---
name: dokumentationspflichten-protokoll-dsgvo
description: "Dokumentationspflichten und beweissichere Protokollierung von KI-Nutzung in Kanzleien: Anwendungsfall Kanzlei muss KI-Inputs und KI-Outputs nachvollziehbar dokumentieren für Datenschutzbehörden, Mandanten-Beschwerden oder berufsrechtliche Verfahren. Art. 5 Abs. 2 DSGVO Rechenschaftspflicht, Art...."
---

# Dokumentationspflichten Protokoll

## Arbeitsbereich

Dokumentationspflichten und beweissichere Protokollierung von KI-Nutzung in Kanzleien: Anwendungsfall Kanzlei muss KI-Inputs und KI-Outputs nachvollziehbar dokumentieren für Datenschutzbehörden, Mandanten-Beschwerden oder berufsrechtliche Verfahren. Art. 5 Abs. 2 DSGVO Rechenschaftspflicht, Art. 13 DSGVO Informationspflichten, § 43a BRAO Pflicht zur Aktenführung. Prüfraster Prüfprotokoll-Standard, Versionsstand, Prüfer und Freigabe, Aufbewahrungsfristen. Output Protokollvorlage für KI-Einsatz mit Pflichtfeldern und Aufbewahrungsplan. Abgrenzung zu DSGVO-Compliance-Bausteine und zu Richtlinien-Update-Zyklus. Arbeite entlang dieser konkreten Prüfungslinie und trenne Rolle, Frist, Zuständigkeit, Beweislast und gewünschten Output.

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich).
- Tragende Normen verifizieren: BRAO, BORA, FAO, BNotO, StBerG, WPO, PAO; DSGVO — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Spezialwissen

Eine lückenlose Dokumentation des KI-Einsatzes ist nicht nur eine DSGVO-Pflicht (Art. 5 Abs. 2 Rechenschaftspflicht), sondern auch ein zentrales Instrument zur Haftungsvermeidung. Im Fall eines berufsrechtlichen Verfahrens, einer Datenschutzbehörden-Kontrolle oder einer Mandanten-Beschwerde muss die Kanzlei darlegen können, wie KI-Systeme eingesetzt wurden und wie die Prüfpflichten erfüllt wurden.

## Rechtlicher Hintergrund

Art. 5 Abs. 2 DSGVO: Rechenschaftspflicht — die Kanzlei muss die Einhaltung der DSGVO-Grundsätze nachweisen können. Art. 30 DSGVO: Verarbeitungsverzeichnis — KI-gestützte Verarbeitungen sind einzutragen. Art. 33, 34 DSGVO: Dokumentation bei Datenschutzverletzungen. § 43 BRAO: Gewissenhaftigkeit schließt nachweisbare Prüfpflichten ein. § 50 BRAO, § 50a BRAO: Handaktenführung und Aufbewahrungspflichten (5 Jahre nach Mandatsende). Art. 26 Abs. 5-6 KI-VO: Protokollierungspflichten bei Hochrisiko-Systemen; für Standard-Kanzlei-Chatbots keine spezifische KI-VO-Pflicht, aber interne Dokumentation als Best Practice. BRAK-Hinweise 12/2024: Prüfung und Dokumentation als Kernpflicht.

## Vorgehen

**Vorab:** Der untenstehende ist die typische Standardlinie. Wenn die Mandantenlage abweicht (siehe "Strategische Optionen" oben), sind die Schritte entsprechend zu verkuerzen, umzustellen oder durch ein anderes Skill zu ersetzen — der ist Leitfaden, nicht Pflichtprogramm.

