Compliance-Regelsatz erstellen

Compliance-Regelsatz erstellen

Ein klarer, prägnanter Compliance-Regelsatz ist das operative Herzstück jeder KI-Nutzungsrichtlinie. Er muss so formuliert sein, dass alle Mitarbeitenden — unabhängig von juristischem Hintergrund — die Kernregeln sofort verstehen und anwenden können. Dieser Skill erzeugt einen standardisierten Zehn-Gebote-Regelsatz, der an das Kanzlei-Profil angepasst werden kann.

Rechtlicher Hintergrund

Der Regelsatz operationalisiert die zentralen Rechtspflichten: § 43a Abs. 2 BRAO (Verschwiegenheit), § 43e BRAO (IT-Dienstleister), Art. 5 DSGVO (Grundsätze der Verarbeitung: Zweckbindung, Datenminimierung), Art. 28 DSGVO (Auftragsverarbeitung), § 2 Abs. 2 UrhG (Urheberrecht am KI-Output), Art. 50 Abs. 4 KI-VO (Kennzeichnung), § 203 StGB (Geheimnisverrat), Art. 22 DSGVO (Verbot automatisierter Entscheidungen).

Vorgehen

Vorab: Der untenstehende Workflow ist die typische Standardlinie. Wenn die Mandantenlage abweicht (siehe "Strategische Optionen" oben), sind die Schritte entsprechend zu verkuerzen, umzustellen oder durch ein anderes Skill zu ersetzen — der Workflow ist Leitfaden, nicht Pflichtprogramm.

1. Zielgruppe definieren: Unterschiedliche Regeln für anwaltliche und nicht-anwaltliche Mitarbeitende oder einheitlicher Regelsatz für alle?
2. Zehn Gebote formulieren: Aus den rechtlichen Anforderungen konkrete Handlungsregeln ableiten.
3. Ausnahmen definieren: Wann sind Ausnahmen zulässig (z.B. Upload mit AVV)?
4. Kommunikation sicherstellen: Regelsatz in Schulungen erklären, schriftlich quittieren lassen.
5. Regelsatz plakativ aufbereiten: Auf einer DIN-A4-Seite oder als Poster für Kanzleiräume aufbereiten.

Strategische Optionen (vor dem Template entscheiden)

Bevor das Template eins-zu-eins gefuellt wird, ist zu pruefen welche Variante zur Mandantenkonstellation passt. Das Template ist eine moegliche Form — nicht die einzige.

Wenn die Mandantenkonstellation nicht ins Standardschema passt, ist das Template anzupassen oder durch ein anderes Skill abzuloesen — nicht das Mandat in das Schema zu pressen.

Vorlagentext / Bausteine

Die Zehn Gebote für den KI-Einsatz in [Name der Kanzlei]:

1. Wir nutzen beim Einsatz von KI-Systemen in der Kanzlei ausschließlich autorisierte Kanzlei-Accounts — niemals private Accounts.

2. Wir kopieren keine personenbezogenen Daten von Mandanten oder Mitarbeitenden in KI-Systeme, es sei denn, die Daten wurden zuvor vollständig anonymisiert.

3. Wir laden keine Dokumente, Akten oder Schriftstücke als Datei in einen KI-Dienst hoch, ohne diese zuvor anonymisiert zu haben — außer bei Anbietern, mit denen ein wirksamer Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und eine § 43e-BRAO-Vereinbarung bestehen.

4. Wir korrekturlesen und prüfen jeden KI-generierten Text eigenverantwortlich auf inhaltliche Richtigkeit, bevor er intern oder extern weiterverwendet wird.

5. Wir verifizieren ausnahmslos jede Fundstelle, jedes Zitat und jeden Gesetzeshinweis aus KI-generiertem Output anhand der originalen Quelle. KI-Systeme können Fundstellen erfinden.

6. Wir kennzeichnen KI-generierte Inhalte in internen und externen Dokumenten, soweit dies die Transparenz erfordert. Bei anwaltlichen Schriftsätzen tragen wir durch unsere Unterschrift die volle redaktionelle Verantwortung.

7. Wir delegieren keine Letztentscheidung an ein KI-System. Jede rechtliche Bewertung und jede mandatsbezogene Entscheidung verbleibt beim Menschen.

8. Wir verarbeiten keine besonders sensiblen personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO mit KI-Systemen, es sei denn, eine ausdrückliche Rechtfertigung nach Art. 9 Abs. 2 DSGVO liegt vor.

9. Wir laden keine urheberrechtlich geschützten Texte (Kommentare, Fachaufsätze, Datenbankexporte) in KI-Systeme hoch, ohne die erforderlichen Nutzungsrechte zu besitzen. Gesetze und Gerichtsentscheidungen von offiziellen Portalen sind frei nutzbar.

