IT- / Datenschutzrecht

AVV-/DPA-Review nach Kanzlei-Playbook

anymize entfernt Mandanten- und Vendor-Klarnamen, Adressen, Verarbeitungs-Zwecke und Sub-Prozessor-Listen automatisch aus dem AVV, bevor er an GPT, Claude oder Gemini geht — und setzt sie nach der KI-Antwort wieder ein. So prüfen Sie einen Auftragsverarbeitungsvertrag in Minuten gegen Ihr Kanzlei-Playbook, ohne § 43a BRAO oder § 203 StGB zu berühren.

In 30 SekundenWas anymize hier leistetIn 5 MinutenPrompt zum KopierenIn 30 MinutenVollständiger Workflow
Mit anymize startenAntrags-Beispiel ansehen

Schwierigkeit: Fortgeschritten · Datenklasse: Mandantendaten · Letztes Review:

Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.

01

Anwendungsbereich

Worum geht es hier?

Verträge analysieren

AVV-Reviews sind die Hochfrequenz-Aufgabe im Datenschutzrecht. Jeder neue Cloud-Anbieter, jeder SaaS-Wechsel, jedes neue HR-Tool des Mandanten löst eine Vertragsprüfung gegen Art. 28 DSGVO aus. Wer das manuell macht, sitzt 60–120 Minuten pro Vertrag. Mit anymize geht der Vertragstext anonymisiert an ein Frontier-Modell — Mandantenname, Vendor-Identität, Sub-Prozessor-Liste und Adressen verlassen das Haus nicht. Die Klausel-Prüfung gegen das Kanzlei-Playbook läuft auf pseudonymisiertem Text.

02

Für wen passt das?

Zielgruppe und Kontext

Rolle
Fachanwält:in für IT-Recht; Fachanwält:in für Informationstechnologierecht; Datenschutzbeauftragte:r mit anwaltlicher Beratungsfunktion; Compliance-orientierte:r Allround-Anwält:in.
Seniorität
Berufserfahrung mittel bis Spezialist:in — der AVV-Review ist Routinetätigkeit, braucht aber bei Drittlandtransfer, Sub-Prozessor-Ketten und neuen Verarbeitungs-Zwecken den geübten Blick auf Art. 28 Abs. 3 DSGVO im Detail.
Kanzleigröße
Einzelkanzlei mit Datenschutz-Fokus bis Großkanzlei mit IT-Praxis. Der Effizienz-Hebel rechnet sich besonders bei mittlerer bis hoher Mandatsfrequenz, weil bei 5–10 AVV-Reviews pro Monat schnell ein Vollzeit-Tag freigespielt wird.
Spezifische Kontexte
Mandant präsentiert einen AVV-Entwurf eines Cloud-/SaaS-/HR-Tool-Anbieters zur Prüfung. Oder die Kanzlei verhandelt einen AVV mit dem eigenen Vendor. Oder ein Bestandsvertrag wird turnusmäßig auf Aktualität gegen die DSGVO und das Kanzlei-Playbook gesichtet.
03

Die Situation in der Kanzlei

So bringen Sie Tempo und Sorgfalt zusammen

AVV-Reviews sind standardisiert — und gleichzeitig fehleranfällig. Art. 28 Abs. 3 DSGVO listet acht Pflichtinhalte; die Kanzlei hat zusätzlich ein Playbook mit weiteren Klausel-Standards (Sub-Prozessor-Verzeichnis, Drittlandtransfer-Mechanik, Audit-Recht, Haftungs-Cap, Lösch- und Rückgabe-Pflichten am Vertragsende). Wer den AVV manuell prüft, sitzt 60–120 Minuten am Klausel-Vergleich. Wer ChatGPT oder Claude direkt nutzen würde, kommt schneller — verletzt aber § 43a BRAO, sobald Mandantenname, Vendor-Identität und Sub-Prozessor-Liste das Haus verlassen. anymize löst genau diesen Konflikt: Klarnamen, Adressen, Sub-Prozessor-Bezeichnungen werden vor dem KI-Aufruf zu Platzhaltern; die KI-Antwort kommt strukturiert zurück, anymize re-identifiziert. Die Vertraulichkeit ist strukturell gewahrt.

