Künstliche Intelligenz hat längst den Sprung aus der Forschung in den Arbeitsalltag geschafft. Auch in Kanzleien revolutionieren KI-Tools die Fallbearbeitung, die Recherche und die interne Organisation. Doch während die Vorteile greifbar sind, lauert im Hintergrund eine unsichtbare Gefahr: die Schatten-KI. Sie ist nicht nur ein Compliance-Risiko, sondern kann sich schnell zu einer tickenden Datenschutzbombe für Ihre Mandanten und Ihr sensibles Datenmaterial entwickeln.

Was ist Schatten-KI und warum ist sie gerade für Kanzleien so gefährlich?

Schatten-KI bezeichnet jede KI-Anwendung, die in Unternehmen und damit auch in Kanzleien ohne das Wissen oder die explizite Genehmigung der IT- oder Geschäftsleitung genutzt wird. Das Phänomen ist weit verbreitet: Laut einer globalen Studie von KPMG und der University of Melbourne (2025) nutzen bereits 73 Prozent der Beschäftigten generative KI am Arbeitsplatz, oft über frei zugängliche Tools wie ChatGPT, Gemini oder Deep Seek. In Deutschland wissen 42 Prozent der Unternehmen, dass Mitarbeiter private KI-Tools geschäftlich nutzen, weitere 17 Prozent vermuten dies (Bitkom, 2025). Alarmierend ist, dass fast jedes vierte Unternehmen die tatsächliche Lage nicht genau kennt.

Für Kanzleien ist diese Entwicklung besonders brisant. Sie verarbeiten täglich hochsensible Mandantendaten, die strengsten Geheimhaltungs- und Datenschutzpflichten unterliegen. Wenn Ihre Mitarbeiter diese unautorisierten KI-Tools für juristische Schriftsätze, Vertragsentwürfe oder zur Zusammenfassung von Fallakten nutzen, geraten vertrauliche Informationen schnell außer Kontrolle.

Die unsichtbaren Datenfallen: Konkrete Datenschutzrisiken

Das größte Problem der Schatten-KI liegt in der unkontrollierten Datenabgabe. Eingaben in öffentliche KI-Tools (seien es Prompts oder hochgeladene Dokumente) werden in der Regel gespeichert und für das Training der KI verwendet. Viele dieser Dienste operieren auf Servern außerhalb des europäischen Rechtsraums, beispielsweise in den USA oder China.

Einmal in ein solches System eingegeben, sind die Daten nicht mehr im Zugriffsbereich Ihrer Kanzlei. So kann Google Gemini eingegebene Prompts in der freien Browser-Variante standardmäßig bis zu 18 Monate speichern, selbst wenn Nutzer die Aktivitätsspeicherung deaktivieren. Deep Seek speichert alle Prompts direkt in China: "When you use our Services, we may collect your text input, prompt, uploaded files, feedback, chat history, or other content that you provide to our model and Services" (Deep Seek, 2026).

Die Brisanz zeigt sich in alarmierenden Zahlen: Zwischen 48 und 49 Prozent der Befragten gaben an, sensible Unternehmensdaten (darunter Finanzzahlen, Vertriebs- und Kundendaten oder urheberrechtlich geschütztes Material) in öffentliche KI-Systeme hochzuladen (KPMG & University of Melbourne, 2025). Das bedeutet: Mandantengeheimnisse, Fallstrategien oder vertrauliche Vertragsdetails könnten unwissentlich Teil der Wissensbasis einer globalen KI werden und potenziell Konkurrenten oder unberechtigten Dritten zugänglich sein.

Sobald die Daten eine Drittanbieter-KI-Plattform erreichen, verlieren Organisationen die Sicht darauf, wie sie gespeichert oder verwendet werden. Infolgedessen können Daten eine Organisation ohne Prüfspur verlassen, was es schwierig, wenn nicht unmöglich macht, einen Verstoß nachzuverfolgen oder einzudämmen. Nach der DSGVO und HIPAA kann diese Art der unkontrollierten Datenübertragung einen meldepflichtigen Verstoß darstellen. (The Hacker News, 2026)

Compliance-Albtraum: Wenn Regeln nicht greifen

Die Nutzung von Schatten-KI führt unweigerlich zu erheblichen Compliance-Verstößen. Nach Artikel 99 der EU-Verordnung über künstliche Intelligenz können Verstöße gegen verbotene KI-Praktiken mit Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden (Europäische Union, 2024).

