IT- / Datenschutzrecht
§ 43e-BRAO-Prüfung anymize.ai
Sie beraten Mandanten zur § 43e-BRAO-Konformität von KI-SaaS-Dienstleistern — und nutzen anymize selbst genau dafür. Diese Anleitung führt die Selbstreferenz-Prüfung systematisch durch: Pflichtinhalte § 43e BRAO, AVV nach Art. 28 DSGVO, Belehrung nach § 203 StGB, Mandantenzustimmung Abs. 5.
Schwierigkeit: Fortgeschritten · Datenklasse: Mandantendaten · Letztes Review:
Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.
Anwendungsbereich
Worum geht es hier?
IT-/Datenschutzrechts-Kanzleien beraten Mandanten zur § 43e-BRAO-Konformität von KI-SaaS — und stehen vor derselben Frage für sich selbst: Wenn wir anymize einsetzen, müssen wir die § 43e-Anforderungen erfüllen, die wir bei Mandanten prüfen. Diese Selbstreferenz macht den UC zur Meta-Übung: Sie prüfen anymize systematisch und dokumentieren das Ergebnis — als interne Compliance-Akte und gleichzeitig als Vorlage für Mandanten-Beratungen.
Für wen passt das?
Zielgruppe und Kontext
- Rolle
- Fachanwält:in für IT-Recht; Datenschutzbeauftragte:r in der Kanzlei; Compliance-Verantwortliche:r für KI-Einsatz; Kanzlei-Geschäftsführung.
- Seniorität
- Berufserfahren bis Spezialist:in — § 43e BRAO ist berufsrechtliche Kernpflicht, die § 203 StGB-Schwelle und Art. 28 DSGVO-Anforderungen überlagert.
- Kanzleigröße
- Einzelkanzlei bis Großkanzlei. Jede Kanzlei, die anymize einsetzt, muss diese Prüfung dokumentieren.
- Spezifische Kontexte
- Kanzlei-interner Onboarding-Prozess für anymize. Periodische Re-Evaluation der § 43e-Compliance. Mandanten-Beratung zu KI-SaaS unter Verwendung von anymize als Referenz-Fall.
Die Situation in der Kanzlei
So bringen Sie Tempo und Sorgfalt zusammen
§ 43e BRAO ist die zentrale berufsrechtliche Norm für jede IT-Auslagerung in der Kanzlei. Pflichtinhalte: schriftliche Vereinbarung, Belehrung der Mitarbeitenden über § 203 StGB, Mandantenzustimmung bei mandatsspezifischer Nutzung (Abs. 5). Wer anymize einsetzt, muss diese Anforderungen prüfen und dokumentieren — nicht nur einmal, sondern fortlaufend. Wer das manuell macht, sitzt mehrere Stunden an Vertragsprüfung, TOM-Bewertung und Belehrungs-Drafting. Mit anymize laufen Vertrags-Auszüge und TOM-Beschreibungen anonymisiert durch das KI-Modell — und Sie haben einen Compliance-Bericht in Minuten statt Stunden.
Was Sie davon haben
Zeit, Wert, Vertraulichkeit
Zeit pro Prüfung
~90 Min
Manuelle Vollprüfung dauert 3–4 Stunden. Frontier-KI strukturiert die Pflichtinhalte-Matrix und gleicht gegen § 43e BRAO ab — anwaltliche Würdigung obendrauf.
Mehrwert intern + Mandanten-Beratung
doppelt
Die Prüfung dient der eigenen Compliance UND als Vorlage für Mandanten-Beratung zu KI-SaaS-Anbietern.
Vertraulichkeit
strukturell
Auch bei der Selbstprüfung: Mandantenname und Kanzlei-Identität verlassen das Haus nicht — anymize anonymisiert auch sich selbst.
Dokumentations-Tiefe
Audit-fest
Strukturierter Compliance-Bericht mit allen Pflichtinhalten — für Aufsichtsbehörde, Mandanten-Anfragen, BRAK-Prüfung.
So gehen Sie vor
In 5 Schritten zum Antrag
Vertragswerk und TOM-Dokumentation von anymize bereitstellen. Sie übernehmen den AVV mit anymize, die TOM-Beschreibung, die Subprozessor-Liste (Hetzner als Hauptdienstleister) und die § 43e-Erklärung in den anymize-Arbeitsplatz.