04

Was Sie davon haben

Zeit, Wert, Vertraulichkeit

Zeit pro AVV

~60 Min

Frontier-KI extrahiert Klauseln und vergleicht gegen Playbook in unter zehn Minuten. Anwaltliche Würdigung, Verhandlungs-Strategie und Mandanten-Empfehlung kommen wie gewohnt obendrauf.

Mehrwert pro Vertrag

€ 200–360

Stundensatz IT-Recht (€ 250–450/h) angewandt auf 60 Minuten freigespielte Drafting-Zeit.

Vertraulichkeit

strukturell

anymize entfernt 40+ Kategorien personenbezogener Daten — Mandantenname, Vendor-Identität, Sub-Prozessor-Liste, Adressen, IBANs — bevor der Text das Haus verlässt.

Erkennungsrate

>95 %

Dreifach geprüft (Algorithmus + zwei spezialisierte KI-Prüfungen). Restmenge kontrollieren Sie im Vorschau-Modus vor dem KI-Aufruf.

05

So gehen Sie vor

In 5 Schritten zum Antrag

1

AVV-Entwurf und Kanzlei-Playbook bereitstellen. Sie übernehmen den AVV-Entwurf des Vendors (PDF, Word, Markdown) und Ihr Kanzlei-Playbook (Klausel-Standards, No-Go-Klauseln, Verhandlungs-Vorgaben) in den anymize-Arbeitsplatz. Zusätzlich nützlich: Verarbeitungsverzeichnis des Mandanten und ggf. eine Risiko-Klassifikation der zu verarbeitenden Daten (Art. 9 DSGVO ja/nein).

Sie

Mandatsgrundlage und Vergleichsmaßstab klären

2

anymize anonymisiert automatisch. Über 40 Kategorien personenbezogener Daten — Mandantenname, Vendor-Identität, Anschriften, Sub-Prozessor-Bezeichnungen, IBANs, Telefonnummern, Vertretungsberechtigte — werden durch semantische Platzhalter ersetzt. Sie sehen die Vorschau vor dem KI-Aufruf und können einzelne Treffer manuell bestätigen oder ergänzen. Erkennungsrate über 95 %.

anymize

§ 43a BRAO Verschwiegenheit · § 203 StGB

3

Frontier-KI prüft. Der pseudonymisierte AVV geht an Ihr gewähltes Modell — GPT, Claude oder Gemini, alle in anymize verfügbar. Mit dem unten stehenden Prompt fragen Sie eine systematische Klausel-Extraktion und einen strukturierten Soll-Ist-Vergleich gegen Art. 28 Abs. 3 DSGVO und das Kanzlei-Playbook ab. Die KI sieht keine Klarnamen — sie arbeitet ausschließlich mit den Platzhaltern.

GPT / Claude / Gemini in anymize

Klausel-Vergleich in Minuten

4

anymize re-identifiziert. Die KI-Antwort kommt mit Platzhaltern zurück; anymize setzt automatisch die Originaldaten wieder ein. Sie erhalten eine Klausel-Matrix, die Sie anwaltlich würdigen: Verhandlungs-Strategie ableiten, Drittlandtransfer-Mechanik prüfen (Schrems II / SCC / EU-US-DPF), Audit-Recht und Haftungs-Cap mit Mandantschaft besprechen.

anymize + Sie

Bidirektionale Anonymisierung · anwaltliche Würdigung

5

Mandanten-Empfehlung und Verhandlung. Sie schicken die Klausel-Matrix mit Mandanten-Empfehlung — Annehmen, Verhandeln, Ablehnen — an die Mandantschaft. Bei Verhandlungsbedarf entwerfen Sie Gegenklauseln (oder lassen die KI mit demselben Prompt-Pattern Drafting-Vorschläge machen, ebenfalls auf pseudonymisiertem Text).

