Kostenlos beraten
KI-Tools für Kanzleien in Deutschland — BRAO-Compliance und DSGVO-Leitfaden
Leitfäden

KI für Kanzleien: Tools, Compliance und BRAO-Anforderungen

Kurzantwort

Kanzleien in Deutschland können KI-Tools für Rechtsrecherche, Vertragsanalyse und Dokumentenerstellung einsetzen — vorausgesetzt, BRAO, DSGVO und anwaltliche Aufsichtspflicht werden erfüllt. Die Frage ist nicht, ob KI erlaubt ist, sondern wie sie rechtssicher eingesetzt werden kann.

  • § 43a BRAO (Verschwiegenheitspflicht) und § 43e BRAO (externe Dienstleister) sind die zentralen berufsrechtlichen Anforderungen.
  • Jedes KI-Tool mit Mandantendaten erfordert einen AVV, eine Drittlandtransfer-Prüfung und eine Unterauftragnehmer-Analyse.
  • KI-Tools sind für viele Kanzlei-Workflows rechtlich einsetzbar — aber nur mit einem dokumentierten Betriebsmodell und menschlicher Kontrolle.

Künstliche Intelligenz für Kanzleien in Deutschland ist praktisch möglich — aber an klare rechtliche Rahmenbedingungen geknüpft. Rechtsanwältinnen und Rechtsanwälte, geschäftsführende Partnerinnen und Partner sowie Kanzlei-IT-Verantwortliche müssen die Verschwiegenheitspflicht nach der BRAO, die Datenschutzanforderungen der DSGVO und die Pflicht zur fachlichen Kontrolle KI-generierter Ergebnisse im Blick behalten. Dieser Leitfaden beschreibt, wofür Kanzleien in Deutschland KI einsetzen, was das Berufsrecht vorschreibt und wie ein rechtssicheres Betriebsmodell aussieht.

Wie deutsche Kanzleien KI einsetzen

Die KI-Nutzung in deutschen Kanzleien hat sich seit 2023 deutlich beschleunigt. Die praktischen Anwendungsfälle konzentrieren sich auf folgende Kernbereiche:

  • Rechtsrecherche und Fallanalyse — Zusammenfassung von Rechtsprechung, Auffinden von Präzedenzfällen, Extraktion relevanter Entscheidungsgründe aus umfangreichen Urteilen
  • Vertragsprüfung und -erstellung — Identifikation ungewöhnlicher Klauseln, Erstellung von Erstentwürfen für Standardverträge, Vergleich von Vertragsversionen
  • Mandantenaufnahme und Dokumentenanalyse — Sichtung von Unterlagen, Extraktion wesentlicher Sachverhalte aus mandantenseitig eingereichten Dokumenten
  • Internes Wissensmanagement — Suche in internen Dokumentenarchiven, Präzedenzsammlungen und Mandatsakten
  • Abrechnung und Zeiterfassung — Unterstützung bei der Erstellung von Leistungsbeschreibungen aus Zeitaufzeichnungen

Die meisten deutschen Kanzleien, die über die Experimentierphase hinausgegangen sind, arbeiten mit einem gestuften Modell: allgemeine, nicht mandatsbezogene Aufgaben in einer Stufe, sorgfältig abgegrenzte mandatsbezogene Aufgaben in einer anderen. Je sensibler das Mandat, desto restriktiver der KI-Zugang.

Was das deutsche Berufsrecht zum KI-Einsatz sagt — BRAO und BORA

Die Bundesrechtsanwaltsordnung (BRAO) ist der zentrale berufsrechtliche Rahmen für Rechtsanwältinnen und Rechtsanwälte in Deutschland. Sie verbietet den KI-Einsatz nicht, schafft aber Pflichten, die den Einsatz von KI in der anwaltlichen Praxis unmittelbar beeinflussen.

