IT- und Datenschutzrecht
Drittlandtransfer-TIA nach Schrems II
KI-gestützte Strukturierung eines Transfer Impact Assessments (TIA) nach EuGH Schrems II für Datenübermittlungen in Drittländer mit Kernfokus auf CLOUD Act (US), FISA 702, UK GDPR, Schweizer DSG und der EDPB-Empfehlung 01/2020 — die CLOUD-Act-Tiefe ist der zentrale Kernpunkt dieser IDS-Fachrichtung und wird nicht auf „SCC-Modul-Nennung“ reduziert.
Schwierigkeit: Spezialist · Datenklasse: Mandantendaten · Letztes Review:
Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.
Anwendungsbereich
Worum geht es hier?
Die TIA ist Kerninstrument der DSGVO-Drittlandtransfer-Compliance nach EuGH C-311/18 (Schrems II) und ergänzt UC-M-005 um die spezifische Extraterritorialitäts-Prüfung. Die CLOUD-Act-Dimension ist seit § 43e Abs. 4 BRAO eine direkte berufsrechtliche Frage und nicht bloß DSGVO-Thema — UC-M-021 §11 als Vorbild. Starker Anschluss an P-04 bei Behörden-Kommunikation.
Für wen passt das?
Zielgruppe und Kontext
- Rolle
- Fachanwält:in für IT-Recht, externe DSB, Inhouse-Privacy-Lead bei Konzernen mit US-Cloud-Anbindung, Legal-Ops
- Seniorität
- Fortgeschritten — die TIA-Bewertung verlangt Verständnis der EDPB-Empfehlung 01/2020, FISA 702, CLOUD Act, Schrems II sowie der Dynamik des EU-US Data Privacy Framework (DPF 2023)
- Kanzleigröße
- SMB bis BigLaw, Inhouse ab Konzerngröße mit US-Cloud-Footprint
- Spezifische Kontexte
- Erstbewertung eines US-SaaS (AWS, Azure, GCP, OpenAI, Anthropic) für Mandanten-Einsatz; jährliche TIA-Re-Evaluation nach DPF-Status-Änderungen; Migrationsentscheidung EU vs. US-Tenant; Post-Schrems-III-Szenarien
Die Situation in der Kanzlei
So bringen Sie Tempo und Sorgfalt zusammen
Ein Mandant plant die Nutzung eines US-basierten SaaS-CRM mit globaler Nutzer-Basis und EU-US-Tenant, betrieben von einer US-Mutterkonzern-Gesellschaft. Der Mandant hat den SCC-Modul-2-Vertrag des Anbieters gegengezeichnet und fragt die IDS-Kanzlei nach einer „kurzen Bestätigung“, dass der Transfer Schrems-II-konform ist. Das ist die Gefahrenzone des UCs: Das SCC allein reicht nicht. Die TIA nach EDPB-Empfehlung 01/2020 verlangt eine Bewertung des Zielland-Rechts (USA: CLOUD Act 2018, FISA 702, Executive Order 12333), der Maßnahmen des Importeurs (Verschlüsselung, Pseudonymisierung, Key-Management), der tatsächlichen Zugriffsszenarien (Warrants, Subpoenas, National Security Letters) und der Folgenabschätzung für die Betroffenen. Die EU-US-DPF-Zertifizierung (2023 in Kraft) mildert den DSGVO-Teil, nicht den § 43e-Abs.-4-BRAO-Teil (vergleichbarer Geheimnisschutz). Die TIA ist juristisch anspruchsvoll und wird durch KI im Strukturierungs- und Recherche-Teil unterstützt, nicht durch KI ersetzt (neuartige rechtliche Wertung).
Was Sie davon haben
Zeit, Wert, Vertraulichkeit
Zeitersparnis
20–30 %
ca. 2–4 h pro TIA bei 10–16 h Gesamtaufwand einer Standard-TIA
Externe Kosten heute
€ 4.000–15.000
TIA durch externen IT-Recht-Fachanwalt; Inhouse: 10–16 h Privacy-Lead
Bußgeld-Risiko
bis € 20 Mio
Art. 83 Abs. 5 lit. c DSGVO bei fehlerhafter TIA, oder 4 % Umsatz
Studien-Basis
STD-0011
Frontier-Effekt nach BCG/Harvard, konservativ angesetzt
So gehen Sie vor
In 5 Schritten zum Antrag
§ 43e-Abs.-4-BRAO-Parallelität (zwingend). IDS-Kanzlei prüft: Nutzt sie selbst den US-Cloud-Dienst, den der Mandant nutzt? Dann ist die Kanzlei ihr eigener erster TIA-Fall (UC-V-IDS-020). Ohne eigene TIA verliert die Mandantenberatung Glaubwürdigkeit.
