Warum ChatGPT Ihre Kanzlei gefährdet
Ihre Mitarbeiterinnen und Mitarbeiter nutzen ChatGPT. Täglich. Für Mandantentexte, Schriftsatzentwürfe, Zusammenfassungen komplexer Verträge. Sie wissen das, können es aber weder verbieten noch guten Gewissens erlauben.
Das ist das eigentliche Problem.
Das Berufsgeheimnis ist kein Hindernis. Es ist Ihr Haftungsschild.
§ 121 StGB schützt nicht nur Ihre Mandanten. Er schützt Sie. Die absolute Verschwiegenheitspflicht ist das Fundament des Vertrauens, auf dem Ihr gesamtes Geschäftsmodell ruht. Kein Mandant würde Ihnen seine Bilanzen, Erbschaftsstreitigkeiten oder Steuerprüfungsunterlagen anvertrauen, wenn er wüsste, dass diese Daten in US-amerikanischen Rechenzentren landen.
Aber genau das passiert, wenn Ihre Mitarbeiterin einen Mandantenvertrag in ChatGPT eingibt.
Was passiert technisch, wenn jemand ChatGPT nutzt?
Jede Eingabe, die an ChatGPT (OpenAI), Microsoft Copilot oder ähnliche Cloud-KI-Dienste gesendet wird, verlässt Ihr Netzwerk. Sie wird in Rechenzentren übertragen, die OpenAI, Microsoft oder Google betreiben, in der Regel in den USA.
Das hat drei konkrete Folgen:
1. US Cloud Act Der Clarifying Lawful Overseas Use of Data Act (2018) ermächtigt US-Behörden, von US-Unternehmen Zugriff auf Daten zu verlangen, unabhängig davon, wo diese Daten gespeichert sind. Microsoft, OpenAI und Google sind US-Unternehmen. Selbst wenn Ihre Daten in einem Frankfurter Rechenzentrum liegen: Eine US-Strafverfolgungsbehörde kann Zugriff verlangen, ohne dass Sie davon erfahren.
2. Risiko einer Berufsgeheimnisverletzung Ob die Eingabe von Mandantendaten in einen Cloud-KI-Dienst eine Offenbarung im Sinne des § 121 StGB darstellt, ist höchstgerichtlich noch nicht abschließend geklärt. Die Kammer der Steuerberater und Wirtschaftsprüfer (KSW) hat davor gewarnt, und die herrschende Meinung in der österreichischen Rechtslehre sieht das Risiko als real an, unabhängig davon, ob der Cloud-Anbieter selbst als sicher gilt. Da die Haftung beim Berufsgeheimnisträger liegt und nicht beim Softwareanbieter, tragen Sie dieses Risiko, nicht ChatGPT.
3. DSGVO und Auftragsverarbeitung Selbst mit einem Auftragsverarbeitungsvertrag (AVV, Art. 28 DSGVO): Die Übermittlung in die USA ohne angemessenes Schutzniveau nach dem Schrems-II-Urteil bleibt rechtlich problematisch. Datenschutzbehörden haben hier wenig Spielraum, darüber hinwegzusehen.
Der EU AI Act macht die Lage ab August 2026 noch dringlicher
Am 2. August 2026 treten die Transparenzpflichten des EU AI Act nach Art. 50 in Kraft. Anbieter und Betreiber von KI-Systemen, die mit natürlichen Personen interagieren, müssen deren Einsatz kennzeichnen und dokumentieren.
Für Sie als Nutzer bedeutet das: Wenn Sie KI-generierte Inhalte in Mandantenkommunikation, Schriftsätzen oder Berichten verwenden, brauchen Sie ein dokumentiertes System mit nachvollziehbarer Nutzungsrichtlinie. Ein privater ChatGPT-Zugang eines Mitarbeiters auf dem Firmenrechner liefert genau das nicht.
Das Schatten-KI-Problem: Verbote allein lösen nichts
Viele Kanzleien haben ChatGPT bereits formell verboten. In der Praxis ändert das wenig: Untersuchungen zur sogenannten Schatten-KI zeigen, dass rund zwei Drittel der Wissensarbeiter KI-Tools außerhalb genehmigter Systeme nutzen, sobald keine Alternative bereitsteht.
Ein Verbot ohne Alternative schafft eine Situation, in der:
- Mitarbeiter KI heimlich nutzen, mit höherem Risiko, weil unkontrolliert
- Wettbewerber, die KI richtig einsetzen, produktiver werden
- Sie in einer rechtlich unhaltbaren Grauzone verharren
Die einzige wirkliche Lösung: KI, die Ihre Kanzlei nie verlässt
Was wäre, wenn Ihre Kanzlei die Leistung von ChatGPT nutzen könnte, ohne dass auch nur ein Buchstabe Ihrer Mandantendaten das Haus verlässt?
Das ist der Ansatz von CogniShift SafeHaven™.
SafeHaven™ ist eine physische KI-Appliance, die bei Ihnen vor Ort installiert wird. Sie läuft vollständig lokal: kein ausgehender Datenverkehr, kein US-Cloud-Anbieter, kein AVV mit einem KI-Anbieter erforderlich. Ihre Daten bleiben in Ihrem Kanzleisystem, physisch und rechtlich.
Das System läuft auf NVIDIA-Hardware, ursprünglich für KI-Forschungslabors entwickelt und heute kompakt genug, um unauffällig in jedem Serverraum zu stehen. Die integrierte Suchfunktion ermöglicht es Ihren Mitarbeiterinnen, direkt im Kanzlei-Dokumentenbestand zu suchen und zu fragen, so als hätten sie einen sehr gründlichen, sehr geduldigen Kollegen, der bereits alles gelesen hat.
Was SafeHaven™ konkret kann
- Dokumentenanalyse: 200-seitiger Vertrag zusammengefasst in 30 Sekunden
- Kanzlei-Chat: „Was steht in unseren Unterlagen zu Mandant Müller GmbH?"
- Schriftsatz-Assistenz: Ersten Entwurf aus Stichworten generieren
- Steuerliche Recherche: Fragen zur lokalen Rechtslage, basierend auf Ihren eigenen Unterlagen
- Protokollierung: Alle KI-Interaktionen werden lokal geloggt, als Grundlage für Ihre Audit-Dokumentation
Für wen ist SafeHaven™ die richtige Lösung?
SafeHaven™ ist keine Lösung für jeden. Wenn Ihre Kanzlei keine vertraulichen Daten verarbeitet, Ihre Mitarbeiter keine KI nutzen und Sie keinen Wettbewerbsdruck in Richtung Digitalisierung spüren, dann brauchen Sie SafeHaven™ nicht.
Für alle anderen gilt: Das Zeitfenster ist eng. Hardware-Lieferzeiten, Installation, Schulung und Compliance-Dokumentation benötigen Zeit. Wer SafeHaven™ vor dem 2. August 2026 in Betrieb haben möchte, sollte jetzt handeln.
Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die rechtliche Beurteilung Ihrer konkreten Situation empfehlen wir die Konsultation eines auf Datenschutzrecht spezialisierten Rechtsanwalts.