Chatbot DSGVO Kanzlei: Rechtliche Anforderungen 2026

Die Idee liegt nahe: Ein digitaler Empfang auf der Kanzlei-Website, der Mandantenanfragen rund um die Uhr entgegennimmt und vorqualifiziert. Doch bevor eine Kanzlei ein solches System einsetzt, stellt sich eine berechtigte Frage – eine Frage, die Rechtsanwälte schon aus berufsrechtlicher Sorgfalt stellen müssen: Ist das datenschutzkonform? Und lässt es sich mit der anwaltlichen Verschwiegenheitspflicht vereinbaren?

Die Bedenken sind nachvollziehbar. Kanzleien unterliegen nicht nur der DSGVO, sondern zusätzlich dem Berufsrecht der Bundesrechtsanwaltsordnung und dem strafrechtlichen Schutz des Mandantengeheimnisses. Wer hier Fehler macht, riskiert nicht nur Bußgelder, sondern auch berufsrechtliche Konsequenzen und den Verlust von Mandantenvertrauen.

Dieser Artikel erläutert die rechtlichen Anforderungen an einen Chatbot auf der Kanzlei-Website – von der DSGVO über die anwaltliche Verschwiegenheitspflicht bis zu den neuen Transparenzpflichten des AI Act. Sie erfahren, welche Prüfpunkte Sie vor dem Einsatz abarbeiten müssen und wie ein rechtskonformer Betrieb in der Praxis aussieht.

Die besondere Rechtslage: Warum Kanzleien strengere Maßstäbe anlegen müssen

Für jede Website, die einen Chatbot einsetzt, gelten die allgemeinen Anforderungen der DSGVO. Die Grundlagen – Rechtsgrundlage, Auftragsverarbeitung, Informationspflichten – sind in unserem ausführlichen Artikel Chatbot DSGVO-konform einsetzen: Leitfaden für Praxen und Kanzleien dargestellt.

Für Kanzleien kommen jedoch drei zusätzliche Regelungsebenen hinzu, die den Einsatz eines digitalen Empfangs komplexer machen als in anderen Branchen:

Mandantengeheimnis (Paragraph 43a Abs. 2 BRAO): Die anwaltliche Verschwiegenheitspflicht ist eine der zentralen Berufspflichten und geht über den allgemeinen Datenschutz hinaus.
Strafrechtlicher Schutz (Paragraph 203 StGB): Die Verletzung der Schweigepflicht ist strafbewehrt. Wer unbefugt Geheimnisse offenbart, die ihm als Rechtsanwalt anvertraut wurden, macht sich strafbar.
Berufsrechtliche Anforderungen an Dienstleister (Paragraph 43e BRAO): Für die Einschaltung externer Dienstleister gelten spezifische Voraussetzungen, die über einen gewöhnlichen Auftragsverarbeitungsvertrag hinausgehen.

Diese drei Ebenen bilden zusammen mit der DSGVO und dem AI Act den rechtlichen Rahmen, den Kanzleien beim Einsatz eines digitalen Empfangs beachten müssen. Im Folgenden werden die einzelnen Anforderungen systematisch aufgeschlüsselt.

DSGVO-Anforderungen: Rechtsgrundlage, Auftragsverarbeitung und Informationspflichten

Rechtsgrundlage nach Art. 6 DSGVO

Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage. Wenn ein Ratsuchender über den Chatbot auf Ihrer Kanzlei-Website seine Kontaktdaten und sein Anliegen mitteilt, kommen zwei Optionen infrage:

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Die Beantwortung von Anfragen potenzieller Mandanten ist ein berechtigtes Interesse der Kanzlei. Diese Rechtsgrundlage ist vertretbar, solange die Interessen der betroffenen Person nicht überwiegen.
Vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO): Wenn die Anfrage auf den Abschluss eines Mandatsvertrags gerichtet ist, kann die Datenverarbeitung als vorvertragliche Maßnahme auf Anfrage der betroffenen Person gestützt werden.