Sie

Anwaltliche Beratung im Mandatsverhältnis

06

Womit Sie arbeiten

So setzen Sie anymize konkret ein

Was anymize tut

  • Erkennt 40+ Kategorien personenbezogener Daten — Mandantenname, Vendor-Identität, Anschriften, Sub-Prozessor-Bezeichnungen, IBANs, Vertretungsberechtigte, Aktenzeichen — mit über 95 % Erkennungsrate.
  • Dreistufige Prüfung: Algorithmische Analyse, dann zwei spezialisierte KI-Prüfungen, die auch Kontext berücksichtigen (z. B. „Hetzner“ als Vendor-Name vs. Standort-Bezug).
  • Bidirektionale Anonymisierung: Platzhalter werden eingesetzt, das Frontier-Modell antwortet mit Kontext, anymize re-identifiziert beim Empfang.
  • Daten in deutschen Rechenzentren (Hetzner). Originaldokumente werden nicht gespeichert — nur die Zuordnung Platzhalter ↔ Klarname, mit Aufbewahrungsfrist nach Ihrer Wahl von 24 Stunden bis unbegrenzt.

Was Sie als Anwält:in tun

  • AVV-Entwurf und Kanzlei-Playbook bereitstellen — das Playbook ist der Maßstab, gegen den die KI vergleicht.
  • Vorschau der Anonymisierung sichten — bei Sub-Prozessor-Listen mit zehn oder mehr Einträgen empfehlen wir, einmal komplett zu prüfen.
  • Klausel-Matrix anwaltlich würdigen — die rechtliche Bewertung (Verhandelbarkeit, Drittlandtransfer-Risiko, Haftungs-Cap-Akzeptanz) leistet die KI bewusst nicht.
  • Mandanten-Empfehlung formulieren, Verhandlungs-Strategie abstimmen, Gegenklauseln vorbereiten.

Daten-Input

AVV-Entwurf des Vendors (PDF, Word, Markdown), Kanzlei-Playbook mit Klausel-Standards, optional Verarbeitungsverzeichnis des Mandanten und Risiko-Klassifikation der Daten.

Output-Kontrolle

Pseudonymisierter Text geht an die KI. Re-identifizierte Klausel-Matrix kommt zurück. anymize selbst trifft keine inhaltlichen Aussagen — die Strukturierung leistet das Frontier-Modell, die Würdigung machen Sie.

Freigabeprozess

Sie behalten jederzeit die Hoheit: Sichtung der Anonymisierung, anwaltliche Bewertung der Klauseln, Mandanten-Beratung, Verhandlungsstrategie — alles im üblichen Kanzlei-Workflow. anymize ist der Anonymisierungs-Layer, keine Workflow-Software.

07

Die KI-Anweisung

Prompt zum Kopieren

So nutzen Sie diesen Prompt:

1. AVV-Entwurf und Kanzlei-Playbook in anymize einfügen — die Anonymisierung läuft automatisch (Mandantenname, Vendor-Identität, Sub-Prozessor-Liste, Adressen werden zu Platzhaltern).

2. Diesen Prompt kopieren und an den AVV-Entwurf anhängen, das Playbook als zweiten Block daruntersetzen.

3. In anymize unter „Tools → Reasoning“ auf „Thinking-Modus“ stellen, dann KI-Aufruf starten — der Output kommt re-identifiziert zurück.

Empfohlener Reasoning-Modus in anymize: Thinking-Modus. Für AVV-Reviews mit Drittlandtransfer-Anteil oder Sub-Prozessor-Ketten lohnt der Wechsel auf Max. Modell-Auswahl (GPT, Claude, Gemini) in anymize.
# Rolle
Du bist Vertragsanalyse-Assistenz für eine IT-/Datenschutzrechts-Kanzlei.
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.

# Aufgabe
Prüfe den vorgelegten Auftragsverarbeitungsvertrag (AVV / DPA) systematisch gegen
(1) die Pflichtinhalte des Art. 28 Abs. 3 DSGVO, (2) das Kanzlei-Playbook
und (3) bekannte Risiko-Themen (Drittlandtransfer, Sub-Prozessor-Verzeichnis,
Audit-Recht, Haftungs-Cap, Lösch- und Rückgabe-Pflichten).

Liefere eine Klausel-Matrix mit Soll-Ist-Vergleich und je einem
Verhandelbarkeits-Hinweis. Die anwaltliche Wertung — Annahme, Verhandlung
oder Ablehnung — ist NICHT deine Aufgabe.

