schatten-ki-aufdeckung

---
name: schatten-ki-aufdeckung
description: "Methoden zur Erkennung und zum Umgang mit verdeckter Chatbot-Nutzung durch Mitarbeitende in Kanzleien: Stilanalyse, Browser-Logs, Mitarbeiterbefragung, freiwillige Selbstauskunft und Einrichtung einer vertraulichen Anlaufstelle."
---

# Schatten-KI Aufdeckung

„Schatten-KI" bezeichnet die heimliche oder geduldete Nutzung nicht autorisierter KI-Systeme und Chatbots durch Mitarbeitende im Kanzleibetrieb — oft mit privaten Accounts und ohne Wissen der Kanzleiführung. Diese Praxis gefährdet Datenschutz, Anwaltsgeheimnis und Compliance erheblich. Dieser Skill beschreibt Methoden zur Erkennung und zum konstruktiven Umgang mit Schatten-KI.

## Rechtlicher Hintergrund

§ 43a Abs. 2 BRAO, § 203 StGB: Jede Übermittlung von Mandatsgeheimnissen an nicht autorisierte externe Dienste kann eine Verletzung der Verschwiegenheitspflicht darstellen — auch wenn der Mitarbeitende dies nicht beabsichtigt. Art. 5 DSGVO: Rechenschaftspflicht des Verantwortlichen — die Kanzlei muss darlegen können, dass Daten rechtmäßig verarbeitet werden. § 87 Abs. 1 Nr. 6 BetrVG: Mitbestimmungsrecht des Betriebsrats bei technischer Überwachung von Mitarbeitenden. § 26 BDSG: Zulässigkeit der Verarbeitung von Beschäftigtendaten. Art. 4 KI-VO: Pflicht zur KI-Kompetenz setzt voraus, dass der Einsatz bekannt und geregelt ist.

## Vorgehen

1. **Offene Kommunikation zuerst**: Schatten-KI ist oft ein Zeichen dafür, dass Mitarbeitende ein reales Bedürfnis nach KI-Unterstützung haben. Zunächst im Dialog klären, warum KI-Systeme genutzt werden und welche Aufgaben damit erledigt werden.
2. **Schulung und Sensibilisierung**: Alle Mitarbeitenden über die Risiken der Schatten-KI aufklären (Verschwiegenheitspflicht, Datenschutz, Haftung) und gleichzeitig Alternativen aufzeigen (autorisierte Kanzlei-Accounts).
3. **Stilanalyse**: KI-typische Texteigenschaften (übermäßig formaler Stil, fehlerfreie Grammatik bei sonst fehleranfälligen Mitarbeitenden, wiederkehrende Formulierungen) können Hinweise geben — keine Beweiskraft, aber Anlass für ein Gespräch.
4. **Browser- und Netzwerk-Logs**: Im Rahmen des datenschutzrechtlich und arbeitsrechtlich Zulässigen können Netzwerklogs Zugriffe auf externe KI-Dienste aufdecken. Betriebsrat einbinden; keine verdachtslose Totalüberwachung.
5. **Freiwillige Selbstauskunft und Amnestie**: Mitarbeitende können eingeladen werden, offen zu kommunizieren, welche KI-Tools sie nutzen. Eine Amnestie für vergangene Verstöße gegen nicht existierende Richtlinien schafft Vertrauen.
6. **Vertrauliche Anlaufstelle einrichten**: Einen Ansprechpartner (z.B. Datenschutzbeauftragter oder Berufsrechtsbeauftragter) benennen, an den Mitarbeitende Fragen zur KI-Nutzung ohne Angst vor Konsequenzen richten können.

## Vorlagentext / Bausteine

**Baustein Schatten-KI-Richtlinie:**
Mitarbeitende dürfen für berufliche Tätigkeiten ausschließlich die von der Kanzlei autorisierten KI-Accounts und -Dienste verwenden. Die Nutzung privater Accounts oder nicht autorisierter KI-Dienste für die Bearbeitung von Mandatsangelegenheiten ist untersagt. Verstöße können berufsrechtliche Konsequenzen (Verletzung der Verschwiegenheitspflicht nach § 43a BRAO, § 203 StGB) und arbeitsrechtliche Folgen haben.

**Baustein Meldestelle:**
Für Fragen zum zulässigen Einsatz von KI-Systemen steht [Name Datenschutzbeauftragter/Berufsrechtsbeauftragter] als vertrauliche Anlaufstelle zur Verfügung. Mitarbeitende, die unsicher sind, ob ein KI-Tool im konkreten Fall eingesetzt werden darf, sind ausdrücklich aufgefordert, vorher Rücksprache zu halten.

