Illustration eines Anwalts in dunklem Anzug, der an einem modernen Schreibtisch Dokumente prüft, mit einem Laptop und holografischen KI-Symbolen sowie Schaltkreis-Visualisierungen im Hintergrund

KI in der Kanzlei rechtssicher nutzen: Der Leitfaden 2026 für Rechtsanwälte

von

Mehr als 60 Prozent der deutschen Anwaltskanzleien nutzen inzwischen Künstliche Intelligenz in ihrer täglichen Arbeit – Tendenz stark steigend. KI-Tools versprechen massive Effizienzgewinne: Schriftsätze in einem Bruchteil der bisherigen Zeit, automatisierte Vertragsanalysen, KI-gestützte Recherche. Kein Wunder, dass kaum eine Kanzlei das Thema noch ignoriert.

Doch der Einsatz birgt erhebliche Risiken, die im schlimmsten Fall berufsrechtliche Konsequenzen, strafrechtliche Haftung und zivilrechtliche Schadensersatzforderungen nach sich ziehen können. Wer ChatGPT mit einem echten Mandantenproblem füttert, handelt unter Umständen bereits rechtswidrig – ohne es zu wissen.

Dieser Leitfaden zeigt Ihnen, welche Rechtsbereiche bei der KI-Nutzung in der Kanzlei relevant sind, wo die konkreten Fallstricke liegen und wie Sie KI so einsetzen, dass Sie auf der sicheren Seite bleiben.

1. Warum KI in der Kanzlei kein rein technisches Thema ist

KI-Tools sind keine gewöhnliche Software. Wenn Sie ein Textverarbeitungsprogramm nutzen, verlassen Ihre Daten Ihren Rechner nicht. Bei einer cloudbasierten KI hingegen werden Ihre Eingaben – inklusive Mandantendetails, Fallbeschreibungen, Vertragsinhalte – auf externe Server übertragen, häufig in die USA oder andere Drittstaaten.

Das ist das Kernproblem: Nicht die KI-Technologie an sich ist rechtlich problematisch, sondern der Übertragungsweg der Daten und die fehlende Kontrolle darüber, was mit diesen Daten anschließend geschieht. Öffentliche Tools wie ChatGPT oder Google Gemini nutzen eingegebene Daten standardmäßig zum weiteren Modelltraining, sofern dies nicht ausdrücklich deaktiviert wird – und selbst dann bleibt ein Restrisiko.

Für Rechtsanwältinnen und Rechtsanwälte, die zu den gesetzlich definierten Berufsgeheimnisträgern gehören, ist dieser Datentransfer in mehrfacher Hinsicht problematisch.

2. Die rechtlichen Rahmenbedingungen im Überblick

2.1 Anwaltliche Verschwiegenheitspflicht: § 43a Abs. 2 BRAO

Die anwaltliche Verschwiegenheitspflicht ist das Fundament des Mandantenverhältnisses. § 43a Abs. 2 BRAO verpflichtet Rechtsanwältinnen und Rechtsanwälte, über alles Schweigen zu bewahren, was ihnen im Rahmen ihrer Berufsausübung bekannt geworden ist. Der Mandant ist – juristisch formuliert – „Herr seiner Geheimnisse“.

Die Verschwiegenheitspflicht endet nicht an der Bürotür. Wer Mandantendaten in ein öffentliches KI-Tool eingibt, gibt diese Daten faktisch an einen Dritten weiter. Das ist berufsrechtlich nur dann zulässig, wenn der Mandant ausdrücklich zugestimmt hat oder wenn eine gesetzliche Grundlage besteht.

Praktische Konsequenz: Ohne explizite Einwilligung des Mandanten dürfen konkrete Falldetails, Personendaten oder mandatsbezogene Informationen nicht in öffentliche KI-Systeme eingegeben werden.

2.2 Strafrecht: § 203 StGB – Verletzung von Privatgeheimnissen

Weit weniger bekannt als die berufsrechtliche Dimension ist die strafrechtliche. § 203 Abs. 1 Nr. 3 StGB stellt die unbefugte Offenbarung fremder Geheimnisse durch Rechtsanwälte unter Strafe. Das Strafmaß beträgt bis zu einem Jahr Freiheitsstrafe oder Geldstrafe.

