Kostenlos beraten
KI Tools Anwalt BRAO DSGVO Datenschutz Verschwiegenheit
tools

KI-Tools fuer Anwaelte: Was BRAO und DSGVO erlauben (und was nicht)

Duerfen Anwaelte KI-APIs wie Claude oder ChatGPT nutzen?

Ja — Rechtsanwaelte in Deutschland koennen KI-APIs nutzen, aber nur mit konkreten Schutzmassnahmen. §43a BRAO schreibt Verschwiegenheit ueber Mandantendaten vor. DSGVO Art. 28 verlangt einen AVV. Drittlandtransfers muessen durch SCCs abgesichert sein.

  • §43a BRAO: Mandantendaten duerfen nur an Dienstleister weitergegeben werden, die vertraglich zur Verschwiegenheit verpflichtet sind.
  • Art. 28 DSGVO: Ein Auftragsverarbeitungsvertrag (AVV) ist vor jeder KI-Nutzung mit personenbezogenen Mandantendaten Pflicht.
  • BRAK-Berufsrechtshinweise empfehlen Zurueckhaltung bei Freitexteingaben mit mandantenbezogenen Inhalten.

Rechtsanwälte in Deutschland dürfen KI-APIs wie Claude oder ChatGPT für ihre Arbeit nutzen — aber nur mit konkreten Schutzmaßnahmen. Die wichtigsten Rechtsgrundlagen sind §43a BRAO (anwaltliche Verschwiegenheitspflicht), DSGVO Art. 28 (Auftragsverarbeitungsvertrag erforderlich) und die Berufsrechtshinweise der BRAK (Bundesrechtsanwaltskammer). Dieser Leitfaden erklärt, was erlaubt ist, welche Risiken bestehen und wie Sie KI-Tools rechtssicher in Ihrer Kanzlei einführen.

Dieser Beitrag ist allgemeine Information und keine Rechtsberatung für den Einzelfall.

Kurzantwort

Ja, Anwälte in Deutschland können KI-APIs nutzen — mit diesen Voraussetzungen:

  • AVV nach Art. 28 DSGVO mit dem KI-Anbieter (kostenlose Tarife bieten keinen AVV)
  • Verschwiegenheitszusage des Anbieters für Mandantendaten gemäß §43a BRAO
  • Kein Modelltraining mit Mandantendaten durch den Anbieter
  • SCCs oder EU-Hosting für Drittlandtransfers außerhalb des EWR

Dürfen Anwälte KI-APIs nutzen? Die kurze Antwort

Ja, deutsche Rechtsanwälte können KI-Tools wie Claude, ChatGPT oder vergleichbare Systeme für ihre Arbeit einsetzen. Ein grundsätzliches Verbot existiert nicht. Entscheidend ist aber, wie das Tool genutzt wird und welche Daten dabei verarbeitet werden.

Drei Rechtsgrundlagen bilden den Rahmen:

  1. §43a BRAO — Die berufsrechtliche Verschwiegenheitspflicht gilt absolut und zeitlich unbegrenzt. Mandantendaten dürfen nur dann an Dritte weitergegeben werden, wenn diese vertraglich zur Verschwiegenheit verpflichtet sind.
  2. DSGVO Art. 28 — Sobald personenbezogene Daten (Mandantendaten, Gegnerinfos, Zeugenaussagen) in ein KI-System eingegeben werden, ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich.
  3. BRAK-Berufsrechtshinweise — Die Bundesrechtsanwaltskammer hat Orientierungshilfen für den KI-Einsatz in Kanzleien veröffentlicht und empfiehlt insbesondere Vorsicht bei Freitexteingaben mit echten Mandanteninformationen.

Die Unterscheidung zwischen erlaubter und nicht erlaubter Nutzung liegt nicht beim Tool selbst, sondern beim Workflow: Interne Rechercheunterstützung ohne Mandantendaten ist deutlich unkritischer als die direkte Eingabe von Vertragsunterlagen oder Schriftsätzen.

Rechtlicher Rahmen: BRAO §43a, Verschwiegenheitspflicht & KI

§43a BRAO ist das Herzstück des anwaltlichen Berufsrechts. Absatz 2 verpflichtet Rechtsanwältinnen und Rechtsanwälte zur Verschwiegenheit über alles, was ihnen in Ausübung ihres Berufes bekannt wird — ohne Ausnahme und zeitlich unbegrenzt.

