← Alle Artikel
Legal Tech··12 Min. Lesezeit

Legal AI und DSGVO in der Kanzlei: Die Compliance-Checkliste (2026)

M

Prof. Dr. Markus Klein

Legal Tech Researcher

Kann eine Kanzlei KI datenschutzkonform einsetzen? Ja, aber nur, wenn Rechtsgrundlage (Art. 6 DSGVO), Auftragsverarbeitungsvertrag (Art. 28 DSGVO), technische Schutzmaßnahmen (Art. 32 DSGVO) und das anwaltliche Berufsrecht (§ 203 StGB, § 43e BRAO) zusammenpassen. Genau dieser letzte Punkt wird am häufigsten übersehen.

Sie kennen das Muster vermutlich: Ein Tool wird ausgewählt, der Anbieter legt einen sauberen AVV vor, die Kanzlei hakt „DSGVO“ gedanklich ab. Und trotzdem bleibt ein Risiko, das im AVV meist gar nicht auftaucht: die Verschwiegenheitspflicht gegenüber Ihren Mandanten. Legal AI DSGVO-konform zu betreiben bedeutet in der Kanzlei immer, zwei Ebenen zu erfüllen, nicht nur eine.

Dieser Beitrag liefert eine praktische 10-Punkte-Checkliste zum Abhaken, eine Anbieter-Prüftabelle und ein Praxisbeispiel, mit dem Sie ein konkretes KI-Tool in rund 20 Minuten bewerten. Ein Hinweis vorab: Dieser Artikel bietet Rechtsinformation, keine Rechtsberatung im Sinne von § 2 RDG. Bei komplexen Konstellationen sollten Sie einen spezialisierten Anwalt oder Ihren Datenschutzbeauftragten (DSB) hinzuziehen.

Warum Legal AI und DSGVO in der Kanzlei zwei Ebenen haben

Der häufigste Denkfehler beim Thema Legal AI DSGVO in der Kanzlei ist, den Datenschutz für erledigt zu halten, sobald ein AVV unterschrieben ist. Für ein normales Unternehmen mag das stimmen. Für eine Kanzlei nicht.

Ebene 1: Die DSGVO (personenbezogene Daten der Mandanten)

Sobald Sie einen echten Sachverhalt in ein KI-Tool eingeben, verarbeiten Sie personenbezogene Daten Ihrer Mandanten. Damit gelten die üblichen Pflichten: eine Rechtsgrundlage nach Art. 6 DSGVO, ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO. Diese Ebene ist bekannt und gut dokumentiert.

Ebene 2: Das Berufsrecht (Verschwiegenheit nach § 203 StGB und § 43e BRAO)

Als Anwältin oder Anwalt unterliegen Sie zusätzlich der strafbewehrten Verschwiegenheitspflicht. Wer geschützte Mandantengeheimnisse unbefugt offenbart, macht sich nach § 203 StGB strafbar. Die Auslagerung an einen externen Dienstleister, und ein KI-Anbieter ist genau das, regelt seit 2017 § 43e BRAO. Der Dienstleister muss zur Verschwiegenheit verpflichtet werden, und die Weitergabe muss auf das Erforderliche begrenzt sein.

Warum ein Standard-AVV allein nicht ausreicht

Hier liegt der eigentliche Knackpunkt. Ein AVV nach Art. 28 DSGVO regelt die Datenschutz-Ebene. Er sagt aber in der Regel nichts über die berufsrechtliche Verpflichtung nach § 43e BRAO. Große Anbieter liefern fast immer einen AVV, eine ausdrückliche Zusicherung zu § 203 StGB und § 43e BRAO dagegen selten. Prüfen Sie deshalb beide Ebenen getrennt. Mehr Hintergrund dazu finden Sie in unserem Beitrag zur anwaltlichen Verschwiegenheit bei KI und Mandantendaten.

Die 10 Punkte der DSGVO-Checkliste für Legal AI

Die folgende Liste ist als Prüfraster gedacht. Arbeiten Sie sie für jedes Tool einmal durch, bevor Sie echte Mandantendaten eingeben.

  1. 1.

    Rechtsgrundlage bestimmen (Art. 6 DSGVO): Auf welcher Grundlage verarbeiten Sie die Daten? Meist ist es die Vertragserfüllung gegenüber dem Mandanten oder ein berechtigtes Interesse.

  2. 2.