Strafrechtlich relevant wird die KI-Nutzung dann, wenn Mandantengeheimnisse an Dritte – also auch an KI-Anbieter oder deren Server – übermittelt werden, ohne dass ein Rechtfertigungsgrund vorliegt. Wenn ein Large Language Model genutzt wird, können sensible Mandanteninformationen in undurchsichtigen Rechenzentren irgendwo auf der Welt landen, wobei Mitarbeiter der Hosting-Gesellschaft theoretisch Kenntnis nehmen könnten – das reicht für den Tatbestand aus.

Die Ausnahme für externe Dienstleister gilt zwar (§ 203 Abs. 3 StGB), setzt aber eine ordnungsgemäße Einbindung des Dienstleisters voraus.

2.3 Externe Dienstleister: § 43e BRAO

§ 43e BRAO regelt, unter welchen Bedingungen Rechtsanwälte externe Dienstleister einbinden dürfen: Der Einsatz muss für die Berufsausübung erforderlich sein, und der Dienstleister muss ausdrücklich zur Verschwiegenheit verpflichtet werden. Außerdem muss sichergestellt sein, dass der Anbieter seinerseits geeignete technische und organisatorische Maßnahmen zum Datenschutz trifft.

Das bedeutet: Vor dem Einsatz eines KI-Tools muss geprüft werden, ob der Anbieter als Auftragsverarbeiter im Sinne der DSGVO eingebunden werden kann und ob ein entsprechender Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden kann.

Prüffrage: Bietet Ihr KI-Anbieter einen AVV an? Wenn nicht, ist das Tool für den Kanzleieinsatz mit echten Mandantendaten ungeeignet.

2.4 DSGVO: Datenschutz bei der KI-Nutzung

Die Datenschutz-Grundverordnung kommt immer dann ins Spiel, wenn personenbezogene Daten verarbeitet werden – also nahezu bei jedem realen Mandat. Für die Übermittlung von Daten in Drittstaaten außerhalb der EU gelten besondere Anforderungen (Art. 44 ff. DSGVO).

Konkrete DSGVO-Probleme bei öffentlichen KI-Tools:

  • Keine Rechtsgrundlage: Die Eingabe von Mandantendaten in ein öffentliches KI-Tool setzt eine Rechtsgrundlage voraus, die regelmäßig fehlt.
  • Drittstaatenübermittlung: Viele KI-Anbieter sitzen in den USA. Ohne geeignete Garantien (z.B. EU-Standardvertragsklauseln) ist die Übermittlung unzulässig.
  • Fehlende Transparenz: Mandanten haben nach Art. 13/14 DSGVO ein Recht darauf zu wissen, dass ihre Daten mittels KI verarbeitet werden.
  • Kein Vertrag zur Auftragsverarbeitung: Ohne AVV ist die Nutzung als Verantwortlicher der DSGVO unvereinbar.

Generative KI-Tools, die nicht auf kanzleieigenen Servern betrieben werden, sind nach aktuellem Stand in der Regel nicht DSGVO-konform einsetzbar, sobald echte Mandantendaten verwendet werden.

2.5 EU AI Act: Neue Pflichten seit 2025

Seit dem 2. Februar 2025 ist Art. 4 der EU-KI-Verordnung verbindlich. Er verpflichtet alle Unternehmen und Organisationen, die KI-Systeme einsetzen, sicherzustellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Das gilt auch für Kanzleien.

Ab dem 2. August 2026 greifen weitreichendere Pflichten: Hochrisiko-KI-Systeme müssen dann strengen Anforderungen an Risikomanagementsysteme, Datengüte und menschliche Aufsicht genügen. Außerdem werden Transparenzpflichten nach Art. 50 EU AI Act für KI-generierte Inhalte verbindlich – relevant etwa, wenn KI-generierte Schriftsätze oder Schreiben an Mandanten oder Gerichte gehen.

Für Kanzleien bedeutet das konkret: Schulungen und Fortbildungen zum sicheren KI-Einsatz sind ab sofort keine Option mehr, sondern eine gesetzliche Pflicht.

