--- name: rueckfragebrief-an-anbieter description: "Erstelle einen strukturierten Rueckfragebrief an den KI-Anbieter zur Klaerung der berufsrechtlichen und strafrechtlichen Pflichten. Aufbau Anschreiben Kontext drei Fragenbloecke (Verschwiegenheit Subunternehmer TOM und Drittstaat) Fragen zu Zertifizierungen und Versprechungen Frist Unterschrift. Klare praezise Fragen die der Anbieter beantworten kann." --- # Rückfragebrief an Anbieter ## Disclaimer Diese Forprüfung ist keine Rechtsberatung, sondern strukturierte Argumentationshilfe für das Anbietergespräch. Die abschließende berufsrechtliche und strafrechtliche Beurteilung bleibt der inhabilen Kanzlei beziehungsweise einer beauftragten Spezialkanzlei vorbehalten. ## Zweck Der Rückfragebrief operationalisiert die im Gutachten festgestellten Lücken in konkrete, präzise Fragen an den Anbieter. Er ist die zentrale Schnittstelle zwischen interner Bewertung und externer Verhandlung. ## Aufbau ### Briefkopf - Absender: Kanzlei mit Berufsbezeichnung - Empfänger: Anbieter, vertretungsberechtigte Person - Datum - Betreff: "Berufsrechtliche und strafrechtliche Anforderungen — Vertrag [Produktname]" ### Anschreiben Kurze Einleitung — die Kanzlei prüft den Einsatz des KI-Produkts und benötigt vor Vertragsschluss bzw. zur Fortsetzung des Vertragsverhältnisses Klarstellungen zu den berufsrechtlichen Anforderungen aus §§ [Norm-Adapter] und § 203 StGB. ### Inhaltliche Blöcke #### Block 1 — Verschwiegenheit und Belehrung - Wo und wie ist die Verschwiegenheit Ihres Hauses gegenüber der Kanzlei vertraglich geregelt? Bitte konkrete Fundstelle. - Gilt die Verschwiegenheit gegenüber jedermann und zeitlich unbegrenzt? - Wie haben Sie Ihre Mitarbeiter zur Verschwiegenheit verpflichtet (Textform nach § 126b BGB)? - Wie werden Mitarbeiter und Subunternehmer über die strafrechtlichen Folgen einer Pflichtverletzung nach §§ 203, 204 StGB belehrt? Liegt der Normtext als Anlage zu den Mitarbeiterverträgen vor? #### Block 2 — Subunternehmer - Bitte legen Sie die aktuelle, abschließende Liste aller Subunternehmer (insbesondere Modellanbieter und Hoster) mit Sitz, Funktion und Verarbeitungsstandort vor. - Wie werden Subunternehmer vertraglich auf die Verschwiegenheit verpflichtet und über §§ 203, 204 StGB belehrt? - Welche Vorabinformations- und Zustimmungsrechte hat die Kanzlei bei Hinzunahme oder Wechsel von Subunternehmern? - Falls Microsoft Azure oder AWS oder Google Cloud zum Einsatz kommt: Welche Region wird genutzt? Wo liegen Backups? #### Block 3 — Erforderlichkeit, no training, Speicherdauer - Welche konkreten Datenkategorien werden bei der Nutzung Ihres Dienstes verarbeitet? - Werden eingegebene Daten zum Training Ihres Modells oder eines Drittmodells verwendet? Bitte vertragliche "no training"-Zusicherung mit Fundstelle. - Wie lange werden Eingaben gespeichert? Liegt eine Zero-Retention-Klausel vor? - Wie erfolgt die Löschung am Vertragsende? Erhalten wir ein Löschprotokoll? #### Block 4 — Strafprozessuale Absicherung - Wie verhält sich Ihr Haus bei behördlichen Auskunftsverlangen, Durchsuchungs- oder Beschlagnahmeanordnungen? - Werden Sie die Kanzlei unverzüglich vorab informieren (soweit gesetzlich zulässig)? - Werden Sie sich gegen unzulässige Beschlagnahmen mit Hinweis auf §§ 53a, 97 StPO zur Wehr setzen? - Gilt deutsches Recht? Ist der Gerichtsstand Deutschland? #### Block 5 — TOM und Zertifizierungen - Welche aktuellen Zertifikate liegen vor (ISO 27001, BSI C5 Typ 2, SOC 2 Typ 2)? Bitte Geltungsbereich, Zertifizierungsstelle und Ausstellungsdatum. - Wo werden Daten gespeichert (Verarbeitungsstandort und Backupstandort)? - Welche Verschlüsselung wird im Transport und im Ruhezustand eingesetzt? - Welche Audit-Logs werden geführt? Wie lange? - Welche Meldefrist gilt für Sicherheitsvorfälle? #### Block 6 — Drittstaaten und CLOUD Act - Sind Sie ein US-Konzern oder eine US-Tochter? Findet US-Recht (CLOUD Act, FISA) auf Ihre Daten Anwendung? - Liegen Daten oder Backups in Drittstaaten? - Sind Sie bereit, ein Professional Secrecy Addendum zu unterzeichnen, das US-Auskunftsverlangen anficht und uns informiert? ### Fristsetzung und Hinweise - Konkrete Frist (typisch zwei bis vier Wochen) - Hinweis, dass ohne Klarstellung ein Vertragsschluss bzw. eine Fortsetzung berufsrechtlich nicht möglich ist - Hinweis auf Vertraulichkeit der Anfrage ### Unterschrift - Name, Funktion (Partner, Compliance-Officer) - Berufsbezeichnung ## Ton Sachlich, präzise, keine Anschuldigungen. Der Anbieter soll motiviert sein zu antworten. Die Kanzlei dokumentiert dadurch zugleich die Sorgfalt nach Abs. 2 der Dienstleisterregelung. ## Output Vollständiger Briefentwurf im Markdown. PDF-Export möglich. ## Disclaimer im Brief Der Brief ist eine berufsrechtliche und strafrechtliche Anfrage, keine zivilrechtliche Geltendmachung. Eine zivilrechtliche oder gar strafrechtliche Geltendmachung ist im Streitfall einem spezialisierten Rechtsanwalt vorbehalten.