Brauchen Kanzleien einen AVV mit ihrem KI-Anbieter?

Ja, zwingend. Sobald ein KI-Anbieter personenbezogene Daten Ihrer Mandanten verarbeitet, sind Sie nach Art. 28 DSGVO verpflichtet, einen Auftragsverarbeitungsvertrag (AVV) abzuschließen. Ohne AVV ist der KI-Einsatz rechtswidrig, unabhängig davon, wie der Anbieter die Daten tatsächlich behandelt.

Darf ein KI-Chatbot Mandantendaten auf US-Servern speichern?

Nicht ohne angemessene Garantien. Datentransfers in die USA sind nur zulässig, wenn der Anbieter dem EU-U.S. Data Privacy Framework beigetreten ist oder Standard-Datenschutzklauseln (SCC) vereinbart wurden. Empfehlung: Wählen Sie Anbieter mit EU-Servern, dann entfällt das Transferproblem vollständig.

Was verlangt der EU AI Act speziell für Chatbots?

Art. 50 EU AI Act verlangt ab August 2026, dass Chatbots Nutzer beim ersten Kontakt klar darüber informieren, dass sie mit einer KI kommunizieren. Diese Pflicht gilt für alle Chatbot-Betreiber in der EU, unabhängig vom Anbieter. Die Information muss deutlich sichtbar sein und darf nicht erst im Kleingedruckten stehen.

Haftet der Anwalt, wenn der Chatbot falsche Rechtsauskünfte gibt?

Das hängt davon ab, wie der Chatbot eingesetzt wird. Ein Chatbot, der allgemeine Informationen zur Kanzlei liefert und auf die Notwendigkeit anwaltlicher Beratung hinweist, ist unproblematisch. Kritisch wird es, wenn der Chatbot konkrete Rechtsrat gibt — das ist nach § 3 RDG Anwälten vorbehalten. Ein gut konfigurierter Chatbot überschreitet diese Grenze nicht.

DSGVO-konforme KI im Rechtsbereich: Was Anwälte 2026 wissen müssen

Kurzfassung

KI in Kanzleien unterliegt gleichzeitig DSGVO, EU AI Act und anwaltlichem Berufsrecht — alle drei Regelwerke greifen ineinander.
Ein AVV mit dem KI-Anbieter ist Pflicht; ohne ihn ist jeder KI-Einsatz rechtswidrig (Art. 28 DSGVO).
Ab August 2026 verlangt Art. 50 EU AI Act die aktive Offenlegung, dass Nutzer mit einer KI kommunizieren.

Welche Gesetze gelten für KI in Kanzleien?

Kanzleien, die KI einsetzen, bewegen sich in einem dreidimensionalen Rechtsrahmen. Alle drei Ebenen gelten gleichzeitig — und keine Compliance mit einer Ebene heilt Verstöße gegen die anderen.

DSGVO — regelt die Verarbeitung personenbezogener Daten der Mandanten.
EU AI Act (seit August 2024, Stufenimplementierung bis 2027) — legt Anforderungen an KI-Systeme je nach Risikostufe fest.
Anwaltliches Berufsrecht — BRAO, BORA und das Rechtsdienstleistungsgesetz (RDG) begrenzen, was KI stellvertretend für Anwälte tun darf.

DSGVO im Detail

Art. 5 — Grundsätze der Datenverarbeitung

KI-Systeme dürfen Mandantendaten nur für den definierten Zweck verwenden (Zweckbindung), nur das Minimum an Daten verarbeiten (Datensparsamkeit) und Daten nicht länger speichern als nötig (Speicherbegrenzung). Systeme, die Chatverläufe ohne zeitliche Begrenzung speichern, verstoßen gegen diesen Grundsatz.

Art. 6 — Rechtsgrundlage der Verarbeitung

Damit ein KI-Chatbot Mandantendaten verarbeiten darf, braucht es eine Rechtsgrundlage. In der Regel ist das die Vertragsanbahnung (Art. 6 Abs. 1 lit. b), weil der Mandant Kontakt mit der Kanzlei aufnimmt, um ein Mandat anzubahnen. Alternativ kommt eine Einwilligung nach Art. 6 Abs. 1 lit. a in Betracht — dann muss diese vor dem ersten Datenaustausch eingeholt werden.

Art. 13 — Informationspflicht beim Datenabruf

Bevor ein Mandant mit dem Chatbot interagiert, muss er darüber informiert werden, Art. 13 DSGVO:

wer der Verantwortliche ist (die Kanzlei),
welche Daten zu welchem Zweck verarbeitet werden,
wie lange die Daten gespeichert werden,
welche Rechte der Mandant hat (Auskunft, Löschung, etc.).

In der Praxis geschieht das über einen Hinweis im Chatfenster und einen Link zur Datenschutzerklärung. Der Chatbot darf erst starten, wenn der Nutzer die Kenntnisnahme bestätigt hat.

Art. 22 — Automatisierte Entscheidungen

Artikel 22 verbietet Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen, wenn sie rechtliche oder ähnlich erhebliche Wirkungen haben. Für Kanzleien bedeutet das: Ein Chatbot darf nicht entscheiden, ob ein Mandat angenommen oder abgelehnt wird. Diese Entscheidung muss immer beim Anwalt liegen.