3. Haftungsrisiken: Was passiert, wenn die KI Fehler macht?

3.1 KI-Halluzinationen und anwaltliche Sorgfaltspflicht

Das bekannteste technische Risiko von KI-Sprachmodellen sind sogenannte Halluzinationen: Das System erfindet Gerichtsurteile, Gesetzesnormen oder Sachverhaltsdetails, die es nicht gibt – und präsentiert diese mit scheinbarer Gewissheit. Falsche oder verzerrte KI-Ergebnisse können ohne hinreichende anwaltliche Kontrolle zu erheblichen Haftungsrisiken führen.

Bekannt wurde etwa der US-Fall, in dem Anwälte KI-generierte, nicht existente Gerichtsurteile in Schriftsätze einbauten und sich damit schwerwiegende Berufsrechtsverstöße einhandelten. Das kann in Deutschland genauso passieren.

Grundregel: KI-Output ist immer eine erste Arbeitshypothese, niemals ein fertiges Ergebnis. Jede KI-Recherche, jedes KI-generierte Dokument muss von einer qualifizierten Fachkraft vollständig geprüft werden, bevor es genutzt wird. Die anwaltliche Verantwortung ist nicht delegierbar.

3.2 Keine Delegation der Anwaltspflichten

Die anwaltliche Beratungsverantwortung liegt unveräußerlich beim Rechtsanwalt, nicht beim KI-Tool. Wer einem Mandanten einen KI-generierten Rat gibt, ohne diesen inhaltlich geprüft zu haben, riskiert Schadensersatzforderungen nach § 280 BGB und berufsrechtliche Sanktionen.

3.3 Urheberrecht bei KI-generierten Texten

Wenn KI-generierte Texte in Schriftsätze, Gutachten oder Publikationen einfließen, stellt sich die Frage der Urheberrechtsverletzung: Wurden beim Training des Modells urheberrechtlich geschützte Texte genutzt? Das Landgericht München hat entschieden, dass KI-Betreiber für Urheberrechtsverletzungen haften können, wenn ihre Systeme geschützte Werke reproduzieren. Ob und wie sich das auf die Nutzung durch Kanzleien auswirkt, ist noch nicht abschließend geklärt – das Risiko sollte aber bekannt sein.

4. So nutzen Sie KI in der Kanzlei rechtssicher: Konkrete Empfehlungen

4.1 Kategorisierung von Anfragen: Was darf in die KI, was nicht?

Die einfachste und wirksamste Maßnahme ist eine klare interne Klassifizierung:

Unbedenklich für öffentliche KI-Tools:

  • Allgemeine Rechtsrecherche ohne Mandantenbezug
  • Strukturierungshilfe für eigene Texte
  • Sprachliche Überarbeitung anonymisierter Texte
  • Brainstorming zu juristischen Fragestellungen

Nur mit datenschutzkonformen, zertifizierten Tools:

  • Vertragsanalyse mit echten Vertragsdaten
  • Schriftsatzentwürfe mit konkreten Falldetails
  • Kommunikation mit Mandanten

Grundsätzlich zu vermeiden:

  • Eingabe von Mandantennamen, Adressen, Aktenzeichen in öffentliche KI-Tools
  • Vollständige Dokumente mit personenbezogenen Daten in öffentliche Systeme laden

4.2 Geeignete Tools auswählen

Nicht alle KI-Tools sind gleich riskant. Es gibt inzwischen speziell für den deutschen Rechtsmarkt entwickelte KI-Lösungen, die nach DSGVO-Anforderungen zertifiziert sind, Daten nicht zum Training verwenden und auf europäischen Servern betrieben werden. Merkmale, auf die Sie achten sollten:

  • Serverstandort in der EU, idealerweise in Deutschland
  • Kein Training mit Nutzerdaten (vertraglich zugesichert)
  • Auftragsverarbeitungsvertrag (AVV) verfügbar und abgeschlossen
  • ISO 27001-Zertifizierung oder vergleichbarer Sicherheitsnachweis
  • Transparenz über Subdienstleister

Für Kanzleien mit hohem Datensensibilitätsbedarf (Strafrecht, Familienrecht, M&A) empfiehlt sich der Einsatz von On-Premise-Lösungen, also KI-Systemen, die ausschließlich auf kanzleieigener Infrastruktur betrieben werden.

