Kostenlos beraten
KI-Tools für Anwaltskanzleien: BRAO §43e und DSGVO-Compliance
compliance

KI-Tools für Anwaltskanzleien: BRAO- und DSGVO-Anforderungen

Darf ein Rechtsanwalt KI-Tools nutzen?

Ja — unter klaren Bedingungen. Rechtsanwälte dürfen KI-Tools und KI-APIs einsetzen, wenn §43e BRAO eingehalten wird: schriftliche Verschwiegenheitsverpflichtung mit §203-StGB-Belehrung, No-Training-Klausel, AVV nach DSGVO Art. 28 und geregelte Löschfristen. Die Wahl des Anbieters und die konkrete Nutzungskonfiguration entscheiden über die Zulässigkeit.

  • §43e BRAO: schriftliche Verschwiegenheitsverpflichtung mit §203-StGB-Belehrung abschließen
  • AVV nach DSGVO Art. 28 mit dem KI-Anbieter vereinbaren — zusätzlich zu §43e BRAO
  • Anbieter ohne Training auf Mandatsdaten und mit EU-Speicherung oder SCCs wählen

Ja — Rechtsanwältinnen und Rechtsanwälte dürfen KI-Tools und KI-APIs in ihrer Kanzleitätigkeit einsetzen. Die Nutzung ist rechtlich zulässig, wenn §43e BRAO eingehalten wird: Das erfordert eine schriftliche Verschwiegenheitsverpflichtung des KI-Anbieters mit Belehrung über §203 StGB, eine No-Training-Klausel für Mandatsdaten, einen Auftragsverarbeitungsvertrag (AVV) nach DSGVO Art. 28 und geregelte Löschfristen. Compound Law ist selbst eine Kanzlei, die KI-Tools rechtssicher einsetzt — und berät andere Kanzleien beim selben Prozess.

BRAO §43e und anwaltliche Schweigepflicht bei KI-Nutzung

Die anwaltliche Verschwiegenheit nach §43a Abs. 2 BRAO ist eine Grundpflicht des Berufsrechts: Alles, was einem Rechtsanwalt in seiner Eigenschaft als Anwalt anvertraut wird, unterliegt dem Mandatsgeheimnis. Diese Pflicht endet nicht dort, wo Daten digital verarbeitet werden.

§43e BRAO — eingeführt mit der BRAO-Reform 2022 (in Kraft seit 1. August 2022) — schafft die berufsrechtliche Erlaubnisgrundlage dafür, externe Dienstleister einschließlich KI-API-Anbieter mit Mandatsdaten zu beauftragen. Die Norm erlaubt den KI-Einsatz, definiert aber gleichzeitig die Vertragspflichten, die davor erfüllt sein müssen.

Was fällt unter das Mandatsgeheimnis?

Das Mandatsgeheimnis umfasst alle Informationen, die der Anwalt im Rahmen des Mandats erhält oder erarbeitet:

  • Sachverhalte, die Mandanten mitteilen
  • Schriftsätze, Verträge und Dokumente, die für das Mandat erstellt werden
  • Strategische Überlegungen und juristische Einschätzungen
  • Korrespondenz mit Mandanten, Gerichten und Behörden
  • Identität des Mandanten und der beteiligten Parteien

Sobald auch nur ein Teil dieser Informationen in eine externe KI-API übertragen wird, greift §43e BRAO. Maßgebend ist nicht, ob der Anbieter ein bekanntes Unternehmen ist — entscheidend ist, dass Mandatsdaten die Kanzleisphäre verlassen.

Wann ist die Nutzung von KI-APIs zulässig?

Die Nutzung von KI-APIs ist zulässig, wenn folgende Voraussetzungen kumulativ erfüllt sind:

  1. Der KI-Anbieter wurde schriftlich zur Verschwiegenheit verpflichtet und über §203 StGB belehrt
  2. Es existiert eine No-Training-Klausel: Mandatsdaten werden nicht für Modelltraining genutzt
  3. Zweckbindung ist vereinbart — keine Nutzung über den Auftragszweck hinaus
  4. Ein AVV nach DSGVO Art. 28 ist abgeschlossen
  5. Unterauftragnehmer des KI-Anbieters sind bekannt und entsprechend verpflichtet
  6. Lösch- und Exit-Regelungen sind vertraglich verankert

Ein AVV allein reicht berufsrechtlich nicht aus. §43e BRAO stellt strengere Anforderungen als der DSGVO-Standard — beide Regelwerke müssen kombiniert werden. Die vollständigen §43e-BRAO-Anforderungen im Detail erläutern die Norm paragraph-genau.

