Musterklauseln IT-Vertrag

Musterklauseln IT-Vertrag

Jeder Vertrag mit einem KI-Dienstleister, der Mandatsdaten verarbeiten soll, muss zwei Säulen aufweisen: einen datenschutzrechtlichen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO und eine berufsrechtliche Vereinbarung nach § 43e BRAO. Dieser Skill stellt die wichtigsten Musterklauseln bereit.

Rechtlicher Hintergrund

§ 43e BRAO: Befugte Weitergabe von Berufsgeheimnissen an IT-Dienstleister setzt einen entsprechenden Vertrag voraus, der den Dienstleister zur Verschwiegenheit verpflichtet. § 203 Abs. 3 Satz 2 StGB: Der Dienstleister wird als "mitwirkende Person" privilegiert und nicht wegen Geheimnisverrats bestraft, wenn eine ordnungsgemäße § 43e-Vereinbarung besteht. § 53a StPO: Zeugnisverweigerungsrecht des Dienstleisters. § 97 Abs. 2 StPO: Beschlagnahmeschutz. Art. 28 DSGVO: AVV-Pflicht. Art. 82 DSGVO: Haftung des Verantwortlichen und Auftragsverarbeiters.

Vorgehen

1. Vertragsstruktur festlegen: Separater AVV nach Art. 28 DSGVO plus separater § 43e-BRAO-Vertrag (oder kombiniert in einem Dokument).
2. Klauseln anpassen: Musterklauseln an den konkreten Dienstleister und die konkrete Leistung anpassen (Subprozessoren, Rechenzentrum-Standorte, Löschfristen).
3. Training-Opt-out separat vereinbaren: Explizit regeln, dass der Dienstleister Eingaben nicht für das Training seiner Modelle verwendet.
4. Auditrechte absichern: Recht der Kanzlei auf Prüfung der Einhaltung durch eigene Prüfer oder externe Auditoren.
5. Strafrechtliche Belehrung erteilen: § 43e-BRAO-Vertrag muss auf die strafrechtliche Relevanz eines Verschwiegenheitsbruchs nach § 203 StGB hinweisen.

Vorlagentext / Bausteine

Klausel 1 — Anerkennung der Verschwiegenheitspflicht (§ 43e BRAO): Der Auftragnehmer ist bekannt, dass die im Rahmen der zu erbringenden Dienste erhaltenen Informationen beruflichen Verschwiegenheitspflichten unterliegen können. Der Auftragnehmer erkennt alle Rechte und Pflichten aus §§ 43a und 43e BRAO an und hält alle im Rahmen der Dienste erlangten Geheimnisse im Sinne von § 203 StGB und §§ 43a, 43e BRAO streng geheim und schützt sie vor unbefugtem Zugriff durch Dritte.

Klausel 2 — Zweckbindung und Zugangsbeschränkung: Der Auftragnehmer hat nur insoweit Zugang zu Geheimen Informationen, als dies für die Erbringung der vereinbarten Dienste erforderlich ist. Eine Nutzung für eigene Zwecke, insbesondere für das Training von KI-Modellen, ist ausdrücklich untersagt.

Klausel 3 — Training-Opt-out: Der Auftragnehmer verpflichtet sich unwiderruflich, die vom Auftraggeber eingegebenen oder hochgeladenen Inhalte (Texte, Dokumente, Prompts und Outputs) nicht zum Training oder zur Weiterentwicklung von KI-Modellen oder KI-Systemen zu verwenden. Diese Verpflichtung gilt auch für alle Unterauftragnehmer.

Klausel 4 — Unterauftragnehmer: Der Auftragnehmer darf Geheime Informationen an Unterauftragnehmer nur weitergeben, wenn (i) der Unterauftragnehmer schriftlich zur Vertraulichkeit verpflichtet wurde, (ii) der Unterauftragnehmer seine Leistungen ausschließlich innerhalb des EWR erbringt oder angemessene Drittland-Garantien bestehen, und (iii) die Genehmigung des Auftraggebers vorliegt.

Klausel 5 — Strafrechtliche Belehrung nach § 203 StGB: Der Auftraggeber belehrt den Auftragnehmer, dass ein Verstoß gegen die Verschwiegenheitspflicht eine Straftat nach § 203 StGB darstellen kann, die mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bestraft wird.

