Legal AI in der Kanzlei 2026: Über 60 % nutzen KI – aber nur mit der richtigen Architektur
Der Benchmark-Bericht 2026 zeigt: über 60 % der kleinen deutschen Kanzleien setzen KI bereits ein. Gleichzeitig verschärft der EU AI Act den Konformitätsdruck. Das Mandantengeheimnis trifft auf den KI-Boom – und entscheidet über die richtige technische Basis.
Die Zahlen sind eindeutig – und sie überraschen viele Kanzleiinhaber: Der Wolters-Kluwer-Benchmark-Bericht 2026, für den zwischen Juli und September 2025 rund 633 Rechtsfachleute befragt wurden, zeigt, dass 63,3 % der deutschen Befragten bereits KI-Tools nutzen. Weitere rund 12 % planen die Einführung. Vor zwei Jahren lag der Wert noch unter 30 %. Innerhalb von 24 Monaten hat sich die generative KI in der Rechtsberatung vom Nischenthema zur Selbstverständlichkeit entwickelt.
Doch die zentrale Frage ist nicht mehr ob, sondern wie. Denn kaum ein Berufsstand steht unter so strengen Vertraulichkeitspflichten wie der anwaltliche. Das Mandantengeheimnis nach § 43a BRAO ist absolut – und es kollidiert unmittelbar mit der Funktionsweise vieler cloudbasierter KI-Dienste. Dieser Artikel zeigt, warum die technische Architektur über die Rechtskonformität entscheidet und weshalb On-Premise-LLMs für Kanzleien die sichere Wahl sind.
Der KI-Boom in Kanzleien: Zahlen statt Bauchgefühl
Die Adoption von KI in der Anwaltschaft ist kein Hype mehr, sondern gelebte Praxis. Der Sprung von unter 30 % auf über 63 % innerhalb von zwei Jahren markiert einen der schnellsten Technologiewandel, den der Rechtsmarkt je erlebt hat. Getrieben wird er von messbaren Effizienzgewinnen – und von wachsendem Wettbewerbsdruck.
- Über 60 % der kleinen Kanzleien nutzen KI bereits – der Fokus des Benchmark-Berichts lag ausdrücklich auf kleineren Kanzleien, also genau dem Segment, das lange als zögerlich galt.
- Recherche, Analyse und Dokumentenerstellung sind die drei dominierenden Einsatzfelder. KI durchsucht Rechtsprechung, fasst umfangreiche Schriftsätze zusammen und liefert erste Entwürfe für Standardschreiben.
- Wachsender Wettbewerbsdruck: Wer manuell recherchiert, während der Wettbewerb in Minuten liefert, verliert bei Mandatsanbahnung und Marge.
- Effizienzgewinne in der Praxis: Zeitintensive Routineaufgaben – das Sichten von Aktenbergen, die Vertragsprüfung, die Formulierung von Standardklauseln – lassen sich um ein Vielfaches beschleunigen.
Interessant ist der Blick auf die Bremsen: Laut Benchmark ist der Datenschutz der Haupt-Hinderungsgrund für Kanzleien, die noch zögern. Genau hier liegt der Hebel – und genau hier trennt sich BRAO-konforme KI von riskanter Cloud-Nutzung.
Das Mandantengeheimnis als Hürde
Die anwaltliche Verschwiegenheitspflicht ist keine bloße Empfehlung, sondern das Fundament des Vertrauensverhältnisses zwischen Anwalt und Mandant. Wer KI einsetzt, muss dieses Fundament technisch absichern – sonst drohen berufsrechtliche und strafrechtliche Konsequenzen.