DSGVO-Anforderungen für KI in der Kanzlei

Neben dem Berufsrecht gilt die DSGVO für jede Verarbeitung personenbezogener Daten — und Mandantendaten enthalten fast immer Personenbezug.

Auftragsverarbeitungsvertrag (AVV) mit KI-Anbietern

Sobald ein KI-Anbieter personenbezogene Mandantendaten verarbeitet, ist ein AVV nach Art. 28 DSGVO zwingend erforderlich. Der AVV muss die Pflichten des Anbieters als Auftragsverarbeiter verbindlich regeln: Zweckbindung, technische und organisatorische Maßnahmen (TOMs), Löschpflichten, Unterstützungspflichten bei Betroffenenanfragen und Auditmöglichkeiten.

Ohne AVV ist die Datenverarbeitung DSGVO-widrig. Bei einem KI-Anbieter außerhalb der EU oder des EWR muss zudem ein Drittlandstransfer nach DSGVO Art. 44 ff. legalisiert werden — in der Regel durch Standardvertragsklauseln (SCCs).

Wichtig: Der AVV regelt den datenschutzrechtlichen Rahmen, nicht die berufsrechtlichen Anforderungen nach §43e BRAO. Beide Vertragswerke müssen nebeneinander abgeschlossen werden.

Datenminimierung bei Mandantendaten

Das Datenminimierungsgebot nach DSGVO Art. 5 Abs. 1 lit. c ist in der KI-Praxis besonders relevant. Kanzleien sollten vor jedem KI-API-Aufruf prüfen:

  • Welche Daten sind für die KI-Aufgabe tatsächlich notwendig?
  • Können Namen, Aktenzeichen und direkte Identifikatoren durch Platzhalter ersetzt werden?
  • Reicht eine anonymisierte oder pseudonymisierte Fassung für die KI-Analyse aus?

Grundsatz: Nur Daten in KI-APIs übertragen, die für die spezifische Aufgabe zwingend notwendig sind. Wer einen Schriftsatz auf formale Argumente prüfen lässt, muss keine Mandantenidentität mitübertragen.

Zweckbindung und Löschfristen

Zweckbindung bedeutet: Mandatsdaten, die für einen bestimmten KI-Zweck übertragen wurden (z. B. Dokumentenanalyse), dürfen nicht für andere Zwecke (z. B. Modellverbesserung) genutzt werden. Diese Pflicht ergibt sich sowohl aus DSGVO Art. 5 Abs. 1 lit. b als auch aus §43e BRAO.

Löschfristen müssen für alle KI-verarbeiteten Mandantendaten vertraglich geregelt sein:

  • Temporäre Inference-Speicherung beim Anbieter
  • Chat-Protokolle und API-Logs
  • Daten beim Anbieterwechsel (Exit-Regelung)

Ohne dokumentierte Löschfristen ist die KI-Nutzung mit Mandantendaten weder DSGVO- noch BRAO-konform.

KI-Anbieter im Vergleich: BRAO-Tauglichkeit

Die folgende Übersicht gibt den Stand aktueller öffentlicher Informationen wider. Die BRAO-Tauglichkeit eines Anbieters hängt stets von der individuellen Konfiguration und dem konkret abgeschlossenen Vertrag ab.

AnbieterEU-DatenspeicherungAVV verfügbarKein Training auf KundendatenSCCs
Claude Enterprise (Anthropic)Eingeschränkt (US-AWS; EU-Konfiguration möglich)✓ (Enterprise)
Anthropic APIUS-Standard; EU-Region verfügbar✓ (API-Bedingungen)
OpenAI API / EnterpriseUS-Standard✓ (Enterprise)✓ (API-Standard)
Azure OpenAI Service✓ (EU-Regionen verfügbar)✓ (Microsoft)
PerplexityEingeschränktBegrenztNicht eindeutig vertraglichEingeschränkt

Hinweis: Diese Tabelle basiert auf öffentlich zugänglichen Anbieterinformationen und ersetzt keine individuelle Rechtsprüfung. Vertragskonditionen ändern sich. Die tatsächliche BRAO-Tauglichkeit hängt von der konkreten Konfiguration und Vertragslage ab.

Detailanalysen zu einzelnen Anbietern finden Sie unter Anthropic API für Kanzleien, OpenAI API Compliance und Azure OpenAI Datenschutz.