    Auftragsverarbeitungsvertrag abschließen (Art. 28 DSGVO): Ohne AVV keine Nutzung. Der Vertrag muss die Pflichtinhalte des Art. 28 Abs. 3 DSGVO enthalten.

  3. 3.

    Berufsrechtliche Zusicherung sichern (§ 203 StGB, § 43e BRAO): Verpflichtet sich der Anbieter ausdrücklich zur Verschwiegenheit? Diese Zusicherung fehlt am häufigsten.

  4. 4.

    Serverstandort und Hosting prüfen (Art. 44 ff. DSGVO): Werden die Daten in der EU verarbeitet, oder findet ein Drittlandtransfer statt?

  5. 5.

    Kein Training mit Ihren Daten: Lassen Sie sich vertraglich zusichern, dass Ihre Eingaben nicht zum Training des KI-Modells verwendet werden.

  6. 6.

    Technische Maßnahmen dokumentieren (Art. 32 DSGVO): Verschlüsselung bei Übertragung und Speicherung, Zugriffskontrolle, Protokollierung.

  7. 7.

    Datenschutz-Folgenabschätzung prüfen (Art. 35 DSGVO): Kann bei umfangreicher oder besonders sensibler Verarbeitung erforderlich sein.

  8. 8.

    Verzeichnis von Verarbeitungstätigkeiten ergänzen (Art. 30 DSGVO): Das neue KI-Tool gehört in Ihr Verarbeitungsverzeichnis.

  9. 9.

    AI-Act-Rolle klären (VO 2024/1689): Sind Sie Betreiber eines KI-Systems? Dann treffen Sie eigene Pflichten (dazu unten mehr).

  10. 10.

    Menschliche Endkontrolle sichern: Jedes KI-Ergebnis bleibt in anwaltlicher Letztverantwortung. Halluzinationen müssen abgefangen werden.

Die Checkliste als Tabelle zum Abhaken

#PrüfpunktNormErledigt
1Rechtsgrundlage bestimmtArt. 6 DSGVO
2AVV abgeschlossenArt. 28 DSGVO
3Verschwiegenheits-Zusicherung§ 203 StGB, § 43e BRAO
4EU-Hosting bestätigtArt. 44 ff. DSGVO
5Kein Training mit Kanzleidatenvertraglich
6TOMs dokumentiertArt. 32 DSGVO
7DSFA geprüftArt. 35 DSGVO
8Verarbeitungsverzeichnis ergänztArt. 30 DSGVO
9AI-Act-Rolle geklärtVO 2024/1689
10Menschliche Endkontrolleanwaltl. Sorgfalt

Sie wollen die zehn Punkte nicht manuell gegen jeden Anbieter durchspielen? Ein Tool, das EU-Hosting, AVV und den Verzicht auf Training bereits standardmäßig mitbringt, erspart Ihnen die Hälfte der Liste. Lulius für Ihre Kanzlei kostenlos testen.

AVV und Berufsrecht: Was Ihr KI-Anbieter zusichern muss

Die Punkte 2 und 3 der Checkliste sind eng verwandt, aber eben nicht identisch. Beide verdienen einen genaueren Blick.

Pflichtinhalte eines AVV (Art. 28 Abs. 3 DSGVO)

Ein belastbarer Auftragsverarbeitungsvertrag regelt Gegenstand und Dauer der Verarbeitung, Art und Zweck, die Kategorien betroffener Personen, die Weisungsgebundenheit des Anbieters, die Pflicht zur Vertraulichkeit, die technischen Maßnahmen, den Umgang mit Unterauftragsverarbeitern und die Löschung nach Auftragsende. Fehlt einer dieser Bausteine, ist der AVV lückenhaft.

Die berufsrechtliche Lücke: § 43e BRAO und § 203 StGB

Ein AVV allein macht den Anbieter noch nicht zu einer nach Berufsrecht verpflichteten Stelle. § 43e BRAO verlangt, dass Sie den Dienstleister zur Verschwiegenheit verpflichten und ihn über die strafrechtliche Relevanz nach § 203 StGB in Kenntnis setzen. Fragen Sie den Anbieter konkret: Gibt es eine gesonderte Verschwiegenheitsvereinbarung, die auf § 43e BRAO Bezug nimmt? Eine ausführliche Gegenüberstellung finden Sie in unserem Beitrag KI und Mandantendaten: BRAO und DSGVO im Vergleich.