Diese Pflicht erstreckt sich auch auf den Einsatz von Hilfspersonen und Dienstleistern. Wer Mandantendaten an einen KI-Anbieter übermittelt, muss sicherstellen:

  • Der Anbieter ist vertraglich zur Verschwiegenheit verpflichtet (typischerweise über AVV und Vertraulichkeitsklauseln).
  • Der Anbieter trainiert nicht mit Mandantendaten — keine Modelloptimierung auf eingereichten Inhalten.
  • Der Zugriff auf Daten ist technisch beschränkt und auf das notwendige Minimum begrenzt.
  • Es gibt klare interne Regeln darüber, welche Datenkategorien Kanzleimitarbeiter eingeben dürfen.

Ein praktisches Problem: Die meisten kostenlosen KI-Dienste (ChatGPT Free, Claude Free, Gemini Free) erfüllen diese Anforderungen nicht. Für den Kanzleieinsatz kommen daher nur kommerzielle Enterprise- oder API-Tarife in Betracht, die einen AVV beinhalten.

Anwaltliches Berufsgeheimnis und Cloud-Dienste

Das anwaltliche Berufsgeheimnis ist kein reines Datenschutzrecht. Es ist ein eigenständiges berufsrechtliches Institut, das auch dann gilt, wenn die DSGVO formal erfüllt ist. Ein AVV allein wahrt das Berufsgeheimnis nicht automatisch — es braucht zusätzlich inhaltliche Vertraulichkeitszusagen des Anbieters.

Für die Kanzleipraxis bedeutet das: Vertraulichkeitszusagen des KI-Anbieters (Zero-Data-Retention-Optionen, explizite Trainingsverbote) sind kein “nice to have”, sondern berufsrechtlich geboten, sobald Mandantendaten verarbeitet werden.

Datenschutzrecht: AVV, Drittlandtransfer und EU-Hosting

Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Sobald ein Rechtsanwalt Mandantendaten in ein KI-System eingibt, wird der KI-Anbieter zum Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Ein Auftragsverarbeitungsvertrag (AVV) ist dann zwingend erforderlich.

Die wichtigsten Pflichtinhalte des AVV für den KI-Einsatz in der Kanzlei:

AVV-PflichtinhaltWarum relevant für Kanzleien
Gegenstand und Dauer der VerarbeitungKI-Workflows mit Mandantendaten müssen konkret beschrieben sein
WeisungsgebundenheitDer Anbieter darf Daten nur auf Anweisung der Kanzlei verarbeiten
VertraulichkeitszusagenPflicht des Anbieters zur Verschwiegenheit — BRAO-Relevanz
Technische und organisatorische MaßnahmenArt. 32 DSGVO-Standard für Datensicherheit
SubprozessorenWo werden Daten tatsächlich verarbeitet und weitergegeben?
Löschung und RückgabeWas passiert mit Mandantendaten nach Vertragsende?
AuditrechteKann die Kanzlei Kontrollen einfordern und Nachweise verlangen?

Drittlandtransfers und EU-Hosting

Die meisten großen KI-Anbieter (Anthropic, OpenAI) verarbeiten Daten primär in den USA. Für Drittlandtransfers nach DSGVO Kapitel V sind Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO der zentrale Transfermechanismus. Alle großen Enterprise-Anbieter stellen SCCs bereit.

Kanzleien, die EU-only-Hosting benötigen — z.B. aufgrund mandantenspezifischer Vorgaben oder interner Sicherheitsrichtlinien — sollten folgende Bereitstellungsoptionen prüfen:

BereitstellungswegDatenspeicherortEU-only möglich?
Claude.ai / Anthropic API direktUSA (Standard)Kein dediziertes EU-Angebot
Claude über AWS BedrockKonfigurierbarJa — Frankfurt (eu-central-1), Irland
ChatGPT Enterprise direktUSA (Standard)Begrenzt — Azure EU verfügbar
Claude/GPT über Azure OpenAI ServiceKonfigurierbarJa — EU-Regionen verfügbar
Lokale Open-Source-Modelle (On-Premise)Eigene InfrastrukturJa — vollständige Kontrolle

Für Kanzleien mit strikten Datenlokationsanforderungen — z.B. im M&A-Bereich, bei Banken- oder Insolvenzrecht — sind AWS Bedrock EU-Profile oder On-Premise-Lösungen die rechtssicherste Wahl.

