--- name: compliance-regelsatz-erstellen description: "Erzeugt einen standardisierten Compliance-Regelsatz für den KI-Einsatz in Kanzleien mit zehn konkreten Geboten: kein Privat-Account, keine Mandatsdaten ohne Anonymisierung, keine PDF-Uploads ohne AVV, Korrekturlesung als Pflicht sowie Kennzeichnung KI-generierter Inhalte." --- # Compliance-Regelsatz erstellen Ein klarer, prägnanter Compliance-Regelsatz ist das operative Herzstück jeder KI-Nutzungsrichtlinie. Er muss so formuliert sein, dass alle Mitarbeitenden — unabhängig von juristischem Hintergrund — die Kernregeln sofort verstehen und anwenden können. Dieser Skill erzeugt einen standardisierten Zehn-Gebote-Regelsatz, der an das Kanzlei-Profil angepasst werden kann. ## Rechtlicher Hintergrund Der Regelsatz operationalisiert die zentralen Rechtspflichten: § 43a Abs. 2 BRAO (Verschwiegenheit), § 43e BRAO (IT-Dienstleister), Art. 5 DSGVO (Grundsätze der Verarbeitung: Zweckbindung, Datenminimierung), Art. 28 DSGVO (Auftragsverarbeitung), § 2 Abs. 2 UrhG (Urheberrecht am KI-Output), Art. 50 Abs. 4 KI-VO (Kennzeichnung), § 203 StGB (Geheimnisverrat), Art. 22 DSGVO (Verbot automatisierter Entscheidungen). ## Vorgehen 1. **Zielgruppe definieren**: Unterschiedliche Regeln für anwaltliche und nicht-anwaltliche Mitarbeitende oder einheitlicher Regelsatz für alle? 2. **Zehn Gebote formulieren**: Aus den rechtlichen Anforderungen konkrete Handlungsregeln ableiten. 3. **Ausnahmen definieren**: Wann sind Ausnahmen zulässig (z.B. Upload mit AVV)? 4. **Kommunikation sicherstellen**: Regelsatz in Schulungen erklären, schriftlich quittieren lassen. 5. **Regelsatz plakativ aufbereiten**: Auf einer DIN-A4-Seite oder als Poster für Kanzleiräume aufbereiten. ## Vorlagentext / Bausteine **Die Zehn Gebote für den KI-Einsatz in [Name der Kanzlei]:** **1.** Wir nutzen beim Einsatz von KI-Systemen in der Kanzlei ausschließlich autorisierte Kanzlei-Accounts — niemals private Accounts. **2.** Wir kopieren keine personenbezogenen Daten von Mandanten oder Mitarbeitenden in KI-Systeme, es sei denn, die Daten wurden zuvor vollständig anonymisiert. **3.** Wir laden keine Dokumente, Akten oder Schriftstücke als Datei in einen KI-Dienst hoch, ohne diese zuvor anonymisiert zu haben — außer bei Anbietern, mit denen ein wirksamer Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und eine § 43e-BRAO-Vereinbarung bestehen. **4.** Wir korrekturlesen und prüfen jeden KI-generierten Text eigenverantwortlich auf inhaltliche Richtigkeit, bevor er intern oder extern weiterverwendet wird. **5.** Wir verifizieren ausnahmslos jede Fundstelle, jedes Zitat und jeden Gesetzeshinweis aus KI-generiertem Output anhand der originalen Quelle. KI-Systeme können Fundstellen erfinden. **6.** Wir kennzeichnen KI-generierte Inhalte in internen und externen Dokumenten, soweit dies die Transparenz erfordert. Bei anwaltlichen Schriftsätzen tragen wir durch unsere Unterschrift die volle redaktionelle Verantwortung. **7.** Wir delegieren keine Letztentscheidung an ein KI-System. Jede rechtliche Bewertung und jede mandatsbezogene Entscheidung verbleibt beim Menschen. **8.** Wir verarbeiten keine besonders sensiblen personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO mit KI-Systemen, es sei denn, eine ausdrückliche Rechtfertigung nach Art. 9 Abs. 2 DSGVO liegt vor. **9.** Wir laden keine urheberrechtlich geschützten Texte (Kommentare, Fachaufsätze, Datenbankexporte) in KI-Systeme hoch, ohne die erforderlichen Nutzungsrechte zu besitzen. Gesetze und Gerichtsentscheidungen von offiziellen Portalen sind frei nutzbar. **10.** Wir melden jeden Verdachtsfall einer Compliance-Verletzung beim KI-Einsatz unverzüglich an [Name Datenschutzbeauftragter/Berufsrechtsbeauftragter/Geschäftsführung]. ## Hinweise zur Aktualisierung Der Regelsatz ist mindestens halbjährlich zu überprüfen. Bei wesentlichen Änderungen der genutzten KI-Dienste, bei neuen Gerichtsentscheidungen zur Haftung oder bei neuen BRAK/DAV-Hinweisen ist eine Aktualisierung geboten. Alle Mitarbeitenden müssen über Änderungen informiert und neu geschult werden.