Beide Rechtsgrundlagen können im Kanzleikontext tragfähig sein. Entscheidend ist, dass die gewählte Rechtsgrundlage dokumentiert und in der Datenschutzerklärung benannt wird.

Art. 9 DSGVO: Besondere Datenkategorien bei Mandantenanfragen

Eine Besonderheit ergibt sich, wenn Ratsuchende im Chat sensible Informationen mitteilen. Art. 9 DSGVO schützt besondere Kategorien personenbezogener Daten – darunter Gesundheitsdaten, Daten zur rassischen oder ethnischen Herkunft, zu politischen Meinungen oder zur sexüllen Orientierung.

Inwieweit diese Daten bei Mandantenanfragen anfallen, hängt vom Rechtsgebiet ab:

Rechtsgebiet	Potenziell betroffene Datenkategorie nach Art. 9
Arbeitsrecht	Gewerkschaftszugehörigkeit, Gesundheitsdaten (bei Kündigung wegen Krankheit)
Familienrecht	Daten zur sexüllen Orientierung (bei gleichgeschlechtlichen Partnerschaften)
Strafrecht	Strafrechtliche Verurteilungen (Art. 10 DSGVO)
Medizinrecht	Gesundheitsdaten
Diskriminierungsrecht	Rassische oder ethnische Herkunft, Religion

Für Kanzleien, die in diesen Rechtsgebieten tätig sind, ist besondere Vorsicht geboten. Art. 9 Abs. 2 lit. f DSGVO erlaubt die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen – diese Ausnahme greift jedoch erst, wenn ein konkreter Rechtsanspruch im Raum steht, nicht bei einer unspezifischen Erstanfrage über die Website.

Die sicherste Lösung: Das digitale Empfangssystem so konfigurieren, dass es bei der Erstqualifizierung keine detaillierten Sachverhalte erfragt, sondern lediglich das Rechtsgebiet, die Kontaktdaten und eine grobe Beschreibung des Anliegens erfasst. Die inhaltliche Vertiefung erfolgt dann im persönlichen Gespräch zwischen Anwalt und Mandant.

Auftragsverarbeitungsvertrag (Art. 28 DSGVO)

Wird der digitale Empfang von einem externen Anbieter betrieben, liegt eine Auftragsverarbeitung vor. Der erforderliche AVV regelt die Verarbeitung personenbezogener Daten im Auftrag der Kanzlei. Für Kanzleien sind folgende Punkte besonders relevant:

Der Anbieter darf Gesprächsdaten nicht für eigene Zwecke nutzen – insbesondere nicht zum Training von KI-Modellen.
Unterauftragsverarbeiter müssen benannt und vertraglich gebunden sein.
Die Weisungsgebundenheit des Anbieters muss vertraglich sichergestellt sein.
Technische und organisatorische Maßnahmen müssen dem Schutzbedarf angemessen sein.

Für Kanzleien reicht ein AVV allein jedoch nicht aus. Die berufsrechtlichen Anforderungen nach Paragraph 43e BRAO stellen zusätzliche Bedingungen, die im nächsten Abschnitt erläutert werden.

Informationspflichten (Art. 13 DSGVO)

Ratsuchende müssen vor der Nutzung des digitalen Empfangs darüber informiert werden, welche Daten erhoben werden, zu welchem Zweck und auf welcher Rechtsgrundlage. Für Kanzleien bedeutet das konkret:

Ein Datenschutzhinweis im Chat-Widget vor der ersten Nachricht (z.B. als Link)
Ein eigener Abschnitt in der Datenschutzerklärung der Kanzlei-Website zum digitalen Empfang
Angaben zu Anbieter, Zweck, Rechtsgrundlage, Speicherdauer und Betroffenenrechten

Mandantengeheimnis und Schweigepflicht: Die berufsrechtliche Dimension

Paragraph 43a Abs. 2 BRAO: Verschwiegenheitspflicht

Die anwaltliche Verschwiegenheitspflicht ist umfassend. Sie erstreckt sich auf alles, was dem Rechtsanwalt in Ausübung seines Berufs bekannt geworden ist. Das schließt Informationen ein, die Ratsuchende über einen digitalen Empfang auf der Kanzlei-Website mitteilen – auch wenn noch kein Mandatsverhältnis besteht.

