KI-APIs in der Kanzlei: Was §43a BRAO und DSGVO vorschreiben

Kurzantwort

Kanzleien duerfen KI-APIs wie ChatGPT, Claude oder Gemini nutzen. §43a BRAO greift, sobald Mandatsdaten an eine externe API gehen: AVV, Unterauftragsverarbeiterpruefung und BRAO-konforme Vertraulichkeitsarchitektur sind vor dem produktiven KI-Einsatz erforderlich.

• Die Verschwiegenheitspflicht nach §43a BRAO gilt auch gegenüber externen KI-Dienstleistern, die Mandatsdaten verarbeiten.
• §43e BRAO verpflichtet zur fachlichen Aufsicht über KI-gestützte Arbeitsergebnisse.
• Ein AVV nach Art. 28 DSGVO ist Pflicht, reicht aber allein nicht aus — die berufsrechtliche Prüfung ist gesondert zu führen.

Kanzleien in Deutschland dürfen KI-APIs nutzen — darunter ChatGPT (OpenAI API), Claude (Anthropic API) und Gemini —, sobald jedoch Mandatsdaten in ein externes Modell gelangen, greift §43a BRAO. Die Übermittlung stellt eine Auftragsdatenverarbeitung dar, die nach Berufsrecht und Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV), eine Unterauftragnehmerprüfung und eine strukturierte Vertraulichkeitsarchitektur erfordert. Wer KI-APIs ohne diesen Rahmen einsetzt, riskiert berufsrechtliche Konsequenzen.

Dieser Leitfaden erläutert, was BRAO, BORA und DSGVO für den KI-API-Einsatz in Kanzleien vorschreiben — und wie eine konforme Konfiguration in der Praxis aussieht.

Dürfen Kanzleien KI-APIs einsetzen?

Ja — mit der richtigen Struktur. Die Bundesrechtsanwaltsordnung enthält kein generelles Verbot des KI-API-Einsatzes. Die Bundesrechtsanwaltskammer (BRAK) hat dies in ihren Hinweisen vom Dezember 2024 bestätigt: KI-Tools sind zulässig, wenn Kanzleien Verschwiegenheit, Aufsichtspflicht, Datenschutz und Transparenzanforderungen in einem konsistenten Betriebskonzept erfüllen.

Entscheidend ist, dass „KI-API nutzen” keine einheitliche Rechtsfrage ist. Die Antwort hängt ab von:

• welche Daten in die API eingespeist werden (öffentliche Recherche vs. Mandatsunterlagen)
• wie die Anbieterbeziehung vertraglich ausgestaltet ist
• wo Daten verarbeitet und gespeichert werden
• welche menschliche Kontrolle vorgesehen ist
• wie Kanzlei und Anwälte dies dokumentieren

Eine Kanzlei, die KI-gestützte Vertragsklauseln in einer abgesicherten Umgebung entwickelt, hat eine andere Ausgangslage als eine Kanzlei, die ungefilterte Mandatsunterlagen und Korrespondenz unklassifiziert in eine externe API überträgt.

§43a BRAO: Verschwiegenheitspflicht und KI-APIs

§43a BRAO normiert die anwaltliche Verschwiegenheitspflicht: Alles, was der Rechtsanwalt in Ausübung seines Berufs erfährt, unterliegt der Schweigepflicht — auch gegenüber Dritten, die im Rahmen des Mandats hinzugezogen werden.

Sobald Mandatsdaten an eine externe KI-API übermittelt werden, verarbeitet der Anbieter diese Informationen als Dienstleister. Nach §43a Abs. 2 BRAO muss der Rechtsanwalt sicherstellen, dass auch diese Dritten den Geheimnisschutz wahren.

