EU AI Act in der Anwaltskanzlei: Legal Tech, ChatGPT, Mandantendaten
KI in Anwaltskanzleien ist meistens NICHT Hochrisiko nach Annex III Nr. 8 (das gilt nur für Justiz-Behörden). Aber: BRAK/SAV-Pflichten zu Mandantengeheimnis, EU-Datenresidenz, Erklärbarkeit. Annex III Nr. 8 lit. b kann gelten bei Wahlbeeinflussung.
Anwaltskanzleien nutzen KI zunehmend: Vertragsanalyse, Recherche-Tools (Harvey, CoCounsel), Schriftsatz-Drafts mit ChatGPT, Smart-Contract-Review. Der EU AI Act bringt — überraschend — wenige direkte Pflichten für Kanzleien als Deployer. Aber Berufsrecht, Mandantengeheimnis und DSGVO setzen enge Grenzen.
Ist Kanzlei-KI Hochrisiko?
In den allermeisten Fällen: NEIN.
Annex III Nr. 8 (Justiz und Demokratie) zielt auf:
- (a) KI zur Unterstützung von Justizbehörden bei Recherche und Auslegung von Tatbeständen
- (b) KI zur Beeinflussung von Wahlen oder Wählerverhalten
Punkt (a) gilt für Behörden (Gerichte, Staatsanwaltschaften), nicht für Anwälte als private Berufsträger. Recital 61 EU AI Act stellt das klar: "the use of AI tools by lawyers should not have any consequences for the classification of the AI system itself".
Konsequenz: Auch wenn ein Anwalt mit ChatGPT einen Schriftsatz erstellt, ist das KI-System (ChatGPT) nicht plötzlich Hochrisiko — es bleibt GPAI mit Art. 50 Transparenzpflicht.
Wann KÖNNTE Kanzlei-KI Hochrisiko sein?
- Inhouse-entwickelte Predictive-Outcome-Modelle, die direkt an Mandanten als Service verkauft werden → Provider-Rolle, ggf. Hochrisiko (zweifelhaft, eher minimal)
- KI-Wahlhelfer für politische Kampagnen → Annex III Nr. 8(b) Hochrisiko
- Annex III Nr. 4 HR-Pflichten: wenn Kanzlei mit > X Mitarbeitenden ATS einsetzt → das ist Hochrisiko (HR-Bereich der Kanzlei selbst)
Für die meisten Kanzleien gilt: Kanzlei-eigener Einsatz von KI = minimal-risk + Art. 50 Transparenz.
Aber: Berufsrecht setzt enge Grenzen
§ 43a BRAO (Deutschland) und Art. 13 BGFA (Schweiz) verpflichten Anwälte zum Mandantengeheimnis. Konkret:
- Mandantendaten dürfen nicht an Drittanbieter übertragen werden ohne Mandantenzustimmung
- US-Cloud-Anbieter sind problematisch (CLOUD Act)
- DSGVO Art. 9 bei besonderen Daten (Strafverfahren, Gesundheit)
Praktische Konsequenz:
- ChatGPT-Standard-Free oder Plus = Mandanten-Daten gehen zu OpenAI → Berufsrechtsverstoss
- ChatGPT Enterprise mit Datennutzungs-Opt-out = besser, aber DSGVO-Datenresidenz prüfen
- Microsoft Copilot for Business mit Tenant-Isolation = OK, wenn EU-Datenresidenz garantiert
- Self-Hosted Modelle (LLaMA-3, Mistral) = sicherste Option
BRAK-Position
Die Bundesrechtsanwaltskammer hat im Juni 2024 ein Positionspapier zu KI veröffentlicht. Kernpunkte:
1. KI ist Werkzeug — nicht ersetzt sie das anwaltliche Urteil 2. Berufsrechtskonformer Einsatz erfordert: Mandantenzustimmung, Datenresidenz, eigene Verifikation 3. KI-generierte Inhalte müssen vom Anwalt geprüft sein, bevor sie Eingang in Schriftsätze finden 4. Hallucinationen sind ein Berufsrechtsrisiko — wer KI-erfundene Präzedenzfälle einreicht, haftet
SAV-Position (Schweiz)
Der Schweizerische Anwaltsverband hat 2024 einen Leitfaden veröffentlicht. Ähnliche Linie wie BRAK + zusätzlich:
- Schweizer Datenresidenz bevorzugt
- Bei Verstoß: Disziplinarverfahren möglich
ÖRAK-Position (Österreich)
Der Österreichische Rechtsanwaltskammertag empfiehlt zurückhaltenden Einsatz, mit Pflicht-Schulung.
