Wenn Sie ein US-gehostetes KI-Tool für die Mandatsdokumentation verwenden, können Sie bereits gegen geltendes Recht verstossen — und nicht nur gegen die DSGVO. Schweizer und deutsche Kanzleien, die KI einsetzen, stehen vor überlappenden Dokumentationspflichten aus zwei verschiedenen Rechtsrahmen. Der erste Schritt zu einer tragfähigen Compliance-Position ist zu verstehen, welches Recht auf Ihre Kanzlei anwendbar ist.
Persönliche Haftung pro Einzelperson
Unter dem Schweizer DSG treffen Strafen die verantwortliche Einzelperson — nicht das Unternehmen. Dies ist eine Strafsanktion, keine Regulierungsbusse.
Zwei Regelwerke, nicht eines
Für Schweizer Kanzleien ist die wichtigste Klarstellung: Das Schweizer Datenschutzgesetz (DSG, revDSG) ist nicht die DSGVO. Schweizer Kanzleien mit ausschliesslich schweizerischen Tätigkeiten unterliegen dem revDSG, das seit 1. September 2023 in Kraft ist. Die DSGVO gilt zusätzlich nur, wenn die Kanzlei Daten von EU-ansässigen Personen verarbeitet — was für Kanzleien in Grenzkantonen wie Basel-Stadt, Zürich oder Genf mit deutschen oder französischen Mandanten häufig zutrifft.
Die praktischen Unterschiede sind erheblich:
- DSG-Strafen treffen die verantwortliche Einzelperson, nicht das Unternehmen — bis zu CHF 250.000 pro Person. DSGVO-Bussen richten sich gegen die Organisation.
- DSG "Hochrisiko-Profiling" (Art. 5 Bst. g revDSG) ist ein schweizspezifisches Konzept ohne direktes DSGVO-Äquivalent. Es erfasst automatisierte Verarbeitungen, die eine Beurteilung wesentlicher Persönlichkeitsmerkmale ermöglichen — relevant für jedes KI-Tool, das Mandanten oder Mitarbeitende bewertet, bewertet oder kategorisiert.
- DSFA-Schwelle: Das revDSG verlangt eine Datenschutz-Folgenabschätzung, wenn KI-Verarbeitungen ein "hohes Risiko" für die Persönlichkeit von Betroffenen darstellen (Art. 22 revDSG). Der Massstab unterscheidet sich vom DSGVO-Test.
Deutsche Kanzleien unterliegen direkt der DSGVO und, sobald anwendbar, der EU-KI-Verordnung.
Die KMU-Ausnahme, die wahrscheinlich nicht gilt
Art. 30 Abs. 5 DSGVO befreit Organisationen mit weniger als 250 Mitarbeitenden grundsätzlich von der Pflicht zur vollständigen Führung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT). Die meisten Kanzleien mit 5–30 Anwälten liegen unter dieser Schwelle. Die Ausnahme klingt hilfreich. Sie gilt in der Praxis fast nie.
Die Ausnahme entfällt, wenn die Verarbeitung ein Risiko für die Rechte und Freiheiten der Betroffenen birgt, nicht nur gelegentlich erfolgt oder besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) betrifft. Rechtliche Mandatsdaten sind per Definition sensibel — sie können Gesundheitsdaten, familienrechtliche Informationen, Strafregistereinträge oder Finanzdaten enthalten. Die Verarbeitung ist nicht gelegentlich, sondern Kerngeschäft. Jede Kanzlei, die KI-Tools für die Mandatsarbeit einsetzt, sollte VVT-Einträge für diese Tools führen — unabhängig von der Mitarbeiterzahl.
Nach dem revDSG ist die Pflicht noch breiter: Eine vergleichbare KMU-Ausnahme für die Verarbeitung sensibler Personendaten existiert nicht.
Verzeichnis der Verarbeitungstätigkeiten — Was jeder KI-Tool-Eintrag enthalten muss
Für eine Kanzlei ohne Datenschutzbeauftragten ist der geschäftsführende Partner der faktische Datenschutz-Verantwortliche und Eigentümer dieser Dokumentation.
