← Alle Artikel
Legal Tech··13 Min. Lesezeit

KI-Richtlinie Kanzlei 2026: Vorlage, Pflichten und 12 Pflichtbestandteile

MK

Prof. Dr. Markus Klein

Legal Tech Researcher

Freitagnachmittag, 17:12 Uhr, in einer neun-Personen-Kanzlei in Stuttgart. RA Dr. Tobias Stein, Managing Partner, legt nach dem Partnermeeting auf. Am anderen Ende der Leitung war ein Mittelstandsmandant, der gerade seine eigene KI-Policy verabschiedet hat und eine einfache Frage gestellt hat: "Wie sieht Ihre eigene Regelung eigentlich aus?"

Dr. Stein hat keine. Niemand in der Kanzlei hat eine. Drei Associates nutzen ChatGPT für Formulierungshilfen, eine Partnerin testet Copilot, die Referendarin experimentiert mit Perplexity. Niemand hat etwas unterschrieben, niemand hat etwas dokumentiert. Und seit dem 2. Februar 2025 ist genau das ein Problem.

In diesem Beitrag erfahren Sie, warum 2026 keine Kanzlei mehr ohne schriftliche KI-Richtlinie Kanzlei auskommt, welche zwölf Pflichtbestandteile jede Policy abdecken muss und wie Sie in dreißig Tagen von null auf eine belastbare, dokumentierte und schulungsfähige Regelung kommen. Sie finden außerdem konkrete Bausteine zum Anpassen und eine klare Abgrenzung, welche Daten in welches Tool gehören.

Lulius Kanzlei-Plan testen: EU-Hosting, AVV, RAG mit Quellenverweisen. Der Baustein, den Ihre Policy voraussetzt.

Hinweis: Dieser Artikel ist eine fundierte Rechtsinformation. Er ersetzt keine individuelle Rechtsberatung, insbesondere nicht zu den konkreten Gegebenheiten Ihrer Kanzlei.

Warum jede Kanzlei 2026 eine schriftliche KI-Richtlinie braucht

Die Pflicht zur KI-Richtlinie Kanzlei kommt nicht aus einer einzigen Norm. Sie ergibt sich aus dem Zusammenspiel aus KI-VO, DSGVO, Berufsrecht und Berufshaftpflicht. Wer diese Ebenen einzeln betrachtet, kommt zu milden Antworten. Wer sie zusammen liest, sieht schnell, dass schriftliche Regelungen 2026 faktisch nicht mehr verhandelbar sind.

Art. 4 KI-VO gilt seit dem 2. Februar 2025

Nach Art. 113 der Verordnung (EU) 2024/1689 sind Kapitel I und II der KI-Verordnung seit dem 2. Februar 2025 anwendbar. Damit greift Art. 4 KI-VO: Anbieter und Betreiber von KI-Systemen müssen ein ausreichendes Maß an KI-Kompetenz bei ihrem Personal und bei allen anderen Personen sicherstellen, die in ihrem Auftrag mit Betrieb und Nutzung zu tun haben. Kanzleien sind regelmäßig Betreiber im Sinne der Verordnung, sobald sie ein KI-System beruflich einsetzen. Die Kompetenzpflicht ist damit keine Soft-Empfehlung. Sie ist eine Organisationspflicht, die sich ohne schriftliche Grundlage praktisch nicht nachweisen lässt.

Der praktische Maßstab dafür, was Kanzleien dokumentieren und schulen sollten, ergibt sich zusätzlich aus dem BRAK-Leitfaden zum KI-Einsatz. Er ersetzt keine eigene Kanzlei-Policy, zeigt aber sehr klar, wo anwaltliche Prüfung, Tool-Auswahl, Verschwiegenheit und Organisationspflicht ineinandergreifen.

Berufsrecht und Verschwiegenheit bleiben der Maßstab

Die anwaltliche Verschwiegenheit nach § 43a BRAO gilt für jede Form der Datenverarbeitung, auch wenn ein externes Sprachmodell die Verarbeitung übernimmt. Wer einen externen KI-Anbieter einsetzt, bewegt sich im Regime des § 43e BRAO: sorgfältige Auswahl des Dienstleisters, Vertrag in Textform, Verschwiegenheitsverpflichtung. Flankiert wird das strafrechtlich durch § 203 StGB. Eine KI-Richtlinie übersetzt diese Vorgaben in konkrete Arbeitsschritte. Sie legt fest, welches Tool welchen Status hat, wer es freigibt und welche Daten darin zulässig sind. Ohne diese Übersetzung bleibt die Norm abstrakt, und im Zweifel haftet die Kanzleileitung.