Praktische Checkliste: KI-Einsatz in der Kanzlei BRAO-konform gestalten

Bevor Mandatsdaten in eine KI-API eingegeben werden, sollte jede Kanzlei folgende Punkte sichergestellt haben:

  1. §43e-BRAO-Klausel abgeschlossen — schriftliche Verschwiegenheitsverpflichtung mit §203-StGB-Belehrung
  2. No-Training-Klausel vereinbart — ausdrückliches Verbot der Nutzung für Modelltraining
  3. AVV nach DSGVO Art. 28 abgeschlossen — zusätzlich zur §43e-BRAO-Klausel
  4. Zweckbindung dokumentiert — KI-Nutzung auf den konkreten Auftragszweck beschränkt
  5. Unterauftragnehmerliste bekannt und geprüft — alle Drittanbieter des KI-Anbieters verpflichtet
  6. Löschfristen vertraglich geregelt — inklusive Exit-Regelung bei Anbieterwechsel
  7. EU-Datenspeicherung oder SCCs sichergestellt
  8. Datenminimierung implementiert — Anonymisierung vor KI-API-Aufruf wo möglich
  9. Interne KI-Nutzungsrichtlinie vorhanden — freigegebene Tools, Datenkategorien, Freigabeprozess
  10. Mandanteneinwilligung nach §43e Abs. 5 BRAO geprüft — insbesondere bei sensiblen Daten

Wenn Sie unsicher sind, ob Ihre bestehenden KI-Verträge diese Anforderungen erfüllen, kann eine strukturierte Vertragsprüfung Lücken schnell aufzeigen. Unser SaaS-Vertragsservice umfasst auch KI-API-Vertragsanalysen nach §43e BRAO.

Häufige Fehler und wie Sie sie vermeiden

Fehler 1: Nur einen AVV abschließen und §43e BRAO vergessen

Ein AVV nach DSGVO Art. 28 ist notwendig, aber nicht ausreichend. §43e BRAO verlangt zusätzlich eine Verschwiegenheitsverpflichtung mit §203-StGB-Belehrung und eine No-Training-Klausel. Wer nur datenschutzrechtlich absichert, hat berufsrechtlich noch nicht erfüllt.

Fehler 2: Standard-ChatGPT für Mandantensachverhalte nutzen

Die öffentlich zugängliche Version von ChatGPT bietet keinen AVV und keine vertragliche Garantie gegen Trainingsdatennutzung. Jede Eingabe mit Mandantenbezug ist potentiell BRAO-widrig. Für kanzleirechtliche Zwecke kommen nur Enterprise-Konfigurationen mit abgeschlossenem Vertragspaket in Betracht.

Fehler 3: Mandanteneinwilligung nach §43e Abs. 5 BRAO nicht prüfen

§43e Abs. 5 BRAO sieht eine Mandanteneinwilligung vor, wenn Daten über den Auftragszweck hinaus verarbeitet werden. Bei sensiblen Mandaten — M&A, Strafrecht, Insolvenz — sollte diese Frage explizit geprüft und dokumentiert werden.

Fehler 4: Datenminimierung ignorieren

Vollständige Schriftsätze mit Mandantenidentitäten in KI-APIs einzugeben, wenn eine anonymisierte Version ausreicht, verstößt gegen das Datenminimierungsgebot der DSGVO. Das schafft unnötiges Risiko ohne operativen Mehrwert.

Fehler 5: Unterauftragnehmer des KI-Anbieters nicht prüfen

KI-Anbieter nutzen regelmäßig Dritte für Infrastruktur, Monitoring und Sicherheit. §43e BRAO verlangt, dass diese Kette lückenlos verpflichtet ist. Die Unterauftragnehmerliste beim Anbieter anzufordern ist ein notwendiger Schritt vor dem Produktiveinsatz.

Fazit: So setzen Sie KI rechtssicher ein

Der rechtssichere KI-Einsatz in Anwaltskanzleien ist möglich — er erfordert aber eine strukturierte Vorbereitung. Der Schlüssel liegt in der Kombination von berufsrechtlicher Absicherung nach §43e BRAO und datenschutzrechtlicher Compliance nach DSGVO, ergänzt um organisatorische Maßnahmen: eine kanzleiinterne KI-Nutzungsrichtlinie, Mitarbeiterschulungen und eine dokumentierte Anbieterprüfung.