Mensch
Meta-Ironie
Mandatskontext erfassen: Welcher SaaS? Welches Zielland? Welche Datenkategorien (Art.-9? Beschäftigtendaten? Geschäftsgeheimnisse)? Welcher Betroffenenkreis? Welcher SCC-Modul (2/3/4) im bestehenden Vertrag? Mandantenzustimmung KI-Einsatz.
Mensch
Mandatsrecht
Pseudonymisierung mit anymize.ai oder Alternative: Mandantenname, Vendor-Name, Subprozessor-Namen, konkrete Datenflüsse → Platzhalter. Schlüssel lokal.
Mensch + Tool
§ 43a Abs. 2 BRAO, § 203 StGB
Pflicht-Spot-Check vor dem KI-Aufruf. Besonders: US-IP-Adressen als Quasi-Identifier, spezifische Server-Regionen.
Mensch
§ 203 StGB · Spot-Check-Pflicht
Zielland-Profil ermitteln: Für USA — CLOUD Act, FISA 702, EO 12333, EU-US DPF-Status (Stand-Datum); für UK — UK GDPR, UK Adequacy Decision, Investigatory Powers Act; für Schweiz — DSG 2023, Angemessenheitsbeschluss. Für andere Drittländer: eigene Recherche.
Mensch + KI
EDPB-Empfehlung 01/2020
KI-gestützte TIA-Strukturierung mit Prompt aus Punkt 8: die 6 Elemente der EDPB-Empfehlung 01/2020 (Description of the transfer, Transfer tool, Assessment of effectiveness, Supplementary measures, Procedural steps, Re-evaluation).
KI
Produktivität (STD-0011)
Re-Identifikation: Platzhalter zurückersetzen.
Mensch + Tool
Korrektheit
Citation-Check (Pflicht, verstärkt): EDPB-Empfehlung 01/2020-Rn, Schrems-II-EuGH-Rn, CLOUD-Act-Sections (18 U.S.C. § 2713), FISA-702-Provisions, EU-US-DPF-Text (Adequacy Decision 10.07.2023), dataprivacyframework.gov Liste prüfen. Halluzinationen = Roter Stopp.
Mensch
§ 43a Abs. 3 BRAO
Juristische Schlüssel-Wertung: „Ist unter Abwägung der Zusatzmaßnahmen ein dem EWR wesensgleiches Schutzniveau erreicht?“ — Antwort muss anwaltlich sein, nicht KI-generiert.
Mensch (FA IT-Recht)
Kernanwaltliche Wertung, Art. 44 DSGVO
TIA-Freigabe, Mandanten-Empfehlung (Transfer zulässig / mit Auflagen / unzulässig); bei Unzulässigkeit: Alternativen (EU-native Anbieter, On-Premise). Halbjährliche Re-Evaluation einplanen.
Mensch
Art. 44 DSGVO, Art. 24 DSGVO Rechenschaft
Womit Sie arbeiten
So setzen Sie anymize konkret ein
Pseudonymisierung
- anymize ersetzt Mandanten-Klarnamen, Adressen, Aktenzeichen und Vendor-Bezeichnungen durch Platzhalter — bevor der Sachverhalt zur KI geht.
KI-TIA-Strukturierung
- GPT, Claude oder Gemini in anymize — Modellauswahl je nach Aufgabe
Citation-Check (Primärquellen)
- EDPB-Website (edpb.europa.eu)
- EUR-Lex für EU-US-DPF-Beschluss
- US-Congress für CLOUD Act
- EuGH-Datenbank für Schrems II
- dataprivacyframework.gov für DPF-Liste
Daten-Input
Mandanten-Systemarchitektur, SCC-Vertragstext, Anbieter-Transparency-Reports, DPF-Zertifikats-Status, ggf. Vendor-DPA. Klassifikation: Klasse A.