Auch wenn Kanzleien nicht die globalen Umsätze von Großkonzernen erzielen, können solche Bußgelder existenzbedrohend sein. Darüber hinaus wird für regulierte Branchen, zu denen Anwaltskanzleien gehören, laut der PwC Global Compliance Study 2025 prognostiziert, dassAI Governance und Data Handling zentrale Auditthemen in regulierten Branchen 2026 werden, auch für Kanzleien (PwC, 2025).

Die Realität zeigt, dass viele Unternehmen noch immer keine ausreichenden Maßnahmen ergreifen: Nur 23 Prozent der Unternehmen haben bislang eigene Regeln für den KI-Einsatz formuliert, und selbst diese decken oft nicht alle Schatten-Anwendungen ab (Bitkom, 2025). Erschwerend kommt hinzu, dass Verbote allein nicht funktionieren. Studien belegen, dass in Firmen mit einem KI-Verbot (67 %) oder strikten Richtlinien (56 %) sensible Daten sogar häufiger in öffentliche Tools gelangen als in Unternehmen ohne Policy (33 %) (KPMG & University of Melbourne, 2025).

Berufsrechtliche Fallstricke: BRAO-Konformität als Akzeptanzschlüssel

Für Anwaltskanzleien hat der Umgang mit Schatten-KI eine zusätzliche berufsrechtliche Dimension, die weit über allgemeine Datenschutzpflichten hinausgeht. Gemäß § 43a Abs. 2 Bundesrechtsanwaltsordnung (BRAO) unterliegen alle im Mandatsverhältnis erlangten Informationen einer strengen Verschwiegenheitspflicht, auch gegenüber neuen Technologien wie KI-Systemen. Die Eingabe vertraulicher Mandantendaten in öffentlich zugängliche oder nicht speziell vertraglich abgesicherte KI-Tools gilt bereits als unzulässige Offenbarung gegenüber Dritten und kann gravierende berufsrechtliche Konsequenzen nach sich ziehen ([Bundesrechtsanwaltskammer], 2024).

Mit § 43e BRAO schreibt das Gesetz zudem explizit vor, dass nur solche Cloud- oder KI-Dienstleister eingesetzt werden dürfen, die durch eine gesonderte schriftliche Verschwiegenheitsvereinbarung zur Wahrung der Anwaltsgeheimnisse verpflichtet sind. Insbesondere bei der Nutzung von Cloud-Lösungen wie AWS oder Google. Anbieter wie NENNA.AI bieten durch ihr Abkommen mit AWS und Google eine Lösung, die die BRAO-Konformität durch speziell ausgehandelte Nutzungsvereinbarungen der Modelle sicherstellt. Für die Akzeptanz von KI-Anwendungen innerhalb der Branche ist diese strikte Einhaltung der anwaltlichen Berufsregeln daher unerlässlich, sowohl im Interesse der Mandantensicherheit als auch im Hinblick auf Haftungs- und Reputationsrisiken ([Bundesrechtsanwaltskammer], 2024). Nur KI-Lösungen, die diese Vorgaben erfüllen, werden im anwaltlichen Umfeld dauerhaft auf Akzeptanz stoßen.

Handlungsempfehlungen für Ihre Kanzlei

Wie können Sie Ihre Kanzlei vor den Gefahren der Schatten-KI schützen und gleichzeitig die Chancen der Technologie nutzen?