§ 43a BRAO — Verschwiegenheitspflicht

Die Verschwiegenheitspflicht erfasst alle Informationen, die dem Anwalt oder der Anwältin im Rahmen der Berufsausübung anvertraut werden. Wenn ein KI-Tool ein externer Dienst ist, muss jede Übermittlung vertraulicher Mandantendaten an diesen Dienst mit der Verschwiegenheitspflicht vereinbar sein. Die Bundesrechtsanwaltskammer (BRAK) hat in ihren KI-Hinweisen vom Dezember 2024 bestätigt, dass eine Prüfung der anwaltlichen Verschwiegenheit erforderlich ist, bevor KI-Tools mit Mandatsbezug eingesetzt werden.

§ 43e BRAO — Outsourcing an externe Dienstleister

Wenn eine Rechtsanwältin oder ein Rechtsanwalt einen externen Anbieter mit der Verarbeitung vertraulicher Informationen beauftragt, verlangt § 43e BRAO einen schriftlichen Vertrag, der:

  • den Anbieter zur Verschwiegenheit verpflichtet
  • die Verarbeitung auf den vereinbarten Zweck beschränkt
  • Löschung oder Rückgabe der Daten nach Auftragsende vorsieht
  • sicherstellt, dass Mitarbeitende des Anbieters gleichwertigen Geheimhaltungspflichten unterliegen

Für die Praxis bedeutet dies: Eine KI-Anbietervereinbarung für eine Kanzlei muss über einen DSGVO-AVV hinausgehen. Die § 43e-BRAO-Ebene ist eine zusätzliche Anforderung neben dem Datenschutzrecht.

Berufsordnung für Rechtsanwälte (BORA)

Die BORA stellt weitere Berufspflichten auf, darunter Kompetenzanforderungen. Eine Rechtsanwältin oder ein Rechtsanwalt, der KI-generierte Rechtsanalysen ohne Prüfung übernimmt, riskiert einen Verstoß gegen die Pflicht zur gewissenhaften Berufsausübung. Die Verantwortung für das Arbeitsergebnis lässt sich nicht auf ein KI-System übertragen.

DSGVO und Datenschutz für Kanzleien beim KI-Einsatz

Neben dem Berufsrecht gelten für deutsche Kanzleien DSGVO-Anforderungen, sobald Mandantendaten — die fast immer personenbezogene Daten enthalten — durch ein KI-Tool verarbeitet werden.

Anforderungen an den Auftragsverarbeitungsvertrag (AVV)

Wenn ein KI-Anbieter personenbezogene Daten im Auftrag der Kanzlei verarbeitet, ist die Kanzlei in der Regel Verantwortlicher und der Anbieter Auftragsverarbeiter. Das setzt einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO voraus.

Der AVV muss regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen
  • Unterauftragnehmer-Ketten und Genehmigungsmechanismen
  • Löschung oder Rückgabe der Daten bei Vertragsende

Die meisten Enterprise-KI-Anbieter (OpenAI, Anthropic, Microsoft, Google) stellen AVV-Vorlagen bereit. Das Unterzeichnen eines AVV ist jedoch nicht dasselbe wie eine rechtskonforme Verarbeitungsvereinbarung. Kanzleien müssen prüfen, ob die tatsächlichen Datenflüsse dem entsprechen, was der AVV beschreibt.

Drittlandtransfers

Viele KI-Anbieter verarbeiten Daten außerhalb des EWR oder nutzen Unterauftragnehmer außerhalb des EWR. Dies löst die Anforderungen aus Kapitel V DSGVO für internationale Datenübermittlungen aus. Die wichtigsten Rechtsmechanismen sind Standardvertragsklauseln (SCC) und Angemessenheitsbeschlüsse. Kanzleien sollten jeden KI-Anbieter fragen:

  • Wo werden Eingaben, Dateien und Ausgaben verarbeitet und gespeichert?
  • Welche Unterauftragnehmer sind beteiligt, und wo sind diese ansässig?
  • Ist eine Datenhaltung in der EU oder im EWR verfügbar, und auf welcher Ebene?
  • Verwendet der Anbieter Eingaben für das Modelltraining, und wie lässt sich dies deaktivieren?

Datenschutz-Folgenabschätzung

Wenn die KI-Verarbeitung ein hohes Risiko für betroffene Personen schafft — etwa bei der umfangreichen Verarbeitung sensibler personenbezogener Daten, systematischer Profilerstellung oder automatisierten Ausgaben, die individuelle Rechte betreffen — kann eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich sein. KI-Einsätze in Kanzleien, die Gesundheitsdaten, Strafregisterdaten oder Arbeitnehmerdaten in großem Umfang betreffen, sind sorgfältig zu prüfen.

