Für Kanzleien ist die entscheidende Frage vor jedem KI-Einsatz nicht, ob das Werkzeug nützlich ist, sondern ob es mit der anwaltlichen Verschwiegenheit vereinbar ist. Diese Pflicht ist streng sanktioniert, und ein Verstoß ist nicht nur berufsrechtlich, sondern auch strafrechtlich relevant. Dieser Beitrag ordnet die Rechtslage und gibt eine Prüfliste, ohne ein bestimmtes Produkt zu empfehlen.
Die rechtlichen Grundlagen
Berufsrechtlich folgt die Verschwiegenheitspflicht aus § 43a Abs. 2 BRAO (Der Rechtsanwalt ist zur Verschwiegenheit verpflichtet) und wird durch § 2 BORA konkretisiert. Strafrechtlich schützt § 203 StGB Geheimnisse, die einem Berufsgeheimnisträger anvertraut werden. Wer ein solches Geheimnis unbefugt offenbart, macht sich strafbar.
Warum Cloud und KI überhaupt zulässig sein können
Seit der Neuregelung 2017 erlaubt § 203 Abs. 3 StGB ausdrücklich, fremde Geheimnisse gegenüber sonstigen mitwirkenden Personen zu offenbaren, soweit dies für die Inanspruchnahme ihrer Tätigkeit erforderlich ist. Dazu zählen externe Dienstleister wie IT- und Cloud-Anbieter. Die Kehrseite steht in § 203 Abs. 4 StGB: Wer die mitwirkenden Personen nicht zur Geheimhaltung verpflichtet, oder wer als mitwirkende Person ein Geheimnis unbefugt offenbart, macht sich strafbar.
Berufsrechtlich konkretisiert § 43e BRAO die Inanspruchnahme von Dienstleistungen. Nach § 43e Abs. 1 darf die Anwältin oder der Anwalt einem Dienstleister Zugang zu vertraulichen Tatsachen eröffnen, soweit dies für die Dienstleistung erforderlich ist. Nach § 43e Abs. 3 bedarf der Vertrag mit dem Dienstleister der Textform, und der Dienstleister ist unter Belehrung über die strafrechtlichen Folgen einer Pflichtverletzung zur Verschwiegenheit zu verpflichten. § 43e Abs. 2 verlangt zudem eine sorgfältige Auswahl des Dienstleisters und die unverzügliche Beendigung der Zusammenarbeit, wenn diese Vorgaben nicht gewährleistet sind. Der Einsatz eines Cloud-gestützten KI-Werkzeugs ist also kein Tabu, er ist an klare Bedingungen geknüpft.
Die Bedingungen im Überblick
Ein KI-Werkzeug darf in der Kanzlei eingesetzt werden, wenn unter anderem:
- der Vertrag mit dem Anbieter in Textform geschlossen ist und ihn unter Belehrung über die strafrechtlichen Folgen zur Verschwiegenheit verpflichtet (§ 43e Abs. 3 BRAO),
- ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO besteht,
- die Eingaben nicht zum Training der Modelle verwendet werden. Andernfalls würde der Anbieter zum eigenen Verantwortlichen, was die Grundlage der Auftragsverarbeitung nach Art. 28 DSGVO entfallen ließe und einen Verstoß gegen § 203 StGB bedeuten kann,
- die Datenverarbeitung und ihr Ort transparent und abgesichert sind,
- technische und organisatorische Maßnahmen den Zugriff begrenzen.
Prüfliste vor dem Einsatz
- Wird ein externer Dienstleister eingebunden, und wo werden die Daten verarbeitet?
- Liegt ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO vor?
- Ist der Dienstleister in Textform und unter Belehrung über die strafrechtlichen Folgen zur Verschwiegenheit verpflichtet (§ 43e Abs. 3 BRAO)?
- Werden Mandantendaten zum Training verwendet, und lässt sich das vertraglich ausschließen?
- Gibt es eine Drittlandübermittlung, und ist sie abgesichert (Art. 44 ff. DSGVO)?
- Sind die Auswahl und die Maßnahmen dokumentiert?
Fazit
KI in der Kanzlei scheitert nicht zwingend an § 203 StGB, sondern hängt von der rechtssicheren Umsetzung ab. Wer Anbieter sorgfältig auswählt, vertraglich in Textform absichert und die Verarbeitung dokumentiert, kann die Vorteile nutzen, ohne die Verschwiegenheit zu gefährden. Wer ungeprüft startet, riskiert einen Berufsrechts- und Strafrechtsverstoß.