Ihr Anwalt nutzt KI mit Ihren Daten.Hat er das rechtlich abgesichert? Eine unbequeme Frage an die gesamte Anwaltschaft — und was Mandanten wissen sollten.

Eine Frage, die zu selten gestellt wird

ChatGPT, Claude, Copilot — KI-Tools haben in deutschen Kanzleien längst Einzug gehalten. Schriftsätze werden mit KI vorformuliert, Verträge mit KI analysiert, Recherchen mit KI beschleunigt. Das ist effizient, zeitgemäß und grundsätzlich zu begrüßen.

Es gibt nur ein Problem, über das in der Branche erstaunlich wenig gesprochen wird: § 203 StGB.

Wer als Rechtsanwalt fremde Geheimnisse, die ihm in seiner Berufsausübung bekannt geworden sind, unbefugt offenbart, macht sich strafbar. Freiheitsstrafe bis zu einem Jahr. Und „offenbaren“ im Sinne dieser Vorschrift ist weiter gefasst, als viele meinen — es erfasst auch die Weitergabe an Dritte, denen gegenüber keine eigene Verschwiegenheitspflicht besteht. Einschließlich, je nach Ausgestaltung, KI-Anbietern.

Warum Standard-KI-Tools ein Problem sind

Wer ChatGPT in der kostenlosen oder Standard-Business-Variante nutzt und dabei Mandanteninformationen eingibt — den Namen, den Sachverhalt, vertrauliche Vertragsdetails — gibt diese Informationen an ein Unternehmen weiter, das sie verarbeitet, möglicherweise zur Modellverbesserung nutzt und auf Servern speichert, deren Zugriffsregime der Anwalt nicht kontrolliert.

Das ist nicht zwangsläufig strafbar. Aber es ist eine Frage, die rechtlich geklärt werden muss, bevor man es tut — nicht danach.

Entscheidend ist: Welche vertraglichen Zusicherungen hat der KI-Anbieter zur Vertraulichkeit gegeben? Werden die eingegebenen Daten zum Training verwendet? Wo werden die Daten verarbeitet und gespeichert — innerhalb oder außerhalb der EU? Besteht eine Exposition gegenüber dem US-amerikanischen CLOUD Act, der US-Behörden unter bestimmten Voraussetzungen Zugriff auf Daten gewährt, die von US-Unternehmen verarbeitet werden — unabhängig vom Speicherort?

Diese Fragen sind technisch komplex, vertraglich vielschichtig und werden in der Praxis selten systematisch geprüft, bevor ein KI-Tool eingeführt wird.

Die unbequeme Realität in vielen Kanzleien

Aus Gesprächen in der Branche und aus eigener Befassung mit dem Thema ergibt sich ein Bild, das man so offen selten liest: In vielen Kanzleien — von der Einzelpraxis bis zur mittelgroßen Sozietät — wird KI längst genutzt, ohne dass die zugrunde liegenden Vertragsbedingungen des Anbieters im Detail geprüft wurden. Ohne dass eine Risikoabwägung nach § 203 StGB dokumentiert wurde. Ohne dass Mandanten informiert oder um Einwilligung gebeten wurden, soweit dies erforderlich wäre.

Das ist kein Vorwurf an einzelne Kanzleien. Es ist eine Beschreibung eines branchenweiten blinden Flecks, der sich aus der Geschwindigkeit der KI-Adoption und der vergleichsweise langsamen Auseinandersetzung mit den berufsrechtlichen Implikationen ergibt.

Aber es ist ein blinder Fleck mit Konsequenzen. Für die Anwälte selbst — strafrechtlich und berufsrechtlich. Und für die Mandanten, deren vertrauliche Informationen möglicherweise auf eine Art verarbeitet werden, der sie nie zugestimmt haben.

Was eine rechtssichere Lösung tatsächlich erfordert

Die gute Nachricht: Eine rechtssichere Nutzung von KI in der Anwaltspraxis ist möglich. Sie erfordert aber mehr als das Abhaken eines Tools in den IT-Einstellungen.

Notwendig ist eine anbieterspezifische Prüfung der vertraglichen Vertraulichkeitszusagen — nicht jeder KI-Anbieter bietet dieselben Konditionen, und es gibt erhebliche Unterschiede zwischen Consumer-Produkten und API-basierten Geschäftskundenlösungen mit expliziten Datenschutz- und Vertraulichkeitsvereinbarungen.

Notwendig ist eine CLOUD-Act-Risikobewertung, insbesondere wenn US-Anbieter eingesetzt werden — verbunden mit der Frage, ob technische und vertragliche Schutzmaßnahmen ausreichen oder ob europäische beziehungsweise on-premise Alternativen vorzuziehen sind.

Notwendig ist eine Dokumentation der Implementierung, die im Zweifel — gegenüber der Rechtsanwaltskammer, gegenüber einem Mandanten, gegenüber einem Gericht — zeigt, dass die Entscheidung für ein bestimmtes KI-Setup auf einer fundierten rechtlichen Bewertung beruhte, nicht auf bloßer Bequemlichkeit.

Und notwendig ist, je nach Konstellation, eine angepasste Mandatsvereinbarung, die den Einsatz von KI-Tools transparent macht und die erforderliche Einwilligung des Mandanten einholt.

Warum gerade hier Projektjuristen einen Vorteil haben

Es mag überraschen, aber genau an dieser Stelle zeigt sich ein struktureller Vorteil unabhängiger Projektjuristen gegenüber etablierten Kanzleistrukturen: Wer als Einzelperson sein eigenes KI-Setup von Grund auf aufbaut, kann es bewusst und rechtlich fundiert gestalten — API-basierte Lösungen mit dokumentierten Vertraulichkeitsbedingungen, ohne die organisatorische Trägheit einer gewachsenen Kanzlei-IT-Infrastruktur, die historisch gewachsen ist und selten grundlegend hinterfragt wird.

Das ersetzt nicht die rechtliche Prüfung — die bleibt notwendig, unabhängig von der Organisationsform. Aber es zeigt: Die Frage „Wie nutzt mein Rechtsberater KI mit meinen Daten?“ ist eine, die jeder Mandant — ob Unternehmen oder Privatperson — seinem Anwalt stellen sollte. Und jeder Anwalt sollte eine fundierte Antwort darauf haben.

Fazit: Schnelligkeit ist kein Ersatz für Sorgfalt

KI in der Rechtsberatung ist kein Risiko, das man vermeiden sollte. Es ist ein Werkzeug mit erheblichem Potenzial — vorausgesetzt, es wird mit der gebotenen Sorgfalt eingeführt. § 203 StGB ist kein Hindernis für KI-Nutzung. Er ist eine Leitplanke, die verlangt, dass die Entscheidung für ein bestimmtes Tool auf einer fundierten Bewertung beruht, nicht auf einem unreflektierten Reflex.

Mandanten haben das Recht, diese Frage zu stellen. Anwälte haben die Pflicht, sie beantworten zu können.