1. Schaffen Sie klare Richtlinien: Formulieren Sie verbindliche Regeln für den Einsatz von KI-Tools und kommunizieren Sie diese transparent an alle Mitarbeiter. Der Bitkom e.V. (2025) empfiehlt, KI-Wildwuchs durch verbindliche Richtlinien zu verhindern.
2. Bieten Sie sichere Alternativen an: Verbote ohne Alternativen sind kontraproduktiv. Stellen Sie Ihren Mitarbeitern datenschutzkonforme und sichere KI-Lösungen zur Verfügung. Tools wie NENNA.AI bieten beispielsweise eine eigene KI-Oberfläche mit integriertem Datenschutz, die den europäischen Rechtsrahmen der DSGVO/GDPR einhält und somit eine sichere Nutzung ermöglicht.
3. Schulen Sie Ihre Mitarbeiter: Sensibilisieren Sie Ihre Teams für die Risiken der Schatten-KI und schulen Sie sie im verantwortungsvollen Umgang mit KI-Anwendungen und sensiblen Daten.
4. Etablieren Sie eine technische Kontrolle: Klassische Firewalls und Monitoring-Lösungen erkennen KI-Traffic oft nicht als solchen. Informieren Sie sich über spezialisierte Lösungen, die den Datenfluss zu externen KI-Diensten überwachen und steuern können.

Schatten-KI ist ein reales und wachsendes Risiko für jede Kanzlei. Der unkontrollierte Abfluss sensibler Mandantendaten kann nicht nur zu immensen Reputationsschäden und hohen Bußgeldern führen, sondern auch das Vertrauen Ihrer Mandanten nachhaltig erschüttern. Kanzleien, die KI sicher und datenschutzkonform nutzen, verschaffen sich nicht nur einen Wettbewerbsvorteil, sondern stärken auch das Vertrauen ihrer Mandanten in die digitale Zukunft.

Agieren Sie proaktiv, schaffen Sie klare Strukturen und ermöglichen Sie Ihren Mitarbeitenden den sicheren Einsatz von KI. Zum Schutz Ihrer Daten und zum Erfolg Ihrer Kanzlei.

Quellen:

Bitkom e.V. (2025). Presseinformation "Beschäftigte nutzen vermehrt Schatten-KI". https://www.bitkom.org/Presse/Presseinformation/Beschaeftigte-nutzen-Schatten-KI

Bitkom e.V. (2025). Leitfaden "Generative KI im Unternehmen". https://www.bitkom.org/Bitkom/Publikationen/Generative-KI-im-Unternehmen

Bundesrechtsanwaltskammer. (2024). BRAK-Leitfaden mit Hinweisen zum KI-Einsatz.. https://www.brak.de/fileadmin/service/publikationen/Handlungshinweise/BRAK_Leitfaden_mit_Hinweisen_zum_KI-Einsatz_Stand_12_2024.pdf

Bundesrechtsanwaltsordnung (BRAO). (2023). §§ 43a, 43e. https://www.gesetze-im-internet.de/brao/__43a.html

Deep Seek. (abgerufen am 13. April 2026). Privacy Policy. https://www.deepseek.com/privacy

Europäische Union. (2024). Artikel 99: Sanktionen. EU-Verordnung über künstliche Intelligenz, 2024/1689. https://artificialintelligenceact.eu/de/article/99/

KPMG International & University of Melbourne. (2025). Trust, attitudes and use of AI: A global study 2025. https://kpmg.com/xx/en/our-insights/ai-and-technology/trust-attitudes-and-use-of-ai.html

PwC. (2025). Global compliance study 2025: Compliance industry trends and predictions. PwC Global. https://www.pwc.com/gx/en/issues/risk-regulation/pwc-global-compliance-study-2025.pdf

The Hacker News. (2026, April). The Hidden Security Risks of Shadow AI in Enterprises. https://thehackernews.com/2026/04/the-hidden-security-risks-of-shadow-ai.html

Kassandra Büttner

Kassandra Büttner, Vice President Growth & Marketing bei NENNA.AI, agiert an der Schnittstelle von KI, Datenschutz und Unternehmensstrategie. Mit über 15-jähriger Erfahrung im Aufbau nationaler und internationaler Partnerschaften sowie Businessmodelle im Entertainment- und Medienbereich vereint sie Enterprise-Anspruch mit Startup-Agilität. Ihre Multi-Lens-Perspektive verbindet KI-Innovation mit höchsten Datenschutz- und Compliance-Standards. Ihr Engagement gilt der Aufklärung über Cybersecurity-Risiken durch Schatten-KI und der Stärkung der Datensouveränität europäischer Unternehmen. Mit dem Credo „No Leaks. No Drama.“ steht sie für sichere, vertrauenswürdige KI-Nutzung und zeigt, wie Datensicherheit zum Motor nachhaltigen Wachstums wird, ohne Innovation zu bremsen.