Was das konkret bedeutet

Ein BRAO-konformer KI-API-Einsatz setzt voraus:

• einen schriftlichen Vertrag mit dem Anbieter, der eine ausdrückliche Verschwiegenheitsverpflichtung für Mandatsdaten enthält
• einen AVV nach Art. 28 DSGVO, der Datenkategorien, Verarbeitungszweck, Unterauftragnehmer, Sicherheitsmaßnahmen und Löschfristen regelt
• Zweckbindung: Der Anbieter darf Mandatsdaten nicht für das Training von Modellen oder zur Produktverbesserung verwenden
• Zugriffskontrollen, die unbefugten internen oder anbieterseitigen Zugriff auf Mandatsunterlagen verhindern
• dokumentierte Löschkonzepte, die technisch umgesetzt sind

Die BRAK-Hinweise von 2024 betonen ausdrücklich die Sorgfaltspflichten gegenüber ausländischen Dienstleistern: Bei US-amerikanischen Anbietern sind Drittlandtransfer-Mechanismen und die vertragliche Absicherung der Verschwiegenheit neben der DSGVO-Compliance gesondert zu prüfen.

Was §43a BRAO nicht erfüllt

Nur einen AVV zu unterzeichnen genügt nicht. Der AVV regelt den datenschutzrechtlichen Rahmen, ersetzt aber nicht die berufsrechtliche Pflicht nach §43a BRAO. Dafür braucht es zusätzlich eine ausdrückliche vertragliche Verschwiegenheitsverpflichtung, eine Zweckbindung für Mandatsdaten und ein dokumentiertes Betriebskonzept — kein bloßes Standard-Vertragswerk.

§43e BRAO: Aufsichtspflicht bei KI-gestützter Rechtsarbeit

§43e BRAO verpflichtet Rechtsanwälte, die fachliche Aufsicht über KI-gestützte Tätigkeiten zu führen. Wer Recherche, Entwurf oder Analyse an ein KI-System delegiert, bleibt berufsrechtlich vollständig verantwortlich für das Ergebnis.

Die praktischen Konsequenzen sind erheblich:

• KI-generierte Dokumente (Verträge, Schriftsätze, Rechtsgutachten) müssen vor der Verwendung von einem qualifizierten Anwalt geprüft werden
• rechtliche Schlussfolgerungen aus KI-Ausgaben müssen vom verantwortlichen Anwalt verifiziert werden
• KI-generierte Zitate und Fundstellen sind vor der Verwendung auf Richtigkeit zu überprüfen
• mandantenseitige Kommunikation darf nicht ohne Freigabe durch den verantwortlichen Anwalt versandt werden

§43e BRAO verbietet KI-gestützte Workflows nicht — er fordert substanzielle menschliche Kontrolle. Ein Workflow, bei dem Anwälte eine KI-API für Recherche, Erstfassungen oder Klauselvergleiche einsetzen und die Ergebnisse konsequent prüfen, ist strukturell tragfähig. Ein Workflow, bei dem KI-Ausgaben ungefiltert an Mandanten oder Gerichte gelangen, ist es nicht.

KI-Kompetenz nach dem EU AI Act

Art. 4 EU AI Act gilt seit 2. Februar 2025 und verpflichtet Anbieter und Betreiber von KI-Systemen, sicherzustellen, dass die mit KI arbeitenden Personen über ausreichende KI-Kompetenz verfügen. Für Kanzleien bedeutet das Schulungen zu:

• Möglichkeiten und Grenzen der eingesetzten KI-Tools
• Halluzinationsrisiko und Erkennung unzuverlässiger Ausgaben
• berufsrechtlichen Pflichten bei KI-gestützter Rechtsarbeit
• kanzleiinternen Freigabe- und Eskalationsverfahren

Dies ist keine einmalige Einweisung, sondern eine dokumentierte und fortzuschreibende Schulungspflicht.

BORA §2: Unabhängigkeit und Sachlichkeitsgebot

§2 BORA schützt die anwaltliche Unabhängigkeit. Die Wahl von KI-Tools kann problematisch werden, wenn Anbieter die rechtliche Entscheidungsfindung beeinflussen, Abhängigkeiten schaffen oder den Tool-Zugang an kommerzielle Interessen knüpfen.

