23. Mai 2026 · 10 Min. Lesezeit

Due-Diligence-Checkliste für Legal-AI-Anbieter

Die Auswahl eines Legal-AI-Anbieters ist keine reine Beschaffungsentscheidung. Sie betrifft Mandatsvertraulichkeit, juristische Qualität und operatives Risiko. Berufsrechtliche Leitlinien verlangen, dass Kanzleien den Zweck und den Einsatzbereich klar festlegen, Anbieter systematisch bewerten, vertrauliche Daten schützen und Ausgaben vor der breiten Nutzung freigeben (1). Diese Checkliste richtet sich an Kanzleien, die vor einer breiteren Einführung einen praxistauglichen, belastbaren Bewertungsrahmen benötigen.

1. Definieren Sie zuerst die beabsichtigten juristischen Workflows

Eine Anbieterbewertung ist nur dann belastbar, wenn sie auf konkrete Workflows passt. Eine Plattform, die für die öffentliche Rechtsrecherche geeignet ist, kann für sensible Prozessdokumente oder Mandantenberatung ungeeignet sein. Dokumentieren Sie zuerst, welche juristischen Aufgaben der Anbieter übernehmen soll und welches Risikoprofil jede Aufgabe hat.

2. Bestätigen Sie Governance- und Verantwortungsmodell

Fragen Sie, wer für Produktkontrollen, Richtlinienupdates, Incident-Management und Mandantenkommunikation verantwortlich ist. Ein professioneller Anbieter erklärt die Aufsichtsstruktur klar – inklusive der Frage, wo Ihre Kanzlei die Kontrolle behält und wo Standardkonfigurationen des Anbieters gelten.

3. Bewerten Sie Vertraulichkeit und Zugriffsgrenzen

Für juristische Teams ist Zugriffskontrolle zentral. Prüfen Sie, ob das System rollenbasierte Zugriffsmodelle, mandatsbezogene Grenzen, eingeschränkte Datenräume und explizite Ablehnungsregeln unterstützt. Stellen Sie sicher, dass diese Grenzen bei Suche, Zusammenfassungen, Chat und Export konsistent angewendet werden.

Kernfrage: Kann ein Nutzer ohne Berechtigung auf ein Dokument zugreifen, indem er den Inhalt über Retrieval oder KI-generierte Ausgaben ableitet? Wenn die Antwort unklar ist, ist das Kontrollmodell für sensible Mandate nicht einsatzreif.

4. Prüfen Sie Datenverarbeitung und Aufbewahrungsverhalten

• Welche Datenkategorien dürfen in Prompts, Dateien und Logs verarbeitet werden?
• Wie lange werden Inhalte standardmäßig aufbewahrt und lässt sich die Aufbewahrung konfigurieren?
• Kann Ihre Kanzlei Mandatsdaten, abgeleitete Daten und nutzererzeugte Ausgaben löschen?
• Wie werden Backups und Legal-Hold-Szenarien gehandhabt?
• Welche Metadaten verbleiben nach der Löschung und zu welchem Zweck?

Diese Fragen müssen vor dem mandantensensiblen Einsatz beantwortet werden – nicht erst nach einem Pilotbetrieb – und sollten mit den Datenschutzleitlinien für KI-Systeme Ihrer Kanzlei abgestimmt sein (2).

5. Prüfen Sie die Sicherheitslage mit operativen Details

Pauschale Sicherheitsaussagen reichen nicht. Verlangen Sie belastbare Nachweise zu Identitätsprüfungen, Verschlüsselung, Schwachstellenmanagement, Incident-Response und Reife im Änderungsmanagement. Kanzleien brauchen keine internen Implementierungsdetails, um die Glaubwürdigkeit des Sicherheitsbetriebs zu prüfen; Leitlinien zur Lieferkettensicherheit sind hier entscheidend, denn KI-Produkte greifen oft auf weitere Dienstleister zurück (3).

6. Validieren Sie Auditierbarkeit und Aufsichtsunterstützung

Kanzleien brauchen auditrelevante Aufzeichnungen, um die Nutzung zu steuern und Vorfälle sauber aufzuklären. Verifizieren Sie die Verfügbarkeit von Logs für Zugriffsänderungen, Exporte, Administratoraktionen und Richtlinienausnahmen. Ein belastbares Auditmodell hilft, Mandanten- und Behördenanfragen ohne unnötige Offenlegung sensibler Inhalte zu beantworten.

