Zum Hauptinhalt springen
Zurück zum Pillar

RAK-Aufsicht · § 73 BRAO

AI-Act-Dokumentation RAK-konform für Rechtsanwälte

Die Rechtsanwaltskammer kann im Rahmen ihrer Aufsicht nach § 73 BRAO jederzeit die Einhaltung berufsrechtlicher Pflichten prüfen — seit 02.02.2025 gehört dazu auch die KI-VO-Dokumentation.

Warum die KI-Dokumentation für Anwaltskanzleien jetzt zählt

Eine Anwaltskanzlei, die ChatGPT, Beck-Chat, Microsoft 365 Copilot oder ein anderes KI-System einsetzt, ist Betreiber im Sinne von Art. 3 Nr. 4 KI-VO. Damit greift seit dem 02.02.2025 die Kompetenzpflicht aus Art. 4 — und parallel das anwaltliche Berufsrecht: Die Verschwiegenheitspflicht nach § 43a Abs. 2 BRAO und die Sorgfaltspflicht beim Einsatz technischer Hilfsmittel nach § 43e BRAO gelten unverändert weiter. Wer KI ohne belastbare Dokumentation einsetzt, hat im Prüfungs- oder Streitfall ein Nachweisproblem.

Das Besondere an der Anwaltskanzlei: Hier verarbeiten KI-Systeme oft Mandantengeheimnisse, die nach § 203 StGB strafbewehrt geschützt sind. Anders als bei rein internen Recherchedaten reicht es nicht, ein Tool „irgendwie konform“ zu nutzen — es braucht den dokumentierten Nachweis, dass ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO und, bei US-Cloud-Anbietern, eine Vereinbarung zur Wahrung des Berufsgeheimnisses nach § 203 Abs. 4 StGB vorliegen. Genau diese Nachweise sind das, was die RAK im Aufsichtsfall sehen will — und was im Zivilprozess oder bei einer Mandantenbeschwerde den Unterschied macht.

Die Dokumentation ist dabei kein Selbstzweck und kein Compliance-Monster. In einer typischen Kanzlei mit drei bis acht Berufsträgern lässt sich die vollständige Audit-Mappe in wenigen Tagen aufbauen, wenn die Reihenfolge stimmt. Die folgenden fünf Module bilden die Struktur ab, die anschließend beschriebenen sechs Schritte die Reihenfolge der Umsetzung. Beide greifen ineinander: Die Module sagen, was in der Mappe liegen muss, die Schritte, wie Sie dorthin kommen.

5-Module-Struktur einer Audit-Mappe

1

Modul 1: KI-Verzeichnis

Strukturiertes Inventar aller eingesetzten KI-Systeme.

  • Bezeichnung + Anbieter + Version
  • Zweck + Use-Case
  • Datenklassen (Mandantengeheimnisse / Recherche / intern)
  • Risikoklasse nach KI-VO
  • AVV-/GVV-Status
  • Owner in der Kanzlei
  • Schulungs-Stand der Nutzer
  • Review-Datum
2

Modul 2: DSGVO-VVT-Erweiterung

Verarbeitungstätigkeiten nach Art. 30 DSGVO, ergänzt um KI.

  • Pro Verarbeitung: Zweck, Empfänger, Löschfrist
  • Verweis auf KI-Verzeichnis
  • Rechtsgrundlage (Art. 6, Art. 28)
  • Drittland-Transfer + Schutzmechanismus
  • TOM-Verweis
3

Modul 3: Schulungs-Nachweise

Dokumentierte Schulung nach Art. 4 KI-VO, FAO-anrechenbar.

  • Curriculum + Lernziele
  • Teilnehmerliste mit Unterschrift
  • Datum + Dauer
  • Prüfungs-Ergebnis
  • Anbieter / Trainer
  • Wiederholungs-Datum
4

Modul 4: AVV-/GVV-Sammlung

AVV nach Art. 28 DSGVO + GVV nach § 203 Abs. 4 StGB.

  • AVV mit jedem KI-Anbieter
  • GVV bei US-Cloud-KI
  • Subprozessoren-Liste
  • SCCs bei Drittland-Transfer
5

Modul 5: Output-Kennzeichnungs-Policy

Interne Regel + Mandatsvertrag-Klausel.

  • Wann Kennzeichnung
  • Standard-Footer-Formulierungen
  • Mandatsvertrag-Klausel
  • Schulungs-Hinweis für MA

In 6 Schritten zur prüfungsfesten Audit-Mappe

Die Reihenfolge ist entscheidend: Erst Inventur, dann Risiko, dann Verträge, dann Schulung — sonst dokumentieren Sie Systeme, deren Rechtsgrundlage noch gar nicht geklärt ist.

