GDPR und KI für Kanzleien: operative Lehren aus EDPB Opinion 28/2024
Kanzleien, die KI einsetzen, brauchen mehr als abstrakte Datenschutzregeln. Sie benötigen belastbare, betriebsnahe Vorgaben, die im täglichen Mandatsgeschäft funktionieren. Die EDPB-Stellungnahme 28/2024 liefert genau das: Einen Rahmen, mit dem sich DSGVO-Grundsätze in Workflow-Design und tägliche Review-Standards übersetzen lassen (1).
Warum die Stellungnahme 28/2024 für die Rechtsberatung zählt
Der EDPB veröffentlichte die Stellungnahme 28/2024 im Dezember 2024. Ihre Inhalte sind für Legal-AI-Einsätze 2026 nach wie vor unmittelbar relevant. Die Leitlinien adressieren insbesondere Rechtsgrundlage, Verarbeitungsphase und die Frage, ob KI-Modellökosysteme Datenschutzanforderungen technisch sauber umsetzen können (1).
Für Kanzleien ist das unmittelbar relevant, weil Mandate häufig besondere Datenkategorien, hochvertrauliche Dokumente und grenzüberschreitende Übermittlungen enthalten.
Vier DSGVO-Schwerpunktbereiche in KI-gestützten Kanzlei-Workflows
- Rechtsgrundlage: Jede Phase eines KI-Workflows braucht eine belastbare Rechtsgrundlage, nicht nur einen standardisierten Datenschutzhinweis.
- Zweckbindung: Mandatsdaten dürfen nicht stillschweigend in nicht definierte Optimierungs- oder Analysezwecke wandern.
- Datenminimierung: Prompts und Dokumenten-Pipelines sollten auf den wirklich notwendigen juristischen Kontext beschränkt bleiben.
- Betroffenenrechte: Kanzleien brauchen praxistaugliche Verfahren für Auskunfts- und Löschanfragen, die KI-gestützte Verarbeitung betreffen.
DSGVO-Kontrollen ins Workflow-Design integrieren, nicht nur nachgelagert prüfen
Ein belastbares Betriebsmodell beginnt, bevor Daten ins System gelangen:
- Definieren Sie für jeden KI-Workflow freigegebene Datenklassen.
- Blockieren Sie in Prompt-Vorlagen standardmäßig unnötige personenbezogene Daten.
- Rollenbasierte Zugriffsregeln und Aufbewahrungsfristen müssen entlang des Mandatslebenszyklus durchgängig gelten.
- Führen Sie Entscheidungsprotokolle für KI-gestützte Ergebnisse mit hoher Rechtswirkung ein.
Dieser Ansatz reduziert rechtliche Unklarheiten und verbessert die Audit-Bereitschaft, wenn Mandanten oder Behörden die Herkunft einer Verarbeitungsentscheidung nachvollziehen wollen.
Besonders sensible Mandate und erhöhte Schutzanforderungen
In der Praxis verarbeiten Kanzleien häufig Datensätze mit erheblichen Folgen im Störfall. In solchen Konstellationen darf technische Bequemlichkeit niemals Vertraulichkeit oder Datenminimierung ersetzen. Die KI-Leitlinien der ICO betonen ebenfalls Verantwortlichkeit, Rechtmäßigkeit, Transparenz, Genauigkeit, Fairness und Betroffenenrechte (2). Für Kanzleien sind besonders strenge Standardkontrollen sinnvoll, etwa bei:
- Arbeits- und arbeitsmedizinischen Streitigkeiten,
- straf- oder sanktionssensiblen Mandaten,
- internen Ermittlungen und kritischen Vorfallberichten.
Bei Unsicherheit arbeiten Sie mit einem höher abgesicherten Workflow, zusätzlicher menschlicher Prüfung und reduzierter Datenexposition.
Lieferantenverträge ersetzen nicht die Verantwortung der Kanzlei als Verantwortliche
Auch mit starken Anbieterzusagen bleibt die Kanzlei für ihre eigenen Verarbeitungsentscheidungen verantwortlich. Vertragliche Regelungen sollten die Governance stützen, aber die eigentliche Compliance-Pflicht steht in den internen Kontrollen (3).
Mindestens sollten Kanzleien die Rollen von Verantwortlicher und Auftragsverarbeiter, Aufbewahrungsregelungen, Übermittlungswege und die Qualität der Vorfallmeldung prüfen, bevor KI-Funktionen skaliert werden.
Ein 60-Tage-Plan zur DSGVO-Härtung für Legal AI
- Richten Sie für jeden KI-Workflow ein Rechtsgrundlagenregister ein.
- Standardisieren Sie promptsparsame Vorlagen pro Mandatsart.
- Konfigurieren Sie erhöhte Schutzstufen für hochsensible Mandatsklassen.
- Führen Sie mindestens einmal jährlich eine Übung zur Bearbeitung von Betroffenenanfragen mit KI-gestützten Akten durch.
- Vergleichen Sie Drittanbieterverträge regelmäßig mit dem realen Verhalten der Workflows.
DSGVO-Reife in Legal AI geht weniger um ein einzelnes Policy-Dokument, sondern um reproduzierbares Datenverarbeitungsverhalten im realen Mandatsdruck.
Fazit
Kanzleien, die KI anhand robuster Rechtsgrundlage, Datenminimierung und Rechteerfüllung betreiben, können KI mit stärkeren regulatorischen und mandantenbezogenen Risikokontrollen einsetzen. Opinion 28/2024 ist nicht nur ein juristischer Referenzpunkt, sondern eine operative Blaupause.