7. Beurteilen Sie Qualitätskontrollen und die Einbindung der juristischen Prüfung

Legal-AI-Anbieter sollten Quellennachvollziehbarkeit und strukturierte Review-Prozesse unterstützen. Fragen Sie, ob Ausgaben auf ein Quellenmaterial zurückgeführt werden können, wie Unsicherheiten gekennzeichnet werden und wie Teams Prüfpflichten bei hochkritischen Workflows durchsetzen.

Das richtige Modell ist unterstützend, nicht autonom. Die finale juristische Verantwortung liegt immer bei qualifizierten Fachkräften.

8. Prüfen Sie die Transparenz zu Anbieter und Unterauftragnehmern

Nutzen Anbieter weitere Dienstleister, müssen Kanzleien auch auf Governance-Ebene verstehen, welche Unterauftragsverarbeiter beteiligt sind, welche Kontrollen existieren und wie Mandanten informiert werden, wenn sich Abhängigkeiten ändern.

8a. Prüfen Sie ausdrücklich die GPAI-Compliance-Lage

Bei Anbietern, die auf General-Purpose-AI-Modelle setzen, fragen Sie, wie sie die aktuellen GPAI-Pflichten der KI-Verordnung erfüllen. Dazu gehört 2026 insbesondere, ob der Anbieter dem EU-GPAI-Kodex folgt und wie er Transparenzdokumentation, Urheberrechtsregelungen und Systemrisikosteuerung handhabt, soweit relevant (4).

Kanzleien brauchen keinen Quellcode oder Geschäftsgeheimnisse. Sie brauchen belastbare Governance-Nachweise: Welche Zusagen bestehen, wer für Compliance verantwortlich ist und wie Updates kommuniziert werden, wenn sich Regularien oder Anforderungen ändern.

9. Verlangen Sie einen praktikablen Incident-Kommunikationsplan

Klären Sie während der Anbieterprüfung Benachrichtigungskanäle, erwartete Reaktionszeiten und den Inhalt von Incident-Updates. Ein professioneller Anbieter erklärt, wie Mandanten informiert werden, welche Unterstützung bei der Incident-Aufklärung erfolgt und wie die Nachverfolgung der Behebung dokumentiert wird.

10. Pilotieren Sie mit klaren Exit-Kriterien

Führen Sie vor der breiten Einführung einen kontrollierten Pilot durch. Definieren Sie Erfolgskriterien, die Qualitäts- und Kontrollkennzahlen enthalten – nicht nur Geschwindigkeit. Ebenso wichtig: Legen Sie fest, wann ein Pilot pausiert, eingeschränkt oder beendet wird.

Scorecard-Vorlage für die Anbieter-Due-Diligence

Nutzen Sie eine einfache Bewertung von 1 bis 5 für die Kernkategorien:

• Workflow-Eignung
• Qualität der Zugriffskontrolle
• Transparenz bei Datenverarbeitung und -aufbewahrung
• Auditierbarkeit und Aufsichtsunterstützung
• Reife im Sicherheitsbetrieb
• Incident-Bereitschaft und Transparenz
• Review-Disziplin und Nachvollziehbarkeit der Quellen

Fordern Sie in jeder Kategorie eine Mindestschwelle, bevor Sie hochriskante juristische Workflows freigeben.

Kanzleien sollten nicht fragen: „Ist dieser Anbieter innovativ?“ Sie sollten fragen: „Kann dieser Anbieter professionelle juristische Arbeit unter realen Vertraulichkeits- und Governance-Anforderungen zuverlässig unterstützen?“

Fazit

Ein robuster Due-Diligence-Prozess für Legal-AI-Anbieter schützt Mandanten, Juristinnen und Juristen sowie Kanzleien gleichermaßen. Er fördert die Einführung, weil er Unsicherheit reduziert. Sind Erwartungen früh klar definiert, können Rechtsteams KI-Nutzung mit Vertrauen skalieren, statt reaktiv zu reagieren, wenn Probleme auftreten. Ethikleitlinien betonen genau diesen Punkt: Die Verantwortung für rechtliche Beratung liegt beim Juristen, nicht beim Werkzeug (5).

Quellen und weiterführende Lektüre

• The Law Society: Generative AI, the essentials
• ICO: Guidance on AI and data protection
• UK National Cyber Security Centre: Supply chain security guidance
• Europäische Kommission: General-Purpose AI Code of Practice
• American Bar Association: ethics guidance on generative AI tools