# Inhalt

1. Pflichtinhalte nach Art. 28 Abs. 3 DSGVO
   Tabelle mit Spalten: Pflichtinhalt | Klausel im AVV (Ziffer) | Soll | Ist | Lücke?
   Pflichtinhalte:
   a) Gegenstand und Dauer der Verarbeitung
   b) Art und Zweck der Verarbeitung
   c) Art der personenbezogenen Daten
   d) Kategorien betroffener Personen
   e) Pflichten und Rechte des Verantwortlichen
   f) Weisungsgebundenheit (lit. a)
   g) Vertraulichkeit der Mitarbeitenden (lit. b)
   h) Technische und organisatorische Maßnahmen (lit. c)
   i) Sub-Prozessoren (lit. d)
   j) Unterstützung Betroffenenrechte (lit. e)
   k) Unterstützung Art. 32–36 DSGVO (lit. f)
   l) Lösch-/Rückgabe-Pflicht am Vertragsende (lit. g)
   m) Nachweis-Pflichten und Audit (lit. h)

2. Soll-Ist-Vergleich gegen Kanzlei-Playbook
   Tabelle mit Spalten: Playbook-Anforderung | Klausel im AVV | Match? | Abweichung
   Erfasse die im Sachverhalt mitgegebenen Playbook-Punkte einzeln.

3. Risiko-Themen
   - Drittlandtransfer: Drittland identifiziert? SCC-Modul? EU-US-DPF? TIA-Verweis?
   - Sub-Prozessor-Verzeichnis: aktuell? Listenpflicht? Widerspruchsrecht?
   - Audit-Recht: vor Ort / per Drittprüfer / per Selbstauskunft? Vorlauf-Frist?
   - Haftungs-Cap: betragsmäßig / pro Schadensfall / pro Vertragsjahr? Ausnahmen?
   - Lösch-/Rückgabe-Pflicht: Format? Frist? Bestätigungsnachweis?

4. Verhandelbarkeits-Hinweis je Klausel
   Markiere jede Lücke / Abweichung mit einer der drei Stufen:
   - [STANDARD] — typische Branchen-Lücke, regelmäßig verhandelbar
   - [KRITISCH] — DSGVO-Pflichtverletzung oder Playbook-No-Go
   - [PRUEFUNG] — anwaltliche Bewertung im Einzelfall erforderlich

5. Berufsrechtliche Querbezüge (sofern relevant)
   - § 43e BRAO: ist die Kanzlei selbst Mandant des Vendors? Dann
     Belehrung Mitarbeitende über § 203 StGB, Mandantenzustimmung
     bei mandatsspezifischer Nutzung
   - Art. 9 DSGVO: werden besondere Datenkategorien verarbeitet?

# Format
Markdown. Tabellen für Pflichtinhalte und Soll-Ist-Vergleich.
Aufzählungen für Risiko-Themen.

# Verbote
KEINE Empfehlung zu Annahme / Verhandlung / Ablehnung.
KEINE Spekulation zur Verhandlungsmacht des Mandanten.
KEINE Bewertung der Vendor-Vertrauenswürdigkeit.
KEINE Aussage zur Marktüblichkeit von Klauseln ohne Quellen-Beleg.
08

So sieht der Sachverhalt aus

Pseudonymisierter Eingabetext

Original-AVV-Auszug nach anymize-Anonymisierung. Vendor- und Mandantenname, Adressen, Sub-Prozessor-Bezeichnungen und URLs sind durch anymize-Platzhalter im Format [[Kategorie-Hash]] ersetzt.
Vertragsparteien:
  Auftragsverarbeiter: [[Unternehmensname-4f2a]],
    [[Adresse-4f2a]], vertreten durch [[Vorname-4f2a]] [[Nachname-4f2a]].
  Verantwortlicher (Mandant): [[Unternehmensname-7b3e]],
    [[Adresse-7b3e]], vertreten durch [[Vorname-7b3e]] [[Nachname-7b3e]].

Auszug AVV (Klausel 4):
  Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich
  auf dokumentierte Weisung des Verantwortlichen. Weisungen werden in
  Textform erteilt und vom Auftragsverarbeiter dokumentiert.