Output-Kontrolle
Citation-Check (Pflicht, verstärkt), EDPB-Empfehlung 01/2020 Sechs-Elemente-Vollständigkeit, § 43e-Abs.-4-Parallelprüfung bei Anwaltsmandats-Datenflüssen, Konsistenz mit bestehendem ROPA (UC-V-IDS-003).
Freigabeprozess
Bei Art.-9-Daten + US-Transfer oder bei § 43e-Abs.-4-Bezug (Anwalts-Tools): Fachanwalt-Zweitsicht zwingend. Test-Protokoll Stand 2026-04-25: draft_unverified, Verifikation in M4.
Die KI-Anweisung
Prompt zum Kopieren
So nutzen Sie diesen Prompt:
1. Mandanten-Sachverhalt in anymize einfügen — die Anonymisierung läuft automatisch.
2. Diesen Prompt kopieren und an Ihren Sachverhalt anhängen.
3. In anymize unter „Tools → Reasoning“ auf „Max“ stellen, dann KI-Aufruf starten.
# Rolle
Du bist Fachanwält:in IT-Recht mit CIPP/E-Qualifikation und Schrems-II-Praxis.
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.
# Aufgabe
Strukturiere für den vorliegenden Sachverhalt eine vollständige Transfer Impact
Assessment (TIA) nach den sechs Elementen der EDPB-Empfehlung 01/2020.
Du sollst kennen und anwenden:
- Art. 44, 45, 46, 47, 49 DSGVO
- SCC (Durchführungsbeschluss 2021/914) Module 2–4
- EDPB-Empfehlung 01/2020 zu Zusatzmaßnahmen (Version 2.0, 18.06.2021)
- EuGH C-311/18 (Schrems II) — Kernaussagen zu FISA 702 und EO 12333
- CLOUD Act 2018 (18 U.S.C. § 2713)
- EU-US DPF (C(2023)4745) und dataprivacyframework.gov-Liste
- § 43e Abs. 4 BRAO (vergleichbarer Geheimnisschutz bei Anwaltsmandaten)
Zitiere Rn-Nummern und Aktenzeichen nur bei vertretbarer Sicherheit; markiere
unsichere Zitate ausdrücklich mit [VERIF-PFLICHT].
# Inhalt — sechs Elemente der TIA
Element 1 — Transfer-Beschreibung
Wer (Exporter/Importer), was (Datenkategorien), warum (Zweck), wie (Systemarchitektur),
wohin (Zielland + Sub-Regionen), welcher SCC-Modul.
Element 2 — Transfer-Instrument
Welches Art.-46-Instrument (SCC / Angemessenheitsbeschluss / BCR / Kodex)?
Bei USA + DPF-Zertifizierung: Kombination mit SCC als Backup?
Element 3 — Effektivitäts-Assessment des Zielland-Rechts
Rechtslage des Ziellands: öffentliche Zugriffs-/Überwachungsnormen, justizieller
Rechtsschutz für Nicht-Einheimische, tatsächliche Zugriffsstatistiken (Transparency-
Reports). Für USA: CLOUD Act, FISA 702, EO 12333, Judicial Redress Act, DPRC (Data
Protection Review Court — per EO 14086).
Element 4 — Zusatzmaßnahmen (technisch / vertraglich / organisatorisch)
Technisch: Verschlüsselung (at-rest, in-transit, in-use), Pseudonymisierung, Key-Management
(Controller-seitig!), Split-Processing, Tokenization, Confidential Computing.
Vertraglich: Warrant Canary, Notification-Klauseln, Access-Log-Auditing, Challenge-Pflichten.
Organisatorisch: Datenminimierung, Zugriffsrollen, Dokumentation.
Element 5 — Verfahrensschritte
Welche Absicherungen werden umgesetzt? Wer verantwortet? Wann ist die TIA re-zuevaluieren?
Element 6 — Re-Evaluation-Trigger
DPF-Status-Änderungen, Schrems-III-Entscheidungen, neue EDPB-Leitlinien,
Behörden-Bescheide, signifikante Änderungen bei Vendor (Mutterkonzern-Wechsel,
Subprozessor-Kette).