Entscheidend ist dabei die Abgrenzung: Ein digitaler Empfang auf einer Kanzlei-Website erfasst in der Regel Erstanfragen. Der Ratsuchende teilt freiwillig mit, dass er ein rechtliches Problem hat und zu welchem Themenbereich er eine Beratung sucht. Diese Informationen sind schützwürdig, aber ihre Verarbeitung ist bei richtiger Gestaltung berufsrechtskonform möglich.

Paragraph 203 StGB: Strafrechtlicher Schutz

Paragraph 203 StGB stellt die Verletzung von Privatgeheimnissen durch Berufsgeheimnisträger unter Strafe. Rechtsanwälte gehören ausdrücklich zum geschützten Personenkreis. Relevant ist hier Absatz 3, der durch die Reform von 2017 klargestellt hat, dass Berufsgeheimnisträger Dienstleistern Zugang zu geschützten Informationen gewähren dürfen – allerdings nur unter bestimmten Voraussetzungen.

Für den Einsatz eines digitalen Empfangs bedeutet das: Der Anbieter des Systems erhält zwangsläufig Zugang zu Informationen, die Ratsuchende über den Chat mitteilen. Damit dieser Zugang strafrechtlich zulässig ist, müssen die Anforderungen des Paragraph 203 Abs. 3 StGB in Verbindung mit Paragraph 43e BRAO erfüllt sein.

Paragraph 43e BRAO: Anforderungen an externe Dienstleister

Die BRAO regelt in Paragraph 43e die Voraussetzungen für die Inanspruchnahme von Dienstleistungen. Diese Vorschrift ist für den Einsatz eines digitalen Empfangs in der Kanzlei von zentraler Bedeutung. Die Anforderungen im Überblick:

Sorgfältige Auswahl des Dienstleisters: Der Rechtsanwalt muss den Anbieter sorgfältig auswählen und sicherstellen, dass dieser die erforderliche Zuverlässigkeit bietet. Eine reine Preisauswahl genügt nicht – die technische und organisatorische Eignung muss geprüft werden.

Vertrag in Textform mit folgenden Inhalten:

Verpflichtung des Dienstleisters zur Verschwiegenheit
Belehrung über die strafrechtlichen Folgen einer Verletzung der Verschwiegenheitspflicht
Beschränkung der Kenntniserlangung auf das für die Leistungserbringung erforderliche Mass
Regelung, ob und unter welchen Bedingungen der Dienstleister Unterauftragnehmer einsetzen darf

Überwachungspflicht: Der Rechtsanwalt muss die Einhaltung der vertraglichen Pflichten durch den Dienstleister überwachen und die Zusammenarbeit unverzüglich beenden, wenn der Dienstleister den Anforderungen nicht genügt.

In der Praxis bedeutet das: Neben dem datenschutzrechtlichen AVV nach Art. 28 DSGVO benötigen Kanzleien einen zusätzlichen Dienstleistervertrag nach Paragraph 43e BRAO. Beide Verträge können in einem Dokument zusammengefasst werden, müssen aber die jeweils spezifischen Anforderungen abdecken.

