--- name: dienstleister-due-diligence description: "Auswahlkriterien für KI-Dienstleister in Kanzleien: EU-Sitz versus US-Sitz, Enterprise-Tier mit Training-Opt-out, Verschlüsselung, Zertifizierungen wie ISO 27001 und SOC 2 sowie Standardvertragsklauseln für datenschutzkonforme Beauftragung." --- # Dienstleister Due Diligence Die sorgfältige Auswahl des KI-Dienstleisters ist eine zentrale berufsrechtliche und datenschutzrechtliche Pflicht. § 43e BRAO verpflichtet zur eigenverantwortlichen Prüfung des Dienstleisters; Art. 28 Abs. 1 DSGVO verlangt hinreichende Garantien für technisch-organisatorische Maßnahmen. Dieser Skill stellt strukturierte Auswahlkriterien bereit. ## Rechtlicher Hintergrund § 43e BRAO: Sorgfältige Auswahl und vertragliche Bindung des IT-Dienstleisters als Voraussetzung für die befugte Nutzung. § 43e Abs. 4 BRAO: Drittstaaten-Dienstleister zulässig bei vergleichbarem Schutzniveau. Art. 28 Abs. 1 DSGVO: Nur Auftragsverarbeiter mit hinreichenden Garantien beauftragen. Art. 44 ff. DSGVO: Drittlandtransfer nur mit geeigneten Schutzmaßnahmen (Angemessenheitsbeschluss, SCC, TIA). Art. 5 Abs. 1 lit. f DSGVO: Integrität und Vertraulichkeit durch geeignete technisch-organisatorische Maßnahmen. BRAK-Hinweise 12/2024: Sorgfältige Anbieterauswahl als berufsrechtliche Kernpflicht. ## Vorgehen 1. **Sitzland und Rechtsrahmen prüfen**: EU-Anbieter unterliegen direkt der DSGVO. Für US-amerikanische Anbieter: EU-US Data Privacy Framework-Zertifizierung prüfen; alternativ SCC + TIA. 2. **Enterprise-Tier auf Training-Opt-out prüfen**: Standardmäßige Verbraucherversionen vieler Chatbot-Dienste erlauben dem Anbieter, Eingaben zum Training zu nutzen. Enterprise-Verträge schließen dies in der Regel aus. Opt-out schriftlich bestätigen lassen. 3. **Verschlüsselung verifizieren**: Daten at rest (Speicherung) und in transit (Übertragung) müssen verschlüsselt sein. Mindeststandard: TLS 1.2 für Übertragung; AES-256 für Speicherung. 4. **Zertifizierungen prüfen**: ISO 27001 (Informationssicherheit), SOC 2 Type II (Sicherheit, Verfügbarkeit, Vertraulichkeit), ggf. ISO 27701 (Datenschutz). Aktuelle Zertifikate anfordern. 5. **Subprozessoren und Rechenzentrumsstandorte erfassen**: Wo werden die Daten tatsächlich verarbeitet und gespeichert? 6. **Vertragswerk vervollständigen**: AVV nach Art. 28 DSGVO + § 43e-BRAO-Vereinbarung + ggf. SCC abschließen. 7. **Dokumentierte Risikobeurteilung erstellen**: Eigene Prüfung und Abwägung der Risiken schriftlich festhalten. ## Vorlagentext / Bausteine **Due-Diligence-Checkliste KI-Dienstleister:** **Allgemeine Informationen:** ☐ Vollständige Firma und Rechtsform des Anbieters ☐ Sitz des Unternehmens (EU / EWR / Drittland) ☐ Standort der Rechenzentren ☐ Zuständige Datenschutzbehörde **Datenschutz:** ☐ Datenschutzerklärung und Datenschutzrichtlinien liegen vor ☐ AVV nach Art. 28 DSGVO ist verfügbar / wird abgeschlossen ☐ Bei US-Anbietern: EU-US Data Privacy Framework-Zertifizierung oder SCC ☐ Expliziter Training-Opt-out für Kunden-Eingaben ist schriftlich vereinbart ☐ Lösch- und Aufbewahrungsfristen sind dokumentiert **Technische Sicherheit:** ☐ Verschlüsselung at rest (mindestens AES-256) ☐ Verschlüsselung in transit (mindestens TLS 1.2) ☐ Multi-Faktor-Authentifizierung für Kanzlei-Accounts ☐ Incident-Response-Verfahren dokumentiert **Zertifizierungen:** ☐ ISO 27001 (aktuelles Zertifikat) ☐ SOC 2 Type II (aktueller Bericht) ☐ Ggf. C5 (BSI Cloud Computing Compliance Criteria Catalogue) **Berufsrecht:** ☐ § 43e-BRAO-Vereinbarung abgeschlossen ☐ Strafrechtliche Belehrung nach § 203 StGB erteilt ## Hinweise zur Aktualisierung Die Zertifizierungen und die EU-US-Datenschutzrahmen sind regelmäßig auf Aktualität zu prüfen. Datenschutzbehörden-Entscheidungen zu einzelnen KI-Anbietern (z.B. Untersagungen durch DPAs) sind zu beobachten. Jährliche Neubeurteilung des eingesetzten Dienstleisters empfohlen.