Abschluss: Gesamtwertung — Transfer zulässig / zulässig mit Auflagen / unzulässig.
Bei Anwaltsmandat-Datenflüssen zusätzlich §43e-Abs.-4-Parallelprüfung.
# Format (F)
Strukturierte Markdown-Tabellen pro Element. Konkrete Section-Verweise (CLOUD Act
§ 2713, FISA 702 50 U.S.C. § 1881a). Citation-Verifikations-Liste am Ende.
# Target Audience (T)
Output wird von IDS-Fachanwalt + ggf. Compliance-Lead des Mandanten gelesen. Bei
Anwaltsmandat-Kontext auch Managing Partner der Mandanten-Kanzlei.So sieht der Sachverhalt aus
Pseudonymisierter Eingabetext
Mandant: [[Unternehmensname-219e7803]], Branche Maschinenbau, 900 Mitarbeitende,
EU-Hauptsitz [[Adresse-219e7803]].
Vorhaben: Einführung eines US-CRM-Systems von [[Unternehmensname-a3f9b2]]
(SaaS), Mutterkonzern [[Unternehmensname-a3f9b2-Inc]] mit US-Sitz
[[Adresse-7c4d2e]].
Tenant: EU-Region (Frankfurt).
SCC: Modul 2 gegengezeichnet.
DPF-Zertifizierung des Vendors: ja, Eintrag dataprivacyframework.gov bestätigt
am [[Datum-5b2c1f]].
Daten: B2B-Kundenstammdaten, Kontaktverlauf, Deal-Stammdaten,
Interaktions-Analytics. Art.-9-Daten: keine planmäßig.
Verschlüsselung: at-rest in der EU-Region; Keys im Vendor-KMS
(Option Customer-Managed Keys verfügbar).
Sub-Prozessoren: [[Unternehmensname-9c1ba8]] (US-Analytics-Dienst),
[[Unternehmensname-3e8fa1]] (EU-Support-Dienst).So liefert anymize zurück
Der Antrags-Entwurf
## Element 1 — Transfer-Beschreibung
- **Exporter:** [[Unternehmensname-219e7803]] (EU-Verantwortlicher)
- **Importer:** [[Unternehmensname-a3f9b2-Inc]] (US-Mutterkonzern), Tenant in der EU-Region Frankfurt
- **Daten:** B2B-Kontakt-, Deal-, Interaktionsdaten
- **Zweck:** CRM-Betrieb, Sales-Operations
- **Rechtsrahmen:** SCC-Modul 2 unterzeichnet + DPF-Zertifizierung des Importers bestätigt
## Element 2 — Transfer-Instrument
Primär: Art. 45 DSGVO i.V.m. EU-US-DPF (C(2023)4745) — anwendbar, solange der Vendor
DPF-zertifiziert bleibt. Backup: Art. 46 Abs. 2 lit. c DSGVO (SCC Modul 2).
**Kritischer Hinweis:** Die DPF-Zertifizierung kann Vendor-seitig widerrufen oder
ausgesetzt werden. In diesem Fall ist die Backup-SCC das einzige Instrument — die TIA
muss unter dem SCC-Szenario stabil tragen.
## Element 3 — Effektivitäts-Assessment USA
- **CLOUD Act (18 U.S.C. § 2713):** US-Behörden können Daten bei
[[Unternehmensname-a3f9b2-Inc]] weltweit anfordern, auch aus der EU-Region.
Mutterkonzern-Weisung an die EU-Tochter ist möglich.
- **FISA 702 (50 U.S.C. § 1881a):** [[Unternehmensname-a3f9b2-Inc]] als US Electronic
Communications Service Provider unterfällt potenziell FISA-702-Directives —
Schrems-II-Kern-Unvereinbarkeit.
- **EO 12333:** Nachrichtendienstlicher Zugriff außerhalb US-Grenzen, Kontrolldefizit.
- **EO 14086 (07.10.2022) + DPRC:** Teilweise Redress-Verbesserungen, Grundlage des DPF.
Bewertung EuGH steht aus (potenzielles Schrems III).
**Bewertung:** Unter SCC allein wäre das Schutzniveau nicht wesensgleich EWR. Unter
DPF + EO 14086 teilweise adressiert. Im Backup-Szenario ohne DPF sind Zusatzmaßnahmen
zwingend.
