---
name: rueckfragebrief-an-anbieter
description: "Erstelle einen strukturierten Rückfragebrief an den KI-Anbieter zur Klaerung der berufsrechtlichen und strafrechtlichen Pflichten. Aufbau Anschreiben Kontext drei Fragenbloecke (Verschwiegenheit Subunternehmer TOM und Drittstaat) Fragen zu Zertifizierungen und Versprechungen Frist Unterschrift. K..."
---

# Rückfragebrief an Anbieter

## Fachkern: Rückfragebrief an Anbieter

- **KI-/Berufsrechtsproblem (Rückfragebrief an Anbieter):** Erstelle einen strukturierten Rückfragebrief an den KI-Anbieter zur Klaerung der berufsrechtlichen und strafrechtlichen Pflichten. Aufbau Anschreiben Kontext drei Fragenbloecke (Verschwiegenheit Subunternehmer TOM und Drittstaat) Fragen zu Zertifizierungen und Versprechungen Frist Unterschrift. Klare praezise Fragen die der Anbieter beantworten kann.
- **Normenanker:** BRAO, BORA, § 203 StGB, § 204 StGB, DSGVO/BDSG, Auftragsverarbeitung, Dienstleisterregelungen der freien Berufe und prozessuale Akten-/Mandatsgeheimnisse fallbezogen prüfen.
- **Entscheidende Weiche:** Anbieterbehauptung, Vertragswortlaut, technische Realität, Berufsgeheimnis, Datenschutzrolle und Strafbarkeitsrisiko auseinanderziehen.
- **Arbeitsprodukt:** Anbieter-Fragenliste, Risikomatrix, Vertragsredline und Entscheidung, ob Pilot, Stop oder Nachverhandlung.
- **Hinweis:** Ergebnis bleibt Vorprüfung für Kanzlei- oder Spezialberatung; keine Scheinsicherheit gegenüber Berufsrecht oder Strafrecht.

## Aufbau

### Briefkopf

- Absender: Kanzlei mit Berufsbezeichnung
- Empfänger: Anbieter, vertretungsberechtigte Person
- Datum
- Betreff: "Berufsrechtliche und strafrechtliche Anforderungen — Vertrag [Produktname]"

### Anschreiben

Kurze Einleitung — die Kanzlei prüft den Einsatz des KI-Produkts und benötigt vor Vertragsschluss bzw. zur Fortsetzung des Vertragsverhältnisses Klarstellungen zu den berufsrechtlichen Anforderungen aus §§ [Norm-Adapter] und § 203 StGB.

### Inhaltliche Blöcke

#### Block 1 — Verschwiegenheit und Belehrung

- Wo und wie ist die Verschwiegenheit Ihres Hauses gegenüber der Kanzlei vertraglich geregelt? Bitte konkrete Fundstelle.
- Gilt die Verschwiegenheit gegenüber jedermann und zeitlich unbegrenzt?
- Wie haben Sie Ihre Mitarbeiter zur Verschwiegenheit verpflichtet (Textform nach § 126b BGB)?
- Wie werden Mitarbeiter und Subunternehmer über die strafrechtlichen Folgen einer Pflichtverletzung nach §§ 203, 204 StGB belehrt? Liegt der Normtext als Anlage zu den Mitarbeiterverträgen vor?

#### Block 2 — Subunternehmer

- Bitte legen Sie die aktuelle, abschließende Liste aller Subunternehmer (insbesondere Modellanbieter und Hoster) mit Sitz, Funktion und Verarbeitungsstandort vor.
- Wie werden Subunternehmer vertraglich auf die Verschwiegenheit verpflichtet und über §§ 203, 204 StGB belehrt?
- Welche Vorabinformations- und Zustimmungsrechte hat die Kanzlei bei Hinzunahme oder Wechsel von Subunternehmern?
- Falls Microsoft Azure oder AWS oder Google Cloud zum Einsatz kommt: Welche Region wird genutzt? Wo liegen Backups?

#### Block 3 — Erforderlichkeit, no training, Speicherdauer

- Welche konkreten Datenkategorien werden bei der Nutzung Ihres Dienstes verarbeitet?
- Werden eingegebene Daten zum Training Ihres Modells oder eines Drittmodells verwendet? Bitte vertragliche "no training"-Zusicherung mit Fundstelle.
- Wie lange werden Eingaben gespeichert? Liegt eine Zero-Retention-Klausel vor?
- Wie erfolgt die Löschung am Vertragsende? Erhalten wir ein Löschprotokoll?

#### Block 4 — Strafprozessuale Absicherung

- Wie verhält sich Ihr Haus bei behördlichen Auskunftsverlangen, Durchsuchungs- oder Beschlagnahmeanordnungen?
- Werden Sie die Kanzlei unverzüglich vorab informieren (soweit gesetzlich zulässig)?
- Werden Sie sich gegen unzulässige Beschlagnahmen mit Hinweis auf §§ 53a, 97 StPO zur Wehr setzen?
- Gilt deutsches Recht? Ist der Gerichtsstand Deutschland?