Sie
Prüfungs-Grundlage zusammenstellen
anymize anonymisiert. Kanzlei-Identität, Vertretungsberechtigte, IBANs und die Kanzlei-internen Datenschutzbeauftragten werden zu Platzhaltern — die KI sieht die anymize-Vertragsdaten neutral.
anymize
§ 43a BRAO Verschwiegenheit · § 203 StGB
Frontier-KI strukturiert die § 43e-Pflichtinhalte-Matrix. Der pseudonymisierte Vertragstext geht an Ihr gewähltes Modell. Mit dem unten stehenden Prompt fragen Sie eine strukturierte Prüfung gegen § 43e Abs. 1–5 BRAO ab.
GPT / Claude / Gemini in anymize
Pflichtinhalts-Matrix in Minuten
anymize re-identifiziert. Die KI-Antwort kommt mit Platzhaltern zurück; anymize setzt automatisch die Originaldaten wieder ein. Sie erhalten einen Compliance-Bericht, den Sie anwaltlich würdigen: Pflichtinhalte vollständig? Belehrungs-Templates ausreichend? Mandantenzustimmungs-Workflow geklärt?
anymize + Sie
Bidirektionale Anonymisierung · anwaltliche Würdigung
Compliance-Akte abschließen und periodische Re-Evaluation planen. Bericht in interne Compliance-Akte ablegen, Belehrungs-Templates an Mitarbeitende verteilen, Mandantenzustimmungs-Workflow im Kanzlei-CRM verankern, Re-Evaluation-Datum (üblich: jährlich oder bei Vertragsänderung) eintragen.
Sie
Audit-Fähigkeit · § 43e Abs. 1 Schriftform-Pflicht
Womit Sie arbeiten
So setzen Sie anymize konkret ein
Was anymize tut
- Erkennt 40+ Kategorien personenbezogener Daten — auch bei der Selbstprüfung: Kanzlei-Identität, Vertretungsberechtigte, IBANs.
- Dreistufige Prüfung: Algorithmische Analyse plus zwei spezialisierte KI-Prüfungen.
- Bidirektionale Anonymisierung: Platzhalter werden eingesetzt, das Frontier-Modell antwortet mit Kontext, anymize re-identifiziert.
- Daten in deutschen Rechenzentren (Hetzner). Originaldokumente werden nicht gespeichert.
Was Sie als Anwält:in tun
- Vertragswerk und TOM-Dokumentation zusammenstellen — bei anymize über das Kanzlei-Onboarding-Paket verfügbar.
- Pflichtinhalte-Matrix gegen § 43e BRAO Abs. 1–5 prüfen — anwaltliche Bewertung der Vollständigkeit und Detaillierungsgrad.
- Belehrungs-Templates für Mitarbeitende drucken oder digital ausrollen, schriftliche Bestätigung einholen.
- Mandantenzustimmungs-Workflow im Kanzlei-CRM verankern (mandatsspezifische Nutzung Abs. 5).
Daten-Input
AVV mit anymize, TOM-Dokumentation, Subprozessor-Liste (Hetzner), § 43e-Erklärung, Kanzlei-Compliance-Richtlinie (optional).
Output-Kontrolle
Pseudonymisierter Text geht an die KI. Re-identifizierte Pflichtinhalte-Matrix kommt zurück. anymize selbst trifft keine inhaltlichen Aussagen — die anwaltliche Würdigung machen Sie.
Freigabeprozess
Sie behalten jederzeit die Hoheit: Sichtung der Anonymisierung, anwaltliche Bewertung der § 43e-Compliance, Belehrungs-Roll-out, Mandantenzustimmungs-Workflow — alles im üblichen Kanzlei-Workflow.
Die KI-Anweisung
Prompt zum Kopieren
So nutzen Sie diesen Prompt:
1. AVV und TOM-Dokumentation in anymize einfügen — die Anonymisierung läuft automatisch.
2. Diesen Prompt kopieren und an den Vertragstext anhängen.
3. In anymize unter „Tools → Reasoning“ auf „Thinking-Modus“ stellen, dann KI-Aufruf starten — der Output kommt re-identifiziert zurück.
# Rolle
Du bist Compliance-Analyse-Assistenz für eine IT-/Datenschutzrechts-Kanzlei.
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.
# Aufgabe
Prüfe den vorgelegten AVV und die TOM-Dokumentation des KI-SaaS-Anbieters
systematisch gegen die Pflichtinhalte des § 43e BRAO Abs. 1–5 sowie Art. 28
DSGVO. Liefere eine strukturierte Compliance-Matrix.
Die anwaltliche Wertung — Compliance-Vollständigkeit, ggf. Verhandlungs-Bedarf
gegenüber dem Anbieter — ist NICHT deine Aufgabe.