Bei der Auswahl von KI-APIs sollten Kanzleien sicherstellen, dass:

• die Toolauswahl einer objektiven Eignungsprüfung folgt, nicht Marketingbeziehungen
• KI-Empfehlungen zur Rechtsstrategie klar als Maschinenergebnis gekennzeichnet sind, nicht als Rechtsurteil
• kein Vendor-Lock-in besteht, der einen Anbieterwechsel bei veränderter Vertrags- oder Compliance-Lage verhindert
• die eingesetzten Tools keine nicht offenbarten Interessenkonflikte mit Mandanteninteressen begründen

In der Praxis spielen §2 BORA-Fragen vor allem bei Kanzleien eine Rolle, die KI-gestützte Mandantenprodukte entwickeln oder KI tiefgreifend in Mandatsmanagementsysteme integrieren.

Mandatsgeheimnis und KI-APIs

Das anwaltliche Zeugnisverweigerungsrecht und die berufliche Verschwiegenheitspflicht schützen mandatsbezogene Informationen vor Offenbarung. Wenn Mandatsdaten von einem externen KI-Anbieter verarbeitet werden, erstreckt sich dieser Schutz nicht automatisch auf dessen Infrastruktur, Mitarbeiter oder Protokolle.

Das schafft ein spezifisches Risiko: Wenn Anbietersysteme Strafverfolgungsbehörden, Datenpannen oder Regulierungsaufsicht in einem anderen Rechtskreis ausgesetzt sind, ist der Schutz der zugrunde liegenden Mandantendaten möglicherweise nicht gewährleistet.

Kanzleien sollten prüfen:

• ob der gewählte Anbieter in Deutschland oder außerhalb der EU Datenzugangsanfragen ausgesetzt sein kann
• wie gespeicherte Mandatsdaten in der Anbieterinfrastruktur geschützt sind
• wie die Kanzlei auf einen anbieterseitigen Vorfall mit Auswirkung auf die Mandantsvertraulichkeit reagieren würde

Für grenzüberschreitende Mandate und sensible Materie (Litigation, M&A, Regulierungsverfahren, Strafrecht) ist diese Analyse besonders wichtig.

DSGVO-Anforderungen für Kanzleien beim KI-API-Einsatz

Der Einsatz von KI-APIs im Rechtsbereich betrifft fast immer personenbezogene Daten: Mandantennamen, Finanzdaten, Mitarbeiterdaten, Informationen über Gegenseiten oder Sachverhaltsschilderungen. Das DSGVO-Regime gilt parallel zum Berufsrecht.

Auftragsverarbeitungsvertrag (Art. 28 DSGVO)

Ein AVV ist Pflicht, wenn eine Kanzlei einen KI-Anbieter mit der Verarbeitung personenbezogener Daten als Auftragsverarbeiter einsetzt. Der AVV muss Datenkategorien, Verarbeitungszweck, Unterauftragnehmer, technisch-organisatorische Maßnahmen, Löschfristen und Einschränkungen beim Support-Zugang regeln.

Rechtsgrundlage

Kanzleien stützen die Verarbeitung von Mandantendaten typischerweise auf Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) oder Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung). Ob diese Rechtsgrundlage auch den KI-Verarbeitungsschritt trägt, ist zu prüfen — insbesondere wenn der Anbieter Daten für eigene Zwecke nutzen könnte.

Besondere Kategorien personenbezogener Daten

Mandatsdaten enthalten häufig Art. 9 DSGVO-Datenkategorien: Gesundheitsdaten, strafrechtliche Informationen, Gewerkschaftszugehörigkeit oder Informationen über finanzielle Verhältnisse. Deren Verarbeitung über eine KI-API erfordert ausdrückliche Rechtsgrundlage und erhöhte Schutzmaßnahmen.

Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

Eine DSFA ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Betroffenen begründet. Für Kanzleien erreicht diese Schwelle regelmäßig, wer:

• systematisch große Mengen sensibler Mandantendaten verarbeitet
• KI zur Analyse oder Bewertung von Personen einsetzt
• strafrechtliche, gesundheitliche oder finanzielle Daten verarbeitet

Die DSFA muss vor Beginn der Verarbeitung vorliegen — nicht nachträglich.

Drittlandtransfers

Wenn KI-Anbieter Daten außerhalb des EWR verarbeiten, muss ein geeigneter Transfermechanismus bestehen: Angemessenheitsbeschluss, Standardvertragsklauseln (SCC) oder verbindliche interne Datenschutzvorschriften (BCR). Bei US-amerikanischen Anbietern ist dies eine akute Fragestellung. Die vertragliche Grundlage muss dokumentiert und nachweisbar sein.

Welche KI-APIs sind BRAO-kompatibel? Ein Bewertungsrahmen

Es gibt keine offizielle Liste BRAO-geprüfter KI-APIs. Die Compliance hängt von der konkreten Konfiguration ab, nicht allein vom Anbieter. Der folgende Rahmen hilft Kanzleien bei der Beurteilung jeder KI-API:

Kriterium	Was zu prüfen ist
AVV	Vorhanden, aktuell, deckt relevante Datenkategorien ab
Datenstandort	EU- oder Deutschland-basierte Verarbeitung verfügbar und gewählt
Unterauftragnehmer	Konkret benannt; Änderungen werden vorab mitgeteilt
Training	Mandatsdaten werden nicht für Modelltraining genutzt
Speicherung	Verarbeitung zweckgebunden; Löschfristen dokumentiert
Sicherheit	SOC 2, ISO 27001 oder gleichwertig; Meldepflichten bei Datenpannen
Support-Zugang	Menschlicher Zugriff auf Inhalte eingeschränkt und protokolliert
Verschwiegenheitsklausel	Ausdrückliche vertragliche Verpflichtung, nicht nur AVV-Standard

OpenAI API, Anthropic API und Azure OpenAI bieten alle AVVs an und werden von deutschen Kanzleien eingesetzt. Compliance ist jedoch keine Anbieter-Aussage — sie hängt von der konkreten Architektur, dem Datenstandort, den Datenkategorien und den vertraglichen sowie betrieblichen Kontrollen ab.

Unterauftragnehmer-Risiken für Kanzleien

Alle großen KI-Anbieter nutzen Unterauftragnehmer — Cloud-Infrastruktur, Monitoring-Tools, Sicherheitsdienste. Für Kanzleien ist jeder Unterauftragnehmer in der Verarbeitungskette ein potenzieller Verschwiegenheits- und DSGVO-Risikopunkt.

Vor dem Produktivbetrieb sollte eine Kanzlei:

• die Unterauftragnehmerliste beim Anbieter anfordern und prüfen, ob ein Unterauftragnehmer in Konflikt mit der Mandatsvertraulichkeit gerät
• sicherstellen, dass Art. 28 DSGVO-Pflichten vertraglich weitergegeben werden
• Änderungen bei Unterauftragnehmern beobachten — Anbieter sind verpflichtet, neue Unterauftragnehmer vorab zu melden; Kanzleien sollten einen Überwachungsprozess einrichten
• die Jurisdiktion bewerten: wo Unterauftragnehmer ihren Sitz haben, kann Auswirkungen auf Berufsgeheimnis, Datenzugangsrisiken und Transferkonformität haben

Für sensible Praxisbereiche kann die Unterauftragnehmer-Analyse rechtfertigen, einen Anbieter mit kürzerer, EU-verankerter Unterauftragnehmerkette zu bevorzugen.

