--- name: spezial-richtlinie-red-team-und-qualitaetskontrolle description: "Richtlinie: Red-Team und Qualitätskontrolle: konkreter Spezialworkflow mit Sachverhaltsklärung, Rechtsrahmen, Belegen, Risikoampel und verwertbarem Output." --- # Richtlinie: Red-Team und Qualitätskontrolle ## Aufgabe Dieser Skill ist ein konkreter Fachbaustein für `ki-richtlinie-kanzleien`. Ausgangspunkt ist: Erstellt und pflegt eine berufsrechtskonforme KI-Nutzungsrichtlinie für Kanzleien und Rechtsabteilungen mit Anwaelten und Syndikus-Anwaelten. Beruht auf BRAO, BORA, DSGVO, KI-Verordnung sowie BRAK- und DAV-Hinweisen. Er führt durch **Red-Team und Qualitätskontrolle** im Themenfeld **Richtlinie**. Ziel ist nicht ein abstrakter Lexikontext, sondern ein belastbares Arbeitsprodukt für die nächste anwaltliche, behördliche, gerichtliche, organisatorische oder mandantenbezogene Entscheidung. ## Kaltstart Wenn Unterlagen vorhanden sind, arbeite zuerst aus den Unterlagen. Stelle nur Rückfragen, die die nächste Weiche verändern: 1. Welche Rolle hat die fragende Person und wer ist Gegenüber? 2. Welches konkrete Ziel soll erreicht oder verhindert werden? 3. Welche Frist, Zustellung, Schwelle, Zahlung, Sanktion oder Verfahrensstufe ist kritisch? 4. Welche Dokumente, Registerauszüge, Bescheide, Verträge, Tabellen, Screenshots oder Nachrichten belegen den Punkt? 5. Welcher Output wird gebraucht: Memo, Checkliste, Tabelle, Entwurf, Schriftsatzbaustein, Mandantenbrief oder Entscheidungsvorlage? ## Arbeitsworkflow 1. **Fallbild bilden:** Sachverhalt, Rollen, Zeitachse und Dokumente in eine kurze Matrix bringen. 2. **Rechtsrahmen setzen:** Normen, Zuständigkeiten, Fristen, Formfragen und Verfahrensstand zum Themenfeld **Richtlinie** prüfen. 3. **Prüfpunkte abarbeiten:** Tatbestandsmerkmale, Beweisfragen, typische Fehler, Gegenargumente und Ermessens- oder Wertungsfragen trennen. 4. **Risiko bewerten:** Grün/Gelb/Rot mit Begründung, Annahmen, fehlenden Belegen und möglichen Alternativwegen ausgeben. 5. **Anschluss bauen:** Passende weitere Skills desselben Plugins vorschlagen, wenn eine Vertiefung, ein Schreiben, eine Tabelle, ein Fristenblatt oder eine Verhandlungsstrategie sinnvoll ist. ## Red-Team-Test der KI-Nutzungsrichtlinie - **Lücken-Test**: Welche Tool-Klassen werden nicht erfasst? (Browser-Plugins, Free-Tier-Online-Tools, Coding-Assistenten, mobile Anwendungen, Voice-Assistenten) - **Schatten-IT-Test**: Wie würde ein Mitarbeiter eine ChatGPT-Free-Variante einsetzen, ohne dass die Richtlinie greift? Empfehlung: Richtlinie auf Datenklassen statt Tool-Listen ankern, mit überprüfbarer Tool-Liste als Konkretisierung. - **Mandatsbezug-Test**: Was passiert bei Mandanten, die selbst KI-Tools nutzen und Daten weitergeben? Aufklärungspflicht des Anwalts gegenüber Mandant nach BORA/DAV-Stellungnahme. - **Auditierbarkeits-Test**: Lassen sich die Pflichten der Richtlinie nachvollziehbar prüfen? Ohne Logs/Inventar nur Behauptungen. - **§ 203-StGB-Test**: Greift jede dokumentierte Verpflichtung wirklich nach Abs. 4 Satz 2 Nr. 1 (förmliche Verpflichtung) oder nur informelle Bestätigung? ## Qualitätskontrolle Inhalte - **Norm-Aktualität**: Verweise auf BRAO/BORA/DSGVO/KI-VO mit Datum und ggf. Fassungsstand. - **Geltungsdaten KI-VO**: Art. 5 Verbote ab 02.02.2025; Art. 6 Hochrisiko ab 02.08.2026 — Richtlinie muss vorausschauend formuliert sein. - **DAV-/BRAK-Stellungnahmen**: aktueller Stand, ohne aus Modellwissen zu zitieren; Live-Verweis auf brak.de / anwaltverein.de. - **Datentransfer**: DPF, SCC, BCR korrekt unterschieden; bei US-Tools Aktualität DPF-Selbstzertifizierung. - **Berufshaftpflicht**: Hinweis auf Anpassung der Versicherung (§ 51 BRAO, § 19 VVG-Anzeigepflichten). ## Häufige Schwachstellen - **"Mandantendaten dürfen nicht in Cloud-KI"** ohne Definition was "Mandantendaten" sind. - **Fehlende Tool-Liste** oder Liste ohne Pflege-Verantwortung. - **Keine Schulungspflicht** mit Auffrischungszyklus. - **Mandanteneinwilligung nicht geregelt** (wann, wie, dokumentiert?). - **Verstoßfolge unklar** (arbeitsrechtlich, berufsrechtlich, intern). ## Audit-Checkliste - Wann zuletzt aktualisiert? Spätestens jährlich. - Schulungsnachweise der letzten 12 Monate vorhanden? - Tool-Inventar mit Freigabe-Zustand aktuell? - Vorfälle der letzten 12 Monate dokumentiert? - Mandantenkommunikation enthält KI-Hinweise (wo erforderlich)? ## Trade-off Eine extrem strikte Richtlinie ("Kein KI-Tool ohne Sozietäts-Freigabe") schafft Disziplin, vermehrt aber Schatten-IT. Eine permissive Richtlinie schafft Akzeptanz, riskiert aber Compliance-Erosion. Praxis-Empfehlung: gestuftes Modell mit klaren Datenklassen + Tool-Klassen, regelmäßige Reviews und Konsequenzbereitschaft (anlassbezogene Untersagung). ## Output-Standard - **Kurzlage:** maximal fünf Sätze zu Ziel, Lage, Frist, Risiko und nächstem Schritt. - **Prüfmatrix:** Punkt, Norm/Quelle, Tatsache, Beleg, Bewertung, To-do. - **Arbeitsprodukt:** direkt nutzbarer Entwurf oder Baustein in der passenden Tonalität. - **Qualitätsgate:** keine Scheingenauigkeit; Lücken, Annahmen und Live-Check-Bedarf ausdrücklich markieren. ## Quellenregel - Aktuelle Normen, Behördenhinweise, Gerichtsseiten, Register, Formulare und EU-/Landesrecht live prüfen, wenn sie für das Ergebnis tragend sind. - Rechtsprechung nur mit Gericht, Datum, Aktenzeichen und frei prüfbarer Quelle ausgeben. - Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate aus Modellwissen. - Paywall-Literatur nur verwerten, wenn sie von der Nutzerin oder dem Nutzer als Text bereitgestellt wurde; dann nicht als frei verifizierte Quelle ausgeben.