Geeignete KI-Tools für deutsche Kanzleien

Deutsche Kanzleien nutzen KI-Tools in mehreren Kategorien. Jede Kategorie hat eigene Compliance-Implikationen.

KI für die Rechtsrecherche

  • Perplexity Enterprise — webbasierte Recherche mit Quellenangaben; die Enterprise-Version bietet Datenschutzkontrollen und AVV. Geeignet für allgemeine Rechtsrecherche, nicht für die Eingabe vertraulicher Mandatsdokumente.
  • Lexis+AI, Westlaw AI — etablierte juristische Datenbankanbietende mit KI-Suchschicht; vertragliche Rahmenbedingungen für den professionellen Einsatz vorhanden.

KI für Vertragsanalyse und -erstellung

  • Claude Enterprise (Anthropic) — starke Analyse- und Drafting-Funktionen; Enterprise-AVV verfügbar, EU-Datenhaltungsoptionen vorhanden. Geeignet für Vertragsanalyse bei korrekter Konfiguration. Siehe den Claude Enterprise Rechtsleitfaden für Details zur Beschaffung.
  • GPT-4 über OpenAI API — weit verbreitet für Dokumentenerstellung; erfordert sorgfältige Konfiguration für den Kanzleieinsatz. Siehe den KI-APIs-Leitfaden für Kanzleien für die vollständige Analyse.

KI-APIs für individuelle Kanzleilösungen

Kanzleien, die interne Tools oder individuelle Workflows aufbauen, setzen zunehmend auf KI-APIs statt auf Fertigprodukte. Das ermöglicht mehr Kontrolle über Datenverarbeitung, Prompt-Gestaltung und Integration in bestehende Mandatsmanagementsysteme.

Der KI-APIs-Leitfaden für Kanzleien bietet einen detaillierten Anbietervergleich.

KI in der Rechtsbranche — EU AI Act

Der EU AI Act stuft die meisten Rechtsrecherche- und Drafting-Tools als minimal- oder limitiert-risikoreiche KI-Systeme ein. KI-Systeme, die bei gerichtlichen oder gerichtsähnlichen Entscheidungen eingesetzt werden oder die Rechtssituation von Personen auf eine Weise bewerten, die deren Rechte erheblich beeinflusst, können in eine höhere Risikoklasse fallen. Kanzleien, die KI für Rechtsdienstleistungen unter dem AI Act einsetzen, sollten prüfen, ob ihr konkreter Anwendungsfall in die Hochrisikokategorie fällt.

Checkliste: Was vor der Einführung eines KI-Tools zu prüfen ist

Bevor eine Kanzlei ein KI-Tool einführt, sollte folgende Compliance-Checkliste abgearbeitet werden:

  1. Datenklassifikation — festlegen, welche Mandatsdaten durch das Tool verarbeitet werden dürfen und welche nicht
  2. AVV — Auftragsverarbeitungsvertrag des Anbieters einholen und prüfen
  3. § 43e BRAO Vertragscheck — sicherstellen, dass der Vertrag Verschwiegenheitsverpflichtung, Zweckbindung und Löschpflicht enthält
  4. EU-Datenhaltung — Verarbeitungs- und Speicherorte einschließlich Unterauftragnehmer bestätigen
  5. Modelltraining Opt-out — prüfen, ob der Anbieter Eingaben für das Training verwendet und wie dies deaktiviert werden kann
  6. Unterauftragnehmer-Liste — aktuelle Liste der Unterauftragnehmer einholen und EWR-Exposition bewerten
  7. DSFA-Screening — prüfen, ob der Anwendungsfall eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erfordert
  8. Interne Nutzungsrichtlinie — erlaubte Anwendungsfälle, Prompt-Vorgaben und Prüfpflichten dokumentieren
  9. Zugriffssteuerung — Zugang zum KI-Tool auf Berufsträgerinnen und Berufsträger mit sachlichem Bedarf beschränken
  10. Kompetenz und Aufsicht — sicherstellen, dass Anwältinnen und Anwälte KI-Ausgaben prüfen, bevor sie sich beruflich darauf stützen