Ein vollständiger Eintrag für ein Kanzlei-KI-Tool muss enthalten:
- Verarbeitungsaktivität und Tool-Name — z.B. "Vertragsanalyse und -prüfung mittels [Anbieter] KI-Plattform"
- Zweck — spezifisch. "Rechtsdienstleistungen" genügt nicht. Dokumentieren Sie: Vertragsentwurf, Prozessdokumentenprüfung, Mandantenaufnahme, Mitarbeiterplanung
- Rechtsgrundlage — nach DSGVO Art. 6 meistens Vertragserfüllung (Art. 6(1)(b)) oder berechtigte Interessen (Art. 6(1)(f)); bei besonderen Kategorien ist eine zusätzliche Grundlage nach Art. 9 DSGVO bzw. Art. 31 revDSG erforderlich
- Kategorien von Betroffenen und Daten — Typen aufführen, nicht jedes einzelne Feld: Mandanten, Gegenparteien, Zeugen, Mitarbeitende
- Empfänger — hier müssen KI-Anbieter und deren Unterauftragsverarbeiter erscheinen
- Drittlandtransfers — Hosting-Standort und Übertragungsmechanismus (Standardvertragsklauseln, Angemessenheitsbeschluss)
- Aufbewahrungsfrist oder die zur Bestimmung verwendeten Kriterien
Führen Sie dieses Verzeichnis in einer einfachen Tabelle. Das Ziel ist kein perfektes Rechtsinstrument — sondern ein nachweisbarer, systematischer Nachweis, den Sie bei einer Anfrage der Aufsichtsbehörde vorlegen können.
Die Klausel, auf die es am meisten ankommt
Wenn ein KI-Anbieter Personendaten im Auftrag der Kanzlei verarbeitet, sind Sie Verantwortlicher und der Anbieter Auftragsverarbeiter. Ein Auftragsverarbeitungsvertrag (AVV) ist nach DSGVO Art. 28 und revDSG Art. 9 zwingend.
Für Kanzleien ohne Compliance-Officer lautet die Priorität: Explizites Verbot des Modelltrainings mit Mandantendaten. Viele Standard-AGBs von KI-Anbietern sind in diesem Punkt unscharf oder behalten sich das Recht vor, Eingaben zur Modellverbesserung zu nutzen. Wenn ein Anbieter ein ausdrückliches Verbot ablehnt, setzen Sie das Tool nicht ein. Das ist auch eine harte Grenze nach Art. 321 StGB (Anwaltsgeheimnis): Mandantendaten dürfen nicht für Zwecke ausserhalb des Mandats verwendet werden.
Weitere wichtige Klauseln:
- Unterauftragsverarbeiter: Vollständige Liste einholen, Vorabinformation bei Änderungen verlangen (DSGVO Art. 28(2)).
- Datenspeicherort: Bei hochsensiblen Mandantendaten vertraglich EU- oder Schweiz-Hosting sichern.
- Meldefristen: Der AVV sollte den Anbieter verpflichten, die Kanzlei innerhalb von 24–48 Stunden über eine Datenpanne zu informieren — nicht nur "unverzüglich" — damit die Kanzlei die DSGVO-72-Stunden-Frist wahren kann.
- Löschung bei Vertragsende: Vollständige Löschung aller Personendaten einschliesslich Backup-Kopien vereinbaren.
Praxis-Workflow für eine Kanzlei ohne Datenschutzbeauftragten
Die meisten Kanzleien unter 250 Mitarbeitenden benötigen nach DSGVO Art. 37 keinen Datenschutzbeauftragten (DSB). Das revDSG kennt für private Unternehmen keine entsprechende Pflichternennung. Aber jemand muss den Datenschutz verantworten. Bei den meisten kleinen Kanzleien ist das der geschäftsführende Partner.
Ein minimaler, tragfähiger Workflow:
- VVT führen — ein Eintrag pro KI-Tool, aktuell gehalten bei Änderungen.
- AVVs prüfen — No-Training-Klausel vor Onboarding jedes neuen Tools verifizieren.
- DSFA durchführen — für jedes Tool, das Profiling oder besondere Kategorien verarbeitet. Zwei Seiten sind für eine kleine Kanzlei ausreichend: welche Daten, welches Risiko, welche Schutzmassnahmen.
- Neue Tool-Anfragen protokollieren — Zwei-Fragen-Check: (a) Verbietet der AVV das Modelltraining? (b) Ist der Hosting-Standort EU/Schweiz oder gibt es einen angemessenen Übertragungsmechanismus? Bei unbefriedigenden Antworten: nicht einsetzen.
Das Rechenschaftsprinzip verlangt keine Perfektion — sondern nachweisbare, systematische Bemühungen. Eine Kanzlei, die ein aktuelles VVT, die AVVs ihrer Anbieter und eine DSFA für das risikoreichste Tool vorlegen kann, ist in einer fundamental anderen Position als eine, die das nicht kann.
DSGVO-KI-Dokumentations-Checkliste
0/0Ist Ihre KI-Datenverarbeitung DSGVO-konform?
0 Fragen
Brauchen Sie Hilfe beim Aufbau der Datenschutzdokumentation für KI-Tools Ihrer Kanzlei? Nehmen Sie Kontakt auf für eine strukturierte Prüfung.