Auszug AVV (Klausel 7 — Sub-Prozessoren):
  Der Auftragsverarbeiter darf Sub-Prozessoren einsetzen. Die aktuelle Liste
  ist abrufbar unter [[URL-9c1d]]. Der Verantwortliche wird über Änderungen
  mit einer Frist von 14 Tagen vor Wirksamwerden informiert; ein
  Widerspruchsrecht besteht innerhalb dieser Frist.

Auszug AVV (Klausel 9 — Drittlandtransfer):
  Eine Verarbeitung in Drittländern findet statt. Sub-Prozessor
  [[Unternehmensname-2e8f]] verarbeitet personenbezogene Daten in den
  USA. Als Garantie kommen die Standardvertragsklauseln (SCC) Modul 2
  zur Anwendung.

Auszug AVV (Klausel 12 — Haftung):
  Die Haftung des Auftragsverarbeiters ist auf den Betrag der für
  zwölf Monate vereinbarten Vergütung begrenzt. Diese Begrenzung gilt
  nicht bei Vorsatz oder grober Fahrlässigkeit.

Kanzlei-Playbook (Auszug):
  - Pflichtinhalte Art. 28 Abs. 3 DSGVO sind vollständig zu erfassen.
  - Sub-Prozessor-Wechsel: Mindest-Vorlauf 30 Tage, Widerspruchsrecht
    mit Vertragsbeendigungs-Option bei begründeten Einwänden.
  - Drittlandtransfer: TIA-Verweis ist Pflicht; bei US-Sub-Prozessor
    explizite EU-US-DPF-Prüfung dokumentieren.
  - Audit-Recht: Vor-Ort-Audit mit 60 Tagen Vorlauf, alternativ
    SOC-2-Type-II-Bericht oder vergleichbare Drittprüfung.
  - Haftungs-Cap: mindestens 24 Monatsvergütungen, ohne Cap bei
    DSGVO-Bußgeldern und Datenpannen mit Meldepflicht.
09

So liefert anymize zurück

Der Antrags-Entwurf

KI-Output (Beispiel). Die anymize-Re-Identifikation hat Vendor- und Mandantenname, Sub-Prozessor-Bezeichnungen und URLs wieder eingesetzt — Sie sehen den Output mit den richtigen Daten.
# AVV-Review — Klausel-Matrix

## I. Pflichtinhalte Art. 28 Abs. 3 DSGVO

| Pflichtinhalt | Klausel | Soll | Ist | Lücke? |
|---|---|---|---|---|
| a) Gegenstand und Dauer | n. v. im Auszug | Pflicht | nicht erkennbar | [PRUEFUNG] Gesamtvertrag prüfen |
| b) Art und Zweck | n. v. im Auszug | Pflicht | nicht erkennbar | [PRUEFUNG] Gesamtvertrag prüfen |
| c) Art der Daten | n. v. im Auszug | Pflicht | nicht erkennbar | [PRUEFUNG] Gesamtvertrag prüfen |
| d) Kategorien Betroffener | n. v. im Auszug | Pflicht | nicht erkennbar | [PRUEFUNG] Gesamtvertrag prüfen |
| f) Weisungsgebundenheit | Klausel 4 | dokumentierte Weisung | erfüllt | — |
| g) Vertraulichkeit Mitarbeiter | n. v. im Auszug | Pflicht | nicht erkennbar | [PRUEFUNG] Gesamtvertrag prüfen |
| h) TOMs | n. v. im Auszug | Pflicht | nicht erkennbar | [PRUEFUNG] Gesamtvertrag prüfen |
| i) Sub-Prozessoren | Klausel 7 | Liste + Widerspruchsrecht | Liste vorhanden, Widerspruchsfrist 14 Tage | [STANDARD] Frist gegen Playbook 30 Tage |