# Inhalt
1. § 43e Abs. 1 BRAO — Schriftform der Vereinbarung
Tabelle mit Spalten: Pflichtinhalt | Im AVV enthalten? | Klausel-Nr.
- Gegenstand der Auslagerung
- Art und Umfang der Datenverarbeitung
- Mitwirkungs- und Kontrollpflichten
2. § 43e Abs. 2 BRAO — Belehrung der Mitarbeitenden
- Belehrungs-Template vorhanden?
- Belehrung über § 203 StGB explizit?
- Schriftliche Bestätigung?
3. § 43e Abs. 3 BRAO — Sicherstellung von Vertraulichkeit
- Technisch-organisatorische Maßnahmen
- Zutritts-/Zugriffs-/Zugangskontrolle
- Verschlüsselung in Transit und at Rest
4. § 43e Abs. 4 BRAO — Drittlandtransfer
- Verarbeitung ausschließlich in DE/EU/EWR?
- SCC bei Drittland?
- § 43e Abs. 4 Satz 2 BRAO — vergleichbarer Geheimnisschutz?
5. § 43e Abs. 5 BRAO — Mandantenzustimmung bei mandatsspezifischer Nutzung
- Wann ist Mandantenzustimmung erforderlich?
- Form (Schriftform empfohlen)
- Widerruflichkeit
6. Art. 28 DSGVO Pflichtinhalte (Querverweis)
Tabelle: AVV-Pflichtinhalt Art. 28 Abs. 3 lit. a-h | Erfüllt?
7. Compliance-Stufen
Markiere jede geprüfte Anforderung mit:
- [ERFUELLT]
- [TEILWEISE — Handlungsbedarf]
- [NICHT ERFUELLT — Klärung mit Anbieter]
- [ANWALT-WERTUNG]
# Format
Markdown. Tabellen für Pflichtinhalte. Volle Sätze für Würdigungs-Stellen.
# Verbote
KEINE Empfehlung zur Nutzung / Nichtnutzung des Anbieters.
KEINE Aussage zu vergleichbaren Anbietern.
KEINE Spekulation zu Vertragsanpassungen.So sieht der Sachverhalt aus
Pseudonymisierter Eingabetext
Auftragnehmer: anymize GmbH
Auftraggeber: [[Unternehmensname-9a14]] (Rechtsanwaltskanzlei),
vertreten durch [[Vorname-9a14]] [[Nachname-9a14]].
Auszug AVV § 1 Gegenstand:
Bidirektionale Pseudonymisierung von Mandantendaten vor und nach
KI-Aufrufen an Frontier-Modelle. Verarbeitung in deutschen
Rechenzentren (Hetzner Online GmbH).
Auszug AVV § 4 Subprozessoren:
Hetzner Online GmbH (DE) — Infrastruktur und Speicherung.
Frontier-KI-Anbieter (GPT, Claude, Gemini) — die KI-Modelle sehen
ausschließlich anonymisierte Texte; sind technisch keine
Auftragsverarbeiter, sondern Empfänger pseudonymisierter Daten.
Auszug AVV § 7 TOMs:
Verschlüsselung in Transit (TLS 1.3) und at Rest (AES-256).
Zutritts-/Zugangskontrolle nach BSI-Grundschutz.
Mandanten-IDs werden gehasht; Originaldokumente werden nicht
gespeichert.
Auszug AVV § 9 Drittlandtransfer:
Verarbeitung ausschließlich in deutschen Rechenzentren.
Frontier-KI-Aufrufe gehen an Endpunkte in der EU.