Klausel 6 — Strafprozessuale Privilegien: Dem Auftragnehmer ist bekannt, dass Berufsgeheimnisse dem Zeugnisverweigerungsrecht nach § 53a StPO und dem Beschlagnahmeschutz nach § 97 Abs. 2 StPO unterfallen. Im Fall einer behördlichen Vernehmung oder Beschlagnahme wird der Auftragnehmer unverzüglich den Auftraggeber informieren.

Klausel 7 — Löschpflichten: Nach Beendigung des Vertrags oder auf Aufforderung des Auftraggebers löscht der Auftragnehmer alle gespeicherten Geheimen Informationen unwiderruflich und bestätigt dies schriftlich innerhalb von 30 Tagen.

Klausel 8 — Auditrechte: Der Auftraggeber oder ein von ihm beauftragter Dritter ist berechtigt, die Einhaltung dieser Vereinbarung durch den Auftragnehmer zu überprüfen. Der Auftragnehmer unterstützt solche Prüfungen nach Ankündigung mit angemessener Frist.

Hinweise zur Aktualisierung

Musterklauseln sind bei jeder wesentlichen Änderung der berufsrechtlichen oder datenschutzrechtlichen Anforderungen zu aktualisieren. Neue BRAK-Veröffentlichungen zu § 43e BRAO-Vereinbarungen sind besonders zu beachten. Ebenso sind neue Entscheidungen zu § 203 StGB oder zu den Anforderungen an AVV in die Klauseln einzuarbeiten.

Aktuelle Rechtsprechung (v14.2)

• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Zentrale Normen (Paragrafenkette)

• § 305 BGB — Einbeziehung von AGB
• § 307 BGB — Inhaltskontrolle (unangemessene Benachteiligung)
• Art. 25 KI-VO — Verantwortlichkeitsverteilung in der KI-Lieferkette
• Art. 28 DSGVO — AVV-Klauseln in IT-Vertraegen
• § 2 GeschGehG — Geheimhaltungsmassnahmen

Triage zu Beginn

1. Handelt es sich um AGB oder Individualvereinbarung (§ 305 Abs. 1 BGB)?
2. Welche Risikoklasse hat das KI-System — bestimmt Art. 25 KI-VO Verantwortlichkeit?
3. Sind Haftungsbeschraenkungen im Vertrag wirksam — § 307 BGB-Pruefung?
4. Enthalten die Klauseln Regelungen zu Training auf Eingabedaten?
5. Sind AVV-Pflichten nach Art. 28 DSGVO in den IT-Vertrag integriert?

Output-Template — KI-Vertrags-Musterklausel

Adressat: Vertragsparteien / Rechtsabteilung — Tonfall: vertragsrechtlich, klar

MUSTERKLAUSEL KI-EINSATZ — IT-VERTRAG
[VERTRAG] — Version: [VERSION] — Stand: [DATUM]

§ [X] KI-EINSATZ UND DATENVERARBEITUNG

(1) Verarbeitung auf Daten: Der Auftragnehmer versichert, dass KI-Systeme,
die im Rahmen dieses Vertrages eingesetzt werden, Eingabedaten des Auftrag-
gebers nicht zum Training von Modellen verwenden. Anderslautende Klauseln in
AGB des Auftragnehmers werden hierdurch ausdruecklich ausgeschlossen.

(2) Verantwortlichkeit (Art. 25 KI-VO): Die Parteien sind sich einig, dass
der Auftraggeber als Betreiber nach Art. 3 Nr. 4 KI-VO handelt. Der Auftrag-
nehmer als Anbieter traegt die Pflichten nach Art. 9-15 KI-VO.

(3) Auftragsverarbeitung: Soweit der Auftragnehmer personenbezogene Daten
verarbeitet, gilt Anlage [X] (AVV nach Art. 28 DSGVO).

(4) Haftungsgrenze: Die Haftung des Auftragnehmers fuer Schaden durch
fehlerhafte KI-Ausgaben ist auf [EURO-BETRAG] pro Schadensfall begrenzt,
hoechstens [EURO-BETRAG] pro Jahr. Vorbehaltlich § 307 BGB.

(5) Vertraulichkeit (GeschGehG): Der Auftragnehmer verpflichtet sich, alle
Eingabedaten als Geschaeftsgeheimnisse i.S.d. § 2 GeschGehG zu behandeln.