Der BRAK-Leitfaden zum KI-Einsatz in Kanzleien

Die Bundesrechtsanwaltskammer (BRAK) hat im Dezember 2024 einen Leitfaden zum Einsatz von künstlicher Intelligenz in Anwaltskanzleien veröffentlicht. Der Leitfaden ist auch für den Betrieb eines digitalen Empfangs auf der Website relevant. Die wichtigsten Punkte:

Eigenverantwortliche Prüfung und Endkontrolle: Gemäß Paragraph 43 BRAO bleibt der Rechtsanwalt für alle Ergebnisse verantwortlich, die unter Einsatz von KI-Systemen erzeugt werden. Für einen digitalen Empfang bedeutet das: Die vom System erfassten und weitergeleiteten Anfragen müssen durch den Anwalt oder sein qualifiziertes Team geprüft werden, bevor auf ihrer Grundlage anwaltlich gehandelt wird.

Risiko von Halluzinationen: Die BRAK weist ausdrücklich auf das Risiko hin, dass KI-Systeme falsche Informationen generieren können. Für einen digitalen Empfang bedeutet das: Das System darf keine falschen Angaben über Rechtsgebiete, Kosten oder Verfahrensabläufe machen. Seriöse Systeme antworten ausschließlich auf Basis der Kanzlei-Website-Inhalte und verweisen bei Unsicherheit auf den direkten Kontakt.

Schulungspflichten: Seit Februar 2025 müssen Kanzleien nachweisen können, dass Mitarbeitende hinsichtlich des KI-Einsatzes geschult wurden und interne Regeln und Prozesse definiert sind. Wer einen digitalen Empfang einsetzt, sollte dokumentieren, wer im Team für die Überprüfung der Chatverläufe zuständig ist und welche internen Abläufe gelten.

AI Act Art. 50: Kennzeichnungspflicht ab August 2026

Neben DSGVO und Berufsrecht tritt am 2. August 2026 eine weitere Anforderung in Kraft: die Transparenzpflichten nach Art. 50 der europäischen KI-Verordnung (AI Act).

Was Art. 50 für Kanzlei-Chatbots bedeutet

Art. 50 Abs. 1 der KI-Verordnung schreibt vor, dass KI-Systeme, die für die Interaktion mit natürlichen Personen bestimmt sind, so gestaltet sein müssen, dass Nutzer erkennen, dass sie mit einer KI interagieren. Das betrifft jeden digitalen Empfang auf einer Kanzlei-Website.

Konkret erfordert das:

Klare Kennzeichnung vor oder zu Beginn der Interaktion – ein versteckter Hinweis im Kleingedruckten genügt nicht
Maschinenlesbare Markierung der KI-generierten Ausgaben
Keine Täuschung – das System darf nicht den Eindruck erwecken, der Ratsuchende kommuniziere mit einem Rechtsanwalt

Sanktionen

Verstöße gegen die Transparenzpflichten können mit Bußgeldern von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden. Für kleine und mittlere Unternehmen gelten reduzierte Obergrenzen.

Umsetzung in der Praxis

Ein deutlich sichtbarer Hinweis zu Beginn des Chats – etwa “Sie kommunizieren mit einem digitalen Empfangssystem. Für eine verbindliche rechtliche Einschätzung wenden Sie sich bitte an einen unserer Rechtsanwälte.” – erfüllt die Kennzeichnungspflicht in der Regel. Seriöse Anbieter digitaler Empfangssysteme werden diese Kennzeichnung standardmäßig integrieren.

Für Kanzleien hat die Kennzeichnungspflicht einen weiteren Vorteil: Sie schafft Transparenz gegenüber Ratsuchenden und stellt klar, dass das System keine Rechtsberatung erteilt. Das schützt nicht nur vor regulatorischen Risiken, sondern auch vor Haftungsansprüchen.

Einen umfassenderen Überblick über die Auswirkungen des AI Act auf die Einbindung von KI-Systemen auf Websites finden Sie im Artikel KI-Chatbot auf der Website einbinden: Anleitung, Technik und DSGVO-Checkliste.