Interne Governance: Was Kanzleien benötigen

Ein BRAO-konformer KI-API-Einsatz ist nicht nur eine Frage externer Verträge. Die interne Governance ist ebenso entscheidend:

KI-Nutzungsrichtlinie

Jede Kanzlei, die KI-APIs einsetzt, sollte eine schriftliche KI-Nutzungsrichtlinie haben, die regelt:

• welche KI-Tools für welche Datenkategorien freigegeben sind
• was grundsätzlich untersagt ist (z. B. das Hochladen ungefilterte Mandatsunterlagen, die Weitergabe von Mandatsstrategien)
• Vorgaben für Prompts und Umgang mit Ausgaben
• Protokollierungs- und Dokumentationspflichten
• Eskalations- und Vorfallsmanagementverfahren

Betriebsvereinbarung

Wenn die Kanzlei Arbeitnehmer beschäftigt, kann die Einführung von KI-Tools, die Arbeitsleistung überwachen, bewerten oder Arbeitsbedingungen beeinflussen, eine Betriebsvereinbarung nach dem Betriebsverfassungsgesetz erfordern. Dieser Aspekt sollte vor dem Rollout durch Rechts- und HR-Verantwortliche geklärt werden.

Datenschutz-Folgenabschätzung

Wie oben beschrieben ist bei Hochrisikoverarbeitungen eine DSFA Pflicht. Auch dort, wo sie nicht zwingend erforderlich ist, empfiehlt sich eine schlanke Datenschutzprüfung vor dem Rollout — sie reduziert spätere Haftungsrisiken.

Mitarbeiterschulungen

Die BRAO-Aufsichtspflichten sind mit der KI-Kompetenzverpflichtung nach Art. 4 EU AI Act zu verbinden: Alle Nutzer sollten zu den eingesetzten Tools, den geltenden Berufsregeln und den kanzleiinternen Freigabeverfahren geschult werden.

Checkliste: BRAO-konformer KI-API-Einsatz

Diese Checkliste sollte vor dem Produktivbetrieb einer KI-API in der Kanzlei abgearbeitet werden:

1. Anwendungsfall definieren — Recherche, Entwurf, Zusammenfassung oder Mandantenkommunikation? Welche Datenkategorien sind betroffen?
2. Daten klassifizieren — festlegen, was grundsätzlich nicht in eine API darf, was Pseudonymisierung erfordert und was freier genutzt werden kann
3. Anbieter prüfen — AVV, Unterauftragnehmer, Datenstandort, Trainingsverwendung, Löschfristen, Support-Zugang
4. BRAO-Vertraulichkeitsanalyse durchführen — §43a BRAO-Pflichten dem konkreten Betriebsmodell zuordnen
5. DSGVO-Anforderungen klären — Rechtsgrundlage, Transfermechanismen, DSFA bei Bedarf
6. Vertrag verhandeln — Verschwiegenheitsverpflichtungen über den AVV-Standard hinaus sichern
7. Interne Rollen und Freigaben definieren — wer darf die API nutzen, wer prüft KI-Ergebnisse, wer gibt frei
8. KI-Nutzungsrichtlinie erstellen — zulässige Einsatzbereiche, Verbote, Eskalationspfade
9. KI-Kompetenzmaßnahmen nach Art. 4 EU AI Act dokumentieren
10. Pilotbetrieb vor dem flächendeckenden Rollout

Wann externe Beratung sinnvoll ist

Externe Unterstützung ist besonders hilfreich, wenn:

• aktive Mandatsunterlagen oder personenbezogene Daten systematisch über eine KI-API verarbeitet werden sollen
• das Projekt grenzüberschreitende Verarbeitung oder US-amerikanische Anbieter umfasst
• die Kanzlei ein mandantengerichtetes KI-Produkt oder automatisierte externe Kommunikation aufbauen möchte
• sensible Praxisbereiche betroffen sind (Strafrecht, Regulierung, Arbeitsrecht, M&A)
• der Betriebsrat vor dem Rollout einzubinden ist

An diesem Punkt geht die Frage über Compliance-Hygiene hinaus und wird zur Frage der berufsrechtlichen Gestaltung — mit dem Bedarf nach einer dokumentierten Rechtsgrundlage für den konkreten Einsatz.

