--- name: dienstleister-due-diligence description: "KI-Dienstleister Due Diligence für Kanzleien durchführen: Anwendungsfall Kanzlei moechte neuen KI-Dienst beauftragen und muss eigenverantwortlich Datenschutz Berufsrecht und Sicherheit prüfen. § 43e BRAO Dienstleisterprüfung, Art. 28 Abs. 1 DSGVO Garantiepflichten, ISO 27001 SOC 2. Prüfraster EU-..." --- # Dienstleister Due Diligence ## Arbeitsbereich KI-Dienstleister Due Diligence für Kanzleien durchführen: Anwendungsfall Kanzlei moechte neuen KI-Dienst beauftragen und muss eigenverantwortlich Datenschutz Berufsrecht und Sicherheit prüfen. § 43e BRAO Dienstleisterprüfung, Art. 28 Abs. 1 DSGVO Garantiepflichten, ISO 27001 SOC 2. Prüfraster EU-Sitz vs. US-Sitz, Enterprise-Tier mit Training-Opt-out, Verschluesselung, Zertifizierungen, Subprozessoren, Standardvertragsklauseln. Output Dienstleister-Bewertungsmatrix mit Ampelstatus und AVV-Empfehlung. Abgrenzung zu Auftragsverarbeitungsvertrag-Prüfen und zu Musterklauseln-IT. Arbeite entlang dieser konkreten Prüfungslinie und trenne Rolle, Frist, Zuständigkeit, Beweislast und gewünschten Output. ## Arbeitsweg - Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht? - Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich). - Tragende Normen verifizieren: BRAO, BORA, FAO, BNotO, StBerG, WPO, PAO; DSGVO — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate. - Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail). - Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis. ## Spezialwissen Die sorgfältige Auswahl des KI-Dienstleisters ist eine zentrale berufsrechtliche und datenschutzrechtliche Pflicht. § 43e BRAO verpflichtet zur eigenverantwortlichen Prüfung des Dienstleisters; Art. 28 Abs. 1 DSGVO verlangt hinreichende Garantien für technisch-organisatorische Maßnahmen. Dieser Skill stellt strukturierte Auswahlkriterien bereit. ## Rechtlicher Hintergrund § 43e BRAO: Sorgfältige Auswahl und vertragliche Bindung des IT-Dienstleisters als Voraussetzung für die befugte Nutzung. § 43e Abs. 4 BRAO: Drittstaaten-Dienstleister zulässig bei vergleichbarem Schutzniveau. Art. 28 Abs. 1 DSGVO: Nur Auftragsverarbeiter mit hinreichenden Garantien beauftragen. Art. 44 ff. DSGVO: Drittlandtransfer nur mit geeigneten Schutzmaßnahmen (Angemessenheitsbeschluss, SCC, TIA). Art. 5 Abs. 1 lit. f DSGVO: Integrität und Vertraulichkeit durch geeignete technisch-organisatorische Maßnahmen. BRAK-Hinweise 12/2024: Sorgfältige Anbieterauswahl als berufsrechtliche Kernpflicht. ## Vorlagentext / Bausteine **Due-Diligence-Checkliste KI-Dienstleister:** **Allgemeine Informationen:** ☐ Vollständige Firma und Rechtsform des Anbieters ☐ Sitz des Unternehmens (EU / EWR / Drittland) ☐ Standort der Rechenzentren ☐ Zuständige Datenschutzbehörde **Datenschutz:** ☐ Datenschutzerklärung und Datenschutzrichtlinien liegen vor ☐ AVV nach Art. 28 DSGVO ist verfügbar / wird abgeschlossen ☐ Bei US-Anbietern: EU-US Data Privacy Framework-Zertifizierung oder SCC ☐ Expliziter Training-Opt-out für Kunden-Eingaben ist schriftlich vereinbart ☐ Lösch- und Aufbewahrungsfristen sind dokumentiert **Technische Sicherheit:** ☐ Verschlüsselung at rest (mindestens AES-256) ☐ Verschlüsselung in transit (mindestens TLS 1.2) ☐ Multi-Faktor-Authentifizierung für Kanzlei-Accounts ☐ Incident-Response-Verfahren dokumentiert **Zertifizierungen:** ☐ ISO 27001 (aktuelles Zertifikat) ☐ SOC 2 Type II (aktueller Bericht) ☐ Ggf. C5 (BSI Cloud Computing Compliance Criteria Catalogue) **Berufsrecht:** ☐ § 43e-BRAO-Vereinbarung abgeschlossen ☐ Strafrechtliche Belehrung nach § 203 StGB erteilt ## Hinweise zur Aktualisierung Die Zertifizierungen und die EU-US-Datenschutzrahmen sind regelmäßig auf Aktualität zu prüfen. Datenschutzbehörden-Entscheidungen zu einzelnen KI-Anbietern (z.B. Untersagungen durch DPAs) sind zu beobachten. Jährliche Neubeurteilung des eingesetzten Dienstleisters empfohlen. ## Aktuelle Rechtsprechung (v14.2) - Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. ## Zentrale Normen (Paragrafenkette) - Art. 28 Abs. 1 DSGVO — hinreichende Garantien des Auftragsverarbeiters - Art. 46 DSGVO — Drittlandtransfer-Sicherheitsnetz (SCC, Angemessenheitsbeschluss) - § 43e BRAO — IT-Dienstleister in Kanzleien - Art. 9 KI-VO — Risikomanagementsystem Anbieter-Anforderungen ## Triage zu Beginn 1. Wo hat der KI-Dienstleister seinen Sitz — EU, USA oder sonstiges Drittland? 2. Gibt es einen Enterprise-Tier mit Training-Opt-out — oder ist Training auf Eingaben Standard? 3. Welche Zertifizierungen weist der Anbieter vor (ISO 27001, SOC 2, BSI C5)? 4. Sind Standardvertragsklauseln und eine Transferfolgenabschaetzung vorhanden? 5. Ist der Anbieter CLOUD Act-Risiken ausgesetzt (US-Muttergesellschaft)? ## Output-Template — Dienstleister-Due-Diligence-Bericht **Adressat:** Kanzlei-Management / DSB — Tonfall: strukturiert, risikoorientiert ``` DIENSTLEISTER-DUE-DILIGENCE [DATUM] — Anbieter: [NAME] — Zweck: [BESCHREIBUNG] SITZ: [LAND] EU-Datenzentrum: [JA / NEIN — Standort: BESCHREIBUNG] Training auf Eingaben: [NEIN (Enterprise-Tier) / JA — UNZULAESSIG für Mandatsdaten] CLOUD Act-Risiko: [NIEDRIG / HOCH — Begruendung] Zertifizierungen: ☑/☐ ISO 27001 ☑/☐ SOC 2 Typ II ☑/☐ BSI C5 Datentransfer-Absicherung: ☑/☐ Angemessenheitsbeschluss (EU-US Data Privacy Framework) ☑/☐ Standardvertragsklauseln ☑/☐ Transferfolgenabschaetzung (TIA) durchgefuehrt Gesamtbewertung: [FREIGEGEBEN / BEDINGT / ABGELEHNT] Auflagen: [BESCHREIBUNG] Geprueft von: [NAME], [DATUM] ```