§ 43a BRAO – und die oft übersehene Ergänzung § 43e
§ 43a Abs. 2 BRAO normiert die anwaltliche Verschwiegenheitspflicht. Sie ist absolut und umfasst auch den Ort der Datenverarbeitung – es genügt also nicht, dass niemand die Daten liest; sie dürfen den geschützten Bereich schon technisch nicht unkontrolliert verlassen. Flankiert wird die Norm strafrechtlich durch § 203 StGB (Verletzung von Privatgeheimnissen). Entscheidend für den KI- und Cloud-Einsatz ist jedoch eine Vorschrift, die in vielen Diskussionen fehlt: § 43e BRAO regelt speziell die Inanspruchnahme von Dienstleistungen und ist damit die eigentlich einschlägige Norm für das Outsourcing an KI- und Cloud-Anbieter.
Warum Cloud-Verarbeitung heikel ist
Sobald ein Schriftsatz, ein Vertrag oder eine Mandantenakte an einen externen KI-Dienst übermittelt wird, verlässt geschütztes Material den Machtbereich der Kanzlei. Bei vielen Anbietern ist zudem unklar, wo die Daten physisch verarbeitet werden und ob Eingaben in das Modelltraining einfließen. Cloud-Verarbeitung gilt berufsrechtlich daher als heikel – häufig sogar als ultima ratio.
- AVV-Ketten mit US-Anbietern sind problematisch: Ein Auftragsverarbeitungsvertrag mit einem US-basierten Dienst reicht die Daten oft an Subauftragsverarbeiter weiter – eine Kette, die kaum vollständig kontrollierbar ist und Transfer-Assessments erfordert.
- Datenabfluss vermeiden: Das sicherste Mittel gegen einen Verstoß gegen das Mandantengeheimnis ist, dass die Daten die Kanzlei technisch gar nicht erst verlassen.
Kernpunkt: § 43a Abs. 2 BRAO schützt auch den Ort der Verarbeitung. Für den KI-Einsatz ist zusätzlich § 43e BRAO (Inanspruchnahme von Dienstleistungen) einschlägig, strafrechtlich flankiert durch § 203 StGB. Eine Architektur, bei der Mandantendaten das Haus nicht verlassen, umgeht dieses gesamte Risikofeld.
Das Pflicht-Setup: Was rechtlich vorher stehen muss
Unabhängig von der gewählten Architektur gibt es ein Minimum an organisatorischen und rechtlichen Voraussetzungen, ohne die kein KI-Einsatz in der Kanzlei zulässig ist. Wir sprechen vom „Pflicht-Setup" – drei Bausteine, die vor dem ersten produktiven Prompt stehen müssen.
| Baustein | Rechtsgrundlage | Worum es geht |
|---|---|---|
| AVV | Art. 28 DSGVO | Auftragsverarbeitungsvertrag mit jedem KI-Anbieter – inkl. vertraglichem Ausschluss von Modelltraining auf Mandatsdaten. |
| DSFA | Art. 35 DSGVO | Datenschutz-Folgenabschätzung bei systematischer oder risikoreicher Verarbeitung personenbezogener Daten. |
| KI-Kompetenz | Art. 4 EU AI Act | Sicherstellung ausreichender KI-Kompetenz (AI literacy) aller Mitarbeiter, die mit KI arbeiten. |
1. AVV mit jedem KI-Anbieter
Jeder externe Dienst, der personenbezogene Daten verarbeitet, benötigt einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Für Kanzleien besonders wichtig: eine ausdrückliche vertragliche Klausel, die das Training des Modells auf den eingegebenen Mandatsdaten ausschließt.
2. DSFA für systematische Datenverarbeitung
Wo KI systematisch personenbezogene Daten verarbeitet, verlangt Art. 35 DSGVO eine Datenschutz-Folgenabschätzung. In der anwaltlichen Praxis – die naturgemäß mit hochsensiblen Personendaten arbeitet – ist dieser Schwellenwert schnell erreicht.
3. Art.-4-EU-AI-Act-Kompetenz aller Mitarbeiter
Der oft verkürzt als „Schulung" bezeichnete Art. 4 EU AI Act ist präziser die Pflicht zur Sicherstellung ausreichender KI-Kompetenz. Sie gilt seit dem 2. Februar 2025 für Deployer und umfasst das Personal sowie alle Personen, die in ihrem Auftrag mit KI arbeiten. Wichtig für den Zeitplan: Enforcement und Sanktionen greifen ab dem 3. August 2026 – bei Verstößen drohen bis zu 15 Mio. Euro oder 3 % des Jahresumsatzes. Wer den Nachweis der KI-Kompetenz nicht dokumentiert, geht ein reales Bußgeldrisiko ein. Mehr dazu in unserem Beitrag zur EU-AI-Act-Compliance.
