Kostenlos beraten
§43e BRAO Compliance für KI-Tools in deutschen Kanzleien
compliance

§43e BRAO KI: Berufsrechtliche Anforderungen für Kanzleien

Kurzantwort

§43e BRAO erlaubt den KI-API-Einsatz in Kanzleien, wenn der Dienstleister schriftlich zur Verschwiegenheit verpflichtet und über §203 StGB belehrt wird, keine Trainingsdatennutzung stattfindet, Unterauftragnehmer eingebunden sind und Lösch- sowie Exit-Regelungen im Vertrag stehen.

  • §43e BRAO gilt bei jeder KI-API, die Mandatsdaten verarbeitet — unabhängig vom Anbieter.
  • Eine §203-StGB-Belehrung im Dienstleistervertrag ist berufsrechtliche Pflicht — ein AVV nach DSGVO reicht allein nicht aus.
  • Mandanteneinwilligung nach §43e Abs. 5 BRAO ist erforderlich, wenn Daten über den Auftragszweck hinaus verarbeitet werden.

§43e BRAO erlaubt Kanzleien, externe Dienstleister — darunter KI-API-Anbieter wie OpenAI, Anthropic oder Microsoft Azure — für die Verarbeitung mandatsbezogener Informationen einzusetzen, wenn bestimmte Vertrags- und Aufsichtspflichten erfüllt sind. Die Norm verpflichtet Kanzleien, Dienstleister schriftlich zur Verschwiegenheit zu verpflichten, sie über §203 StGB zu belehren, No-Training-Klauseln zu vereinbaren, Unterauftragnehmer zu regeln sowie Lösch- und Exit-Bedingungen vertraglich festzulegen — bevor Mandatsdaten in ein externes KI-System gelangen.

Was regelt §43e BRAO?

§43e BRAO wurde mit der BRAO-Reform 2022 (in Kraft ab 1. August 2022) in die Bundesrechtsanwaltsordnung aufgenommen. Die Norm schließt eine bis dahin bestehende Lücke des Berufsrechts: Es fehlte eine ausdrückliche Erlaubnisgrundlage dafür, externe Dienstleister mit mandatsbezogenen Aufgaben zu beauftragen, ohne die anwaltliche Verschwiegenheitspflicht zu verletzen.

§43e Abs. 1 BRAO erlaubt Rechtsanwältinnen und Rechtsanwälten, bei ihrer Berufsausübung Dienstleister einzuschalten, die bei der Verarbeitung von Informationen mitwirken, die der anwaltlichen Verschwiegenheitspflicht nach §43a Abs. 2 BRAO unterliegen. Die Norm nennt ausdrücklich Systeme der Informationsverarbeitung — also KI-APIs, Cloud-Dienste, juristische Analysesoftware und externe Dokumentenplattformen.

§43e BRAO ist damit die zentrale berufsrechtliche Norm für den KI-Einsatz in Kanzleien. Die Erlaubnis gilt — aber nur zusammen mit den in Absatz 3 normierten Pflichten.

Warum §43e BRAO bei jeder KI-API greift

Sobald eine Kanzlei Mandatsdaten — Sachverhalte, Schriftsätze, Vertragsentwürfe, Parteiinformationen — in eine externe KI-API überträgt, liegt eine Einschaltung eines Dienstleisters im Sinne von §43e Abs. 1 BRAO vor. Maßgebend ist nicht das Anbietermodell oder die Vertragsbezeichnung, sondern allein die Frage: Verlassen vertrauliche Mandantsinformationen die Kanzleisphäre in Richtung eines Dritten?

Die Verknüpfung mit §43a BRAO ist entscheidend: §43a Abs. 2 BRAO verpflichtet Rechtsanwältinnen und Rechtsanwälte, das Mandatsgeheimnis auch gegenüber Dritten zu wahren, die im Rahmen des Mandats hinzugezogen werden. §43e BRAO operationalisiert diese Pflicht für die digitale Praxis und legt fest, wie der Schutz beim externen Dienstleister vertraglich und organisatorisch umzusetzen ist.

Praktische Konsequenz: Kein KI-API-Einsatz mit Mandatsdaten ohne §43e-BRAO-konforme Vertragsgrundlage. Das gilt für KI-Schreibassistenten und juristische Recherche-APIs ebenso wie für automatisierte Dokumentenanalyse oder KI-gestützte Mandantenkommunikation.