Die DSK verlangt klare interne Weisungen

Die Datenschutzkonferenz formuliert in ihrer Orientierungshilfe zu KI und Datenschutz vom 6. Mai 2024 unmissverständlich, dass Verantwortliche klare interne Weisungen erteilen müssen, welche KI-Anwendungen für welche Zwecke und unter welchen Bedingungen genutzt werden dürfen. Ohne ein schriftliches Dokument erfüllt die Kanzlei diese Erwartung nicht. Gleichzeitig weist die DSK darauf hin, dass für viele KI-Einsätze in der Kanzlei eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich sein kann. Auch die DSFA baut auf einer sauberen Richtlinie auf, nicht umgekehrt.

Versicherer und Mandanten fragen aktiv nach

Mehrere Berufshaftpflicht-Anbieter fragen inzwischen nach schriftlichen KI-Nutzungsregeln, dokumentierter Schulung und einer belastbaren Tool-Auswahl. Gleichzeitig stellen Mandanten, vor allem aus dem Mittelstand, immer häufiger dieselbe Compliance-Frage: "Welche KI-Systeme setzt Ihre Kanzlei ein und auf welcher Grundlage?" Ohne belastbare Antwort verlieren Kanzleien Ausschreibungen, Vertrauen und im schlechtesten Fall Deckungsspielraum. Die Policy ist damit nicht nur Compliance, sondern auch Vertriebsinstrument und Risikomanagement.

Wie eng diese Fragen mit Haftungs- und Prüfpflichten zusammenhängen, zeigt auch unser Beitrag zu KI und Anwaltshaftung bei Halluzinationen.

KI-Richtlinie Kanzlei: Die 12 Pflichtbestandteile

Die folgende Struktur deckt die Kernanforderungen aus KI-VO, DSGVO, Berufsrecht und Versicherungsfragebögen ab. Sie ist das Rückgrat jeder belastbaren KI-Nutzungsrichtlinie Kanzlei.

  1. 1. Zweck und Geltungsbereich. Für welche Personen gilt die Richtlinie, auf welchen Geräten, in welchen Rollen? Partner, Associates, Referendare, nicht-juristisches Personal und externe Dienstleister mit Kanzlei-Zugang sollten ausdrücklich erfasst werden.
  2. 2. Freigegebene Tools und Sperrliste. Erlaubte Systeme mit Versionsstand, Hosting und AVV-Status gehören auf eine White-List. Ebenso wichtig: eine klare Blacklist für öffentliche Tools ohne Vertrag oder ohne belastbare Datenschutzarchitektur.
  3. 3. Datenklassen und Eingaberegeln. Welche Kategorien dürfen in welches Tool? Öffentliche Normtexte und abstrakte Fallkonstellationen sind etwas anderes als Mandatsdaten, Gesundheitsdaten oder interne E-Mail-Korrespondenz.
  4. 4. Anonymisierung und Pseudonymisierung. Die Richtlinie muss definieren, wann Anonymisierung genügt, wann sie nicht genügt und wann ein freigegebenes Spezialsystem zwingend ist.
  5. 5. Menschliche Endkontrolle. Kein KI-Output verlässt die Kanzlei ohne fachliche Prüfung durch eine Volljuristin oder einen Volljuristen. Genau hier entscheidet sich berufsrechtliche Beherrschbarkeit.
  6. 6. Dokumentation und Prüfpfad. Welche Prompts, welche Quellen, welches Modell, welcher Zeitpunkt? Die Richtlinie muss den Minimalstandard festlegen, den jede Akte nachhalten können sollte.
  7. 7. KI-Kompetenz und Schulung. Wer welche Schulung wann absolviert hat, ist nachzuweisen. Art. 4 KI-VO verlangt kein Papier, sondern belegbare Kompetenz.
  8. 8. Transparenz gegenüber Mandanten. Eine klare interne Regel sollte festlegen, wann KI-Nutzung offengelegt wird, wie Mandanten informiert werden und wie das im Mandatsprozess dokumentiert wird.
  9. 9. Rollen und Verantwortlichkeiten. Zuständigkeiten für KI-Governance, Datenschutz, IT-Sicherheit und Vendor-Management müssen namentlich oder zumindest funktional zugewiesen sein.
  10. 10. Vorfallmanagement. Was passiert bei Prompt Injection, Datenabfluss, fehlerhaftem Output oder ungeprüfter Weitergabe? Ohne Eskalationspfad bleibt die Richtlinie im Ernstfall wirkungslos.
  11. 11. Review-Zyklus. Mindestens jährliche Überprüfung, anlassbezogene Updates bei neuen Tools, neuen Gesetzen oder neuen Mandantenanforderungen. Die Richtlinie braucht Versionierung und Datum.
  12. 12. Sanktionen und Durchsetzung. Verstöße müssen arbeits-, berufs- oder organisationsrechtliche Konsequenzen haben. Sonst ist die Policy nur Empfehlung, nicht Steuerungsinstrument.