Ergänzt wird dieses Setup durch dokumentierte Nutzungsrichtlinien: klare, schriftliche Regeln, welche Daten in welche Systeme eingegeben werden dürfen – und welche nicht.
Die vier Lösungsgruppen 2026
Der Markt für Legal AI ist 2026 unübersichtlich. Als redaktionelle Strukturierungshilfe – nicht als feststehende Marktklassifikation – lassen sich die Angebote in vier Gruppen einteilen. Jede Gruppe hat ihr eigenes Datenschutzprofil, und genau das entscheidet über die berufsrechtliche Eignung.
- Spezialisierte Legal-AI für Recherche und Analyse: Tools, die auf juristische Datenbanken, Rechtsprechung und Kommentarliteratur trainiert sind. Sie liefern Recherche-Ergebnisse und Analysen mit hoher fachlicher Tiefe.
- Dokumenten- und Aktentools: Systeme für Vertragsanalyse, Dokumentengenerierung und intelligente Dokumentenverarbeitung – sie extrahieren Klauseln, prüfen auf Abweichungen und erstellen Entwürfe.
- Mandatsannahme und Organisation: KI für Erstkontakt, Terminmanagement, Fristenkontrolle und Kanzleiorganisation.
- Allgemeine KI-Systeme: Universelle Chatbots und Assistenten – jeweils mit einem eigenen, oft cloudbasierten Datenschutzprofil, das für Mandantendaten kritisch zu prüfen ist.
Der entscheidende Punkt: Nicht die Kategorie entscheidet über die Konformität, sondern die zugrunde liegende Architektur. Eine spezialisierte Legal-AI in der Cloud kann datenschutzrechtlich problematischer sein als ein selbst gehosteter allgemeiner KI-Assistent.
Warum On-Premise für Juristen passt
Hier schließt sich der Kreis. Wenn der Haupt-Hinderungsgrund der Datenschutz ist und die berufsrechtliche Kernfrage der Ort der Verarbeitung, dann liegt die Lösung in einer Architektur, die beide Probleme an der Wurzel packt: dem On-Premise-Betrieb eines eigenen Sprachmodells.
- Alle Akten- und Mandantendaten bleiben im Haus: Ein self-hosted LLM verarbeitet Anfragen auf der eigenen Infrastruktur der Kanzlei. Kein Schriftsatz, kein Vertrag, keine Personendaten verlassen den geschützten Bereich.
- Keine AVV-Kette, kein Datenabfluss an US-Anbieter: Ohne externen Auftragsverarbeiter entfällt die problematische Kette aus Subauftragsverarbeitern und Transfer-Assessments vollständig.
- DSGVO- und BRAO-konform by design: Was das Haus nicht verlässt, kann das Mandantengeheimnis nicht verletzen. Die Konformität ergibt sich aus der Architektur, nicht aus nachträglichen Verträgen.
- Volle Kontrolle über Logs und Zugriffe: Die Kanzlei bestimmt selbst, wer welche Dokumente abfragen darf, und protokolliert jeden Zugriff – wichtig für Audit-Nachweise und Mandantenschutz.
Praxisbeispiel: Mittelständische Wirtschaftskanzlei mit On-Premise-LLM
Eine Kanzlei mit zwölf Berufsträgern wollte die Vertragsprüfung beschleunigen, ohne Mandantendaten in die Cloud zu geben. Die Lösung: ein lokal betriebenes LLM in Kombination mit Retrieval-Augmented Generation (RAG) über das eigene Vertragsarchiv. Anwälte fragen heute in natürlicher Sprache nach vergleichbaren Klauseln aus zehn Jahren Vertragshistorie – die Antwort kommt in Sekunden, inklusive Fundstelle. Da das gesamte System auf kanzleieigener Hardware läuft, gibt es keinen AVV mit externen KI-Anbietern, keine Transfer-Problematik und keinen Datenabfluss. Das Pflicht-Setup reduziert sich auf die interne DSFA und die Art.-4-Kompetenzschulung.