10. Wir melden jeden Verdachtsfall einer Compliance-Verletzung beim KI-Einsatz unverzüglich an [Name Datenschutzbeauftragter/Berufsrechtsbeauftragter/Geschäftsführung].

--- vor Versand klaeren ---

1. Welches Verhandlungsziel hat der Mandant? [Durchsetzung des Anspruchs / Vergleich / Reputationsschutz / schnelle Loesung]
2. Welche Kompromisslinien sind absolut? [Mindestforderung / Zeitrahmen / Formerfordernis]
3. Sind Anschlusswege erwuenscht? [Mediation / Direktgesprach / Einigung vor Fristablauf]

Schlussabsatz Variante A (kooperativ): Wir regen eine guetliche Einigung an und stehen fuer ein klaerenden Gesprach zur Verfuegung. Eine einvernehmliche Loesung erspart beiden Seiten Zeit und Kosten.

Schlussabsatz Variante B (formal-streng): Eine aussergerichtliche Einigung kommt nur in Betracht wenn die Gegenseite innerhalb von [X] Tagen einen akzeptablen Vorschlag unterbreitet. Anderenfalls werden wir alle rechtlichen Schritte einleiten.

Hinweise zur Aktualisierung

Der Regelsatz ist mindestens halbjährlich zu überprüfen. Bei wesentlichen Änderungen der genutzten KI-Dienste, bei neuen Gerichtsentscheidungen zur Haftung oder bei neuen BRAK/DAV-Hinweisen ist eine Aktualisierung geboten. Alle Mitarbeitenden müssen über Änderungen informiert und neu geschult werden.

Aktuelle Rechtsprechung (v14.2)

• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Zentrale Normen (Paragrafenkette)

• § 43a Abs. 2 BRAO — Verschwiegenheit
• § 43e BRAO — IT-Dienstleister-Anforderungen
• Art. 28 DSGVO — AVV-Pflicht
• Art. 5 Abs. 1 lit. c KI-VO — Verbotene biometrische Praktiken
• § 87 Abs. 1 Nr. 6 BetrVG — Mitbestimmung bei technischen Ueberwachungssystemen

Triage zu Beginn

1. Welche KI-Systeme werden in der Kanzlei eingesetzt — ist eine Freigabeliste vorhanden?
2. Gibt es bereits einen Compliance-Regelsatz oder wird er neu erstellt?
3. Ist ein Betriebsrat vorhanden — wurde nach § 87 Abs. 1 Nr. 6 BetrVG eingebunden?
4. Sind alle Mitarbeiter ueber das Privat-Account-Verbot und die Anonymisierungspflicht informiert?
5. Gibt es Schulungsunterlagen zum Compliance-Regelsatz?

• Was will der Mandant wirklich erreichen? (Nicht: was steht im Standardweg, sondern: welches Ergebnis ist fuer den Mandanten persoenlich/wirtschaftlich das beste? Manchmal ist der schnellere Vergleich besser als der formal "richtige" Weg.)

Output-Template — Compliance-Regelsatz KI (10 Gebote)

Adressat: Alle Kanzlei-Mitarbeiter — Tonfall: verbindlich, klar

COMPLIANCE-REGELSATZ KI-EINSATZ — [KANZLEI]
Stand: [DATUM] — Version: [VERSIONSNUMMER]
VERBINDLICH FUER ALLE MITARBEITERINNEN UND MITARBEITER

1. KEIN PRIVAT-ACCOUNT: Nur freigegebene Kanzlei-Accounts verwenden.
2. KEINE MANDATSDATEN OHNE ANONYMISIERUNG: Vor jeder KI-Eingabe pseudonymisieren.
3. KEIN PDF-UPLOAD OHNE AVV: Dokumente nur in Systeme mit Art. 28 DSGVO-AVV hochladen.
4. KEINE UNKRITISCHE UEBERNAHME: Jede KI-Ausgabe ist vor Verwendung menschlich zu pruefen.
5. KENNZEICHNUNGSPFLICHT: KI-generierte Inhalte im Schriftsatz als solche kennzeichnen.
6. QUELLENVERIFIZIERUNG: Jede Rechtsprechungs-Fundstelle gegen amtliche Quellen pruefen.
7. KEINE VERTRAULICHEN DATEN IN NICHT-FREIGEGEBENE SYSTEME.
8. MELDEPFLICHT: Sicherheitsvorfall oder ungewoehnliches KI-Verhalten sofort melden an: [KONTAKT].
9. SCHULUNGSPFLICHT: Jaehrliche KI-Pflichtschulung erforderlich.
10. COMPLIANCE-OFFICER KONTAKTIEREN bei Unsicherheit: [KONTAKT].

Verabschiedet von: [GESCHAEFTSFUEHRUNG], [DATUM]