Wie Compound Law Kanzleien beim KI-Einsatz unterstützt

Compound Law berät deutsche Kanzleien und Rechtsabteilungen bei der rechtlichen und compliance-seitigen Einführung von KI. Unsere Arbeit umfasst:

  • AVV-Prüfung für die Beschaffung von KI-Tools
  • § 43e BRAO Compliance-Analyse für KI-Anbieterbeziehungen
  • DSGVO DSFA-Unterstützung für Kanzlei-KI-Deployments
  • AI Act Klassifizierung für Legal-Tech-Anwendungsfälle
  • Interne KI-Richtlinien für Kanzleien, die LLMs in der Praxis einsetzen

Wenn Ihre Kanzlei KI-Tools evaluiert oder ein internes Compliance-Framework für den KI-Einsatz aufbaut, nehmen Sie Kontakt mit Compound Law auf.

Häufig gestellte Fragen

Dürfen Rechtsanwälte in Deutschland ChatGPT oder Claude für Mandatsarbeit nutzen?

Grundsätzlich ja — aber nicht ohne Schutzmaßnahmen. Consumer-Versionen von ChatGPT oder Claude sind für vertrauliche Mandantendaten nicht geeignet. Enterprise- oder API-Versionen mit AVV, EU-Datenhaltungskonfiguration und Widerspruch gegen Modelltraining bieten den rechtssicheren Weg. Auch dann bleiben Anwältinnen und Anwälte für alle Ergebnisse beruflich verantwortlich.

Was sagt die BRAO zum Einsatz von KI in deutschen Kanzleien?

Die BRAO verbietet den KI-Einsatz nicht. § 43a BRAO schreibt den Schutz vertraulicher Informationen vor. § 43e BRAO regelt Outsourcing-Vereinbarungen mit externen Anbietern, die Zugang zu vertraulichen Daten haben, und verlangt einen spezifischen schriftlichen Vertrag. Die BRAK-Hinweise vom Dezember 2024 haben klargestellt, dass diese Pflichten bei der Einführung von KI-Tools gelten.

Brauchen Kanzleien einen AVV mit ihrem KI-Anbieter?

Ja, soweit personenbezogene Daten verarbeitet werden. Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist erforderlich. Ein AVV allein reicht jedoch nicht aus — Kanzleien benötigen zusätzlich die vertragliche Ebene nach § 43e BRAO, Drittlandsicherungen und eine geprüfte Unterauftragnehmer-Kette.

Gibt es ein DSGVO-konformes KI-Tool für die Rechtsrecherche?

Mehrere Enterprise-Lösungen können DSGVO-konform konfiguriert werden. Perplexity Enterprise, Claude Enterprise und Azure OpenAI mit europäischer Datenhaltung werden von deutschen Kanzleien häufig geprüft. Die Konformität hängt von der konkreten Konfiguration und dem jeweiligen Anwendungsfall ab — nicht allein von den allgemeinen Anbieterkonditionen.

Welche Risiken bestehen beim KI-Einsatz in deutschen Kanzleien?

Die wichtigsten Risiken sind: berufsrechtliche Haftung für unkontrollierte KI-Fehler; Verstöße gegen die Verschwiegenheitspflicht nach § 43a BRAO; DSGVO-Verstöße bei ungesichertem Drittlandtransfer von Mandantendaten; sowie Überprüfungen durch die Rechtsanwaltskammer, wenn KI-gestützte Arbeitsergebnisse identifiziert werden, ohne dass eine ausreichende fachliche Kontrolle stattgefunden hat. Ein dokumentiertes Betriebsmodell bietet den besten Schutz gegen alle vier Risiken.