1. **Verarbeitungsverzeichnis aktualisieren**: Jedes KI-System, das personenbezogene Daten verarbeitet, ist im Verarbeitungsverzeichnis nach Art. 30 DSGVO zu dokumentieren.
2. **Prüfprotokoll für wichtige Outputs**: Für Schriftsätze, Gutachten und Beratungsunterlagen, die wesentlich unter KI-Mitwirkung entstanden sind, ein standardisiertes Prüfprotokoll anlegen.
3. **Prompt-Dokumentation**: Bei rechtlich bedeutsamen Vorgängen sollten wesentliche Prompts und die erhaltenen Outputs in der Handakte dokumentiert werden.
4. **Versionsstand des KI-Systems festhalten**: Welches KI-System (Anbieter, ggf. Modell-Version) wurde zu welchem Zeitpunkt eingesetzt? Relevant, weil KI-Systeme sich ohne Nutzer-Ankündigung ändern können.
5. **Aufbewahrungsfristen festlegen**: Prüfprotokolle mindestens so lange aufbewahren wie die Handakte (§ 50 Abs. 2 BRAO: 5 Jahre nach Mandatsende). Bei Hochrisiko-Systemen gilt Art. 26 Abs. 6 KI-VO (6 Monate Protokollaufbewahrung).
6. **Regelmäßige Überprüfung**: Dokumentationsqualität mindestens quartalsweise stichprobenartig prüfen.

## Strategische Optionen (vor dem Template entscheiden)

Bevor das Template eins-zu-eins gefuellt wird, ist zu pruefen welche Variante zur Mandantenkonstellation passt. Das Template ist **eine** moegliche Form — nicht die einzige.

| Konstellation | Empfohlener Weg |
|---|---|
| Standard — KI-Nutzungsprotokoll für Kanzlei erstellen | Protokoll nach Schema; Template unten |
| Variante A — Nur bestimmte KI-Tools zu protokollieren | Selektive Protokollierung; nicht alle Tools erfassen |
| Variante B — Retrospektive Dokumentation vergangener Nutzung | Nacherfassung mit Schatzwerten; Vollstaendigkeit vermerken |
| Variante C — Automatisierte Protokollierung per Tool | Tool-gestuetztes Protokoll; manuelle Felder minimieren |

Wenn die Mandantenkonstellation **nicht** ins Standardschema passt, ist das Template anzupassen oder durch ein anderes Skill abzuloesen — nicht das Mandat in das Schema zu pressen.

## Vorlagentext / Bausteine

**Muster-Prüfprotokoll:**

| Datum | Dokument | KI-System | Prüfende Person | Geprüfte Fundstellen | Ergebnis | Freigabe |
|---|---|---|---|---|---|---|
| TT.MM.JJJJ | [Schriftsatz XY] | [Chatbot-Dienst, Version] | [Name] | [Fundstelle geprüft: Ja/Nein, Quelle] | [keine Fehler / Korrekturbedarf] | [Unterschrift] |

**Baustein Verarbeitungsverzeichnis-Eintrag:**
Verarbeitungstätigkeit: Unterstützung bei der Erstellung juristischer Texte durch KI-Assistenzsysteme. Zweck: Effizienzsteigerung bei der Mandatsbearbeitung. Kategorien personenbezogener Daten: Mandantendaten (anonymisiert soweit möglich), Verfahrensdaten. Empfänger: [Name KI-Anbieter] als Auftragsverarbeiter nach Art. 28 DSGVO. Drittlandtransfer: [Ja/Nein; falls ja: Rechtsgrundlage]. Löschfrist: Sofortige Verarbeitung ohne dauerhafte Speicherung durch den Anbieter (sofern Training-Opt-out vereinbart).

**Baustein Handakten-Dokumentation:**
Wird in einem Mandat ein KI-System für die Erstellung wesentlicher Dokumente eingesetzt, ist in der Handakte zu vermerken: (1) welches KI-System wann eingesetzt wurde, (2) welche Aufgaben damit erledigt wurden, (3) welche Prüfschritte durchgeführt wurden und (4) wer die abschließende Freigabe erteilt hat.