Weiterführende Informationen

• KI-APIs für Kanzleien in Deutschland: Compliance-Guide
• KI Rechtsrecherche-Tools: Compliance-Guide
• EU AI Act für die Rechtsbranche
• OpenAI API für deutsche Unternehmen
• Anthropic API für deutsche Unternehmen
• Azure OpenAI für deutsche Unternehmen

FAQ

Verbietet §43a BRAO den Kanzleieinsatz von KI-APIs?

Nein. §43a BRAO verbietet KI-APIs nicht. Er verpflichtet Kanzleien, Mandatsdaten beim externen Anbieter vertraglich auf dem Niveau des anwaltlichen Geheimnisschutzes abzusichern — durch AVV, ausdrückliche Verschwiegenheitsverpflichtung, Zweckbindung und Zugriffskontrollen. Ein Pauschalverbot existiert nicht; eine Compliance-Pflicht hingegen schon.

Was schreibt §43e BRAO für KI-gestützte Rechtsarbeit vor?

§43e BRAO verlangt, dass der verantwortliche Rechtsanwalt die Aufsicht über KI-gestützte Arbeit führt und für jedes rechtlich relevante Ergebnis berufsrechtlich einsteht. KI kann Recherche, Entwurf oder Analyse unterstützen — ein qualifizierter Anwalt muss das Ergebnis vor der Weitergabe intern oder extern prüfen.

Reicht ein AVV für die BRAO-konforme KI-Nutzung?

Nein. Ein AVV regelt den datenschutzrechtlichen Rahmen, ersetzt aber nicht die berufsrechtliche Verschwiegenheitspflicht nach §43a BRAO. Kanzleien brauchen den AVV plus eine ausdrückliche vertragliche Verschwiegenheitsverpflichtung, Zweckbindung für Mandatsdaten und ein dokumentiertes Betriebskonzept.

Muss vor dem KI-API-Einsatz eine DSFA durchgeführt werden?

Eine DSFA nach Art. 35 DSGVO ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für Betroffene begründet. Für Kanzleien, die sensible Mandantendaten (Gesundheit, Strafrecht, Finanzen) systematisch über eine KI-API verarbeiten, ist diese Schwelle regelmäßig erreicht. Auch wo sie nicht zwingend ist, empfiehlt sich eine vorgelagerte Datenschutzprüfung.

Können Kanzleien ChatGPT oder Claude nach BRAO einsetzen?

Ja, grundsätzlich. Entscheidend sind: Bietet der Anbieter einen AVV mit EU-Datenstandort? Sind Unterauftragnehmer offengelegt und EU-verankert? Werden Daten vom Modelltraining ausgeschlossen? Kann die Kanzlei eine §43a-BRAO-konforme Vertraulichkeitsstruktur für den konkreten Anwendungsfall dokumentieren? Der Anbieter ist nicht die Compliance-Antwort — das Betriebskonzept ist es.

Was empfiehlt die BRAK zum KI-Einsatz in Kanzleien?

Die Bundesrechtsanwaltskammer hat im Dezember 2024 Hinweise veröffentlicht, die den Einsatz von KI-Tools grundsätzlich für zulässig erklären, aber auf eine sorgfältige Prüfung von §43e BRAO, berufsrechtlichem Geheimnisschutz, DSGVO-Anforderungen und Transparenzpflichten hinweisen. Die BRAK hat kein pauschales Verbot ausgesprochen, betont aber die Notwendigkeit eines strukturierten Prüfrahmens vor dem Produktivbetrieb.

Nächster Schritt

Compound Law berät Kanzleien und Rechtsabteilungen bei BRAO-konformen KI-Einsätzen — von der Anbieterprüfung und AVV-Verhandlung über interne KI-Richtlinien, DSGVO-Prüfungen bis zur EU AI Act-Readiness. Wenn Ihre Kanzlei einen KI-API-Rollout plant, ist eine strukturierte Compliance-Prüfung vor dem Start der richtige Ausgangspunkt.

Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für Ihre konkrete Situation empfehlen wir die Beratung durch einen Rechtsanwalt.