegebene Kanzlei-Accounts und klare Freigaberegeln eingeführt hatte.

4. Beschäftigte mit Kanzlei-Accounts arbeiten lassen

Die DSK empfiehlt für die berufliche Nutzung ausdrücklich bereitgestellte Geräte und Accounts. Sie warnt davor, dass bei privaten Accounts Profile zu Beschäftigten entstehen können. Für DSGVO-konforme KI für Anwälte ist das eine überraschend praktische, aber zentrale Maßnahme.

5. Menschliche Endkontrolle bleibt Pflicht

Der BRAK-Leitfaden ist hier eindeutig: Eigenverantwortliche Überprüfung und Endkontrolle des KI-Outputs bleiben erforderlich. Das gilt nicht nur berufsrechtlich, sondern passt auch zur DSK-Linie. Ergebnisse mit Personenbezug müssen kritisch hinterfragt werden.

Wenn Sie wissen möchten, wie dieser kontrollierte Einsatz in der Praxis aussehen kann, finden Sie die passenden Workflows in der Lulius Kanzlei-Suite. Dort ist KI nicht als freier Spielplatz gedacht, sondern als arbeitsfähige Umgebung mit exakten Paragraphen-Verweisen, EU-Hosting und klarer Kanzlei-Ausrichtung.

Welche Daten in Kanzleien besonders kritisch sind

Nicht jede Eingabe ist gleich riskant. Gerade deshalb funktioniert die pauschale Regel "Wir löschen einfach die Namen" in Kanzleien fast nie.

Die DSK sagt ausdrücklich, dass es regelmäßig nicht ausreicht, Namen und Anschriften aus einer Eingabe zu entfernen. Aus dem Zusammenhang kann sich weiterhin ein Personenbezug ergeben. Für Kanzleien ist das besonders relevant, weil Mandatsakten fast immer genau diese Kontextelemente enthalten: Branchen, Rollen, Zeitabläufe, Vertragswerte, Vorwürfe, Gesundheitsbezug oder familiäre Konstellationen.

Besonders heikel: Art. 9-Daten

Viele Mandate betreffen Daten, die unter Art. 9 DSGVO fallen können. Dazu gehören unter anderem Gesundheitsdaten, biometrische Daten, Angaben zur politischen Meinung oder Gewerkschaftszugehörigkeit. Solche Daten sind besonders geschützt; ihre Verarbeitung ist grundsätzlich verboten und nur ausnahmsweise zulässig.

Für DSGVO-konforme KI für Anwälte heißt das: Nicht jedes Mandat eignet sich für denselben KI-Workflow. Je sensibler die Daten, desto enger muss das Setup sein.

So führen Sie DSGVO-konforme KI für Anwälte ein

Schritt 1: Mit risikoarmen Use Cases beginnen

• —

  Recherche ohne Personenbezug

• —

  abstrakte Fallskizzen

• —

  interne Gliederungen

• —

  Entwürfe auf Basis anonymisierter oder synthetischer Sachverhalte

Schritt 2: Anbieterprüfung dokumentieren

• —

  Serverstandort

• —

  AVV

• —

  Training mit Nutzerdaten ja oder nein

• —

  Informationslage für DSFA

• —

  technische und organisatorische Maßnahmen

• —

  Rollen- und Rechtekonzept

Schritt 3: Schulung und Handlungsanweisung

• —

  Was darf ich eingeben?

• —

  Was darf ich nicht eingeben?

• —

  Wann anonymisiere ich?

• —

  Wann stoppe ich und hole Rücksprache ein?

• —

  Wer gibt Ergebnisse frei?

Schritt 4: Erst dann Teams breiter anbinden

Wenn Pilot, Richtlinie und Anbieterprüfung stehen, kann die Kanzlei den Einsatz schrittweise ausweiten. Für genau diesen geordneten Rollout sind ein Team-Workspace, saubere Rechte und eine dokumentierte Produktumgebung wichtiger als die bloße Frage, welches Modell gerade am meisten Hype erzeugt.

Wenn Ihre Kanzlei eine solche Umgebung prüfen möchte, können Sie direkt den Kanzlei-Plan von Lulius ansehen oder vorab die häufigen Fragen zu Datenschutz und Sicherheit lesen.

Wann generische KI-Tools für Kanzleien problematisch werden

• —

  Ist die Weiterverwendung von Eingaben für Training sicher ausgeschlossen?

• —

  Gibt es einen belastbaren AVV?

• —

  Sind Mandatsdaten technisch und organisatorisch geschützt?

• —

  Gibt es ausreichende Informationen für eine DSFA?

• —

  Ist die Nutzung mit Verschwiegenheits- und Dienstleisterpflichten vereinbar?

Genau deshalb gewinnt die technische Architektur an Bedeutung. Die DSK hebt bei RAG-Systemen hervor, dass sie Nachvollziehbarkeit und Verlässlichkeit steigern und Halluzinationen reduzieren können. Für Kanzleien ist das doppelt relevant: Es geht nicht nur um bessere Antworten, sondern um mehr Kontrollierbarkeit.

Mehr zum allgemeinen Rahmen finden Sie auch in unserem Beitrag zu KI im Recht -- Chancen und Grenzen. Und wenn Sie die Datenschutzseite aus Verbraucherperspektive ergänzen möchten, ist der Artikel zu DSGVO-Rechten im Alltag der passende Gegenpol.

Fazit: DSGVO-konforme KI für Anwälte braucht Prozesse, nicht Parolen

DSGVO-konforme KI für Anwälte ist möglich. Aber sie entsteht nicht dadurch, dass eine Website mit EU-Hosting oder privacy first wirbt. Kanzleien brauchen eine saubere Kombination aus Anbieterprüfung, Datenregeln, AVV, DSFA, Schulung und menschlicher Endkontrolle.

• —

  DSGVO-konforme KI für Anwälte beginnt bei der Zweckfestlegung, nicht bei der Tool-Demo.

• —

  Für Kanzleien sind § 43e BRAO, § 203 StGB, DSGVO-Pflichten und AI-Literacy-Anforderungen gemeinsam relevant.

• —

  Namen zu löschen reicht oft nicht, wenn der Kontext weiter Personenbezug erkennen lässt.

• —

  Interne Weisungen, Kanzlei-Accounts und dokumentierte Freigaben sind keine Bürokratie, sondern Grundvoraussetzungen.

• —

  RAG, EU-Hosting und kein Training mit Nutzerdaten machen einen praxistauglichen Einsatz deutlich realistischer.

Wenn Sie eine Lösung suchen, die auf deutsche Kanzleiarbeit, exakte Paragraphen-Verweise, EU-Hosting und DSGVO-konforme Prozesse ausgerichtet ist, sehen Sie sich Lulius an oder prüfen Sie die Preise für Kanzleien. So wird aus DSGVO-konformer KI für Anwälte kein Risikothema, sondern ein belastbarer Teil Ihres Kanzlei-Workflows.