Anforderungen nach §43e Abs. 3 BRAO im Überblick

§43e Abs. 3 BRAO definiert die vertraglichen und organisatorischen Mindestpflichten, die vor dem KI-API-Einsatz mit Mandatsdaten erfüllt sein müssen.

Schriftliche Verpflichtung mit Belehrung über §203 StGB

Der Dienstleister muss schriftlich zur Verschwiegenheit verpflichtet werden. Zusätzlich ist er ausdrücklich über die Strafbarkeit nach §203 StGB zu belehren — der Vorschrift, die die unbefugte Offenbarung von Berufsgeheimnissen unter Strafe stellt und auch auf Personen anwendbar ist, an die ein Berufsgeheimnisträger Informationen weitergibt.

Diese Anforderung geht weit über einen Standard-Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO hinaus. Ein AVV enthält keine §203-Belehrung. Kanzleien müssen den Dienstleistervertrag um diese berufsrechtliche Komponente ergänzen — als eigenständige Klausel oder in einem gesonderten Berufsrechtsanhang.

No-Training-Klausel und Zweckbindung

Mandatsdaten dürfen vom Dienstleister ausschließlich für den konkreten Auftragszweck verarbeitet werden. Eine Nutzung zur Modellverbesserung, für eigene Analysen oder das Training von KI-Systemen ist mit §43e BRAO unvereinbar.

Für KI-APIs erfordert das eine ausdrückliche No-Training-Klausel im Vertrag. API-Bedingungen großer Anbieter schließen Trainingsdatennutzung häufig standardmäßig aus — diese Vertragsgrundlage muss jedoch geprüft, dokumentiert und aktiv überwacht werden. Eine Anbieter-Website-Aussage ersetzt keine vertragliche Zusicherung.

Regelung für Unterauftragsverarbeiter

§43e Abs. 3 BRAO verpflichtet den Dienstleister, seinerseits Unterauftragnehmer entsprechend zu verpflichten. KI-Anbieter nutzen regelmäßig Cloud-Infrastruktur, Monitoring-Dienste und Sicherheitstools von Drittanbietern. Für Kanzleien bedeutet das: Die Verschwiegenheits- und Zweckbindungskette muss durch die gesamte Verarbeitungskette nachvollziehbar sein.

Kanzleien sollten die Unterauftragnehmerliste beim KI-Anbieter anfordern und prüfen, ob alle beteiligten Dritten ihrerseits berufsrechtskonform eingebunden und verpflichtet sind.

Lösch- und Exit-Regelungen

Der Dienstleistervertrag muss regeln, wann und wie Mandatsdaten beim Anbieter gelöscht werden — sowohl laufend (temporäre Speicherung, Logs, Inference-Zwischenspeicher) als auch bei Vertragsende. Exit-Regelungen, also die datenschutzkonforme Übergabe oder Vernichtung aller gespeicherten Mandatsdaten beim Anbieterwechsel, sind berufsrechtlich vorzusehen und technisch umzusetzen.

Mandanteneinwilligung nach §43e Abs. 5 BRAO — wann nötig?

§43e Abs. 5 BRAO adressiert besondere Konstellationen: Wenn der Dienstleister Mandatsdaten über die konkrete Beauftragung hinaus verarbeitet oder der Einsatz eines Dienstleisters dem Mandanten nicht erkennbar zumutbar war, ist eine ausdrückliche Mandanteneinwilligung erforderlich.

Bei KI-APIs liegt diese Grenze nicht allein darin, dass eine KI im Kanzleiprozess eingesetzt wird — die Einschaltung von IT-Dienstleistern für Mandatsarbeit ist berufsrechtlich zulässig und verbreitet. Einwilligungspflichtig wird es, wenn:

  • Mandatsdaten für Zwecke außerhalb des konkreten Auftrags ausgewertet werden
  • der Anbieter Daten speichert oder für eigene Produktzwecke nutzt
  • KI-Ausgaben an Mandanten weitergegeben werden, ohne dass der KI-Einsatz erkennbar ist
  • besonders sensibles Datenmaterial (Strafrecht, M&A, Unternehmensgeheimnisse) in externe Systeme überführt wird

Die BRAK-Hinweise vom Dezember 2024 empfehlen Kanzleien, Mandanten bei sensiblen Datenkategorien proaktiv über den KI-Einsatz zu informieren — auch dort, wo eine förmliche Einwilligung nach §43e Abs. 5 BRAO nicht in jedem Einzelfall zwingend erforderlich ist. Transparenz ist berufsrechtlich sauber und praktisch die Grundlage für Mandantenvertrauen.