## II. Soll-Ist-Vergleich gegen Kanzlei-Playbook

| Playbook-Anforderung | Klausel | Match? | Abweichung |
|---|---|---|---|
| Sub-Prozessor-Frist 30 Tage | Klausel 7 | nein | 14 statt 30 Tage [STANDARD] |
| Sub-Prozessor: Widerspruchsrecht mit Vertragsbeendigungs-Option | Klausel 7 | teilweise | Widerspruchsrecht ja, Vertragsbeendigungs-Option nicht erkennbar [STANDARD] |
| Drittlandtransfer: TIA-Verweis Pflicht | Klausel 9 | nein | nur SCC-Modul-2 genannt; kein TIA-Verweis [KRITISCH] |
| Drittlandtransfer: EU-US-DPF-Prüfung bei US-Sub-Prozessor | Klausel 9 | nein | DPF-Status [[Unternehmensname-2e8f]] nicht dokumentiert [KRITISCH] |
| Audit-Recht: Vor-Ort 60 Tage Vorlauf oder SOC-2-Bericht | n. v. im Auszug | unklar | [PRUEFUNG] Gesamtvertrag prüfen |
| Haftungs-Cap mindestens 24 Monatsvergütungen | Klausel 12 | nein | 12 Monate statt 24 [STANDARD] |
| Haftungs-Cap-Ausnahme bei DSGVO-Bußgeldern und meldepflichtigen Datenpannen | Klausel 12 | nein | nur Vorsatz/grobe Fahrlässigkeit ausgenommen [KRITISCH] |

## III. Risiko-Themen

### Drittlandtransfer
- Drittland: USA (Sub-Prozessor [[Unternehmensname-2e8f]])
- SCC-Modul 2 vereinbart — formal vorhanden, aber:
  - **kein TIA-Verweis** — nach Schrems II Pflicht [KRITISCH]
  - **kein EU-US-DPF-Status** dokumentiert — nach EuGH C-311/18 erforderlich [KRITISCH]
  - Schrems-III-Risiko nicht adressiert [PRUEFUNG]

### Sub-Prozessor-Verzeichnis
- Liste extern abrufbar via [[URL-9c1d]] — formal akzeptabel
- Widerspruchsfrist 14 Tage — Playbook fordert 30 Tage [STANDARD]
- Widerspruchs-Konsequenz unklar — Vertragsbeendigungs-Option nach Playbook fehlt [STANDARD]

### Haftungs-Cap
- 12 Monatsvergütungen — Playbook fordert 24 [STANDARD]
- Ausnahmen nur Vorsatz / grobe Fahrlässigkeit — DSGVO-Bußgelder und meldepflichtige Datenpannen sind nicht ausgenommen [KRITISCH]

## IV. Verhandelbarkeits-Übersicht

| Lücke | Stufe | Verhandlungs-Hinweis |
|---|---|---|
| Sub-Prozessor-Frist 14 vs. 30 Tage | [STANDARD] | regelmäßig verhandelbar bei Standard-SaaS |
| Widerspruchs-Konsequenz | [STANDARD] | Vertragsbeendigungs-Option ist gängiges Verhandlungs-Add-on |
| Drittlandtransfer TIA-Verweis | [KRITISCH] | Pflicht — ohne TIA Schrems-II-Verstoßrisiko |
| EU-US-DPF-Status [[Unternehmensname-2e8f]] | [KRITISCH] | Pflicht-Dokumentation ergänzen |
| Haftungs-Cap-Höhe | [STANDARD] | Branchenüblich oft 12 Monate; Playbook-Erhöhung verhandelbar |
| Haftungs-Cap-Ausnahmen | [KRITISCH] | DSGVO-Bußgelder ohne Cap = Marktstandard für Verantwortliche |

## V. Berufsrechtliche Querbezüge

- **§ 43e BRAO:** Falls die Kanzlei selbst Mandant von [[Unternehmensname-4f2a]] ist, gilt zusätzlich Belehrung der Mitarbeitenden über § 203 StGB; bei mandatsspezifischer Nutzung Mandantenzustimmung nach Abs. 5.
- **Art. 9 DSGVO:** Aus dem Auszug nicht erkennbar — falls besondere Datenkategorien verarbeitet werden, ist Art. 9 Abs. 2 lit. a-j zu prüfen.