Einführungsfahrplan: In vier Schritten zur konformen Legal AI
Der Weg zur produktiven, rechtssicheren KI muss nicht in einem Big-Bang-Projekt münden. Ein schrittweiser Ansatz minimiert Risiko und Investition und schafft interne Akzeptanz.
- Anwendungsfälle priorisieren: Beginnen Sie mit einem Bereich mit hohem manuellem Aufwand und klar abgrenzbaren Daten – etwa der Recherche oder der Vertragsanalyse. Definieren Sie messbare Erfolgskriterien.
- Pilot mit self-hosted LLM: Setzen Sie einen begrenzten Pilotbetrieb auf kanzleieigener Infrastruktur auf. So testen Sie Qualität und Nutzen, ohne von Anfang an Mandantendaten in fremde Systeme zu geben.
- Schulung und Nutzungsrichtlinie: Erfüllen Sie die Art.-4-Kompetenzpflicht und verankern Sie schriftliche Nutzungsregeln. Jeder Mitarbeiter muss wissen, welche Daten in welche Systeme dürfen.
- Schrittweiser Rollout: Erweitern Sie nach erfolgreichem Pilot die Anwendungsfälle, binden Sie weitere Referate ein und etablieren Sie eine Feedbackschleife für kontinuierliche Verbesserung.
Wichtig ist die Reihenfolge: Erst die Architekturentscheidung und das Pflicht-Setup, dann der produktive Einsatz. Wer diese Schritte vertauscht, riskiert genau die berufsrechtlichen Probleme, die On-Premise gerade vermeidet. Unsere Beratung für Rechtsanwälte begleitet Kanzleien von der Bedarfsanalyse bis zum produktiven, BRAO-konformen Betrieb.
Fazit: Über 63 % der Kanzleien nutzen bereits KI – die Frage ist nur noch, ob sie es konform tun. Das Mandantengeheimnis nach § 43a und § 43e BRAO, das Pflicht-Setup aus AVV, DSFA und Art.-4-Kompetenz und die ab August 2026 greifenden Sanktionen machen die Architekturentscheidung zur Chefsache. On-Premise-LLMs halten alle Daten im Haus – und lösen das Datenschutzproblem an der Wurzel.
Häufig gestellte Fragen zu Legal AI in der Kanzlei
Dürfen Kanzleien überhaupt KI einsetzen?
Ja, über 60 % tun es bereits. Voraussetzung ist ein Pflicht-Setup aus AVV, DSFA und Art.-4-Schulung sowie eine Architektur, die das Mandantengeheimnis nach § 43a BRAO wahrt.
Warum ist Cloud-KI in Kanzleien problematisch?
Weil Mandantendaten an externe, oft US-basierte Anbieter fließen. Das erfordert AVV-Ketten und Transfer-Assessments und birgt ein Restrisiko für das Mandantengeheimnis.
Wie löst On-Premise das Problem?
Ein selbst gehostetes LLM hält sämtliche Akten- und Mandantendaten im Haus, ohne AVV-Kette und ohne Datenabfluss – DSGVO- und BRAO-konform by design.
Was muss ich vor dem Einsatz erledigen?
AVV mit jedem Anbieter, eine DSFA für systematische Datenverarbeitung und eine Art.-4-EU-AI-Act-Schulung aller Anwälte und Mitarbeiter.
BRAO-konforme KI für Ihre Kanzlei
Wir entwickeln Ihre Legal-AI-Lösung – On-Premise, DSGVO- und BRAO-konform, mit vollständigem Mandantendatenschutz. Kostenlose Erstberatung, Pilot in wenigen Wochen.