Für die meisten Kanzleien ist der erste Schritt, die bestehenden Vertragsgrundlagen mit KI-Anbietern auf BRAO-Tauglichkeit zu prüfen und fehlende Klauseln nachzurüsten. Compound Law begleitet Kanzleien und Rechtsabteilungen bei genau diesem Prozess — von der Vertragsanalyse bis zur fertigen KI-Governance-Struktur.

Weiterführende Informationen:

Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für Ihre konkrete Situation empfehlen wir individuelle rechtliche Beratung durch einen Rechtsanwalt.

Weitere Compliance-Guides

KI-Einstellungstools EU-KI-Verordnung DSGVO Compliance Deutschland
compliance

KI-Einstellungstools: EU-KI-Verordnung, DSGVO & Betriebsrat (2026)

KI-Systeme im Recruiting sind Hochrisiko nach EU-KI-Verordnung Anhang III. Leitfaden für HR-Compliance in Deutschland: DSGVO, Betriebsrat, August 2026.
Mitarbeiter-Apps EU-Datenspeicherung Deutschland DSGVO-Vergleich
compliance

Mitarbeiter-Apps mit EU-Datenspeicherung: Vergleich 2026

Welche Mitarbeiter-Apps bieten EU-Datenspeicherung für Deutschland? Slack, Teams, Google Workspace, Asana, Notion, HubSpot und Zoom im DSGVO-Vergleich.
KI-Gesichtserkennung Deutschland Compliance-Leitfaden 2026
compliance

KI-Gesichtserkennung in Deutschland: Compliance-Leitfaden 2026

KI-Gesichtserkennung in Deutschland: AI-Act-Verbote, DSGVO-Pflichten für biometrische Daten und Hochrisiko-Compliance bis August 2026.

Häufige Fragen

Darf ein Rechtsanwalt ChatGPT nutzen?

Nur unter strengen Auflagen. Standard-ChatGPT speichert Konversationen und kann Daten für Training nutzen — das ist mit dem Mandatsgeheimnis nach §43a BRAO unvereinbar. Zulässig ist nur ein Einsatz mit AVV nach DSGVO Art. 28 und §43e-BRAO-konformer Klausel, die Training ausschließt. ChatGPT Enterprise oder Azure OpenAI mit entsprechender Konfiguration können die Voraussetzungen erfüllen.

Welche KI-Tools sind BRAO-konform?

BRAO-konform sind KI-Tools, bei denen ein AVV nach Art. 28 DSGVO abgeschlossen werden kann, keine Mandatsdaten für Modelltraining genutzt werden und Speicherung in der EU oder mit gültigen SCCs erfolgt. Claude Enterprise, Azure OpenAI Service und die Anthropic API mit AVV erfüllen diese Grundvoraussetzungen bei korrekter Konfiguration. Die BRAO-Tauglichkeit hängt stets vom Einzelfall ab.

Muss ein AVV mit dem KI-Anbieter abgeschlossen werden?

Ja. Nach DSGVO Art. 28 ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich, sobald personenbezogene Daten — einschließlich mandatsbezogener Informationen mit Personenbezug — an einen KI-Dienstleister übermittelt werden. Ein AVV allein reicht berufsrechtlich nicht aus: §43e BRAO verlangt zusätzlich eine Verschwiegenheitsverpflichtung mit §203-StGB-Belehrung und eine No-Training-Klausel.

Wie schütze ich Mandantendaten bei der KI-Nutzung?

Wichtigste Maßnahme: Datenminimierung vor dem KI-API-Aufruf. Namen, Aktenzeichen und direkte Identifikatoren soweit möglich anonymisieren oder pseudonymisieren. Darüber hinaus: AVV und §43e-BRAO-Klausel mit dem Anbieter abschließen, EU-Datenspeicherung oder SCCs sicherstellen, Löschfristen vertraglich regeln und Mitarbeitende in der kanzleiinternen KI-Nutzungsrichtlinie schulen.

Was droht bei einem BRAO-Verstoß durch KI-Einsatz?

Verstöße gegen §43e BRAO können berufsrechtliche Sanktionen auslösen: Rüge, Warnung oder weitergehende Maßnahmen durch die Rechtsanwaltskammer nach §§ 113 ff. BRAO. DSGVO-Verstöße durch fehlenden AVV können Bußgelder bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes nach sich ziehen. Mandanten können zudem zivilrechtliche Schadensersatzansprüche geltend machen.

Kostenlos beraten