--- vor Versand klaeren ---
1. Welches Verhandlungsziel hat der Mandant? [Durchsetzung des Anspruchs / Vergleich / Reputationsschutz / schnelle Loesung]
2. Welche Kompromisslinien sind absolut? [Mindestforderung / Zeitrahmen / Formerfordernis]
3. Sind Anschlusswege erwuenscht? [Mediation / Direktgesprach / Einigung vor Fristablauf]

Schlussabsatz Variante A (kooperativ):
Wir regen eine guetliche Einigung an und stehen für ein klaerenden Gesprach zur Verfuegung. Eine einvernehmliche Loesung erspart beiden Seiten Zeit und Kosten.

Schlussabsatz Variante B (formal-streng):
Eine aussergerichtliche Einigung kommt nur in Betracht wenn die Gegenseite innerhalb von [X] Tagen einen akzeptablen Vorschlag unterbreitet. Anderenfalls werden wir alle rechtlichen Schritte einleiten.

## Hinweise zur Aktualisierung

Anforderungen an die Dokumentation können sich durch neue DSGVO-Leitlinien des Europäischen Datenschutzausschusses (EDSA) oder durch berufsrechtliche Konkretisierungen der BRAK weiterentwickeln. Ebenso ist zu beobachten, ob Gerichte in Haftungsfällen konkrete Dokumentationsanforderungen an die KI-Nutzung stellen.

## Aktuelle Rechtsprechung (v14.2)
- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

## Zentrale Normen (Paragrafenkette)
- Art. 5 Abs. 2 DSGVO — Rechenschaftspflicht (Nachweisbarkeit)
- Art. 30 DSGVO — Verzeichnis von Verarbeitungstaetigkeiten
- Art. 26 Abs. 1 KI-VO — Betreiberpflicht zur Protokollierung bei Hochrisiko-KI
- § 50 BRAO — Aktenaufbewahrung (fuenf Jahre)
- § 43 BRAO — Gewissenhafte Berufsausuebung und Dokumentationsstandards

## Triage zu Beginn
1. Welche KI-Eingaben und Ausgaben sind für den Mandatsvorgang relevant?
2. Wie lange muessen die Protokolle aufbewahrt werden (§ 50 BRAO: fuenf Jahre)?
3. Liegt ein Hochrisiko-KI-System vor — ist Protokollierung nach Art. 26 Abs. 1 KI-VO verpflichtend?
4. Ist der Pruefvorgang (Verifikation der KI-Ausgabe) dokumentiert und datiert?
5. Ist eine Versionskontrolle für das KI-System vorhanden (Modell-Version, Datum)?
- **Was will der Mandant wirklich erreichen?** (Nicht: was steht im Standardweg, sondern: welches Ergebnis ist für den Mandanten persoenlich/wirtschaftlich das beste? Manchmal ist der schnellere Vergleich besser als der formal "richtige" Weg.)

## Output-Template — KI-Nutzungsprotokoll
**Adressat:** Kanzlei intern (Akte) — Tonfall: kurz, dokumentierend
```
KI-NUTZUNGSPROTOKOLL
[DATUM UHRZEIT] — [AKTENZEICHEN] — Sachbearbeiter: [NAME]

KI-System: [SYSTEMNAME] — Version: [MODELL/VERSION]
Anwendungsfall: [BESCHREIBUNG z.B. Schriftsatz-Entwurf, Recherche]

Eingabe: [KURZBEZEICHNUNG — anonymisiert: JA/NEIN]
Ausgabe: [KURZBEZEICHNUNG]

Pruefung der Ausgabe:
Geprueft von: [NAME]
Datum: [DATUM]
Ergebnis: [FEHLERFREI / KORREKTUREN VORGENOMMEN — BESCHREIBUNG]
KI-Fundstellen verifiziert: [JA / NICHT ZUTREFFEND]

Kennzeichnung im Schriftsatz: [JA — Fundstelle: / NEIN — Begruendung:]
Aufbewahrung bis: [DATUM gemaess § 50 BRAO]
```