ChatGPT in der Kanzlei: Welche KI-Tools wirklich DSGVO-konform sind
Darf eine Kanzlei ChatGPT, Copilot oder andere KI-Tools nutzen? Ein juristisch fundierter Überblick für Anwälte und Steuerberater.
Die Frage kommt dieser Tage in jeder Kanzlei auf: "Dürfen wir eigentlich ChatGPT nutzen?" Die Antwort ist keine einfache Ja-oder-Nein-Antwort - sie hängt davon ab, welches Tool, in welcher Konfiguration, für welchen Zweck eingesetzt wird.
Dieser Leitfaden gibt Ihnen den nächternen überblick: Was ist erlaubt, was ist riskant, und welche Alternativen haben Kanzleien, die KI ernsthaft nutzen wollen - ohne das Berufsrecht zu brechen.
73 %
Kanzleien testen KI
Quelle: BRAK-Umfrage 2025
§ 203
StGB - Berufsgeheimnis
bei Mandantendaten relevant
Art. 28
DSGVO - AVV Pflicht
bei Drittanbietern
Das Grundproblem: Mandantendaten dürfen nicht ins Training
Wenn Sie einen Schriftsatz in ChatGPT einfügen, um ihn umzuformulieren, passiert Folgendes: Der Text verlösst Ihre IT-Infrastruktur, wird an OpenAI-Server in den USA übertragen und kann standardmäßig für das Training zukünftiger Modelle verwendet werden.
Das ist aus zwei Gründen problematisch. Erstens sind Mandantendaten personenbezogene Daten nach Art. 4 DSGVO - für ihre übermittlung an Dritte brauchen Sie eine Rechtsgrundlage und in der Regel einen AVV. Zweitens schützt § 203 StGB das Berufsgeheimnis - und die unkontrollierte Weitergabe an US-Dienste könnte den Tatbestand der unbefugten Offenbarung erfällen.
⚠️ Standard-ChatGPT ist für Mandantendaten nicht erlaubt
Die kostenlose und die Standard-Plus-Version von ChatGPT nutzen Eingaben für das Modelltraining. OpenAI bietet keinen DSGVO-konformen AVV für Consumer-Produkte an. Mandantendaten - Namen, Aktennummern, Falldetails - dürfen in diese Version nicht eingegeben werden.
Die vier relevanten KI-Szenarien in der Kanzleipraxis
Nicht jeder KI-Einsatz ist gleich riskant. Entscheidend ist, ob personenbezogene Mandantendaten verarbeitet werden oder nicht.
Szenario 1: KI ohne Mandantendaten (grüne Zone)
Sie nutzen ChatGPT, um einen allgemeinen Blogartikel zu schreiben, Mustertexte zu generieren oder rechtliche Konzepte zu erklären - ohne konkrete Mandantendaten einzugeben. Hier gibt es aus datenschutzrechtlicher Sicht kein Problem. Das ist öffentlich zugängliches Wissen, keine personenbezogene Datenverarbeitung.
Szenario 2: KI mit anonymisierten Daten (gelbe Zone)
Sie anonymisieren den Sachverhalt vollständig - kein Name, keine Adresse, keine identifizierenden Details - und geben nur den abstrakten Sachverhalt ein. Das ist juristisch vertretbar, aber fehleranfällig: Oft reichen Kombinationen von Merkmalen, um eine Person zu identifizieren. Eine vollständige Anonymisierung ist schwerer, als sie klingt.
Szenario 3: KI mit echten Mandantendaten in Standard-Tools (rote Zone)
Sie fügen einen echten Schriftsatz, eine Klageschrift oder eine E-Mail mit Mandantendaten in ChatGPT, Google Gemini oder Perplexity ein. Das ist ohne entsprechende Konfiguration, AVV und EU-Serverstandort nicht erlaubt - weder unter der DSGVO noch unter § 203 StGB.
Szenario 4: Konfigurierte Enterprise-Lösungen (grüne Zone)
Sie nutzen ChatGPT Enterprise, Microsoft 365 Copilot für Unternehmen oder eine selbst gehostete Lösung (z. B. auf Azure in der EU) mit geschlossenem Datenraum, aktiviertem AVV und deaktiviertem Training. Das ist der konforme Weg - kostet aber entsprechend mehr.
KI-Tools im Vergleich: Was ist für Kanzleien erlaubt?
| Tool | Training aus Eingaben | EU-Server möglich | AVV verfügbar | Für Mandantendaten |
|---|---|---|---|---|
| ChatGPT Free/Plus | ✅ Ja (Standard) | ❌ Nein | ❌ Nein | ❌ Verboten |
| ChatGPT Enterprise | ✅ Deaktiviert | ⚠️ US (Azure) | ✅ Ja | ⚠️ Mit Vorbehalt |
| Microsoft Copilot (M365 Business) | ✅ Deaktiviert | ✅ EU-Option | ✅ Ja | ⚠️ Bedingt OK |
| Google Gemini (Workspace) | ✅ Deaktiviert | ✅ EU-Option | ✅ Ja | ⚠️ Bedingt OK |
| Selbst gehostetes LLM (EU) | ❌ Nein | ✅ Ja | ~ Selbst | ✅ OK |
| Velo Automation KI | ❌ Nein | ~ Deutschland | ~ Inklusive | ✅ OK |
Microsoft 365 Copilot: Die häufigste Enterprise-Wahl
Microsoft 365 Copilot ist für viele Kanzleien die naheliegendste Wahl, weil Office bereits vorhanden ist. Aber auch hier gilt: Nicht jede Konfiguration ist automatisch DSGVO-konform.
