• Startseite
  • Datenschutz
  • KI in der Rechtsabteilung. Wie lässt sich beurteilen, ob KI-Tools für Juristen rechtmäßig und ethisch vertretbar sind?

KI in der Rechtsabteilung. Wie lässt sich beurteilen, ob KI-Tools für Juristen rechtmäßig und ethisch vertretbar sind?

Die Verwendung von KI-Tools weckt bei Juristen oft Sicherheitsbedenken. Dies ist wahrscheinlich auf eine Kombination von zwei Umständen zurückzuführen.

Die Nutzung der meisten KI-Tools, die für Juristen nützlich sein könnten, ist mit der Übermittlung von Daten an die Server der Anbieter dieser Tools verbunden. Darüber hinaus sind für die Entwicklung der großen Sprachmodelle, auf denen diese Tools basieren, enorme Datenmengen erforderlich, die von den Nutzern erhoben werden können.

Dies sind berechtigte Bedenken, aber die Anbieter der Tools sind sich dessen bewusst und gehen in ihren Angeboten auf diese Fragen ein.

Auch die polnische Anwaltskammer hat dies erkannt und im April 2025 das Dokument „KI in der Arbeit eines Rechtsberaters – Empfehlungen für die Nutzung von KI-basierten Tools durch Rechtsberater” („Empfehlungen der Anwaltskammer”) erstellt. Dieses Dokument enthält eine ganze Reihe von Empfehlungen für die Analyse, die der Einführung eines Tools vorausgehen sollte.

Konformität von KI-Tools mit der DSGV

Die einzelnen Elemente werden zur Vereinfachung und Strukturierung des Bewertungsprozesses getrennt aufgeführt, sind jedoch eng miteinander verbunden und überschneiden sich, z. B. müssen wir bei der Bewertung der DSGVO-Konformität die Sicherheitsmaßnahmen berücksichtigen, bei der Bewertung der Vertraulichkeit berücksichtigen wir den Vertrag und die Sicherheitsmaßnahmen.

Vertragliche Fragen

Zunächst haben wir standardmäßige vertragliche Fragen bewertet, wie z. B.:

o    Welche vertraglichen Verpflichtungen haben beide Seiten?

o    Wie ist die Haftung für die Funktionsweise des Tools geregelt?

o    Gibt es Haftungsbeschränkungen? Wenn ja, welche?

o    Gibt es ein Service Level Agreement (SLA) und auf welchem Niveau?

o    Haftet der Anbieter für Schäden, die durch den Betrieb des Tools verursacht werden?

o    Befreit er von der Haftung für die Verletzung fremder Rechte durch die Nutzung des Tools?

o    Sieht der Vertrag ein Wettbewerbsverbot vor?

o    Wie lange läuft der Vertrag? Wie kann der Vertrag gekündigt werden?

o    Wie sind die Zahlungen geregelt?

Zweitens haben wir Fragen bewertet, die für KI-Systeme charakteristisch sind:

o    Behalten wir die Rechte an den Eingabeinhalten?

o    Können wir die generierten Inhalte frei verwenden?

o    Befreit uns der Anbieter von der Haftung für die Verletzung von Rechten Dritter durch die Verwendung der generierten Inhalte?

o    Ist die Verwendung unserer Eingabedaten zum Erlernen der vom Tool verwendeten Sprachmodelle ausgeschlossen?

Drittens haben wir auch Fragen der Vertraulichkeit und des Schutzes personenbezogener Daten bewertet, die im Folgenden aufgeführt sind.

Rechtmäßigkeit der Datenverarbeitung mit KI-Tools

Viele Aufgaben von Juristen stehen im Zusammenhang mit der Verarbeitung personenbezogener Daten, weshalb eine Bewertung der KI-Tools im Hinblick auf den Schutz personenbezogener Daten unerlässlich ist.

Zunächst muss verstanden werden, wie die Daten verarbeitet werden, da je nach der gewählten Architektur der Lösung mehrere Verarbeiter an der Verarbeitung beteiligt sein können.

Die wichtigsten Fragen, die wir analysiert haben, sind:

o    Sicherheit der Verarbeitung – mehr dazu weiter unten.

o    Findet eine Übermittlung außerhalb des EWR statt? In welche Länder und auf welcher Grundlage?

o    Enthält der Vertrag über die Auftragsverarbeitung die erforderlichen Elemente und wer sind die Auftragsverarbeiter?

o    Ist die Haftung für Verletzungen des Schutzes personenbezogener Daten nicht beschränkt?