[ANWALT-PRUEFUNG: Annahme-, Verhandlungs- oder Ablehnungs-Empfehlung an die
Mandantschaft erfolgt anwaltlich auf Basis dieser Klausel-Matrix.]
10

Was das Berufsrecht verlangt

Pflichten — und wie anymize sie abdeckt

§ 43a BRAO Verschwiegenheit

anymize ersetzt 40+ Kategorien personenbezogener Daten durch Platzhalter, bevor irgendein KI-Anbieter den Vertragstext sieht. Mandantenname, Vendor-Identität, Sub-Prozessor-Liste, Adressen, Vertretungsberechtigte — alles automatisch erkannt mit über 95 % Erkennungsrate.

§ 43e BRAO Auftragsverarbeitung

Sie schließen einen AVV mit anymize ab. Datenverarbeitung ausschließlich in deutschen Rechenzentren (Hetzner). Originaldokumente speichern wir nicht — nur die Zuordnung Platzhalter ↔ Originaldaten, mit Aufbewahrungsfrist nach Ihrer Wahl. Eine schöne Selbstreferenz für IT-/Datenschutzrechts-Kanzleien: Sie prüfen den AVV mit demselben Werkzeug, das Sie selbst nach § 43e BRAO einsetzen.

§ 203 StGB Geheimnisschutz

Indem Vendor- und Mandantenname, Sub-Prozessor-Bezeichnungen und Vertretungsberechtigte das Haus nicht verlassen, vermeiden Sie das Offenbarungsproblem grundsätzlich. Die anymize-Mitarbeitenden sind nach § 203 belehrt — und sehen ohnehin nur die Zuordnungstabelle, nicht den Vertragstext.

Art. 28 Abs. 3 DSGVO Pflichtinhalte

Die acht Pflichtinhalte sind nicht verhandelbar — sie sind DSGVO-Pflicht. Die KI extrahiert sie, der Anwalt prüft die Einhaltung. Lücken sind nicht „Verhandlungsmasse“, sondern Mängel.

Schrems II — TIA-Pflicht

EuGH C-311/18 hat die TIA-Pflicht für Drittlandtransfer etabliert. Eine SCC-Klausel ohne TIA-Verweis ist nach EDPB-Empfehlung 01/2020 unvollständig. Lassen Sie die KI das markieren — die TIA-Erstellung selbst ist eine eigene Anleitung (Drittlandtransfer-TIA nach Schrems II).

EU-US-DPF Status-Volatilität

Der EU-US Data Privacy Framework ist seit Juli 2023 in Kraft, aber NOYB-Beschwerden und EuGH-Verfahren halten den Status volatil. Die KI dokumentiert den DPF-Status zum Sachstand des Prompts — die rechtliche Aktualität ist anwaltlich zu prüfen, weil sich die Lage zwischen Drafting und Mandanten-Vorlage ändern kann.

11

Datenschutz und Vertraulichkeit

So funktioniert das mit anymize

Die juristisch entscheidende Frage beim AVV-Review: Sieht der KI-Anbieter den Mandantennamen, die Vendor-Identität und die Sub-Prozessor-Liste? Antwort mit anymize: nein. Vendor- und Mandantenname, Adressen, Sub-Prozessor-Bezeichnungen, IBANs und Vertretungsberechtigte werden vor dem KI-Aufruf durch Platzhalter ersetzt; nach der KI-Antwort identifiziert anymize zurück. Verarbeitung in deutschen Rechenzentren (Hetzner), AVV nach Art. 28 DSGVO und § 43e BRAO ist Teil des Standardvertrags, Originaldokumente werden nicht gespeichert. Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Mandatsvertrag); bei Art.-9-Datenflüssen — etwa wenn der zu prüfende AVV besondere Datenkategorien betrifft — zusätzlich Art. 9 Abs. 2 lit. f i.V.m. § 43a BRAO. Die Klarnamen werden aus dem KI-Kontext gehalten, was § 203 StGB strukturell entlastet.

