DSGVO & Datensicherheit

KI in der Kanzlei — ohne dass Mandantendaten die EU verlassen.

Verschwiegenheitspflicht und Datenschutz sind keine Hürde, die man umgeht — sie sind der Ausgangspunkt unserer Architektur. Hier erklären wir nachvollziehbar, wie das funktioniert.

In Kürze
  • Mandantendaten bleiben auf selbst gehosteten Servern in der EU: Vektordatenbank, Dokumentenspeicher und Workflows laufen unter Kontrolle der Kanzlei.
  • An ein Sprachmodell geht nur der für die jeweilige Aufgabe nötige Ausschnitt — pseudonymisiert und minimiert, wo möglich in EU-Verarbeitung. Zurück kommt nur der Antworttext.
  • Auftragsverarbeitungsvertrag (AVV) und dokumentierte technisch-organisatorische Maßnahmen (TOMs) gehören zum Standard — nicht auf Nachfrage.
  • Die Architektur ist entlang von DSGVO und § 9 RAO (anwaltliche Verschwiegenheitspflicht) konzipiert; die rechtliche Bewertung für die eigene Kanzlei bleibt bei dieser.

Die berechtigte Sorge

„Einfach in ChatGPT kopieren“ geht nicht.

Wer Mandantendaten in ein öffentliches KI-Tool eingibt, gibt sie in der Regel an einen Anbieter außerhalb der EU weiter — und berührt damit sowohl die anwaltliche Verschwiegenheitspflicht (§ 9 RAO) als auch die DSGVO. Das ist kein theoretisches Risiko, sondern ein realer Grund, warum viele Kanzleien KI bislang meiden. Zu Recht — wenn die Architektur nicht stimmt.

Unser Architekturprinzip

Datenhoheit zuerst — drei Grundsätze.

Datenhaltung in der EU

Vektordatenbank, Dokumentenspeicher und Workflows laufen auf selbst gehosteten Servern in der EU — unter Ihrer Kontrolle.

Datensparsame Anbindung

KI-Modelle werden gezielt eingebunden. An das Modell geht nur, was die Aufgabe erfordert — pseudonymisiert und minimiert, wo möglich in EU-Verarbeitung.

AVV & TOMs

Klare Auftragsverarbeitungsverträge und technisch-organisatorische Maßnahmen — dokumentiert, nicht behauptet.

Der Datenfluss

Was bleibt, was geht — im Detail.

Das Schema zeigt, welche Daten auf Ihrem EU-Server bleiben und was in reduzierter Form an ein Sprachmodell geht. Zurück kommt nur der Antworttext.

Datenfluss — schematische Darstellung Datenfluss
IHRE KANZLEI EU-SERVER · SELF-HOSTED KI-MODELL Dokumente & Scans E-Mail-Posteingang Interne Vorlagen Aufbereitung & Vektorindex Dokumentenspeicher Workflow-Engine Verlässt den Kanzlei-/EU-Server nicht. Sprachmodell EU-VERARBEITUNG · AVV pseudonymisiert · minimiert nur Antworttext zurück

Zur Orientierung

Woran Sie seriöse KI-Anbieter erkennen.

Der Anbieter kann sagen, wo Ihre Daten liegen — und dass es die EU ist.
Es gibt einen Auftragsverarbeitungsvertrag — ohne Nachfragen.
Der Datenfluss ist beschrieben: Was geht an welches Modell — und was nicht.
Self-Hosting ist möglich — Sie sind nicht an eine fremde Cloud gebunden.
Es werden keine pauschalen Garantien versprochen, sondern Architektur erklärt.
Ehrliche Grenzen

Wir versprechen kein „100 % garantiert“. Was wir bieten, ist eine nachvollziehbare Architektur, dokumentierte Datenflüsse, Auftragsverarbeitungsverträge und technisch-organisatorische Maßnahmen — damit Sie selbst beurteilen können, ob es Ihren Anforderungen genügt.

Hinweis

Dies ist keine Rechtsberatung. Wir schildern die Umsetzung aus technischer Sicht. Die datenschutzrechtliche und berufsrechtliche Bewertung für Ihre Kanzlei nehmen Sie — oder Ihre Datenschutzbeauftragten — selbst vor.

Häufige Fragen

Fragen zu DSGVO & Sicherheit

Ist ChatGPT für Anwälte DSGVO-konform?

Die öffentliche Standardnutzung ist für Mandantendaten in der Regel problematisch, weil Daten an einen Anbieter außerhalb der EU gehen und die Verschwiegenheitspflicht berührt wird. Entscheidend sind Architektur und Vertragsgrundlage — genau hier setzen wir mit EU-Self-Hosting und datensparsamer Anbindung an.

Was bedeutet Self-Hosting konkret?

Ihre Wissensbasis, Dokumente und Workflows liegen auf einem Server, den Sie oder ein von Ihnen beauftragter EU-Betreiber kontrollieren — nicht in der Cloud eines KI-Anbieters. Sie behalten die Hoheit über die Daten.

Wo stehen die Server?

In der EU. Die konkrete Ausgestaltung — eigene Infrastruktur oder ein EU-Rechenzentrum — legen wir gemeinsam fest und halten sie im Auftragsverarbeitungsvertrag fest.

Bekommen wir einen AVV?

Ja. Ein Auftragsverarbeitungsvertrag mit Beschreibung der technisch-organisatorischen Maßnahmen gehört zum Standard — nicht auf Nachfrage, sondern von vornherein.

Fragen zur Datensicherheit in Ihrer Kanzlei?

Wir gehen die Architektur mit Ihnen durch — konkret, an Ihren Anforderungen entlang.