## Element 4 — Zusatzmaßnahmen
1. **Customer-Managed Keys (CMK)** im Vendor-KMS aktivieren — verhindert
Plaintext-Zugriff des Vendors ohne Controller-Key.
2. **Pseudonymisierung** der Kontaktpersonen-Klarnamen in optionale Beziehungsfelder
(Fokus auf Unternehmens- statt Individualebene).
3. **Sub-Prozessor-Audit:** [[Unternehmensname-9c1ba8]] (US-Analytics) —
Alternativenprüfung EU-Analytics einleiten.
4. **Warrant Canary** im Master-Service-Agreement als Zusatzklausel.
5. **Access-Log-Auditing** durch [[Unternehmensname-219e7803]] periodisch.
6. **Datenminimierung:** Interaktions-Analytics auf notwendige Mindest-Tiefe reduzieren.
## Element 5 — Verfahrensschritte
(a) CMK-Aktivierung vor Go-Live;
(b) Sub-Prozessor-Review [[Unternehmensname-9c1ba8]] in Q3/2026;
(c) Interne ROPA-Aktualisierung;
(d) Datenschutz-Hinweis im Kontaktflow;
(e) halbjährliche DPF-Status-Abfrage.
## Element 6 — Re-Evaluation-Trigger
- DPF-Zertifikatsänderung beim Vendor
- Schrems-III-Urteil (falls ergangen)
- Neue EDPB-Guideline zum DPF
- Vendor-Mutterkonzern-Wechsel
- Relevante Änderungen bei [[Unternehmensname-9c1ba8]]
Nächste planmäßige Re-Evaluation: **2026-10-24**.
## Gesamtwertung
**Zulässig mit Auflagen:** CMK, Sub-Prozessor-Review, halbjährliche Re-Evaluation.
DPF-Abhängigkeit transparent dokumentiert; bei DPF-Wegfall Rückfall auf SCC + verstärkte
Zusatzmaßnahmen (ggf. Exit-Plan).
## §43e Abs. 4 BRAO-Parallelprüfung
Nicht einschlägig — [MANDANT] ist kein Anwaltsmandant; keine Anwalts-Mandatsdaten
im CRM. Für Anwaltsmandat-Konstellationen siehe UC-V-IDS-020.
## Citation-Verifikations-Liste
1. Art. 45, 46 DSGVO — EUR-Lex VO 2016/679.
2. SCC 2021/914 — EUR-Lex.
3. EDPB-Empfehlung 01/2020 v2.0 (18.06.2021) — edpb.europa.eu.
4. EuGH C-311/18 (Schrems II, 16.07.2020) — curia.europa.eu.
5. CLOUD Act — US Public Law 115-141, 18 U.S.C. § 2713 — congress.gov.
6. FISA 702 — 50 U.S.C. § 1881a.
7. EU-US DPF C(2023)4745 — EUR-Lex, 10.07.2023.
8. EO 14086 (07.10.2022) — US Federal Register.
9. § 43e Abs. 4 BRAO — SRC-0068.
Pflicht-Primärverifikation aller neun.Was das Berufsrecht verlangt
Pflichten — und wie anymize sie abdeckt
§ 43a Abs. 2 BRAO (SRC-0067) — Verschwiegenheit
TIA-Arbeit involviert Mandanten-Systemarchitektur, Vendor-Vertragskonditionen, interne Datenflüsse — alle § 203-relevant. Upload ohne Pseudonymisierung unzulässig.
§ 43a Abs. 3 BRAO — kein unwahres Tatsachenvorbringen
Halluzinierte FISA-702-Provisions („Section 702a gibt es nicht“) oder CLOUD-Act-Section-Nummern sind ein schwerer Fehler; die TIA wandert in Audit-Akten und kann in LfDI-Prüfverfahren herangezogen werden.
§ 43e Abs. 1–4 BRAO (SRC-0068) — Dienstleister-Inanspruchnahme
Besonders Abs. 4 zentral. Für Anwaltsmandat-Datenflüsse über US-Cloud-Anbieter ist „vergleichbarer Geheimnisschutz“ die zentrale Frage. DPF hilft datenschutzrechtlich, nicht berufsrechtlich. UC-M-021 §11 als Vorbild. Gasteyer AnwBl 2024, 270 (SRC-0091) ausdrücklich.