§43e BRAO und DSGVO — wie verhält sich das?

§43e BRAO und Art. 28 DSGVO schützen unterschiedliche Rechtsgüter und gelten kumulativ. Ein AVV allein erfüllt die Anforderungen des §43e BRAO nicht.

Merkmal§43e BRAOArt. 28 DSGVO (AVV)
RechtsgrundlageBerufsrecht (BRAO)Datenschutz-Grundverordnung
SchutzgutAnwaltliche Verschwiegenheit, §203 StGBPersonenbezogene Daten
§203 StGB-BelehrungPflichtNicht vorgesehen
No-Training-KlauselPflichtNicht zwingend
ZweckbindungPflichtPflicht (Art. 28 Abs. 3 lit. b)
UnterauftragnehmerPflichtPflicht (Art. 28 Abs. 4)
LöschregelungPflichtPflicht

Kanzleien brauchen beide Vertragswerke: den AVV für den datenschutzrechtlichen Rahmen nach Art. 28 DSGVO und eine ergänzende §43e-BRAO-konforme Klausel für die berufsrechtlichen Pflichten. Die DAV-Stellungnahme 2025 hat explizit hervorgehoben, dass das anwaltliche Berufsrecht höhere Anforderungen stellt als der DSGVO-Standard — wer nur einen AVV vorweisen kann, hat §43e BRAO nicht erfüllt.

Checkliste §43e BRAO-Compliance für KI-Tools

Vor dem produktiven Einsatz einer KI-API mit Mandatsdaten sollte jede Kanzlei folgende Punkte sichergestellt haben:

  1. §43e-BRAO-Klausel im Dienstleistervertrag — schriftliche Verschwiegenheitsverpflichtung mit ausdrücklicher §203-StGB-Belehrung
  2. No-Training-Klausel ausdrücklich vereinbart — Mandatsdaten werden nicht für Modelltraining oder Produktverbesserung genutzt
  3. Zweckbindung dokumentiert — keine Verarbeitung über den konkreten Auftragszweck hinaus
  4. Unterauftragnehmer bekannt, gelistet und ihrerseits vertraglich verpflichtet
  5. Lösch- und Exit-Regelungen schriftlich vereinbart und technisch umgesetzt
  6. AVV nach Art. 28 DSGVO abgeschlossen — ergänzend zu §43e BRAO, nicht ersetzend
  7. Mandanteneinwilligung nach §43e Abs. 5 BRAO geprüft — insbesondere bei sensiblen Datenkategorien
  8. Interne KI-Nutzungsrichtlinie vorhanden — freigegebene Tools, verbotene Datenkategorien, Freigabeverfahren
  9. Schulungsdokumentation nach Art. 4 EU AI Act — KI-Kompetenz der Nutzenden nachweisbar
  10. Pilotbetrieb mit definierten Testmandaten vor flächendeckendem Rollout

Weiterführende Informationen

FAQ

Was schreibt §43e Abs. 3 BRAO vor?

§43e Abs. 3 BRAO verpflichtet Kanzleien, vor dem Einsatz eines Dienstleisters für mandatsbezogene Aufgaben Folgendes sicherzustellen: (1) schriftliche Verschwiegenheitsverpflichtung des Dienstleisters mit Belehrung über §203 StGB, (2) Zweckbindung und No-Training-Klausel, (3) Weitergabe der Verschwiegenheitspflichten an Unterauftragnehmer des Dienstleisters, (4) schriftliche Lösch- und Exit-Regelungen. Diese Pflichten gelten kumulativ — es reicht nicht, nur einige davon zu erfüllen.

Braucht man für KI-APIs eine Mandanteneinwilligung nach §43e Abs. 5 BRAO?

Nicht generell. §43e Abs. 5 BRAO sieht eine Mandanteneinwilligung vor, wenn der Dienstleister Mandatsdaten über den konkreten Auftragszweck hinaus verarbeitet oder wenn der Einsatz dem Mandanten nicht ohne Weiteres erkennbar zumutbar war. Bei Standard-KI-Workflows im Kanzleibetrieb — Recherche, Entwurf, Zusammenfassung — ist die Einwilligungsschwelle nicht automatisch erreicht. Die BRAK empfiehlt bei sensiblem Datenmaterial dennoch proaktive Transparenz.

Was passiert bei einem Verstoß gegen §43e BRAO?