Aufgrund der Innovationskraft von KI-basierten Lösungen, der eingeschränkten Möglichkeiten zur Ausübung der Rechte der betroffenen Personen und der Verarbeitung besonderer Kategorien personenbezogener Daten ist es unserer Meinung nach erforderlich, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen.

Sicherheitsmaßnahmen

Dieser Punkt war für uns bei der Bewertung des Anbieters von entscheidender Bedeutung. Dabei haben wir folgende Fragen untersucht:

o    Ist die vom Anbieter verwendete Verschlüsselung für die Anforderungen des Prozesses angemessen?

o    Verfügt der Anbieter über anerkannte Sicherheitszertifikate wie SOC Type 2 oder ISO 27001?

o    Wie lauten die Regeln für die Verwaltung des Datenzugriffs?

o    Werden die Daten außerhalb des EWR gespeichert?

o    Ergreift der Anbieter zusätzliche Sicherheitsmaßnahmen, z. B.:

o    Penetrationstests,

o    einen Business-Continuity-Plan,

o    Firewalls,

o    eine Multi-Faktor-Authentifizierung,

o    welches Recht und welche Gerichte für Streitigkeiten aus dem Vertrag zuständig sind.

Vertraulichkeit

Nachdem die Sicherheitsmaßnahmen überprüft worden waren, musste geprüft werden, ob der Vertrag mit dem Lieferanten entsprechende Vertraulichkeitsklauseln enthielt. Von entscheidender Bedeutung sind die Verpflichtungen des Lieferanten:

o    die Informationen in dokumentierter Form geheim zu halten

o    Einsatz von Personen, die zur Geheimhaltung in dokumentierter Form verpflichtet sind

o    keine Nutzung von Informationen, die unter das Berufsgeheimnis fallen, für eigene Zwecke

o    Anwendung der oben genannten Sicherheitsmaßnahmen

o    Löschung der Daten nach Beendigung des Vertrags

Wir haben auch mögliche Haftungsbeschränkungen im Bereich der Vertraulichkeit geprüft.

KI-Tools und der AI Act

Bei der Analyse des Tools mussten wir auch die Frage beantworten, was sich für uns in diesem Zusammenhang aus dem AI-Act ergibt.

Wir haben daher die getesteten Systeme gemäß dem AI Act klassifiziert und festgestellt, dass wir bei der Nutzung von KI-Systemen zur Unterstützung der Arbeit von Juristen:

  1. keine verbotenen Praktiken im Bereich der KI anwenden
  2. keine Hochrisikosysteme verwenden
  3. nicht zu Anbietern von Modellen für allgemeine Zwecke werden
  4. nicht den Verpflichtungen aus Artikel 50 unterliegen

Die einzige Verpflichtung, die sich für uns aus dem AI Act ergibt, ist die Verpflichtung, ein angemessenes Maß an AI-Kenntnissen in der Organisation sicherzustellen, die sogenannte AI-Kompetenz, über die wir in unserem letzten Newsletter berichtet haben: Wie kann man ein Unternehmen darauf vorbereiten, die AI-Kompetenz gemäß Artikel 4 des AI Act zu erfüllen?

Zusammenfassung

Bei der Analyse der rechtlichen Aspekte der Einführung eines KI-Tools zur Unterstützung der Arbeit von Juristen ist Folgendes zu beachten:

o    angemessene vertragliche Sicherheitsvorkehrungen, insbesondere hinsichtlich der Haftung und der Rechte an Eingabe- und Ausgabedaten

o    Rechtmäßigkeit der Datenverarbeitung

o    Überprüfung der von den Anbietern angebotenen Sicherheitsmaßnahmen

o    Fragen der Vertraulichkeit von Informationen.

Die regulatorischen Pflichten, die dem Implementierer solcher Tools obliegen, bestehen darin, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen und ein angemessenes Maß an Wissen über den Einsatz von KI in der Organisation sicherzustellen.

Über die erforderlichen und empfohlenen Unterlagen werden wir in den nächsten Beiträgen berichten.