Anwaltskanzleien nehmen in der europäischen KI-Regulierungslandschaft eine ungewöhnliche Position ein. Sie sind gleichzeitig als Anwender von KI-Tools der Regulierung unterworfen und als Berater ihrer Mandanten in KI-Regulierungsfragen tätig. Die eigene Compliance korrekt umzusetzen, ist daher nicht nur eine rechtliche Pflicht -- es ist ein Reputationsimperativ.
Doppelte Compliance-Pflicht
Kanzleien unterliegen gleichzeitig der DSGVO und der EU-KI-Verordnung — die einzige Branche, in der diese doppelte Verpflichtung Standard ist.
Die Überschneidung zwischen DSGVO und EU-KI-Verordnung
Die DSGVO und die EU-KI-Verordnung teilen erhebliche konzeptionelle Gemeinsamkeiten -- beide basieren auf Transparenz, Rechenschaftspflicht und Betroffenenrechten --, operieren jedoch auf unterschiedlichen Achsen:
| DSGVO | EU-KI-Verordnung | |
|---|---|---|
| Fokus | Verarbeitung personenbezogener Daten | KI-Systemrisiko |
| Auslöser | Jede Verarbeitung personenbezogener Daten | Nutzung oder Bereitstellung eines KI-Systems |
| Kernpflicht | Rechtsgrundlage, Einwilligung, Betroffenenrechte | Risikoklassifizierung, Dokumentation, menschliche Aufsicht |
Für eine Anwaltskanzlei, die ein KI-Tool einsetzt, das personenbezogene Mandantendaten verarbeitet (was auf die meisten zutrifft), gelten beide Regelwerke gleichzeitig.
Risikoklassifizierung nach der EU-KI-Verordnung
Die EU-KI-Verordnung führt eine vierstufige Risikoklassifizierung ein:
- Unannehmbares Risiko -- Gänzlich verboten (Social Scoring, biometrische Echtzeitüberwachung)
- Hohes Risiko -- Erfordert Konformitätsbewertung, Dokumentation, menschliche Aufsicht
- Begrenztes Risiko -- Ausschliesslich Transparenzpflichten
- Minimales Risiko -- Keine spezifischen Pflichten
Für die meisten KI-Anwendungsfälle in Anwaltskanzleien:
- KI-gestützte Rechtsrecherche -> voraussichtlich begrenztes Risiko (Transparenzpflichten)
- KI im Arbeitsrecht -> potenziell hohes Risiko (Beschäftigung und Personalmanagement ist eine gelistete Hochrisikokategorie)
- Prädiktive Prozessanalysetools -> voraussichtlich hohes Risiko (Rechtspflege ist gelistet)
- Vertragsgestaltungsassistenten -> voraussichtlich begrenztes oder minimales Risiko
Praktische Compliance-Schritte für Anwaltskanzleien
1. Ein KI-Inventar führen
Dokumentieren Sie jedes in der Kanzlei eingesetzte KI-Tool, einschliesslich:
- Anbieter und Produktname
- Anwendungsfall und Praxisgruppe
- Verarbeitete Daten (personenbezogen / sensibel / mandantenvertraulich)
- Risikoklassifizierung (Selbstbewertung)
2. Mandatsvereinbarungen aktualisieren
Wenn Sie KI-Tools bei der Erbringung von Mandantendienstleistungen einsetzen, sollten Ihre Mandatsvereinbarungen:
- Offenlegen, dass KI-Tools eingesetzt werden können
- Die Kategorien des KI-Einsatzes spezifizieren
- Ihre Verfahren zur menschlichen Aufsicht bestätigen
3. Einen KI-Governance-Verantwortlichen ernennen
Kanzleien jeder relevanten Größe sollten eine Person benennen, die für die KI-Governance verantwortlich ist. Diese Rolle überschneidet sich mit der Rolle des Datenschutzbeauftragten nach der DSGVO, ist jedoch nicht mit ihr identisch.
4. Ihre Anwälte schulen
Die Einhaltung der EU-KI-Verordnung ist nicht ausschliesslich eine Angelegenheit der IT- oder Compliance-Abteilung. Jeder Anwalt, der KI-Tools nutzt, muss die grundlegenden Pflichten in Bezug auf Transparenz und menschliche Aufsicht verstehen.
KI-Compliance Schnellcheck
0/0Die Chance in der Compliance
Kanzleien, die robuste KI-Compliance-Rahmenwerke entwickeln, werden gut positioniert sein, um Mandanten bei denselben Herausforderungen zu beraten. Die interne Arbeit, das eigene Haus in Ordnung zu bringen, wird zum erfahrungsbasierten Fundament für ein neues Praxisfeld.
Integration von DSFA und KI-Folgenabschätzungen
Kanzleien, die bereits Datenschutz-Folgenabschätzungen nach dem DSG durchführen, können diese um KI-spezifische Risiken erweitern, anstatt ein separates Rahmenwerk aufzubauen. ISO 42001 unterstützt diesen Ansatz ausdrücklich: KI-System-Folgenabschätzungen mit Schwerpunkt auf Datenschutz "müssen möglicherweise in das umfassendere Risikomanagementprogramm der Organisation integriert werden." Eine einheitliche DSFA/KI-Folgenabschätzung vermeidet doppelten Aufwand.
Die DSFA sollte "tiefer gehen" als eine allgemeine KI-Bewertung und folgende Aspekte untersuchen: Zweck der Datenerhebung, Methode und Umfang der Verarbeitung, Klassifizierung der Datensensibilität, betroffene Personen, Verarbeitungskontext sowie Möglichkeiten zur individuellen Beteiligung. Für eine Kanzlei mit zehn Anwälten ist ein einheitliches Dokument, das sowohl den Datenschutz als auch die KI-Governance abdeckt, praktischer -- und verteidigungsfähiger -- als zwei separate Bewertungen.
Sekundärnutzung: Das verborgene Lieferantenrisiko
Wenn die Vertragsbedingungen eines KI-Anbieters hinsichtlich des Modelltrainings mehrdeutig sind, materialisiert sich ein spezifisches Risiko: die Sekundärnutzung -- die Zweckentfremdung von Mandantendaten für das KI-Modelltraining ohne Einwilligung. Drei konkrete Bedrohungen:
- Training neuer Modelle mit Mandantendaten ohne ausdrückliches Verbot in der AVV
- Inferenzrisiko -- KI-Algorithmen sagen Merkmale voraus, die Ihr Mandant lieber vertraulich halten würde, selbst wenn die betroffene Person diese Informationen nie direkt bereitgestellt hat
- Web-Scraping von Trainingsdaten, die Dokumente enthalten könnten, die Ihre Kanzlei im Auftrag von Mandanten veröffentlicht hat
Artikel 6 Absatz 1 des EU-Datengesetzes bekräftigt dies: Dritte, die personenbezogene Daten erhalten, müssen diese "nur für die mit dem Nutzer vereinbarten Zwecke und unter den vereinbarten Bedingungen" verarbeiten. Wenn Ihr KI-Anbieter keine AVV-Klausel vorweisen kann, die das Modelltraining mit Ihren Mandantendaten ausdrücklich untersagt, verwenden Sie das Tool nicht.
Ist Ihre Kanzlei KI-konform?
0 Fragen
Adriana Adafinoaiei berät Anwaltskanzleien zu DSGVO-Compliance, Umsetzung der EU-KI-Verordnung und Legal-Technology-Governance. Nehmen Sie Kontakt auf, um die Compliance-Position Ihrer Kanzlei zu besprechen.