Verstöße gegen §43e BRAO können berufsrechtliche Konsequenzen auslösen: Rüge, Warnung, Geldbuße oder weitergehende Maßnahmen durch die zuständige Rechtsanwaltskammer nach §§ 113 ff. BRAO. Darüber hinaus drohen zivilrechtliche Haftungsansprüche der betroffenen Mandanten. Wenn der Dienstleister infolge fehlender §203-StGB-Belehrung Mandatsgeheimnisse offenbart, ist das strafrechtlich relevant.

Reicht ein AVV nach DSGVO für den KI-API-Einsatz in Kanzleien aus?

Nein. Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO regelt den datenschutzrechtlichen Rahmen — er enthält aber weder eine Belehrung über §203 StGB noch eine berufsrechtliche Zweckbindungsverpflichtung im Sinne des §43e BRAO. Beide Regelwerke sind nebeneinander anzuwenden. Ein nur-DSGVO-konfigurieter Dienstleistervertrag erfüllt die berufsrechtlichen Anforderungen nicht.

Nächster Schritt

Compound Law berät Kanzleien und Rechtsabteilungen bei der §43e-BRAO-konformen Konfiguration von KI-Tools — von der Vertragsgestaltung mit KI-Anbietern über die berufsrechtliche Strukturierung des Betriebskonzepts bis zur DSGVO-Compliance. Wenn Ihre Kanzlei einen KI-Rollout plant oder einen bestehenden Einsatz berufsrechtlich absichern möchte, ist eine strukturierte Prüfung der richtige Ausgangspunkt.

Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für Ihre konkrete Situation empfehlen wir die Beratung durch einen Rechtsanwalt.

Weitere Compliance-Guides

KI-Bildgenerierung Compliance in Deutschland
compliance

KI-Bildgenerierung DSGVO 2026: Compliance-Leitfaden fuer Deutschland

KI-Bildgenerierung DSGVO-konform nutzen: Midjourney, DALL-E, Adobe Firefly und Stable Diffusion im Compliance-Check fuer deutsche Unternehmen 2026.
Enterprise Search DSGVO KI-Unternehmenssuche Compliance Deutschland
compliance

Enterprise Search DSGVO: KI-Unternehmenssuche rechtssicher einsetzen

KI-Unternehmenssuche DSGVO: Was Unternehmen bei Microsoft Copilot und Google Workspace AI bezüglich AVV, BetrVG und SCCs beachten müssen.
KI-API BRAO Compliance-Guide für Kanzleien in Deutschland
compliance

KI-APIs in der Kanzlei: Was §43a BRAO und DSGVO vorschreiben

KI-APIs in der Kanzlei rechtssicher einsetzen: §43a BRAO, §43e BRAO und DSGVO-Anforderungen für ChatGPT, Claude und andere KI-Tools im anwaltlichen Betrieb.

Häufige Fragen

Was schreibt §43e Abs. 3 BRAO vor?

§43e Abs. 3 BRAO verpflichtet Kanzleien, Dienstleister schriftlich zur Verschwiegenheit zu verpflichten und über §203 StGB zu belehren, eine No-Training-Klausel und Zweckbindung zu vereinbaren, Unterauftragnehmer ihrerseits zu verpflichten sowie Lösch- und Exit-Regelungen schriftlich festzulegen.

Braucht man für den KI-API-Einsatz eine Mandanteneinwilligung nach §43e BRAO?

Nicht generell. §43e Abs. 5 BRAO sieht eine Mandanteneinwilligung vor, wenn Mandatsdaten über den konkreten Auftragszweck hinaus verarbeitet werden oder der KI-Einsatz dem Mandanten nicht erkennbar zumutbar war. Bei sensiblem Datenmaterial empfiehlt die BRAK proaktive Transparenz gegenüber Mandanten.

Was passiert bei einem Verstoß gegen §43e BRAO?

Verstöße können berufsrechtliche Konsequenzen auslösen: Rüge, Warnung oder Maßnahmen durch die zuständige Rechtsanwaltskammer. Daneben drohen zivilrechtliche Haftungsansprüche betroffener Mandanten. §203 StGB-Verstöße durch den Dienstleister sind strafbar.

Reicht ein AVV nach DSGVO für den KI-API-Einsatz in Kanzleien aus?

Nein. Ein AVV nach Art. 28 DSGVO regelt den datenschutzrechtlichen Rahmen, enthält aber weder eine §203-StGB-Belehrung noch eine berufsrechtliche No-Training-Klausel. §43e BRAO verlangt darüber hinausgehende Vertragspflichten — beide Regelwerke müssen kombiniert werden.

Kostenlos beraten