§ 203 Abs. 1 Nr. 3 und Abs. 3 S. 2 StGB (SRC-0069)
Bei Anwaltsmandat-Daten: US-Anbieter als „mitwirkende Person“ nur mit Textform-Verpflichtung — ergänzt durch TIA-Zusatzmaßnahmen (CMK, Pseudonymisierung) zur Reduktion der tatsächlichen Offenbarung.
AG Köln 312 F 130/25 (02.07.2025, SRC-0074)
Halluzinierte Zitate — hier besonders gefährlich, weil TIAs tendenziell durch mehrere Jurisdiktionen gehen. Primärverifikation jeder Citation gegen die EUR-Lex- bzw. EDPB-Originalquelle ist Pflicht.
BRAK-Leitfaden KI Dez 2024 (SRC-0063)
Mandantentransparenz; bei TIA mit CLOUD-Act-Bezug ist Kanzlei-KI-Einsatz sensitive Information — Zustimmung nach DAV SN 32/25 (SRC-0064) empfohlen.
EDPB Opinion 28/2024 (SRC-0078)
Direkt einschlägig, weil LLM-Anbieter selbst Subprozessoren sein können, die eigene TIAs auslösen.
EDPB-Empfehlung 01/2020 (v2.0, 18.06.2021)
Primärquelle; nicht mit EDPB-Guidelines-Nummern verwechseln. Die sechs Elemente sind Pflicht-Struktur, nicht Optional-Liste.
Schrems-III-Risiko
Die TIA muss so strukturiert sein, dass ein potenzieller Schrems-III-Befund nicht die gesamte Arbeit entwertet. Backup-Szenarien dokumentieren. NOYB hat seit 14.07.2023 mehrere konkrete Beschwerden gegen das DPF eingereicht; EuGH C-203/22 (La Quadrature du Net II, 30.04.2024) hat die Redress-Architektur des EO 14086 + DPRC kritisch beleuchtet, ohne den Beschluss direkt zu kippen. Konkretes Re-Evaluations-Datum spätestens 2026-10-24.
Besonders sensible Mandate
Drittlandtransfer-TIAs sind in der Regel keine sensiblen Einzelfall-Mandate. Wenn die TIA jedoch Verarbeitungen mit strafrechtlichem Ermittlungsbezug abdeckt, lohnt sich ein extra-sorgfältiger Blick auf die Anonymisierungs-Vorschau vor dem KI-Aufruf — und gegebenenfalls eine kollegiale Zweitsichtung.
Datenschutz und Vertraulichkeit
So funktioniert das mit anymize
Die juristisch entscheidende Frage bei Drittlandtransfer-Beratung: Sieht der KI-Anbieter Mandanten-Klarnamen oder Vendor-Identitäten? Antwort mit anymize: nein. Der Vendor-Name, der Mandanten-Name, die Vertragsdaten und die Sub-Prozessor-Bezeichnungen werden vor dem KI-Aufruf durch Platzhalter ersetzt; nach der KI-Antwort identifiziert anymize zurück. Verarbeitung in deutschen Rechenzentren, AVV nach Art. 28 DSGVO und § 43e BRAO ist Teil des Standardvertrags, Originaldokumente werden nicht gespeichert. Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Mandatsvertrag); bei Art.-9-Datenflüssen zusätzlich Art. 9 Abs. 2 lit. f i.V.m. § 43a BRAO. Den TIA-Workflow und die externe Zweitsichtung organisieren Sie wie bisher — anymize ist der Anonymisierungs-Layer dazwischen. Zur § 203 StGB-Schwellen-Frage: Ob NER-basierte Pseudonymisierung durch externen SaaS die § 203-Offenbarungsschwelle gegenüber dem KI-Anbieter vollständig bricht, ist dogmatisch nicht abschließend geklärt — anymize hält die Klarnamen aus dem KI-Kontext heraus, was den Tatbestand strukturell entlastet.
Was anymize konkret leistet
- Erkennt Mandanten-Klarnamen, Vendor-Bezeichnungen, Adressen, Sub-Prozessoren mit über 95 % Genauigkeit.
- Ersetzt sie durch semantische Platzhalter, bevor der Sachverhalt an GPT, Claude oder Gemini geht.
