· Thomas Keller · Datenschutz  · 2 Min. Lesezeit

DSGVO und KI-Dokumentenanalyse: Was Kanzleien wissen müssen

Dürfen Sie Mandantenverträge durch eine KI analysieren lassen? Ja — aber nur unter bestimmten Voraussetzungen. Ein Leitfaden.

Dürfen Sie Mandantenverträge durch eine KI analysieren lassen? Ja — aber nur unter bestimmten Voraussetzungen. Ein Leitfaden.

Die zentrale Frage

Wenn eine Kanzlei ein KI-Tool wie DocAnalyzer einsetzt, um Mandantenverträge zu analysieren, verarbeitet sie personenbezogene Daten. Die DSGVO stellt dafür klare Anforderungen.

Die gute Nachricht: Es ist möglich. Die wichtige Nachricht: Es gibt Spielregeln.

Rechtsgrundlage der Verarbeitung

Die Analyse von Mandantenverträgen durch KI lässt sich auf Art. 6 Abs. 1 lit. b DSGVO stützen — die Verarbeitung ist zur Erfüllung des Anwaltsvertrags erforderlich. Der Mandant beauftragt die Kanzlei mit der Vertragsanalyse; das Tool ist das Mittel.

Alternativ kommt Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) in Betracht — die effiziente Mandatsbearbeitung ist ein anerkanntes Interesse.

Auftragsverarbeitung (AVV)

Nutzt die Kanzlei einen externen SaaS-Anbieter, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zwingend erforderlich. Dieser muss regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Kategorien betroffener Personen und Daten
  • Technische und organisatorische Maßnahmen

Drittlandtransfer

Hier wird es kritisch: Viele KI-Anbieter verarbeiten Daten in den USA. Seit dem EU-US Data Privacy Framework gibt es zwar wieder einen Angemessenheitsbeschluss — aber die Rechtslage bleibt dynamisch.

Unsere Empfehlung: Wählen Sie Anbieter, die Daten ausschließlich in der EU verarbeiten. Bei MaulyLegal AI verlassen Ihre Daten niemals deutsche Rechenzentren.

KI-Training mit Mandantendaten?

Ein absolutes No-Go. Kein seriöser Anbieter darf Mandantendaten zum Training seiner Modelle verwenden. Achten Sie auf eine explizite vertragliche Zusicherung.

Checkliste für Kanzleien

  • AVV mit dem KI-Anbieter abgeschlossen?
  • Verarbeitungsverzeichnis nach Art. 30 DSGVO aktualisiert?
  • Datenschutz-Folgenabschätzung erforderlich? (bei großem Umfang: ja)
  • Mandanten über den Einsatz informiert?
  • Datenverarbeitung ausschließlich in der EU?
  • Kein Training mit Mandantendaten vertraglich zugesichert?

Fazit

KI-Dokumentenanalyse und DSGVO schließen sich nicht aus — im Gegenteil. Richtig implementiert, kann KI sogar dabei helfen, datenschutzrechtliche Risiken in Verträgen zu identifizieren.

Entscheidend ist die Wahl des richtigen Anbieters und eine saubere vertragliche Grundlage.

Thomas Keller ist Datenschutzbeauftragter bei Maulytec und Fachanwalt für IT-Recht. Fragen zum Datenschutz? thomas.keller@maulylegal.com

Teilen:
Zurück zum Blog