Empfohlene Tools für Kanzleien
Sicher (mit DPA):
- Harvey (auf Azure, EU-Datenresidenz, anwaltsspezifisch)
- CoCounsel (Thomson Reuters, anwaltsspezifisch)
- Microsoft Copilot for M365 (Tenant-Isolation, EU-Region wählbar)
- juris-KI (deutsche Datenbank, EU-Hosted)
Mit Vorbehalten:
- ChatGPT Enterprise (US-Datenresidenz möglich, je nach Plan)
- Claude (Anthropic, US-Hosting)
- Gemini (Google, mit EU-Region buchbar)
Problematisch ohne Mandantenzustimmung:
- ChatGPT Free/Plus
- Public-Endpoint-LLM-APIs ohne DPA
Konkrete Use Cases
| Anwendung | Klassifikation | Hinweise |
|---|---|---|
| Schriftsatz-Draft mit ChatGPT | Minimal/Begrenzt | Mandantendaten anonymisieren |
| Vertragsanalyse-KI (Eigentum-extraction) | Minimal | Standard-Verträge OK |
| KI-gestützte Rechtsrecherche | Minimal | Quellen verifizieren! |
| Smart-Contract-Review | Minimal | Anwalt verantwortet |
| Mandanten-Chatbot (FAQ) | Begrenzt (Art. 50) | Disclosure pflicht |
| Predictive Outcome (eigenes Modell) | Borderline | Keine eindeutige Klassifikation |
| ATS-System für Kanzlei-Recruiting | Hochrisiko Annex III Nr. 4 | Klassische HR-Hochrisiko |
Praxis-Empfehlungen
1. KI-Richtlinie für die Kanzlei aufsetzen — welche Tools sind erlaubt, mit welchen Daten? 2. Mandanten-Information in Mandatsverträge aufnehmen — wir setzen KI ein, wo, wofür, mit welchem Risiko. 3. Mandantenzustimmung für sensible Daten-Verarbeitung holen. 4. KI-Literacy-Schulung (Art. 4 — gilt seit Februar 2025) für die ganze Kanzlei: Mitarbeiter, Anwälte, Partner. 5. Verifikationsprozess für KI-Outputs: Hallucinationen erkennen, Zitate prüfen. 6. Audit-Trail: Welche KI-Outputs gingen in welche Schriftsätze?
Häufig gestellte Fragen
Darf ich als Anwalt ChatGPT für Schriftsätze nutzen?+
Grundsätzlich ja, mit Einschränkungen: keine Mandantendaten an ChatGPT-Standard übergeben (Berufsrecht), KI-generierte Inhalte vor Einreichung verifizieren (Hallucination-Risiko), Mandantenzustimmung bei sensiblen Mandaten einholen. Empfohlen: Enterprise-Versionen mit Datennutzungs-Opt-out.
Ist Legal-Tech-KI wie Harvey Hochrisiko?+
Nein. Harvey, CoCounsel und ähnliche Legal-Research-Tools fallen für Anwälte als Deployer in der Regel unter minimal-risk + Art. 50 Transparenzpflicht. Recital 61 stellt klar: Anwaltliche KI-Nutzung macht das System nicht zu Annex III Nr. 8 — das gilt nur für Justizbehörden.
Was sagt die BRAK zur KI-Nutzung?+
Die BRAK hat im Juni 2024 ein Positionspapier veröffentlicht: KI als Werkzeug ist erlaubt, das anwaltliche Urteil bleibt unverletzt. Wichtig: Mandantengeheimnis (§ 43a BRAO), Verifikation der Outputs, Mandantenzustimmung bei Datenübertragung, KI-generierte Halluzinationen sind Berufsrechtsrisiko.
Welche Tools sind für Kanzleien rechtssicher?+
Tools mit DPA, EU-Datenresidenz und Tenant-Isolation: Harvey (Azure EU), CoCounsel, Microsoft Copilot for M365 (EU-Region), juris-KI. Self-Hosted Modelle (LLaMA-3, Mistral) sind sicher, aber technisch aufwendig. ChatGPT Free oder Standard ist NICHT empfehlenswert für Mandantendaten.
Direkt prüfen — kostenlos
Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.
Kostenloser EU AI Act Check →Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.
Zuletzt aktualisiert: Mai 2026