Policy-Bausteine zum Anpassen: Beispielklauseln für Ihre Kanzlei

Die folgenden Textbausteine sind Startpunkte, keine Endprodukte. Sie sollten an die Größe Ihrer Kanzlei, bestehende Betriebsvereinbarungen, Mandatsstruktur und Datenschutzorganisation angepasst werden.

Beispieltext Zweck und Geltungsbereich

"Diese Richtlinie regelt den Einsatz von Systemen künstlicher Intelligenz in der Kanzlei. Sie gilt für alle Partner, angestellten Rechtsanwältinnen und Rechtsanwälte, Referendarinnen und Referendare, nicht-juristisches Personal sowie externe Dienstleister mit Zugang zu Kanzlei-Systemen. Maßstab sind die berufsrechtlichen Pflichten, die DSGVO, die Verordnung (EU) 2024/1689 sowie die vertraglichen Vereinbarungen mit unseren Mandanten."

Beispieltext Eingaberegel für Mandatsdaten

"Mandatsdaten, einschließlich Namen, Aktenzeichen, Vertragsinhalten, E-Mail-Korrespondenz, Gutachten-Entwürfen und Schriftsätzen, dürfen ausschließlich in von der Kanzleileitung schriftlich freigegebene KI-Systeme eingegeben werden. Freigabevoraussetzung ist das Vorliegen eines Auftragsverarbeitungsvertrags, ein Hosting innerhalb der Europäischen Union und der dokumentierte Ausschluss einer Nutzung der Daten zu Trainingszwecken."

Beispieltext Anonymisierungspflicht

"Vor dem Einsatz allgemeiner, nicht freigegebener Sprachmodelle sind Dokumente so aufzubereiten, dass weder Personen, Unternehmen noch konkrete Mandate identifiziert oder aus dem Kontext rekonstruiert werden können. Die bloße Entfernung von Namen und Adressen genügt nicht. Im Zweifel ist das Dokument nicht einzugeben, sondern auf ein freigegebenes System zu verweisen."

Beispieltext Menschliche Endkontrolle

"Kein Arbeitsergebnis, das mit Unterstützung eines KI-Systems erstellt wurde, verlässt die Kanzlei ohne fachliche Prüfung durch eine Rechtsanwältin oder einen Rechtsanwalt. Die Prüfung umfasst mindestens die inhaltliche Richtigkeit, die Quellenlage und die Prüfung auf Halluzinationen. Die Freigabe ist im Dokumentenmanagement-System zu vermerken."

Für den Datenschutz-Unterbau einer solchen Policy lohnt sich der parallele Blick in unseren Beitrag zu DSGVO-konformer KI für Anwälte.

Was darf in welches KI-System? Die Entscheidungstabelle

Die Eingaberegel ist der häufigste Bruchpunkt in Kanzleien. Genau hier kollidieren operative Bequemlichkeit, Berufsrecht und Datenschutz. Eine brauchbare KI-Policy Kanzlei braucht deshalb keine abstrakte Warnung, sondern eine alltagstaugliche Entscheidungstabelle.

DatenkategorieÖffentliches LLM ohne AVVBusiness-Abo mit EU-Hosting und AVVLegal AI mit EU-Hosting, AVV und RAG
Abstrakte Rechtsfrage ohne Personenbezuggrundsätzlich möglichmöglichmöglich
Anonymisierter Sachverhalt aus öffentlichen Quellenmit Vorsichtmöglichmöglich
Mandatsbezogener Sachverhalt ohne Namen, aber mit Kontextnicht zulässigeingeschränkt, mit Dokumentationmöglich
Mandatsdaten mit Namen, Aktenzeichen, Korrespondenznicht zulässignicht zulässigmöglich, wenn AVV und Policy es abdecken
Besondere Kategorien nach Art. 9 DSGVOnicht zulässignur mit expliziter DSFAnur mit expliziter DSFA
Strafverfahrensdaten, Zeugenaussagen, hochsensible Unterlagennicht zulässignicht zulässignur mit zusätzlicher Prüfung und Freigabe