Auszug AVV § 12 § 43e BRAO-Erklärung:
anymize bestätigt, die Mitarbeitenden über § 203 StGB belehrt zu
haben. Belehrungs-Template wird auf Anfrage zur Verfügung gestellt.So liefert anymize zurück
Der Antrags-Entwurf
# § 43e-BRAO-Compliance-Matrix — anymize.ai
## I. § 43e Abs. 1 BRAO — Schriftform der Vereinbarung
| Pflichtinhalt | Im AVV | Klausel | Status |
|---|---|---|---|
| Gegenstand der Auslagerung | ja | § 1 | [ERFUELLT] |
| Art/Umfang der Datenverarbeitung | ja | § 1 + § 4 | [ERFUELLT] |
| Mitwirkungs-/Kontrollpflichten | teilweise | § 7 | [TEILWEISE] |
| Schriftform | ja | Vertragsabschluss | [ERFUELLT] |
## II. § 43e Abs. 2 BRAO — Mitarbeiter-Belehrung
| Anforderung | Status | Hinweis |
|---|---|---|
| Belehrungs-Template anymize-seitig | ja | § 12 |
| Belehrung explizit § 203 StGB | ja | aus Template |
| Schriftliche Bestätigung Mitarbeitende | [ANWALT-WERTUNG] | Template auf Anfrage anfordern, dokumentieren |
## III. § 43e Abs. 3 BRAO — Vertraulichkeits-Sicherung
| Maßnahme | Status |
|---|---|
| Verschlüsselung in Transit (TLS 1.3) | [ERFUELLT] |
| Verschlüsselung at Rest (AES-256) | [ERFUELLT] |
| Zutritts-/Zugangs-/Zugriffskontrolle | [ERFUELLT] BSI-Grundschutz |
| Mandanten-ID-Hashing | [ERFUELLT] |
| Keine Originaldokument-Speicherung | [ERFUELLT] |
## IV. § 43e Abs. 4 BRAO — Drittlandtransfer
| Aspekt | Status |
|---|---|
| Verarbeitung ausschließlich DE/EU | [ERFUELLT] |
| SCC erforderlich? | nicht erforderlich (keine Drittlandverarbeitung) |
| Frontier-KI-Endpunkte | EU-Endpunkte laut § 9 |
| Vergleichbarer Geheimnisschutz | [ERFUELLT] strukturell durch Anonymisierung |
## V. § 43e Abs. 5 BRAO — Mandantenzustimmung
| Frage | Antwort |
|---|---|
| Mandatsspezifische Nutzung? | Ja (Mandantendaten gehen durch anymize) |
| Mandantenzustimmung erforderlich? | [ANWALT-WERTUNG] |
| Form | Schriftform empfohlen |
| Im Mandatsvertrag-Template? | [ANWALT-WERTUNG: zu integrieren] |
## VI. Art. 28 DSGVO — Querverweis
| Pflichtinhalt | Erfüllt |
|---|---|
| a) Gegenstand und Dauer | ja |
| b) Art und Zweck | ja |
| c) Art der Daten | ja |
| d) Kategorien Betroffener | ja |
| e) Pflichten und Rechte des Verantwortlichen | ja |
| f) Weisungsgebundenheit | ja |
| g) Vertraulichkeit Mitarbeiter | ja |
| h) TOMs | ja |
## VII. Handlungs-Empfehlung
[ANWALT-WERTUNG: Auf Basis dieser Matrix Belehrungs-Template von anymize
anfordern, Mandantenzustimmungs-Workflow im Kanzlei-CRM integrieren,
periodische Re-Evaluation (12 Monate) im Compliance-Kalender eintragen.]Was das Berufsrecht verlangt
Pflichten — und wie anymize sie abdeckt
§ 43e Abs. 1 BRAO Schriftform
Die Vereinbarung muss zwingend schriftlich sein (Textform nach § 126b BGB reicht). anymize liefert den AVV in schriftlicher Form — keine Lücke.
§ 43e Abs. 2 BRAO Mitarbeiter-Belehrung
Die Belehrung der Mitarbeitenden über § 203 StGB ist Pflicht. anymize stellt ein Belehrungs-Template zur Verfügung — Sie verteilen es an Ihre Mitarbeitenden und dokumentieren die Bestätigung.
§ 43e Abs. 4 BRAO Drittlandtransfer
anymize verarbeitet ausschließlich in deutschen Rechenzentren (Hetzner). Frontier-KI-Aufrufe gehen an EU-Endpunkte. Damit ist die Drittlandtransfer-Problematik strukturell entlastet — anders als bei Cloud-SaaS mit US-Endpunkten.
§ 43e Abs. 5 BRAO Mandantenzustimmung
Bei mandatsspezifischer Nutzung ist die Mandantenzustimmung Pflicht. Praktischer Weg: Aufnahme einer Standard-Klausel in den Mandatsvertrag, die den KI-SaaS-Einsatz benennt und die Anonymisierung erklärt.
Selbstreferenz als Mandanten-Beratungs-Vorlage
Die Prüfung Ihrer eigenen anymize-Compliance ist gleichzeitig die Vorlage für Mandanten-Beratungen zu KI-SaaS. Dokumentieren Sie sauber — der Compliance-Bericht ist doppelt verwertbar.
Re-Evaluation periodisch
§ 43e BRAO setzt eine fortlaufende Pflicht. Periodische Re-Evaluation (üblich: jährlich oder bei Vertragsänderung des Anbieters) gehört zur Compliance-Pflege.