#### Block 5 — TOM und Zertifizierungen

- Welche aktuellen Zertifikate liegen vor (ISO 27001, BSI C5 Typ 2, SOC 2 Typ 2)? Bitte Geltungsbereich, Zertifizierungsstelle und Ausstellungsdatum.
- Wo werden Daten gespeichert (Verarbeitungsstandort und Backupstandort)?
- Welche Verschlüsselung wird im Transport und im Ruhezustand eingesetzt?
- Welche Audit-Logs werden geführt? Wie lange?
- Welche Meldefrist gilt für Sicherheitsvorfälle?

#### Block 6 — Drittstaaten und CLOUD Act

- Sind Sie ein US-Konzern oder eine US-Tochter? Findet US-Recht (CLOUD Act, FISA) auf Ihre Daten Anwendung?
- Liegen Daten oder Backups in Drittstaaten?
- Sind Sie bereit, ein Professional Secrecy Addendum zu unterzeichnen, das US-Auskunftsverlangen anficht und uns informiert?

### Fristsetzung und Hinweise

- Konkrete Frist (typisch zwei bis vier Wochen)
- Hinweis, dass ohne Klarstellung ein Vertragsschluss bzw. eine Fortsetzung berufsrechtlich nicht möglich ist
- Hinweis auf Vertraulichkeit der Anfrage

### Unterschrift

- Name, Funktion (Partner, Compliance-Officer)
- Berufsbezeichnung

## Ton

Sachlich, präzise, keine Anschuldigungen. Der Anbieter soll motiviert sein zu antworten. Die Kanzlei dokumentiert dadurch zugleich die Sorgfalt nach Abs. 2 der Dienstleisterregelung.

## Disclaimer im Brief

Der Brief ist eine berufsrechtliche und strafrechtliche Anfrage, keine zivilrechtliche Geltendmachung. Eine zivilrechtliche oder gar strafrechtliche Geltendmachung ist im Streitfall einem spezialisierten Rechtsanwalt vorbehalten.

## Aktuelle Rechtsprechung

- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

## Zentrale Normen (Paragrafenkette)

- §§ 241 Abs. 2, 311 Abs. 2 BGB — Vorvertragliche Aufklärungspflichten
- § 305b BGB — Vorrang der Individualabrede
- § 126b BGB — Textform
- § 43e Abs. 3 BRAO, § 62a Abs. 3 StBerG etc. — Vertragsinhalt der Dienstleisterregelung

## Triage zu Beginn

1. Welche Lücken hat die bisherige Vertragsprüfung ergeben (Ampel: gelb/rot)?
2. Welche Fragen sind klärungsbedürftig (Subunternehmer, Training, Drittstaat)?
3. Ist ein Fristdruck vorhanden (laufende Pilotprojekte, Vertragsbeginn)?
4. Soll die Antwort des Anbieters als vertragliche Zusicherung eingestuft werden?

## Output-Template — Rückfragebrief

**Adressat:** KI-Anbieter — Tonfall: sachlich-präzise, fristsetzend

```
[KANZLEINAME]
[ANSCHRIFT]
[DATUM]

An: [ANBIETER, RECHTSABTEILUNG / DATENSCHUTZTEAM]
Betr.: Rückfrageverfahren berufsrechtliche Compliance — [PRODUKTNAME]
Unser Aktenzeichen: [AZ]

Sehr geehrte Damen und Herren,

wir pruefen den Einsatz von [PRODUKT] in unserer Kanzlei im Hinblick auf die
berufsrechtlichen Anforderungen nach § [NORM] [GESETZ] sowie §§ 203, 204 StGB.
Dazu bitten wir um Beantwortung der folgenden Fragen bis zum [FRIST + 14 TAGE]:

Frageblock 1 — Verschwiegenheit
F1: Sind Ihre Mitarbeiter und alle Subunternehmer in Textform zur Verschwiegenheit
 ueber alle von uns eingegebenen Daten verpflichtet?
F2: Gilt diese Verpflichtung auch nach Vertragsende zeitlich unbegrenzt?

Frageblock 2 — Subunternehmer
F3: Welche Subunternehmer (Modellanbieter, Hoster, Support-Dienstleister) haben
 Zugriff auf von uns eingegebene Daten?
 Bitte vollstaendige Liste: Name, Sitz, Funktion, Verarbeitungsstandort.
F4: Werden wir vor Wechsel oder Hinzunahme von Subunternehmern vorab in Textform
 informiert?

Frageblock 3 — Training und Drittstaat
F5: Werden von uns eingegebene Daten zu Trainingszwecken genutzt?
 (Auch aggregiert oder anonymisiert?)
F6: Wo werden unsere Daten verarbeitet und gespeichert?
 Werden US-Server oder US-Subunternehmer eingesetzt (CLOUD-Act-Risiko)?

Wir bitten um Beantwortung in Textform.

Mit freundlichen Gruessen
[UNTERSCHRIFT]
```