Die Tabelle lebt davon, dass die rechte Spalte konkret benannte Systeme umfasst. Ob Lulius, eine andere spezialisierte Legal-AI oder eine On-Premise-Lösung: entscheidend ist die dokumentierte Freigabeentscheidung und die zugrunde liegende Prüfung. Welche berufsrechtlichen Grenzen bei Mandantendaten gelten, vertiefen wir in Anwaltliche Verschwiegenheit und KI.

Sarah K., Associate in einer Hamburger Kanzlei, hatte genau an dieser Stelle einen Vorfall: Sie kopierte einen Sachverhalt samt Aktenzeichen in ein öffentliches Sprachmodell, um eine Antwort zu glätten. Der Vorgang fiel erst in der Audit-Vorbereitung auf. Die Browser-Historie war lückenlos, der Inhalt rekonstruierbar. Die Kanzlei konnte den Vorfall organisatorisch nur deshalb sauber handhaben, weil Verantwortlichkeiten, Schulungsunterlagen und der interne Eskalationspfad inzwischen dokumentiert waren.

Kanzlei-Suite entdecken: EU-Hosting, AVV, exakte Paragraphen-Verweise, die technische Seite Ihrer Policy.

Vom Entwurf zur gelebten Richtlinie: Der 30-Tage-Umsetzungspfad

Eine Policy, die nur im Dokumentenmanagement liegt, ändert nichts. Die folgenden dreißig Tage sind ein realistischer Rahmen, um aus einem Dokument einen belastbaren Arbeitsalltag zu machen.

Woche 1: Bestandsaufnahme und Tool-Audit

Wer nutzt was? Listen Sie alle KI-Tools auf, die in Ihrer Kanzlei faktisch verwendet werden, auch die inoffiziellen. Ordnen Sie jedes Tool den Datenklassen zu, die dort eingegeben werden oder wurden. Prüfen Sie AVV, Hosting, Trainingsklauseln und den tatsächlichen Nutzerkreis. Ergebnis der Woche ist keine PowerPoint, sondern eine ehrliche Ist-Karte.

Woche 2: Entwurf und Abstimmung mit Datenschutz

Auf Basis der zwölf Pflichtbestandteile schreibt die Kanzleileitung den ersten Entwurf. Datenschutzbeauftragte oder externe Beratung prüfen Rechtsgrundlagen, DSFA-Bedarf, AVV-Lage und etwaige Drittlandtransfers. Wenn ein Betriebsrat besteht, ist zugleich zu prüfen, ob Mitbestimmungsrechte berührt sind.

Woche 3: Schulung und Rollout

Eine Schulung, die Art. 4 KI-VO genügt, ist keine Fünf-Folien-Präsentation. Sie umfasst mindestens Grundlagen der Technologie, berufsrechtliche Risiken, konkrete Eingabebeispiele, Prompt-Hygiene, Anonymisierung, Freigabeprozess und Vorfallmanagement. Pflichtteilnahme, dokumentiert, mit Aktualisierungszyklus.

Woche 4: Audit und Dokumentationsreife

Ein internes Audit prüft, ob noch Dokumente, Arbeitsroutinen oder Tool-Zugänge existieren, die gegen die neue Regel verstoßen. Funktionieren die Dokumentationspfade? Werden Freigaben sauber hinterlegt? Ist der Eskalationsweg bekannt? Das Audit-Ergebnis wird zur Grundlage der ersten Review-Runde.

Wenn Sie parallel die regulatorische Einordnung schärfen möchten, lesen Sie ergänzend unseren Überblick zum EU AI Act für Kanzleien.

KI-Richtlinie und Berufshaftpflicht: Was Versicherer 2026 sehen wollen

Die Berufshaftpflicht ist der unterschätzte Treiber der aktuellen Welle an KI-Richtlinie Kanzlei-Projekten. Gefragt wird typischerweise:

  • ob eine schriftliche KI-Nutzungsregelung existiert und wann sie zuletzt aktualisiert wurde,

  • welche Tools erlaubt und welche ausdrücklich untersagt sind,

  • wie die Schulung des Personals dokumentiert ist,

  • ob Mandatsdaten nur in AVV-gesicherten Systemen verarbeitet werden,

  • wie menschliche Endkontrolle sichergestellt wird.