Anbieter-Prüftabelle

AnforderungNormTypischer US-ChatbotLulius
AVV vorhandenArt. 28 DSGVOoft jaja
§ 43e-Verschwiegenheit§ 43e BRAOseltenja
EU-HostingArt. 44 ff. DSGVOhäufig neinja
Kein Training mit Datenvertraglichunklarja
Echte Paragraphen (keine Halluzination)anwaltl. Sorgfaltneinja (RAG)

Nehmen wir ein konkretes Beispiel. Als RA Thomas Berger aus Freiburg im Frühjahr 2026 einen bekannten US-Chatbot für erste Schriftsatzentwürfe testete, hatte er den AVV im Portal des Anbieters mit zwei Klicks. Was fehlte, war jede Aussage zur Verschwiegenheit nach § 43e BRAO, und das Hosting lag in den USA. Er stoppte den Test, bevor der erste echte Mandantenname das Tool erreichte. Diese 20 Minuten Prüfung ersparten ihm ein Berufsrechtsproblem.

Serverstandort, Trainingsdaten und Halluzinationen: die drei Risiko-Klassiker

Drei Themen tauchen bei Legal AI DSGVO in der Kanzlei immer wieder auf. Wer sie kennt, prüft schneller.

EU-Hosting statt Drittlandtransfer

Werden Mandantendaten auf Servern außerhalb der EU verarbeitet, greifen die strengen Anforderungen an Drittlandübermittlungen nach Art. 44 ff. DSGVO. Der einfachste Weg, dieses Risiko zu vermeiden, ist ein Anbieter mit reinem EU-Hosting. Fragen Sie nach dem konkreten Serverstandort, nicht nur nach dem Firmensitz.

Werden Ihre Mandantendaten fürs Training genutzt?

Bei vielen generischen KI-Diensten fließen Eingaben potenziell in das Training künftiger Modelle. Für eine Kanzlei ist das mit der Verschwiegenheitspflicht kaum vereinbar. Achten Sie auf eine klare vertragliche Zusicherung, dass Ihre Daten ausschließlich zur Bearbeitung Ihrer Anfrage genutzt und nicht zum Training verwendet werden.

Halluzinationen als Haftungsrisiko

Generische Sprachmodelle erfinden mitunter Paragraphen oder Urteile, die es nicht gibt. Zitieren Sie ein solches Scheinzitat in einem Schriftsatz, haften Sie. Systeme mit RAG-Technologie (Retrieval Augmented Generation) begrenzen dieses Risiko, weil sie nur aus einer geprüften Rechtsdatenbank zitieren. Lulius etwa greift auf über 4600 vollständig indexierte Bundesgesetze zu und belegt jede Aussage mit einem existierenden Paragraphen. Wie Sie Haftung durch Halluzinationen vermeiden, vertieft unser Beitrag zu KI-Halluzinationen und Anwaltshaftung.

DSFA und AI Act: Wann Sie zusätzliche Pflichten treffen

Die Checklistenpunkte 7 und 9 gehen über die Standardprüfung hinaus. Sie werden nicht in jedem Fall relevant, aber Sie sollten sie bewusst abwägen.

Datenschutz-Folgenabschätzung nach Art. 35 DSGVO

Eine DSFA ist erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte der Betroffenen mit sich bringt. Bei umfangreicher Verarbeitung sensibler Mandantendaten durch ein neues KI-System kann das der Fall sein. Im Zweifel dokumentieren Sie die Abwägung und stimmen sich mit Ihrem DSB ab.

Der EU AI Act: Kanzlei als Betreiber

Die KI-Verordnung, die Verordnung (EU) 2024/1689, wurde am 13. Juni 2024 erlassen und trat am 1. August 2024 in Kraft. Sie gilt zusätzlich zur DSGVO, ersetzt diese also nicht. Wenn Ihre Kanzlei ein KI-System einsetzt, sind Sie in der Regel Betreiber und treffen eigene Pflichten, etwa zur menschlichen Aufsicht. Welche Pflichten das konkret sind, ordnet unser Beitrag zu den Pflichten aus dem EU AI Act für Kanzleien ein.

Praxisbeispiel: So prüfen Sie einen Legal-AI-Anbieter in 20 Minuten

Theorie hilft, ein Ablauf hilft mehr. Zwei kurze Szenarien zeigen, wie die Checkliste in der Praxis wirkt.

