KI-Governance und Berufsrecht

KI-Governance und Berufsrecht

Triage — klaere vor KI-Einsatz

1. Welche KI-Werkzeuge werden eingesetzt (generative KI, Dokumentenanalyse, Recherche)?
2. Welche Mandatsdaten werden verarbeitet (anonym, pseudonymisiert, im Klartext)?
3. Werden Daten an externe Server uebertragen? (Datenschutz; Mandatsgeheimnis)
4. Muss der Mandant ueber KI-Einsatz informiert werden?
5. Wer traegt Verantwortung fuer KI-generierte Ergebnisse (Qualitatskontrolle)?
6. EU-KI-VO (AI Act): In welche Risikoklasse faellt der Anwendungsfall?

• Was will der Mandant wirklich erreichen? (Nicht: was steht im Standardweg, sondern: welches Ergebnis ist fuer den Mandanten persoenlich/wirtschaftlich das beste? Manchmal ist der schnellere Vergleich besser als der formal "richtige" Weg.)

Zentrale Normen

• § 43a BRAO — Verschwiegenheitspflicht; mandatsrelevante Daten duerfen nicht an Dritte weitergegeben werden
• § 2 BORA — Berufsrechtliche Sorgfalt; KI-Ergebnisse muessen qualitaetsgesichert werden
• Art. 6, 9 DSGVO — Rechtsgrundlage fuer Datenverarbeitung; besondere Kategorien; Auftragsverarbeitung (Art. 28)
• EU-KI-VO (AI Act, Verordnung (EU) 2024/1689) — Hochrisiko-KI-Systeme (Art. 6); verbotene KI (Art. 5); Transparenzpflichten
• § 93 AktG / § 43 GmbHG — BJR: Entscheidungen auf KI-Basis muessen angemessen begruendet und kontrolliert sein

Aktuelle Rechtsprechung

• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
• CCBE/BRAK Stellungnahme 2023 — Berufsrechtliche Hinweise zu KI in Kanzleien: Mandanteninformation empfohlen; keine Verarbeitung mandatsrelevanter Daten ohne Einwilligung in Drittland-KI-Dienste

Quellenregel

Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen; Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff.

KI-Risikoklassen (EU-KI-VO): Relevanz fuer Kanzleien

Kanzlei-Anwendungen (Dokumentenanalyse, Rechercheassistenz): meist minimales bis begrenztes Risiko, wenn kein Endentscheid delegiert wird.

DSGVO-Compliance fuer KI-Werkzeuge

Schritt-fuer-Schritt-Workflow

Vorab: Der untenstehende Workflow ist die typische Standardlinie. Wenn die Mandantenlage abweicht (siehe "Strategische Optionen" oben), sind die Schritte entsprechend zu verkuerzen, umzustellen oder durch ein anderes Skill zu ersetzen — der Workflow ist Leitfaden, nicht Pflichtprogramm.

1. KI-Werkzeug evaluieren — Anbieter; Rechenzentrum; Daten-Policies; EU-KI-VO-Einordnung
2. AVV abschliessen — mit Anbieter nach Art. 28 DSGVO; Drittland-SCC falls noetig
3. Mandanteninformation — bei Verarbeitung personenbezogener oder mandatsrelevanter Daten informieren
4. Pseudonymisierungs-Protokoll — Mandantennamen ersetzen; Sachverhalte entpersonalisieren bevor Eingabe in KI
5. Qualitaetssicherung — jedes KI-Ergebnis durch Anwalt inhaltlich pruefen; kein blindes Uebernehmen
6. Dokumentation — wann wurde KI eingesetzt; wie wurde Ergebnis geprueft; Akte dokumentiert
7. Fehlerprotokoll — bei KI-Irrtum: korrigieren; Mandant informieren; Verbesserung

Strategische Optionen (vor dem Template entscheiden)

Bevor das Template eins-zu-eins gefuellt wird, ist zu pruefen welche Variante zur Mandantenkonstellation passt. Das Template ist eine moegliche Form — nicht die einzige.

Wenn die Mandantenkonstellation nicht ins Standardschema passt, ist das Template anzupassen oder durch ein anderes Skill abzuloesen — nicht das Mandat in das Schema zu pressen.

Output-Template KI-Einsatzdokumentation

KI-EINSATZDOKUMENTATION
Mandat: [MATTER-NR.]
Aufgabe: [Beschreibung z.B. "Dokumentenanalyse 45 Vertraege im Datenraum"]
KI-Werkzeug: [WERKZEUGNAME, Anbieter, Version]
Datum: [DATUM]

VERWENDETE DATEN:
[ ] Mandatsrelevante Daten verarbeitet — Pseudonymisierung erfolgt am [DATUM]
[ ] Nur allgemeine Rechts-/Sachinformationen

AVV MIT ANBIETER: [Ja, vom DATUM / Nein, bitte nachtragen]

QUALITAETSSICHERUNG:
KI-Output reviewed von: [NAME, Funktion]
Methode: [Stichprobenpruefung X % / Vollpruefung]
Abweichungen von KI-Output: [Keine / Beschreibung der Korrekturen]

MANDANTENINFORMATION:
[ ] Mandant informiert ueber KI-Einsatz am [DATUM]
[ ] Nicht informiert — Begruendung: [Nur allg. Recherche; keine mandantenspez. Daten]

FAZIT: KI-Ergebnisse wurden angemessen geprueft; Eigenverantwortung des Anwalts gewahrt.

--- vor Versand klaeren ---

1. Welches Verhandlungsziel hat der Mandant? [Bestand / Abfindung / Reputation / Schnelle Loesung]
2. Welche Kompromisslinien sind absolut? [Mindestabfindung / Freistellung / Zeugnisformulierung]
3. Sind Anschlusswege erwuenscht? [Mediation / Direktgespraech / Settlement vor Klageerhebung]

Rote Schwellen

• Mandatsrelevante Daten ohne AVV in Drittland-KI-Dienst → DSGVO-Verstoss; Bussgelder
• KI-Ergebnis ohne Qualitaetspruefung weitergegeben → Anwaltshaftung; § 2 BORA
• KI-gestutzte Entscheidung ohne Dokumentation → kein BJR-Schutz (§ 93 AktG)
• EU-KI-VO Hochrisiko-System ohne Konformitaetsbewertung → ab 2026 Bussgeld bis 30 Mio. EUR oder 6 % Weltumsatz

Quellen

• § 43a BRAO; Art. 6, 9, 28 DSGVO; EU-KI-VO (EU) 2024/1689; § 93 AktG
• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
• Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen zitieren. Literatur nur nutzen, wenn der Nutzer die Quelle bereitstellt oder ein lizenzierter Live-Zugriff sie verifiziert.