Einen ausführlichen Leitfaden zum Claude AVV finden Sie auf unserer Seite zum Claude Auftragsverarbeitungsvertrag. Eine DSGVO-Gesamtbewertung von Claude Enterprise finden Sie hier: Claude Enterprise DSGVO.

Welche KI-Tools sind für Anwälte geeignet?

Nicht jedes KI-Tool erfüllt die Mindestanforderungen für den Kanzleieinsatz. Entscheidend ist, ob der Anbieter einen AVV bereitstellt, keine Mandantendaten für das Modelltraining nutzt und Vertraulichkeitszusagen macht.

KI-ToolAVV/DPA vorhandenKein Training (kommerziell)SCCs / EU-OptionGeeignet für Kanzleien?
Claude Enterprise / APIJa (Commercial Terms)JaJa / EU via BedrockJa
ChatGPT EnterpriseJaJaJa / Azure EUJa
Microsoft Copilot (M365)JaJaEU Data Boundary (mit Ausnahmen)Bedingt
Gemini for Google WorkspaceJaJaEU verfügbarBedingt
Claude Free / ChatGPT FreeNeinNeinNeinNein
Lokale Open-Source-ModelleNicht nötigStrukturell jaEigene InfrastrukturJa — mit IT-Aufwand

Wichtig: Dieser Vergleich zeigt, ob grundsätzliche Voraussetzungen erfüllbar sind. Ob ein konkretes Tool für Ihren Kanzlei-Workflow rechtssicher ist, hängt von der tatsächlichen Einsatzart, den Mandantendaten und internen Compliance-Anforderungen ab — nicht allein vom Anbieternamen.

BRAK-Stellungnahme und aktuelle Rechtslage

Die Bundesrechtsanwaltskammer (BRAK) hat sich mehrfach zu KI-Tools in Kanzleien geäußert und klare Leitlinien formuliert:

  • Berufsrechtliche Eigenverantwortung: KI-Systeme ersetzen nicht die anwaltliche Prüfpflicht. Jedes KI-generierte Dokument — sei es ein Schriftsatzentwurf, eine Vertragsklausel oder eine Recherche — muss vom Anwalt eigenverantwortlich geprüft und verantwortet werden.
  • Keine ungeschützten Mandantendaten in öffentliche Systeme: Die BRAK empfiehlt ausdrücklich, keine echten und unverschlüsselten Mandantendaten in öffentlich zugängliche KI-Systeme einzugeben.
  • Sorgfältige Anbieterauswahl: Vor dem Einsatz ist zu prüfen, ob der Anbieter einen tragfähigen AVV und Verschwiegenheitszusagen bietet.
  • Fortlaufende Prüfpflicht: Technologie und Vertragsbedingungen der Anbieter ändern sich schnell. Kanzleien müssen ihre KI-Governance regelmäßig aktualisieren.

Aus der Rechtsprechung und standesrechtlichen Praxis sind bislang keine grundsätzlichen Verbote bekannt. Aktuelle Kommentierungen betonen, dass der KI-Einsatz zulässig ist, aber besondere Sorgfalt insbesondere rund um die Verschwiegenheitspflicht und das beA (besonderes elektronisches Anwaltspostfach) als sicheren Kommunikationskanal verlangt.

Verhältnis zu §43e BRAO (Kanzleipflichten)

§43e BRAO verpflichtet Rechtsanwälte, ihre Kanzlei so zu führen, dass die Verschwiegenheit und die Einhaltung des Berufsrechts gewährleistet sind. Dieser Rahmen gilt auch für den Einsatz von KI-Systemen: Die Kanzlei ist dafür verantwortlich, dass ihre gesamte technische Infrastruktur — einschließlich externer Dienstleister wie KI-Anbieter — den berufsrechtlichen Anforderungen genügt.

Praxis-Checkliste: KI-Tool sicher im Anwaltsbüro einführen

Bevor ein KI-Tool produktiv in der Kanzlei eingesetzt wird, sollten diese sieben Punkte geprüft sein:

  1. Tarif und AVV prüfen. Nur kommerzielle Tarife (API, Enterprise, Team) beinhalten einen AVV nach Art. 28 DSGVO. Kostenlose Tarife sind für Mandantendaten nicht geeignet.

