KI-Nutzung mit anymize – Einordnung für den Datenschutzbeauftragten

• anymize anonymisiert personenbezogene Daten, BEVOR sie ein KI-Modell erreichen. Verarbeitung und Hosting erfolgen in Deutschland.
• Auf vollständig anonymisierte Daten ist die DSGVO nicht anwendbar (Erwägungsgrund 26 DSGVO).
• Es findet kein Drittlandtransfer personenbezogener Daten statt (kein US-CLOUD-Act-Zugriff, kein Schrems-II-Risiko).
• Im optionalen Klartext-Betrieb (ohne Anonymisierung) greifen AVV (Art. 28) und die TOMs (Art. 32); die Datenhaltung bleibt in Deutschland.

• § 43a Abs. 2 BRAO — Anwaltliche Verschwiegenheitspflicht über alles, was in Berufsausübung bekannt wird.
• § 2 BORA — Pflicht zu erforderlichen organisatorischen und technischen Maßnahmen zum Schutz des Mandatsgeheimnisses.
• § 203 Abs. 1 Nr. 3 StGB — Verletzung von Privatgeheimnissen ist strafbar.
• § 43e BRAO — Dienstleister-Verpflichtung in Textform; Abs. 4 erlaubt Auslandsdienstleistung nur bei vergleichbarem Schutzniveau, Abs. 5 verlangt ggf. Mandanteneinwilligung.

Ohne Anonymisierung müsste das Mandatsgeheimnis selbst zur KI gelangen. KI-Dienste, die Daten in US-Clouds verarbeiten, scheitern dann regelmäßig an der Auslandsschranke (§ 43e Abs. 4 BRAO) und an § 203 StGB – für Mandatsdaten sind sie ohne zusätzliche Garantien kaum rechtssicher einsetzbar.

Klarnamen, Aktenzeichen und identifizierende Sachverhalte werden anonymisiert, bevor sie eine KI erreichen. Das Mandatsgeheimnis verlässt die Kanzlei nie – § 43a BRAO und § 203 StGB sind strukturell gewahrt.

• ☐AVV nach Art. 28 DSGVO liegt vor (Muster wird bereitgestellt).
• ☐Eintrag im Verzeichnis von Verarbeitungstätigkeiten ergänzt (Art. 30).
• ☐DSFA-Schwelle geprüft und dokumentiert (Art. 35).
• ☐TOMs gemäß Art. 32 inkl. Anonymisierung umgesetzt.
• ☐KI-Kompetenz der Mitarbeitenden sichergestellt (Art. 4 EU AI Act, seit 02.02.2025).

Manuel Langeheinecke
digitalNORD GmbH, Kiel, Schleswig-Holstein
Kontakt: datenschutz@anymize.ai