Was anymize konkret leistet

  • Erkennt Mandanten- und Vendor-Klarnamen, Adressen, Sub-Prozessor-Bezeichnungen, IBANs und Vertretungsberechtigte mit über 95 % Genauigkeit.
  • Ersetzt sie durch semantische Platzhalter, bevor der Vertragstext an GPT, Claude oder Gemini geht.
  • Re-identifiziert die KI-Antwort automatisch — Sie sehen die Klausel-Matrix mit den richtigen Klarnamen zurück.
  • Verarbeitung in deutschen Rechenzentren (Hetzner). AVV nach Art. 28 DSGVO mit § 43e BRAO-Erklärung im Standardvertrag.
  • Originaldokumente werden nicht gespeichert — nur die Zuordnung Platzhalter ↔ Klarname, mit Aufbewahrungsfrist nach Ihrer Wahl von 24 Stunden bis unbegrenzt.
12

Sicherheitscheck vor der Einreichung

Was anymize liefert — was Sie souverän entscheiden

Vor dem KI-Aufruf

  • AVV-Entwurf vollständig — keine fehlenden Anlagen (TOMs, Sub-Prozessor-Liste, SCC-Anhänge)?
  • Kanzlei-Playbook aktuell — letzte Update gegen DSGVO- und BRAK-Stand geprüft?
  • Anonymisierungs-Vorschau gesichtet — Sub-Prozessor-Liste vollständig anonymisiert?
  • Risiko-Klassifikation der Daten (Art. 9 DSGVO ja/nein) bereitgestellt?

Nach der KI-Antwort

  • Re-Identifikation korrekt — alle Platzhalter zurückgesetzt?
  • Klausel-Matrix vollständig — alle acht Pflichtinhalte des Art. 28 Abs. 3 DSGVO erfasst?
  • Drittlandtransfer-Themen vollständig markiert — TIA, SCC-Modul, DPF-Status?
  • [KRITISCH]-Markierungen anwaltlich nachgeprüft?

Vor der Mandanten-Empfehlung

  • Verhandlungs-Strategie pro Lücke festgelegt (Annehmen / Verhandeln / Ablehnen)?
  • Bei Drittlandtransfer-Lücken: TIA-Empfehlung an Mandantschaft formuliert?
  • Haftungs-Cap-Bewertung im Lichte der Mandanten-Verhandlungsmacht?
  • Folge-Mandate identifiziert (TIA, DSFA, Art. 32-Audit)?

Typische Fehlermuster — und wie anymize gegensteuert

  • KI behauptet eine Klausel sei „marktüblich“ ohne Quellen-Beleg — der Prompt verbietet das, prüfen Sie die Markierung.
  • KI extrahiert Pflichtinhalte aus Klausel-Überschriften statt aus Klausel-Inhalten — bei kurzen oder unvollständigen Klauseln darauf achten.
  • KI verwechselt SCC-Module — Modul 2 (Verantwortlicher → Auftragsverarbeiter) ist beim AVV der Regelfall; Modul 3 (Auftragsverarbeiter → Sub-Prozessor) erscheint im Anhang.
  • KI gibt Annahme-Empfehlung trotz Verbot — der Prompt markiert das mit [ANWALT-PRUEFUNG]; bei Verstoß den Output verwerfen und neu starten.
13

Rechtsgrundlagen

Normen, Urteile, Belege

Primärnormen

  • Auftragsverarbeitung — insbesondere Abs. 3 Pflichtinhalte
  • Sicherheit der Verarbeitung — TOMs
  • Meldepflicht bei Datenpannen — Auftragsverarbeiter-Pflicht
  • Drittlandtransfer
  • Standardvertragsklauseln Module 1–4
  • TIA-Pflicht
  • Beschluss 2023/1795

Berufsrechtliche Grundlagen

  • Anwaltliche Verschwiegenheit
  • Auftragsverarbeitung und IT-Auslagerung
  • Verletzung von Privatgeheimnissen

Sekundärquellen

  • Ergänzende Maßnahmen für Drittlandtransfer
  • Mandantentransparenz und KI-Einsatz
  • KI in der anwaltlichen Praxis
  • AVV-Anforderungen und Audit-Praxis

Stand: · Nächste Überprüfung:

Hinweis zur Nutzung

Zur Orientierung — nicht als Mandatsersatz

Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.

KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.

Jetzt starten.
14 Tage kostenlos testen.

Alle Modelle. Alle Features. Keine Kreditkarte.

Kostenlos startenWie es funktioniert

Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.

Dein KI-Arbeitsplatz wartet.