Eine klare, versionierte Policy beantwortet diese Fragen in einem einzigen Dokument. Sie reduziert regulatorische Reibung und stärkt die eigene Position im Schadenfall. Genau deshalb sollte Ihre Richtlinie nicht nur juristisch richtig, sondern auch praktisch vorlagefähig sein.

Häufige Fehler beim Aufsetzen einer KI-Richtlinie für Kanzleien

Fehler 1: Nur Verbote schreiben

Eine Richtlinie, die aus sieben Verboten besteht, wird unterlaufen. Der bessere Weg benennt, welche Systeme für welche Aufgaben zugelassen sind und mit welchen Datenklassen. Eine Ermöglichungsregelung setzt durch, was eine Verbotsregelung nur fordert.

Fehler 2: Die Policy ohne Schulung einführen

Art. 4 KI-VO verlangt Kompetenz, nicht Papier. Ohne dokumentierte Schulung bleibt jede Policy angreifbar. Schulungen müssen am tatsächlichen Nutzungsverhalten ausgerichtet sein: Die Partner-Schulung sieht anders aus als die Schulung für Referendare oder Assistenz.

Fehler 3: Kein Änderungsprozess

Die KI-Landschaft bewegt sich monatlich. Wer keine Review-Kadenz und keine Versionierung einplant, arbeitet nach sechs Monaten mit einer veralteten Regelung. Mindestens ein jährlicher Full-Review plus anlassbezogene Updates gehören in jede Richtlinie.

Fehler 4: Tools ohne AVV einsetzen, weil "die KI ja nichts speichert"

Die Beweislast liegt bei der Kanzlei. Ohne AVV ist kein belastbarer Nachweis zu führen, dass ein Anbieter die Daten nicht dauerhaft speichert oder für Trainingszwecke verwendet. Genau deshalb braucht die Richtlinie eine technische und vertragliche Freigabelogik. Mehr zur Einordnung finden Sie auch in unserem Überblick zu KI im Recht: Chancen und Grenzen.

Fehler 5: Die Richtlinie im Intranet zu verstecken

Eine Policy, die niemand kennt, wirkt nicht. Sie muss Teil des Onboardings sein, in Schulungen auftauchen, im Tagesgeschäft referenziert werden und im Zweifel auch bei der Tool-Beschaffung mitlaufen. Sichtbarkeit ist kein Kommunikationsdetail, sondern Durchsetzung.

Fazit: Ihre nächsten drei Schritte

Eine pflichtkonforme KI-Richtlinie Kanzlei ist 2026 kein Nice-to-have mehr. Die Kombination aus Art. 4 KI-VO seit dem 2. Februar 2025, berufsrechtlicher Verschwiegenheit, § 43e BRAO, § 203 StGB, DSK-Orientierungshilfe und aktuellen Anforderungen der Berufshaftpflicht macht sie zur notwendigen Grundlage jeder KI-Nutzung in der Kanzlei.

  • Erstens: Führen Sie in dieser Woche eine ehrliche Bestandsaufnahme durch, welche Tools in Ihrer Kanzlei tatsächlich genutzt werden.

  • Zweitens: Nutzen Sie die zwölf Pflichtbestandteile als Rückgrat für den ersten Entwurf Ihrer Richtlinie und passen Sie die Policy-Bausteine auf Ihre Kanzleistruktur an.

  • Drittens: Wählen Sie ein spezialisiertes Legal-AI-System, das die externen Voraussetzungen Ihrer Policy technisch ab Werk erfüllt.

Wenn Sie die technische Seite Ihrer Richtlinie direkt mitdenken möchten, sehen Sie sich die Lulius Preise oder direkt den Kanzlei-Plan an. Für Kanzleien, die Policy und Technik gleichzeitig sauber aufsetzen möchten, ist das meist der schnellste Weg.

Jetzt Lulius Kanzlei-Plan testen

EU-Hosting, AVV, RAG mit Quellenverweisen und ein Workflow, der die externe Seite Ihrer KI-Richtlinie direkt mit abdeckt.

Kanzlei-Plan testen

Hinweis: Dieser Beitrag ersetzt keine individuelle Rechtsberatung. Bei konkreten Fragen zu Ihrer spezifischen Kanzleistruktur, bestehenden Betriebsvereinbarungen oder versicherungsrechtlichen Konstellationen empfiehlt sich die Einbindung spezialisierter Beratung.