Checkliste: Was eine Kanzlei VOR dem Chatbot-Einsatz prüfen muss

Die folgende Checkliste fasst alle Prüfpunkte zusammen, die eine Kanzlei vor der Einführung eines digitalen Empfangs auf der Website abarbeiten sollte.

Datenschutzrechtliche Prüfung (DSGVO)

Ist eine Rechtsgrundlage für die Datenverarbeitung definiert und dokumentiert (Art. 6 Abs. 1 lit. b oder f DSGVO)?
Liegt ein Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter vor?
Werden die Daten auf Servern innerhalb der EU gespeichert?
Werden Gesprächsdaten nicht zum Training von KI-Modellen des Anbieters verwendet?
Ist die Datenschutzerklärung der Kanzlei-Website um einen Abschnitt zum digitalen Empfang ergänzt?
Wird im Chat-Widget vor der ersten Nachricht auf die Datenschutzerklärung hingewiesen?
Sind Löschfristen für Gesprächsdaten definiert und technisch umgesetzt?
Ist ein Verfahren zur Beantwortung von Betroffenenrechten (Auskunft, Löschung) eingerichtet?

Berufsrechtliche Prüfung (BRAO / StGB)

Liegt ein Dienstleistervertrag nach Paragraph 43e BRAO mit dem Anbieter vor?
Ist der Anbieter zur Verschwiegenheit verpflichtet und über die strafrechtlichen Folgen einer Verletzung belehrt?
Ist sichergestellt, dass der Anbieter nur im erforderlichen Umfang Kenntnis von Mandanteninformationen erlangt?
Sind Unterauftragnehmer des Anbieters benannt und ebenfalls zur Verschwiegenheit verpflichtet?
Ist geprüft, ob der Anbieter Daten an Dritte oder in Drittländer übermittelt?
Stellt das System sicher, dass es keine Rechtsberatung erteilt (RDG-Konformität)?

AI Act Vorbereitung (ab August 2026)

Ist das System als KI-gestütztes System gekennzeichnet?
Werden Ratsuchende vor der Interaktion darauf hingewiesen, dass sie mit einem automatisierten System kommunizieren?
Ist die Kennzeichnung deutlich sichtbar und nicht nur im Kleingedruckten enthalten?

Organisatorische Maßnahmen

Ist intern definiert, wer Chatverläufe überprüft und qualifizierte Anfragen weiterbearbeitet?
Sind Mitarbeitende geschult im Umgang mit dem System (BRAK-Anforderung seit Februar 2025)?
Ist ein Eskalationsverfahren definiert für Fälle, in denen sensible Informationen im Chat mitgeteilt werden?
Ist die Einführung des Systems im Verarbeitungsverzeichnis nach Art. 30 DSGVO dokumentiert?

Praxisbeispiel: DSGVO-konformer Chatbot-Einsatz in einer Kanzlei

Wie sieht ein rechtskonformer Einsatz eines digitalen Empfangs in einer Kanzlei konkret aus? Das folgende Beispiel zeigt den typischen Ablauf.

Ausgangssituation: Eine auf Arbeitsrecht und Mietrecht spezialisierte Kanzlei mit drei Berufsträgern und einer Sekretariatskraft setzt einen digitalen Empfang auf ihrer Website ein. Die Kanzlei erhält täglich acht bis zwölf Anfragen über verschiedene Kanäle.

Schritt 1: Konfiguration des Systems Der digitale Empfang wird so eingerichtet, dass er ausschließlich auf Basis der Kanzlei-Website-Inhalte antwortet. Er informiert über Rechtsgebiete, Erstberatungsablauf und Bürozeiten. Rechtliche Einschätzungen gibt das System ausdrücklich nicht ab – bei entsprechenden Fragen verweist es auf das persönliche Gespräch.