  2. Verschwiegenheitszusagen einholen. Stellen Sie sicher, dass der Anbieter keine Mandantendaten für das Modelltraining nutzt und vertragliche Vertraulichkeitszusagen bestehen — über den AVV hinaus.

  3. Drittlandtransfer dokumentieren. Erfassen Sie, in welche Länder außerhalb des EWR Daten übermittelt werden, und belegen Sie den Transfermechanismus (SCCs) in Ihrem Verzeichnis der Verarbeitungstätigkeiten (VVT).

  4. EU-Hosting-Anforderung klären. Wenn mandantenspezifische oder interne Vorgaben EU-only-Hosting erfordern, prüfen Sie Bereitstellungsoptionen über AWS Bedrock oder Azure OpenAI Service.

  5. Kanzleiinterne Nutzungsregeln definieren. Legen Sie schriftlich fest, welche Datenkategorien Mitarbeitende in KI-Systeme eingeben dürfen. Klare “No-go”-Listen (z.B. ungeschwärzte Bankdaten, Gesundheitsdaten, hochvertrauliche M&A-Unterlagen) sind essenziell.

  6. VVT ergänzen und DSFA-Pflicht prüfen. Nehmen Sie den KI-Anbieter in Ihr Verarbeitungsverzeichnis auf. Bei umfangreichem oder risikoreichem KI-Einsatz kann eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich sein.

  7. Regelmäßige Überprüfung einplanen. KI-Anbieter aktualisieren Vertragsbedingungen und Infrastruktur häufig. Legen Sie einen jährlichen Review-Termin fest und halten Sie die Entscheidungsgrundlage schriftlich fest.

Diese strukturierte Prüfung ist wichtiger als die Frage, welches KI-Tool am beliebtesten ist. Die Entscheidung hängt letztlich vom konkreten Kanzlei-Workflow und den verarbeiteten Mandantendaten ab.

Compound Law berät Kanzleien, Rechtsabteilungen und Anwaltssozietäten in Deutschland zu KI-Einsatz, DSGVO, AVV-Prüfung und anwaltlichem Berufsrecht. Wenn Sie die Einführung von KI-Tools in Ihrer Kanzlei rechtssicher gestalten möchten, kontaktieren Sie uns.

FAQ

Dürfen Anwälte ChatGPT nutzen?

Ja, unter Bedingungen. Anwälte dürfen ChatGPT Enterprise nutzen, wenn ein AVV nach Art. 28 DSGVO vorliegt, keine Mandantendaten für das Modelltraining genutzt werden und die Verschwiegenheitspflicht nach §43a BRAO durch vertragliche und technische Maßnahmen gewahrt ist. Der kostenlose ChatGPT-Tarif bietet keinen AVV und ist für Mandantendaten nicht geeignet.

Welche KI-Tools sind BRAO-konform?

Als berufsrechtlich einsetzbar gelten KI-Tools, bei denen ein tragfähiger AVV besteht, der Anbieter Verschwiegenheitszusagen trifft und kein Training mit Mandantendaten erfolgt. Geeignete Optionen sind Claude Enterprise/API (Anthropic), ChatGPT Enterprise (OpenAI) sowie On-Premise-Lösungen mit offenen Modellen.

Brauche ich einen AVV für KI-Tools als Anwalt?

Ja. Sobald Mandantendaten oder andere personenbezogene Daten in das KI-System eingegeben werden, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich. Kostenlose Tarife bieten keinen AVV. Nur kostenpflichtige API- oder Enterprise-Pläne der großen Anbieter stellen einen AVV bereit.

Was sagt die BRAK zu KI-Tools für Anwälte?

Die BRAK hat Berufsrechtshinweise zu KI-Tools in Kanzleien veröffentlicht. Kernaussagen: keine echten Mandantendaten in öffentliche KI-Systeme eingeben, AVVs sorgfältig prüfen, berufsrechtliche Eigenverantwortung wahren. KI-generierte Inhalte müssen vom Anwalt eigenverantwortlich geprüft werden.

Ist die Verschwiegenheitspflicht allein durch einen AVV gewahrt?

Nein. Ein AVV erfüllt die datenschutzrechtliche Anforderung nach Art. 28 DSGVO, reicht für das anwaltliche Berufsgeheimnis nach §43a BRAO aber nicht aus. Zusätzlich braucht es inhaltliche Vertraulichkeitszusagen des Anbieters, kein Modelltraining mit Mandantendaten und technische Schutzmaßnahmen wie Zero-Data-Retention-Optionen.

