Kanzlei-Kontext-Analyse

Bevor eine KI-Nutzungsrichtlinie erstellt oder angepasst wird, muss der konkrete Kanzlei-Kontext systematisch erfasst werden. Größe, Rechtsgebiete, Mandantenstruktur und vorhandene IT-Infrastruktur bestimmen maßgeblich, welche Anforderungen an Datenschutz, Berufsrecht und Compliance gelten und wie streng die Richtlinie ausgestaltet sein muss.

Rechtlicher Hintergrund

Die DSGVO verpflichtet Verantwortliche nach Art. 5 Abs. 2 DSGVO zur Rechenschaft über die Einhaltung ihrer Pflichten. § 43 BRAO verpflichtet zur gewissenhaften Berufsausübung, was eine angemessene organisatorische Ausstattung einschließt. Art. 4 KI-VO verlangt kontextspezifische KI-Kompetenz, also auf das konkrete Einsatzszenario zugeschnittene Kenntnisse. Für Syndikus-Anwälte gelten zusätzlich §§ 46 ff. BRAO mit besonderen Verschwiegenheitsregelungen gegenüber dem Arbeitgeber.

Vorgehen

1. Organisationsstruktur erfassen: Anzahl der Berufsträger (Anwälte, Syndici, Referendare), Anzahl und Art der nicht-anwaltlichen Mitarbeitenden, Standorte (national/international).
2. Rechtsgebiete identifizieren: Welche Bereiche werden bearbeitet (Arbeitsrecht, Strafrecht, Datenschutzrecht, M&A, Familienrecht)? Manche Bereiche (z.B. Strafrecht, Familienrecht) erfordern besonders strenge Anonymisierungspflichten.
3. Mandantenstruktur analysieren: Privatpersonen vs. Unternehmensmandate; grenzüberschreitende Mandate (Drittlandtransfer-Risiko); Mandate mit sensiblen Daten nach Art. 9 DSGVO.
4. IT-Infrastruktur inventarisieren: Welche KI-Dienstleister werden bereits genutzt oder geplant? Bestehen Auftragsverarbeitungsverträge (AVV)? Welche Cloud-Dienste laufen bereits?
5. Berufsrechtliche Besonderheiten klären: Sind Syndikus-Anwälte beteiligt (§§ 46 ff. BRAO)? Gibt es einen Datenschutzbeauftragten oder Berufsrechtsbeauftragten (§ 31 BORA)?
6. Risikoexposition bewerten: Aus den erfassten Informationen ergibt sich das Richtlinien-Profil: Kleinkanzlei mit wenigen Mandaten benötigt eine schlanke Richtlinie; Großkanzlei mit internationalen Mandaten benötigt umfassende Regelwerke inklusive Drittland-Transfer-Regelungen.

Vorlagentext / Bausteine

Checkliste Kanzlei-Kontext (Musterfragen):

• Wie viele zugelassene Rechtsanwältinnen und Rechtsanwälte sind in der Kanzlei tätig?
• Gibt es Syndikus-Anwältinnen oder -Anwälte nach §§ 46 ff. BRAO?
• In welchen Rechtsgebieten ist die Kanzlei schwerpunktmäßig tätig?
• Werden Mandate mit besonders sensiblen personenbezogenen Daten bearbeitet (z.B. Strafrecht, Familienrecht, Gesundheitsrecht)?
• Gibt es internationale Mandate, bei denen Daten in Drittstaaten übermittelt werden könnten?
• Welche KI-Dienste oder Chatbots werden bereits genutzt (ggf. auch informell/"Schatten-KI")?
• Existiert ein Datenschutzbeauftragter? Ist dieser intern oder extern bestellt?
• Existiert ein Berufsrechtsbeauftragter nach § 31 BORA?
• Welche bestehenden IT-Sicherheitsrichtlinien oder Compliance-Dokumente gibt es?
• Sind Mitarbeitende bereits im Umgang mit KI-Systemen geschult worden?

Hinweise zur Aktualisierung

Die Kontextanalyse sollte bei wesentlichen Änderungen der Kanzleistruktur (Fusion, neue Rechtsgebiete, neue Standorte) erneut durchgeführt werden. Mindestens einmal jährlich ist zu überprüfen, ob sich die IT-Infrastruktur oder die genutzten KI-Dienstleister verändert haben, was eine Anpassung der Richtlinie erforderlich machen kann.

Aktuelle Rechtsprechung (v14.2)

• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Zentrale Normen (Paragrafenkette)

• § 43a Abs. 2 BRAO — Verschwiegenheit (kanzleigroessen-unabhaengig)
• § 43e BRAO — IT-Dienstleister-Regelung
• § 45 BRAO — Interessenkonflikt-Verbot
• Art. 28 DSGVO — AVV-Pflicht fuer alle Kanzleigroessen
• § 26 BDSG — Beschaeftigtendatenschutz (bei Mitarbeiter-KI)

Triage zu Beginn

1. Wie gross ist die Kanzlei — Einzelanwalt, Boutique (2-10 RA), Mittelgross (11-50), Gross (50+)?
2. Welche Rechtsgebiete werden betrieben — IT-Recht, Datenschutz, Strafrecht, Familienrecht?
3. Gibt es Inhouse-/Syndikus-Anwaelte — gelten andere Compliance-Anforderungen?
4. Sind internationale Mandate vorhanden — welche Drittland-Jurisdiktionen?
5. Welche IT-Dienstleister werden bereits eingesetzt — ist deren KI-Konformitaet bekannt?

Output-Template — Kanzlei-Kontext-Analyse

Adressat: Richtlinien-Verantwortlicher — Tonfall: strukturiert, analysierend

KANZLEI-KONTEXT-ANALYSE
[DATUM] — Kanzlei: [NAME MANDANT]

KANZLEI-PROFIL:
Groe: [Einzelanwalt / Boutique / Mittelgross / Gross]
Rechtsgebiete: [LISTE]
Syndikus/Inhouse: [JA — Besonderheiten: / NEIN]
Internationale Mandate: [JA — Jurisdiktionen: / NEIN]

RISIKOPROFIL:
Mandatsvolumen KI-relevant: [HOCH / MITTEL / NIEDRIG]
Besonders sensible Rechtsgebiete: [STRAFRECHT / FAMILIENRECHT / MEDIZIN / ...]
Datenschutz-Risikoniveau: [HOCH / MITTEL / NIEDRIG]

BESTEHENDE IT-DIENSTLEISTER:
| Dienstleister | Zweck | DSGVO-konform | KI-faehig |
|---|---|---|---|
| [ANBIETER] | [ZWECK] | [JA/NEIN] | [JA/NEIN] |

TAILORING-ANFORDERUNGEN:
- [SPEZIFISCHE ANFORDERUNG aufgrund Kontext]
- [SPEZIFISCHE ANFORDERUNG aufgrund Kontext]

Erstellt: [NAME], [DATUM]