Was Sie prüfen müssen
- Datenspeicherung: Ist "EU Data Boundary" in Ihrem Tenant aktiviert? Nur dann bleiben Daten in der EU.
- AVV: Microsoft stellt einen Standardvertrag bereit - dieser muss für Ihre Kanzlei explizit abgeschlossen werden.
- Trainingsausschluss: Im Microsoft 365 Business-Tarif werden Eingaben nicht für das Modelltraining genutzt - aber nur, wenn die entsprechende Einstellung aktiv ist.
- CLOUD Act: Microsoft ist ein US-Unternehmen. Der CLOUD Act bleibt ein Restrisiko - auch bei EU-Servern.
💡 Praktischer Tipp
Wenn Sie Microsoft 365 ohnehin nutzen: Prüfen Sie, ob Ihr Tarif Copilot enthält oder ob ein Upgrade sinnvoll ist. Das ist günstiger und einfacher als ein neues Tool - sofern die EU Data Boundary und der AVV korrekt konfiguriert sind.
Selbst gehostete KI: Der sicherste Weg
Wer maximal auf der sicheren Seite sein will, setzt auf eine selbst gehostete KI-Lösung. Das klingt nach IT-Groäprojekt - ist es für eine Kanzlei aber nicht zwingend. Velo Automation betreibt für Kanzleien eine RAG-basierte KI (Retrieval-Augmented Generation) auf deutschen Servern:
- Mandantenwissen wird in einer abgeschirmten Vektordatenbank gespeichert
- Die KI beantwortet Anfragen ausschließlich auf Basis der eigenen Kanzlei-Dokumente
- Kein Training mit Mandantendaten, keine Datenweitergabe an Dritte
- AVV inklusive, deutsches Rechenzentrum, ISO 27001
Praktische Umsetzung: So fähren Sie KI rechtskonform ein
Anwendungsfälle definieren
Legen Sie schriftlich fest, für welche Aufgaben KI genutzt werden darf: Textoptimierung ohne Mandantendaten, Recherche, Zusammenfassungen. Klare Grenzen schützen Ihr Team vor unbeabsichtigten Verstßen.
Tool-Auswahl und AVV
Wählen Sie ein Tool mit EU-Serverstandort und gültigem AVV. Für Consumer-Produkte (ChatGPT Free) gilt: Mandantendaten nie eingeben. Für Enterprise-Lösungen den AVV vor Inbetriebnahme unterzeichnen.
Interne Richtlinie erstellen
Erstellen Sie eine ein- bis zweiseitige KI-Nutzungsrichtlinie für Ihre Kanzlei. Darin: erlaubte Tools, verbotene Inhalte (Mandantendaten), Verantwortlichkeiten. Alle Mitarbeiter schriftlich bestätigen lassen.
Datenschutzdokumentation updaten
Das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) muss den KI-Einsatz abbilden. Für jeden neuen Anbieter eine eigene Zeile anlegen - mit Zweck, Rechtsgrundlage und AVV-Verweis.
Regelmäßige Überprüfung
KI-Anbieter ändern ihre Datenschutzbedingungen häufig und kurzfristig. Planen Sie ein halbjährliches Review Ihrer eingesetzten Tools - besonders nach grßeren Updates oder übernahmen.
Häufige Fragen aus dem Kanzleialltag
Darf ich ChatGPT für die Bearbeitung von Mustervertrügen nutzen?
Wenn keinerlei personenbezogene Daten enthalten sind (keine Namen, keine Adressen, keine Aktenzeichen), dann ja - auch in der kostenlosen Variante. Sobald Sie ein konkretes Mandat einbeziehen, gelten die oben beschriebenen Einschränkungen.
Was ist mit KI-gestätzter Rechtsprechungsrecherche (z. B. Juris, Lexis)?
Jurisportal, Lexis+ und ähnliche Rechtsdatenbanken mit KI-Schnittstelle sind in der Regel unkritisch - sie verarbeiten nur öffentliche Rechtsprechung, keine Mandantendaten. Achten Sie trotzdem auf den Serverstandort und ob ein AVV vorliegt.
Muss ich Mandanten darüber informieren, dass ich KI nutze?
Es gibt keine gesetzliche Pflicht zur aktiven Information, wenn KI nur als internes Werkzeug ohne Mandantendaten genutzt wird. Wenn Mandantendaten in KI-Systeme flieäen, empfiehlt sich eine Klausel im Mandatsvertrag - und bei sensiblen Mandaten eine explizite Einwilligung.
Fazit: KI ja - aber mit System
KI in der Kanzlei ist kein Tabu-Thema mehr. Wer die richtigen Tools wählt, sie korrekt konfiguriert und klare interne Regeln schafft, kann erhebliche Effizienzgewinne erzielen - ohne das Berufsrecht zu riskieren.
Der grßte Fehler, den Kanzleien machen: Sie nutzen Consumer-KI-Tools für professionelle Zwecke, ohne die Datenschutzkonsequenzen zu kennen. Die zweite häufige Falle: Sie treffen eine gute Tool-Entscheidung, vergessen aber die interne Dokumentation und den AVV.
Weitere Artikel
E-Mail in der Kanzlei ist verboten - und kaum jemand weiß es
KI in der Kanzlei: So starten Sie § 203 StGB-konform
Interesse geweckt?
Erfahren Sie im schriftlichen Austausch per E-Mail, wie Velo Automation Ihre Kanzlei entlasten kann - ohne Risiko, ohne Kreditkarte.