Weitere Tool-Guides

Make.com AVV und DSGVO-Compliance für deutsche Unternehmen
tools

Make.com AVV: Hat Make einen Auftragsverarbeitungsvertrag?

Make.com stellt einen AVV für kostenpflichtige Tarife bereit. Was deutsche Unternehmen vor dem Einsatz für DSGVO, EU-Datenspeicherung und BetrVG prüfen müssen.
Zapier DSGVO Deutschland — AVV, Datentransfer und Workflow-Compliance fuer deutsche Unternehmen
tools

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung & Sicherheit fuer.

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung, SCCs und Sicherheit fuer deutsche Unternehmen — praktischer Compliance-Leitfaden.
HubSpot Breeze AI DSGVO-konform nutzen: Leitfaden für deutsche Unternehmen
tools

HubSpot Breeze AI und DSGVO: Was deutsche Unternehmen wissen müssen

HubSpot KI-Funktionen (Breeze AI) können DSGVO-konform genutzt werden — wenn automatisierte Entscheidungen nach Art. 22, Datenanreicherung und.
Claude DSGVO-Pruefung — Rechtsgrundlage, AVV und technische Massnahmen fuer Unternehmen
tools

Claude DSGVO: Rechtssicherer Einsatz von Claude in Deutschland

Claude DSGVO-konform einsetzen: Rechtsgrundlage, AVV, DSFA-Pflicht, TOMs und praktische Checkliste fuer Unternehmen in Deutschland.
Airtable DSGVO Ratgeber für deutsche Unternehmen
tools

Airtable DSGVO: AVV, Datenspeicherung und Compliance in Deutschland

Airtable ist DSGVO-konform auf dem Enterprise-Plan mit AVV. Das müssen deutsche Unternehmen vor dem Einsatz von Airtable für personenbezogene Daten prüfen.
Asana DSGVO Ratgeber für deutsche Unternehmen
tools

Asana DSGVO: AVV, EU-Datenspeicherung und Datenschutz für deutsche.

Asana bietet einen AVV für alle kostenpflichtigen Pläne und EU-Datenspeicherung auf Enterprise-Plänen. Was deutsche Unternehmen vor dem Einsatz von Asana.

Mehr KI-Tools durchsuchen

Häufige Fragen

Duerfen Anwaelte ChatGPT nutzen?

Ja, unter Bedingungen. Anwaelte duerfen ChatGPT Enterprise nutzen, wenn ein AVV nach Art. 28 DSGVO vorliegt, keine Mandantendaten fuer das Modelltraining genutzt werden und die Verschwiegenheitspflicht nach §43a BRAO durch vertragliche und technische Massnahmen gewahrt ist. Kostenlose Tarife bieten keinen AVV.

Welche KI-Tools sind BRAO-konform?

Als berufsrechtlich einsetzbar gelten KI-Tools, bei denen ein tragfaehiger AVV besteht, der Anbieter Verschwiegenheitszusagen trifft und kein Training mit Mandantendaten erfolgt. Geeignete Optionen sind Claude Enterprise/API, ChatGPT Enterprise oder On-Premise-Modelle.

Brauche ich einen AVV fuer KI-Tools als Anwalt?

Ja. Sobald Mandantendaten oder andere personenbezogene Daten in das KI-System eingegeben werden, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich. Kostenlose Tarife bieten keinen AVV.

Was sagt die BRAK zu KI-Tools fuer Anwaelte?

Die BRAK hat Berufsrechtshinweise zu KI-Tools veroeffentlicht: keine echten Mandantendaten in oeffentliche KI-Systeme eingeben, AVVs pruefen und berufsrechtliche Eigenverantwortung wahren. KI-generierte Inhalte muessen vom Anwalt eigenverantwortlich geprueft werden.

Ist die Verschwiegenheitspflicht allein durch einen AVV gewahrt?

Nein. Ein AVV ist datenschutzrechtlich erforderlich, reicht aber berufsrechtlich nicht aus. Zusaetzlich braucht es vertragliche Vertraulichkeitszusagen des Anbieters, kein Training mit Mandantendaten und technische Schutzmassnahmen wie Zero-Data-Retention.

Kostenlos beraten