---
name: schatten-ki-aufdeckung
description: "Schatten-KI in Kanzleien erkennen und konstruktiv umgehen: Anwendungsfall Kanzleiführung vermutet oder stellt fest dass Mitarbeitende nicht autorisierte KI-Dienste mit privaten Accounts nutzen. § 43a BRAO Verschwiegenheit, DSGVO Datenschutzverletzung, § 203 StGB Berufsgeheimnis. Prüfraster Stilan..."
---

# Schatten-KI Aufdeckung

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich).
- Tragende Normen verifizieren: BRAO, BORA, FAO, BNotO, StBerG, WPO, PAO; DSGVO — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Spezialwissen

"Schatten-KI" bezeichnet die heimliche oder geduldete Nutzung nicht autorisierter KI-Systeme und Chatbots durch Mitarbeitende im Kanzleibetrieb — oft mit privaten Accounts und ohne Wissen der Kanzleiführung. Diese Praxis gefährdet Datenschutz, Anwaltsgeheimnis und Compliance erheblich. Dieser Skill beschreibt Methoden zur Erkennung und zum konstruktiven Umgang mit Schatten-KI.

## Rechtlicher Hintergrund

§ 43a Abs. 2 BRAO, § 203 StGB: Jede Übermittlung von Mandatsgeheimnissen an nicht autorisierte externe Dienste kann eine Verletzung der Verschwiegenheitspflicht darstellen — auch wenn der Mitarbeitende dies nicht beabsichtigt. Art. 5 DSGVO: Rechenschaftspflicht des Verantwortlichen — die Kanzlei muss darlegen können, dass Daten rechtmäßig verarbeitet werden. § 87 Abs. 1 Nr. 6 BetrVG: Mitbestimmungsrecht des Betriebsrats bei technischer Überwachung von Mitarbeitenden. § 26 BDSG: Zulässigkeit der Verarbeitung von Beschäftigtendaten. Art. 4 KI-VO: Pflicht zur KI-Kompetenz setzt voraus, dass der Einsatz bekannt und geregelt ist.

## Vorlagentext / Bausteine

**Baustein Schatten-KI-Richtlinie:**
Mitarbeitende dürfen für berufliche Tätigkeiten ausschließlich die von der Kanzlei autorisierten KI-Accounts und -Dienste verwenden. Die Nutzung privater Accounts oder nicht autorisierter KI-Dienste für die Bearbeitung von Mandatsangelegenheiten ist untersagt. Verstöße können berufsrechtliche Konsequenzen (Verletzung der Verschwiegenheitspflicht nach § 43a BRAO, § 203 StGB) und arbeitsrechtliche Folgen haben.

**Baustein Meldestelle:**
Für Fragen zum zulässigen Einsatz von KI-Systemen steht [Name Datenschutzbeauftragter/Berufsrechtsbeauftragter] als vertrauliche Anlaufstelle zur Verfügung. Mitarbeitende, die unsicher sind, ob ein KI-Tool im konkreten Fall eingesetzt werden darf, sind ausdrücklich aufgefordert, vorher Rücksprache zu halten.

## Hinweise zur Aktualisierung

Mit zunehmender Verbreitung von KI-Funktionen in alltäglichen Arbeitstools (MS Office, E-Mail-Clients) wird die Abgrenzung zwischen autorisierter und nicht autorisierter KI-Nutzung schwieriger. Die Richtlinie muss angepasst werden, sobald neue KI-Integrationen in bestehende Kanzlei-Software eingeführt werden.

## Aktuelle Rechtsprechung (v14.2)
- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

## Zentrale Normen (Paragrafenkette)
- § 43a Abs. 2 BRAO — Verschwiegenheit (gilt auch bei privaten Accounts)
- Art. 5 Abs. 2 DSGVO — Rechenschaftspflicht der Kanzlei
- Art. 28 DSGVO — AVV-Pflicht (Schatten-KI hat keinen AVV)
- § 203 StGB — Berufsgeheimnis (Strafbarkeit bei Weitergabe)
- § 626 BGB — Ausserordentliche Kuendigung bei grobem Verstoss

## Triage zu Beginn
1. Gibt es Hinweise auf nicht freigegebene KI-Tools im Einsatz — Browser-Erweiterungen, private Accounts?
2. Wurden Mitarbeiter ueber Schatten-KI-Risiken und das Privat-Account-Verbot informiert?
3. Gibt es technische Massnahmen zur Unterbindung (URL-Filter, Geraetemanagemement)?
4. Wie wird Schatten-KI-Nutzung erkannt — technisch oder durch Selbstmeldung?
5. Welche arbeitsrechtlichen Konsequenzen drohen bei Verstoss?

## Output-Template — Schatten-KI-Aufdeckungs-Protokoll
**Adressat:** IT-Sicherheit / Compliance — Tonfall: strukturiert, massnahmenorientiert
```
SCHATTEN-KI-AUFDECKUNGS-PROTOKOLL
[DATUM] — Kanzlei: [NAME MANDANT]

ERKANNTE NICHT-FREIGEGEBENE KI-TOOLS:
| Tool | Erkannt durch | Datum | Nutzer (anonym) | Mandatsdaten involviert |
|---|---|---|---|---|
| [TOOL] | [METHODE] | [DATUM] | [ROLLE] | [JA/NEIN/UNBEKANNT] |

MASSNAHMEN:
1. Sofortmassnahme: [BESCHREIBUNG — z.B. Zugang sperren, Nutzer informieren]
2. Datenrisiko-Pruefung: Waren Mandatsdaten betroffen? [JA/NEIN — wenn JA: DSGVO-Pruefung]
3. Nachsorge: [SCHULUNG / AKTENNOTIZ / MITARBEITERGESPRAECH]

DSGVO-MASSNAHMEN (falls Mandatsdaten betroffen):
☑/☐ Datenpanne nach Art. 33 DSGVO pruefbeduerftig
☑/☐ Berufsrechtliche Meldepflicht (§ 43a BRAO) gegeben

PRAEVENTION:
☑/☐ URL-Filter aktualisiert
☑/☐ Mitarbeiterschulung angesetzt

Verantwortlicher: [NAME], [DATUM]
```