Art. 28 — Auftragsverarbeitungsvertrag (AVV)

Dies ist in der Praxis der häufigste Fehler: Ein AVV mit dem KI-Anbieter ist Pflicht, sobald dieser personenbezogene Daten im Auftrag der Kanzlei verarbeitet. Das trifft auf praktisch jeden Chatbot-Anbieter zu. Ohne AVV ist die Datenverarbeitung rechtswidrig — mit Bußgeldrisiko bis zu €20 Millionen oder 4% des weltweiten Jahresumsatzes.

⚠ Praxisfall: AG Köln, Juli 2025

Ein Anwalt wurde sanktioniert, weil er KI-generierte Schriftsätze ohne Überprüfung eingereicht hatte. Die KI hatte Urteile halluziniert, die nicht existierten. Das Gericht wertete dies als Berufspflichtverletzung. KI-Werkzeuge müssen von Anwälten kontrolliert, nicht blind übernommen werden.

EU AI Act: Was gilt für Kanzleien?

Risikokategorien

Der EU AI Act klassifiziert KI-Systeme in vier Risikostufen. Kanzlei-Chatbots fallen in der Regel unter „begrenztes Risiko" — die dritte Stufe. Das bedeutet: keine Hochrisikoklassifikation, aber konkrete Transparenzpflichten.

Art. 50 — Transparenzpflicht ab August 2026

Ab August 2026 müssen Betreiber von KI-Chatbots Nutzer beim ersten Kontakt unmissverständlich informieren, dass sie mit einer KI kommunizieren. Die Information muss aktiv gegeben werden — ein versteckter Hinweis in AGB oder Datenschutzerklärung genügt nicht.

Kanzleien, die jetzt einen Chatbot einsetzen, sollten sicherstellen, dass ihr Anbieter diese Pflicht bereits erfüllt oder bis August 2026 implementiert.

Digital AI Omnibus — Änderungen Mai 2026

Am 7. Mai 2026 verabschiedete das EU-Parlament das Digital AI Omnibus-Paket. Die wichtigste Änderung für Kanzleien: Die Umsetzungsfrist für Hochrisiko-KI wurde auf Dezember 2027 verschoben. Für Kanzlei-Chatbots (begrenztes Risiko) ändert sich am Kern-Zeitplan nichts — Art. 50 bleibt August 2026.

Anwaltliches Berufsrecht

Zwei Grenzen sind besonders relevant:

§ 3 RDG — Rechtsberatungsmonopol

Konkrete Rechtsberatung bleibt dem zugelassenen Rechtsanwalt vorbehalten. Ein Chatbot darf allgemeine Informationen geben, aber keine Antworten formulieren, die als Rechtsrat interpretiert werden könnten (z.B. „In Ihrem Fall sollten Sie Klage erheben"). Ein gut konfigurierter Chatbot weist bei solchen Fragen explizit auf die Notwendigkeit eines Beratungsgesprächs hin.

§ 43a BRAO — Verschwiegenheitspflicht

Die anwaltliche Verschwiegenheitspflicht gilt auch für den KI-Einsatz. Mandantendaten, die in KI-Systeme fließen, müssen genauso geschützt sein wie Akten im Kanzleisafe. Das macht EU-Server-Hosting und starke Datenverschlüsselung zur Pflicht, nicht zur Option.

DSGVO-Checkliste für Kanzleien

Vor dem KI-Einsatz prüfen

AVV mit dem KI-Anbieter abgeschlossen (Art. 28 DSGVO)
Datenverarbeitung findet auf EU-Servern statt
Datenschutzerklärung auf der Website aktualisiert (KI-Erwähnung)
Chatbot informiert Nutzer vor Interaktionsbeginn (Art. 13 DSGVO)
Speicherfristen für Chatverläufe definiert und technisch umgesetzt
Chatbot gibt keine konkreten Rechtsauskünfte (§ 3 RDG)
KI-Offenlegung implementiert (EU AI Act Art. 50, spätestens August 2026)
Alle KI-generierten Dokumente werden vor Einreichung von einem Anwalt geprüft

Fazit

DSGVO-konformer KI-Einsatz in Kanzleien ist möglich — aber er erfordert einen Anbieter, der die rechtlichen Anforderungen versteht und technisch umsetzt. Der häufigste Fehler ist nicht böser Wille, sondern das Unterschätzen der Verpflichtungen: kein AVV, kein Datenschutzhinweis, keine Offenlegung der KI-Nutzung.

Wenn Sie einen spezialisierten Anbieter wie KYOU Solutions wählen, erhalten Sie nicht nur einen Chatbot, sondern ein AVV-konformes System auf EU-Servern, das alle Transparenzpflichten out of the box erfüllt.

DSGVO-konformer KI-Chatbot für Ihre Kanzlei

EU-Server, AVV inklusive, Art. 50-konform. In 14 Tagen live.

Kostenlose Demo anfragen

DSGVO-konforme KI im Rechtsbereich:Was Anwälte 2026 wissen müssen