Szenario Solo-Kanzlei. Rechtsanwältin Sabine Kohl arbeitet allein und ohne DSB. Sie geht die zehn Punkte einmal durch, fordert AVV und Verschwiegenheitszusicherung an und prüft den Serverstandort. Für die DSFA reicht bei ihrem geringen Datenvolumen eine kurze dokumentierte Abwägung. Nach 20 Minuten hat sie ein belastbares Ergebnis.

Szenario mittelgroße Kanzlei mit DSB. Eine Kanzlei mit acht Anwälten bindet ihren Datenschutzbeauftragten ein, führt eine DSFA durch, dokumentiert die TOMs und ergänzt das Verarbeitungsverzeichnis. Der Aufwand ist größer, aber die Struktur bleibt dieselbe wie in der Checkliste.

Wie erfüllt ein spezialisiertes Tool die Liste? Lulius bringt EU-Hosting, einen AVV und den Verzicht auf Training mit Kanzleidaten standardmäßig mit, arbeitet mit RAG-Technologie gegen Halluzinationen und ist DSGVO- sowie RDG-konform. Damit sind mehrere der zehn Punkte bereits vorab abgedeckt. Bevor Sie ein Tool auswählen, lohnt sich zudem eine schriftliche KI-Richtlinie für die Kanzlei, die den Umgang für alle im Team verbindlich regelt.

Sie möchten sehen, wie eine DSGVO-konforme Legal AI in der Praxis aussieht? Preise für Kanzleien ansehen und ohne Kreditkarte starten.

Häufige Fragen (FAQ)

Ist ChatGPT DSGVO-konform für Kanzleien?

In der Standardnutzung ist ein generischer Chatbot mit echten Mandantendaten meist problematisch. Es fehlen häufig EU-Hosting, eine Verschwiegenheitszusicherung nach § 43e BRAO und die Zusicherung, dass Daten nicht fürs Training genutzt werden. Ohne diese Punkte sollten Sie keine identifizierbaren Mandantendaten eingeben.

Brauche ich für KI eine DSFA?

Nicht immer. Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Betroffenen mit sich bringt. Bei umfangreicher oder besonders sensibler Verarbeitung ist sie ratsam. Stimmen Sie sich im Zweifel mit Ihrem DSB ab.

Verstößt KI-Nutzung gegen § 203 StGB?

Nicht automatisch. § 43e BRAO erlaubt die Einbindung von Dienstleistern ausdrücklich, wenn Sie diese zur Verschwiegenheit verpflichten und die Datenweitergabe auf das Erforderliche begrenzen. Ohne diese Verpflichtung kann die Offenbarung von Mandantengeheimnissen aber strafbar sein.

Reicht ein AVV nach Art. 28 DSGVO?

Für die reine DSGVO-Ebene ja, für die Kanzlei nein. Der AVV deckt den Datenschutz ab, nicht aber die berufsrechtliche Verschwiegenheit. Sie brauchen zusätzlich die Zusicherung nach § 43e BRAO.

Fazit: Zwei Ebenen, eine Checkliste

Legal AI DSGVO-konform in der Kanzlei einzusetzen ist möglich, verlangt aber mehr als einen unterschriebenen AVV. Drei Punkte sollten Sie mitnehmen. Erstens: Prüfen Sie immer beide Ebenen, DSGVO und Berufsrecht (§ 203 StGB, § 43e BRAO). Zweitens: Serverstandort, Trainingsverzicht und Schutz vor Halluzinationen sind die drei Risiko-Klassiker. Drittens: Die 10-Punkte-Checkliste bringt Struktur in jede Anbieterprüfung, vom Solo-Büro bis zur Kanzlei mit DSB.

Nutzen Sie die Checkliste beim nächsten Tool-Test und dokumentieren Sie jeden Punkt. Bei komplexen Konstellationen bleibt die Rücksprache mit einem spezialisierten Anwalt oder Ihrem Datenschutzbeauftragten der sichere Weg. Und wenn Sie eine Legal AI suchen, die EU-Hosting, AVV, Trainingsverzicht und exakte Paragraphen-Verweise bereits mitbringt, dann testen Sie Lulius für Ihre Kanzlei kostenlos. Weiterführend erklärt unser Grundlagenbeitrag, wie DSGVO-konforme KI für Anwälte im Detail funktioniert.

Hinweis: Lulius bietet rechtliche Ersteinschätzungen, keine Rechtsberatung im Sinne des RDG. Dieser Artikel bietet Rechtsinformation, keine Rechtsberatung im Sinne von § 2 RDG.