4.3 Interne KI-Richtlinie einführen

Die BRAK empfiehlt in ihrem Leitfaden vom Dezember 2024 ausdrücklich, eine kanzleiinterne Richtlinie zum KI-Einsatz zu erstellen. Diese sollte mindestens folgende Punkte regeln:

  1. Zugelassene Tools und deren Einsatzbereiche
  2. Verbotene Praktiken (z.B. Mandantendaten in öffentliche Tools)
  3. Prüfpflichten vor Verwendung von KI-Output
  4. Kennzeichnung von KI-generierten Inhalten
  5. Verantwortlichkeiten und Ansprechpartner bei Zweifelsfällen

4.4 Mitarbeiterinnen und Mitarbeiter schulen

Art. 4 EU AI Act ist eindeutig: KI-Kompetenz ist Pflicht. Das bedeutet, dass alle in der Kanzlei tätigen Personen, die KI-Tools nutzen, ein grundlegendes Verständnis für deren Funktionsweise, Grenzen und Risiken besitzen müssen. Das schließt Fachangestellte, Referendare und Berufseinsteiger ausdrücklich ein.

Regelmäßige Fortbildungen sind hier nicht nur sinnvoll, sondern rechtlich geboten. Da sich das Rechtsgebiet und die verfügbaren Tools schnell weiterentwickeln, sollten Schulungen mindestens einmal jährlich stattfinden.

4.5 Anonymisierung vor KI-Eingabe

Wenn echte Fälle in KI-Tools geprüft werden sollen, empfiehlt sich eine konsequente Vorverarbeitung: Alle identifizierenden Merkmale – Namen, Orte, Daten, Aktenzeichen – werden vor der Eingabe durch Platzhalter ersetzt. So können viele Analyseaufgaben auch mit öffentlichen Tools durchgeführt werden, ohne dass ein Datenschutzproblem entsteht.

4.6 KI-Output dokumentieren und prüfen

Für Haftungszwecke ist es sinnvoll, den Einsatz von KI in der Mandatsbearbeitung zu dokumentieren: welches Tool, wann, für welchen Zweck, und wer das Ergebnis inhaltlich geprüft hat. Das schafft Transparenz und schützt im Streitfall.

5. Der Blick nach vorn: KI-Regulierung entwickelt sich weiter

Das Regulierungsumfeld für KI ändert sich derzeit schneller als in kaum einem anderen Rechtsbereich. Allein bis Ende 2026 stehen folgende Meilensteine an:

  • August 2026: Vollständige Anwendbarkeit der EU AI Act-Regeln für Hochrisiko-KI-Systeme
  • Dezember 2026: Umsetzungsfrist für die neue EU-Produkthaftungsrichtlinie, die erstmals Software und KI-Systeme als „Produkte“ einordnet
  • Laufend: Neue Rechtsprechung zu Urheberrecht, Datenschutz und Haftung bei KI-Fehlern

Das Rechtsgebiet um KI entwickelt sich so dynamisch, dass selbst spezialisierte Anwälte Mühe haben, mit dem Tempo Schritt zu halten. Für Kanzleien bedeutet das: Die einmalige Befassung mit dem Thema reicht nicht. Wer heute regelkonform handelt, muss morgen möglicherweise nachsteuern.

Fazit: KI ja, aber mit Augenmaß und rechtlicher Grundlage

Künstliche Intelligenz ist für Anwaltskanzleien ein echter Effizienzgewinn – wenn sie richtig eingesetzt wird. Die rechtlichen Anforderungen sind komplex, aber beherrschbar: klare interne Regeln, geeignete Tools, geschultes Personal und konsequente Prüfung der KI-Ausgaben. Wer diese Grundsätze beherzigt, kann die Potenziale der KI voll ausschöpfen, ohne die berufsrechtliche Integrität zu riskieren.

Das Wichtigste dabei: KI ersetzt keine juristische Kompetenz. Sie schärft sie – wenn Sie wissen, wie Sie damit umgehen.

KI-Fortbildungen für Rechtsanwälte: Bleiben Sie auf dem neuesten Stand

Die Regelungen rund um KI-Nutzung in Kanzleien – von der DSGVO über den EU AI Act bis zum Berufsrecht – entwickeln sich rasant. Praxisorientierte Fortbildungen helfen Ihnen dabei, nicht nur informiert, sondern auch wirklich handlungssicher zu bleiben.

Aktuelle Online-Seminare zum Thema Künstliche Intelligenz in der Kanzlei finden Sie hier:

→ Jetzt KI-Fortbildungen entdecken

Schreibe einen Kommentar