- Re-identifiziert die KI-Antwort automatisch — Sie sehen die TIA mit den richtigen Vendor-Namen zurück.
- Verarbeitung in deutschen Rechenzentren (Hetzner). AVV nach Art. 28 DSGVO mit § 43e BRAO-Erklärung im Standardvertrag.
- Originaldokumente werden nicht gespeichert — nur die Zuordnung Platzhalter ↔ Klarname, mit Aufbewahrungsfrist nach Ihrer Wahl.
Sicherheitscheck vor der Einreichung
Was anymize liefert — was Sie souverän entscheiden
Mindest-Checkpoint 1 — vor Pseudonymisierungs-Transfer
- Spot-Check auf Mandantennamen, Vendor-Namen, Sub-Prozessor-Namen, Server-Regionen als Quasi-Identifier.
- Bei Art.-9-Datenflüssen im TIA-Scope: Anonymisierungs-Vorschau besonders sorgfältig durchgehen.
Mindest-Checkpoint 2 — nach KI-TIA-Draft, vor Mandantenempfehlung
- Citation-Pflichtcheck: CLOUD-Act-Sections, FISA-Provisions, EDPB-Empfehlungs-Rn, Schrems-II-EuGH-Rn, DPF-Beschlussnummer.
- Alle sechs EDPB-Elemente strukturell abgebildet?
- Zusatzmaßnahmen auf technische Umsetzbarkeit beim Mandanten geprüft (nicht nur generische Liste)?
- DPF-Status Vendor am Prüfdatum dokumentiert (dataprivacyframework.gov)?
- Backup-SCC-Szenario durchgerechnet (falls DPF wegfällt)?
- § 43e-Abs.-4-Parallelprüfung bei Anwaltsmandat-Datenflüssen durchgeführt?
Datums-Disziplin EU AI Act
- Art. 4 (KI-Kompetenz): seit 02.02.2025 — Kanzlei selbst.
- Art. 50 (Transparenz): ab 02.08.2026 — bei GPAI-Vendor-Integration im TIA-Scope (z. B. CRM mit eingebettetem LLM).
- GPAI: ab 02.08.2025 — für GPAI-Vendor-Drittlandtransfer relevant.
Typische Fehlermuster — und wie anymize gegensteuert
- →Halluzinierte FISA-Provisions (Section 702a, b existieren nicht; 50 U.S.C. § 1881a ist korrekt).
- →„SCC reicht“ — Verharmlosung; Schrems II verlangt EDPB-Empfehlung 01/2020-Prüfung.
- →DPF-Schutz auf § 43e BRAO erstreckt (falsch; DPF adressiert nur DSGVO).
- →Backup-SCC-Szenario vergessen.
- →CLOUD Act mit USA PATRIOT Act verwechselt.
- →Schrems II-Rn verwechselt.
Rechtsgrundlagen
Normen, Urteile, Belege
Primär — Zeit/Kosten-Studien
- Dell'Acqua et al. 2023 (BCG/Harvard).
Primär — DSGVO/Berufsrecht (T1)
- BRAK-Leitfaden KI Dez 2024.
- DAV SN 32/25.
- § 43a BRAO.
- § 43e BRAO (insbesondere Abs. 4).
- § 203 StGB.
- DSGVO (Art. 44–49 zentral).
- EDPB Opinion 28/2024.
Sekundär
- Gasteyer AnwBl 2024, 270.
- Bitkom-Mustervertrag § 203 StGB (2018).
Externe Primärquellen (Drittlandtransfer-spezifisch)
- EDPB-Empfehlung 01/2020 v2.0 (edpb.europa.eu).
- EuGH C-311/18 (Schrems II, 16.07.2020).
- CLOUD Act — US Public Law 115-141, Division V.
- FISA Section 702 — 50 U.S.C. § 1881a.
- EU-US DPF C(2023)4745.
- EO 14086 (07.10.2022).
Stand: · Nächste Überprüfung:
Hinweis zur Nutzung
Zur Orientierung — nicht als Mandatsersatz
Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.
KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.
Jetzt starten.
14 Tage kostenlos testen.
Alle Modelle. Alle Features. Keine Kreditkarte.
Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.
Dein KI-Arbeitsplatz wartet.