Datenschutz und Vertraulichkeit
So funktioniert das mit anymize
Bei der Selbstprüfung gilt die gleiche Logik wie bei jeder anderen anymize-Nutzung: Kanzlei-Identität, Vertretungsberechtigte, IBANs und kanzlei-interne Datenschutzbeauftragte werden vor dem KI-Aufruf durch Platzhalter ersetzt; nach der KI-Antwort identifiziert anymize zurück. Die anymize-Vertragsdaten selbst bleiben sichtbar, weil sie der Prüfungsgegenstand sind. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse der Kanzlei an der Compliance-Prüfung). Verarbeitung in deutschen Rechenzentren (Hetzner), AVV nach Art. 28 DSGVO und § 43e BRAO ist Teil des Standardvertrags. Diese Selbstprüfung ist gleichzeitig der Compliance-Nachweis gegenüber Aufsichtsbehörden und Mandanten.
Was anymize konkret leistet
- Erkennt Kanzlei-Identität, Vertretungsberechtigte, IBANs und Datenschutzbeauftragte mit über 95 % Genauigkeit.
- Ersetzt sie durch semantische Platzhalter, bevor die Compliance-Prüfung an GPT, Claude oder Gemini geht.
- Re-identifiziert die KI-Antwort automatisch — die Compliance-Matrix kommt mit den richtigen Klarnamen zurück.
- Verarbeitung in deutschen Rechenzentren (Hetzner). AVV nach Art. 28 DSGVO mit § 43e BRAO-Erklärung im Standardvertrag.
- Originaldokumente werden nicht gespeichert — nur die Zuordnung Platzhalter ↔ Klarname, mit Aufbewahrungsfrist nach Ihrer Wahl.
Sicherheitscheck vor der Einreichung
Was anymize liefert — was Sie souverän entscheiden
Vor dem KI-Aufruf
- AVV mit anymize vorliegend (aktuelle Fassung)?
- TOM-Dokumentation eingeholt?
- Subprozessor-Liste aktuell?
- Kanzlei-Compliance-Richtlinie als Vergleichsmaßstab?
Nach der KI-Antwort
- Pflichtinhalte-Matrix vollständig (§ 43e Abs. 1–5)?
- Art. 28 DSGVO-Querverweis erfasst?
- Compliance-Stufen korrekt zugewiesen?
- [ANWALT-WERTUNG]-Markierungen nachgeprüft?
Vor Abschluss der Compliance-Akte
- Belehrungs-Template angefordert und an Mitarbeitende verteilt?
- Mandantenzustimmungs-Workflow im Kanzlei-CRM verankert?
- Re-Evaluation-Datum im Compliance-Kalender (12 Monate)?
- Kompakter Compliance-Bericht in Akte abgelegt?
Typische Fehlermuster — und wie anymize gegensteuert
- →KI bewertet selbst die Compliance-Vollständigkeit — verboten in der Aufgabe; die Bewertung ist anwaltliche Eigenleistung.
- →KI vergleicht anymize mit anderen Anbietern — verboten; die Aufgabe ist die anymize-spezifische Prüfung.
- →KI gibt Empfehlung zur Mandantenzustimmungs-Form — der Prompt fordert nur die Strukturierung; die Form-Empfehlung treffen Sie.
- →KI verwechselt § 43e BRAO mit Art. 28 DSGVO — beide Normen überlappen, aber die berufsrechtliche Schicht (BRAO) hat eigene Pflichten (insb. § 203 StGB-Belehrung).
Rechtsgrundlagen
Normen, Urteile, Belege
Primärnormen
- Auftragsverarbeitung und IT-Auslagerung
- Anwaltliche Verschwiegenheit
- Verletzung von Privatgeheimnissen
- Auftragsverarbeitung — Pflichtinhalte
- Berechtigtes Interesse
Sekundärquellen
- Mandantentransparenz und KI-Einsatz
- KI in der anwaltlichen Praxis
anymize-spezifische Quellen
- Standardvertrag mit § 43e BRAO-Erklärung
- Technisch-organisatorische Maßnahmen
- Auf Anfrage
Stand: · Nächste Überprüfung:
Hinweis zur Nutzung
Zur Orientierung — nicht als Mandatsersatz
Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.
KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.
Jetzt starten.
14 Tage kostenlos testen.
Alle Modelle. Alle Features. Keine Kreditkarte.
Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.
Dein KI-Arbeitsplatz wartet.