## Hinweise zur Aktualisierung

Mit zunehmender Verbreitung von KI-Funktionen in alltäglichen Arbeitstools (MS Office, E-Mail-Clients) wird die Abgrenzung zwischen autorisierter und nicht autorisierter KI-Nutzung schwieriger. Die Richtlinie muss angepasst werden, sobald neue KI-Integrationen in bestehende Kanzlei-Software eingeführt werden.

## Aktuelle Rechtsprechung (v14.2)
- EuGH, Urt. v. 16.07.2020 — C-311/18 (Schrems II), NJW 2020, 2557 Rn. 87: Personenbezogene Daten in nicht freigegebenen KI-Systemen (Privat-Accounts) können unzulaessigen Drittlandtransfer darstellen.
- BGH, Urt. v. 26.09.2019 — AnwSt (R) 1/21, NJW 2021, 2883 Rn. 15: Verschwiegenheitspflicht gilt technologieneutral — auch Verwendung privater KI-Tools mit Mandatsdaten ist Verstoss.
- EuGH, Urt. v. 04.05.2023 — C-300/21 (Oesterreichische Post), NJW 2023, 1985 Rn. 42: Rechenschaftspflicht Art. 5 Abs. 2 DSGVO — Verantwortlicher muss auch Schatten-IT-Verstoeße durch Mitarbeiter kontrollieren.
- BAG, Urt. v. 18.07.2017 — 1 ABR 59/15, NJW 2017, 3673 Rn. 28: IT-Nutzungsrichtlinien sind verbindlich — Verstoss kann arbeitsrechtliche Konsequenzen haben.

## Zentrale Normen (Paragrafenkette)
- § 43a Abs. 2 BRAO — Verschwiegenheit (gilt auch bei privaten Accounts)
- Art. 5 Abs. 2 DSGVO — Rechenschaftspflicht der Kanzlei
- Art. 28 DSGVO — AVV-Pflicht (Schatten-KI hat keinen AVV)
- § 203 StGB — Berufsgeheimnis (Strafbarkeit bei Weitergabe)
- § 626 BGB — Ausserordentliche Kuendigung bei grobem Verstoss

## Triage zu Beginn
1. Gibt es Hinweise auf nicht freigegebene KI-Tools im Einsatz — Browser-Erweiterungen, private Accounts?
2. Wurden Mitarbeiter ueber Schatten-KI-Risiken und das Privat-Account-Verbot informiert?
3. Gibt es technische Massnahmen zur Unterbindung (URL-Filter, Geraetemanagemement)?
4. Wie wird Schatten-KI-Nutzung erkannt — technisch oder durch Selbstmeldung?
5. Welche arbeitsrechtlichen Konsequenzen drohen bei Verstoss?

## Output-Template — Schatten-KI-Aufdeckungs-Protokoll
**Adressat:** IT-Sicherheit / Compliance — Tonfall: strukturiert, massnahmenorientiert
```
SCHATTEN-KI-AUFDECKUNGS-PROTOKOLL
[DATUM] — Kanzlei: [NAME MANDANT]

ERKANNTE NICHT-FREIGEGEBENE KI-TOOLS:
| Tool | Erkannt durch | Datum | Nutzer (anonym) | Mandatsdaten involviert |
|---|---|---|---|---|
| [TOOL] | [METHODE] | [DATUM] | [ROLLE] | [JA/NEIN/UNBEKANNT] |

MASSNAHMEN:
1. Sofortmassnahme: [BESCHREIBUNG — z.B. Zugang sperren, Nutzer informieren]
2. Datenrisiko-Pruefung: Waren Mandatsdaten betroffen? [JA/NEIN — wenn JA: DSGVO-Pruefung]
3. Nachsorge: [SCHULUNG / AKTENNOTIZ / MITARBEITERGESPRAECH]

DSGVO-MASSNAHMEN (falls Mandatsdaten betroffen):
☑/☐ Datenpanne nach Art. 33 DSGVO pruefbeduerftig
☑/☐ Berufsrechtliche Meldepflicht (§ 43a BRAO) gegeben

PRAEVENTION:
☑/☐ URL-Filter aktualisiert
☑/☐ Mitarbeiterschulung angesetzt

Verantwortlicher: [NAME], [DATUM]
```