  1. 1

    KI-Inventur durchführen

    Erfassen Sie jedes KI-System, das in der Kanzlei im Einsatz ist — von Beck-Chat über Microsoft 365 Copilot bis ChatGPT Team. Pro System: Anbieter, Version, Einsatzbereich, beteiligte Personen. Ergebnis ist die Rohliste für das KI-Verzeichnis.

  2. 2

    Datenklassen und Risiko zuordnen

    Markieren Sie pro System, ob Mandantengeheimnisse, reine Recherchedaten oder interne Dokumente verarbeitet werden, und ordnen Sie die KI-VO-Risikoklasse zu. Systeme mit Mandantengeheimnissen brauchen die strengste Behandlung (§ 43a BRAO, § 203 StGB).

  3. 3

    AVV und GVV einholen

    Schließen Sie für jedes System einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ab; bei US-Cloud-Anbietern zusätzlich eine Vereinbarung zur Wahrung des Berufsgeheimnisses nach § 203 Abs. 4 StGB. Ohne diese Verträge ist der Einsatz mit Mandantendaten berufsrechtlich angreifbar.

  4. 4

    Schulung dokumentieren

    Halten Sie die Art-4-Schulung mit Teilnehmerliste, Datum, Dauer, Curriculum und Prüfungsergebnis fest. FAO-Anrechnung ist möglich, wenn das Modul die berufsrechtlichen Bezüge (BRAO, DSGVO) konkret abbildet.

  5. 5

    VVT erweitern und Policy festlegen

    Ergänzen Sie das DSGVO-Verarbeitungsverzeichnis um die KI-Verarbeitungen mit Verweis auf das KI-Verzeichnis und legen Sie eine Output-Kennzeichnungs-Policy fest — inklusive Standardformulierung für den Mandatsvertrag.

  6. 6

    Audit-Mappe konsolidieren

    Fassen Sie alle fünf Module in einer zentralen, jederzeit vorlegbaren Audit-Mappe zusammen. Ziel: Bei einer RAK-Anfrage nach § 73 BRAO sind die Nachweise innerhalb von 24 Stunden auffindbar.

FAQ

Was unterscheidet das KI-Verzeichnis vom DSGVO-VVT?

Das DSGVO-VVT (Art. 30) listet personenbezogene Verarbeitungen mit Zweck + Empfänger. Das KI-Verzeichnis erfasst KI-Systeme als solche: welches Tool, Risikoklasse, Datenklassen, Owner, AVV-Status. Beide Dokumente verweisen aufeinander.

Wie tief muss die Dokumentation sein?

Pro KI-System: Bezeichnung, Anbieter, Version, Zweck, Risikoklasse, Datenklassen (z.B. Mandantengeheimnisse / Recherchedaten), AVV-/GVV-Status, Schulungs-Stand, Owner, Review-Datum.

Wer prüft das im Ernstfall?

RAK im Rahmen der Aufsicht (§ 73 BRAO). Bei Verschwiegenheits-Bruch zusätzlich Staatsanwaltschaft (§ 203 StGB). Bei DSGVO-Verstößen Landesdatenschutzbehörde.

Wie oft muss aktualisiert werden?

Bei jedem Tool-Update, Anbieter-Wechsel, Owner-Wechsel — mindestens jährlich. Empfehlung: festes Quartal (z.B. Q1) plus event-basierte Updates.

Hinweis zum Leistungsumfang

Das AI-Act-Compliance-Kit ist eine technisch-organisatorische Hilfestellung zur Umsetzung der KI-Kompetenzpflicht nach Art. 4 der EU-Verordnung 2024/1689 (KI-VO) und ersetzt keine Rechtsberatung. Vorlagen, Schulungsinhalte und Dokumentationen sind redaktionell sorgfältig erstellt, können aber den Einzelfall nicht ersetzen. Für eine rechtsverbindliche Bewertung Ihrer konkreten Situation empfehlen wir die Hinzuziehung einer Rechtsanwältin oder eines Rechtsanwalts mit Schwerpunkt IT- und Versicherungsrecht. Stand der Inhalte: Mai 2026, Quelle: Verordnung (EU) 2024/1689 (KI-VO).

AI-Act-Check starten

Gleiches Thema, andere Branche

Dokumentation & Audit-Mappe — auch für andere Berufe

Die KI-VO-Logik ist über Berufsgruppen hinweg vergleichbar, nur Aufsicht und Berufsrecht unterscheiden sich. Diese Seiten gehen das Thema für die jeweilige Branche durch:

BaFin · § 34d GewO, VAG

Versicherungsmakler

Zur Detailseite

StBK · § 57, § 76 StBerG

Steuerberater

Zur Detailseite

WPK · § 43, § 57 WPO

Wirtschaftsprüfer

Zur Detailseite

Zurück zum Pillar: AI Act für RechtsanwälteKI-VO branchenagnostisch: zum AI-Act-Hub