--- name: schatten-ki-aufdeckung description: "Methoden zur Erkennung und zum Umgang mit verdeckter Chatbot-Nutzung durch Mitarbeitende in Kanzleien: Stilanalyse, Browser-Logs, Mitarbeiterbefragung, freiwillige Selbstauskunft und Einrichtung einer vertraulichen Anlaufstelle." --- # Schatten-KI Aufdeckung „Schatten-KI" bezeichnet die heimliche oder geduldete Nutzung nicht autorisierter KI-Systeme und Chatbots durch Mitarbeitende im Kanzleibetrieb — oft mit privaten Accounts und ohne Wissen der Kanzleiführung. Diese Praxis gefährdet Datenschutz, Anwaltsgeheimnis und Compliance erheblich. Dieser Skill beschreibt Methoden zur Erkennung und zum konstruktiven Umgang mit Schatten-KI. ## Rechtlicher Hintergrund § 43a Abs. 2 BRAO, § 203 StGB: Jede Übermittlung von Mandatsgeheimnissen an nicht autorisierte externe Dienste kann eine Verletzung der Verschwiegenheitspflicht darstellen — auch wenn der Mitarbeitende dies nicht beabsichtigt. Art. 5 DSGVO: Rechenschaftspflicht des Verantwortlichen — die Kanzlei muss darlegen können, dass Daten rechtmäßig verarbeitet werden. § 87 Abs. 1 Nr. 6 BetrVG: Mitbestimmungsrecht des Betriebsrats bei technischer Überwachung von Mitarbeitenden. § 26 BDSG: Zulässigkeit der Verarbeitung von Beschäftigtendaten. Art. 4 KI-VO: Pflicht zur KI-Kompetenz setzt voraus, dass der Einsatz bekannt und geregelt ist. ## Vorgehen 1. **Offene Kommunikation zuerst**: Schatten-KI ist oft ein Zeichen dafür, dass Mitarbeitende ein reales Bedürfnis nach KI-Unterstützung haben. Zunächst im Dialog klären, warum KI-Systeme genutzt werden und welche Aufgaben damit erledigt werden. 2. **Schulung und Sensibilisierung**: Alle Mitarbeitenden über die Risiken der Schatten-KI aufklären (Verschwiegenheitspflicht, Datenschutz, Haftung) und gleichzeitig Alternativen aufzeigen (autorisierte Kanzlei-Accounts). 3. **Stilanalyse**: KI-typische Texteigenschaften (übermäßig formaler Stil, fehlerfreie Grammatik bei sonst fehleranfälligen Mitarbeitenden, wiederkehrende Formulierungen) können Hinweise geben — keine Beweiskraft, aber Anlass für ein Gespräch. 4. **Browser- und Netzwerk-Logs**: Im Rahmen des datenschutzrechtlich und arbeitsrechtlich Zulässigen können Netzwerklogs Zugriffe auf externe KI-Dienste aufdecken. Betriebsrat einbinden; keine verdachtslose Totalüberwachung. 5. **Freiwillige Selbstauskunft und Amnestie**: Mitarbeitende können eingeladen werden, offen zu kommunizieren, welche KI-Tools sie nutzen. Eine Amnestie für vergangene Verstöße gegen nicht existierende Richtlinien schafft Vertrauen. 6. **Vertrauliche Anlaufstelle einrichten**: Einen Ansprechpartner (z.B. Datenschutzbeauftragter oder Berufsrechtsbeauftragter) benennen, an den Mitarbeitende Fragen zur KI-Nutzung ohne Angst vor Konsequenzen richten können. ## Vorlagentext / Bausteine **Baustein Schatten-KI-Richtlinie:** Mitarbeitende dürfen für berufliche Tätigkeiten ausschließlich die von der Kanzlei autorisierten KI-Accounts und -Dienste verwenden. Die Nutzung privater Accounts oder nicht autorisierter KI-Dienste für die Bearbeitung von Mandatsangelegenheiten ist untersagt. Verstöße können berufsrechtliche Konsequenzen (Verletzung der Verschwiegenheitspflicht nach § 43a BRAO, § 203 StGB) und arbeitsrechtliche Folgen haben. **Baustein Meldestelle:** Für Fragen zum zulässigen Einsatz von KI-Systemen steht [Name Datenschutzbeauftragter/Berufsrechtsbeauftragter] als vertrauliche Anlaufstelle zur Verfügung. Mitarbeitende, die unsicher sind, ob ein KI-Tool im konkreten Fall eingesetzt werden darf, sind ausdrücklich aufgefordert, vorher Rücksprache zu halten. ## Hinweise zur Aktualisierung Mit zunehmender Verbreitung von KI-Funktionen in alltäglichen Arbeitstools (MS Office, E-Mail-Clients) wird die Abgrenzung zwischen autorisierter und nicht autorisierter KI-Nutzung schwieriger. Die Richtlinie muss angepasst werden, sobald neue KI-Integrationen in bestehende Kanzlei-Software eingeführt werden.