Schritt 2: Datenschutz- und berufsrechtskonforme Einrichtung Vor der Aktivierung werden der AVV nach Art. 28 DSGVO und der Dienstleistervertrag nach Paragraph 43e BRAO mit dem Anbieter abgeschlossen. Die Datenschutzerklärung wird ergänzt. Im Chat-Widget erscheint vor der ersten Nachricht ein Hinweis: “Sie kommunizieren mit einem digitalen Empfangssystem. Ihre Daten werden auf EU-Servern verarbeitet und nach 90 Tagen gelöscht. Weitere Informationen finden Sie in unserer Datenschutzerklärung.”

Schritt 3: Erstqualifizierung einer Anfrage Ein Ratsuchender besucht abends um 21:30 Uhr die Kanzlei-Website und stellt eine Frage zum Thema Kündigung. Der digitale Empfang ermittelt das Rechtsgebiet (Arbeitsrecht), fragt nach Dringlichkeit (Kündigung bereits erhalten? Fristen laufend?), erfasst Kontaktdaten und gibt eine Erstinformation zum Ablauf der Erstberatung. Detaillierte Sachverhaltsschilderungen erfragt das System nicht – es verweist stattdessen auf das persönliche Erstgespräch.

Schritt 4: Weiterverarbeitung im Team Am nächsten Morgen findet die Sekretariatskraft die vorqualifizierte Anfrage im System: Rechtsgebiet Arbeitsrecht, Dringlichkeit hoch (Kündigungsfrist läuft), Kontaktdaten vorhanden. Sie leitet die Anfrage an den zuständigen Berufsträger weiter, der innerhalb der Frist zurückruft.

Ergebnis: Die Kanzlei hat eine qualifizierte Mandatsanfrage gewonnen, die sonst verloren gegangen wäre – und das unter Einhaltung aller datenschutz- und berufsrechtlichen Anforderungen.

Wie Kanzleien die Mandatsqualifizierung über einen digitalen Empfang im Detail gestalten können, erläutern wir im Artikel Mandatsanfragen automatisieren: So qualifizieren Sie Anfragen vor dem Erstgespräch.

Fazit: Rechtskonforme Nutzung ist möglich – mit der richtigen Vorbereitung

Der Einsatz eines digitalen Empfangs auf der Kanzlei-Website ist datenschutz- und berufsrechtskonform möglich. Die Anforderungen sind anspruchsvoller als in anderen Branchen – das Zusammenspiel von DSGVO, anwaltlicher Verschwiegenheitspflicht (Paragraph 43a Abs. 2 BRAO), dem strafrechtlichen Schutz des Mandantengeheimnisses (Paragraph 203 StGB) und den Dienstleister-Anforderungen (Paragraph 43e BRAO) erfordert sorgfältige Vorbereitung. Ab August 2026 kommen die Kennzeichnungspflichten des AI Act hinzu.

Entscheidend ist die Wahl des richtigen Anbieters. Für Kanzleien sind drei Punkte nicht verhandelbar: EU-Serverstandort, keine Nutzung der Gesprächsdaten für eigene Zwecke und die Bereitschaft, neben dem AVV auch einen Dienstleistervertrag nach Paragraph 43e BRAO abzuschließen.

Digital Rezeption wird auf EU-Servern betrieben, stellt einen vollständigen Auftragsverarbeitungsvertrag bereit und verwendet Gesprächsdaten nicht zum Training von KI-Modellen. Wenn Sie prüfen möchten, ob ein digitaler Empfang für Ihre Kanzlei geeignet ist, können Sie Digital Rezeption kostenlos testen – die Einrichtung dauert wenige Minuten, und Sie geben lediglich Ihre Kanzlei-Website ein.

Weiterführende Artikel:

Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die rechtsverbindliche Beurteilung Ihrer konkreten Situation – insbesondere hinsichtlich der berufsrechtlichen Anforderungen – empfehlen wir die Rücksprache mit einem spezialisierten Datenschutzberater oder Ihrer zuständigen Rechtsanwaltskammer.