Das könnte dich auch interessieren

EU AI Act Compliance-Checkliste für deutsche Unternehmen
Leitfäden

EU AI Act Compliance-Checkliste für deutsche Unternehmen

EU KI-Verordnung Checkliste: Was seit August 2025 gilt und was deutsche Tech-Unternehmen bis August 2026 umsetzen müssen.
KI Recruiting Deutschland — DSGVO Artikel 22 und automatisierte Einstellungsentscheidungen
Leitfäden

KI im Recruiting: Rechtliche Anforderungen für automatisierte Einstellungen

Dürfen Unternehmen in Deutschland KI zur Bewerberauswahl einsetzen? Was DSGVO Artikel 22, BDSG und der EU AI Act vorschreiben — kompakt für HR-Teams.
Entgelttransparenz-Richtlinie Deutschland fuer Arbeitgeber
Leitfäden

Entgelttransparenz-Richtlinie Deutschland: Arbeitgeber-Guide 2026

Arbeitgeber sollten jetzt Gehaltsspannen, Salary-History-Verbot und Entgeltkriterien fuer die Entgelttransparenz-Richtlinie vorbereiten.
Firma gründen in Deutschland mit GmbH oder UG
Leitfäden

Firma gründen in Deutschland: GmbH, UG und die wichtigsten Schritte

Erfahren Sie, wie Sie eine Firma in Deutschland gründen, GmbH oder UG einordnen und die rechtlichen Schritte sauber planen.
VSOP Deutschland mit Fokus auf Leaver-Klauseln und Vesting
Leitfäden

VSOP Deutschland: Leaver-Klauseln, Vesting nach BAG und BGH

VSOP Deutschland nach BAG und BGH: wie Gruender Vesting-, Bad-Leaver- und De-Vesting-Klauseln 2026 neu pruefen sollten.
Konrad Abraham tritt Compound Law bei
Team

Vom Unicorn-GC zu Compound Law. Konrad Abraham kommt.

Konrad Abraham kommt zu Compound Law nach seiner Zeit als General Counsel bei Gorillas. 15 Jahre In-House-Erfahrung trifft auf die KI-native Kanzlei.

Mehr aus dem News-Bereich

Häufige Fragen

Dürfen Rechtsanwälte in Deutschland ChatGPT oder Claude für Mandatsarbeit nutzen?

Grundsätzlich ja, aber nur mit strikten Schutzmaßnahmen. Vertrauliche Mandantendaten dürfen nicht in Consumer-KI-Tools eingegeben werden. Enterprise-APIs mit AVV, EU-Datenhaltung und Widerspruch gegen Modelltraining bieten den rechtssicheren Weg.

Was sagt die BRAO zum Einsatz von KI in der Rechtsanwaltskanzlei?

Die BRAO verbietet KI nicht, schafft aber Pflichten. § 43a regelt die Verschwiegenheitspflicht. § 43e regelt Verträge mit externen Dienstleistern, die Zugang zu vertraulichen Informationen haben. Die BRAK hat im Dezember 2024 Hinweise veröffentlicht, die diese Pflichten für KI-Tools konkretisieren.

Brauchen Kanzleien einen AVV mit ihrem KI-Anbieter?

Ja, soweit personenbezogene Daten verarbeitet werden. Ein AVV ist notwendig, aber nicht ausreichend — Kanzleien benötigen zusätzlich die vertragliche Ebene nach § 43e BRAO, Drittlandsicherungen und geprüfte Unterauftragnehmer-Listen.

Gibt es ein DSGVO-konformes KI-Tool für die Rechtsrecherche?

Mehrere Enterprise-Lösungen können DSGVO-konform konfiguriert werden. Perplexity Enterprise, Claude Enterprise und Azure OpenAI mit europäischer Datenhaltung werden häufig geprüft. Die Konformität hängt von der konkreten Konfiguration und dem Anwendungsfall ab, nicht allein vom Anbieter.

Welche Risiken bestehen beim KI-Einsatz in deutschen Kanzleien?

Berufsrechtliche Haftung für unkontrollierte KI-Ausgaben, Verschwiegenheitsverstöße nach § 43a BRAO, DSGVO-Verstöße bei ungesichertem Drittlandtransfer von Mandantendaten sowie Überprüfungen durch die Rechtsanwaltskammer bei KI-gestützten Arbeitsergebnissen ohne ausreichende Kontrolle.

Bereit loszulegen?

Kostenlos beraten