Wie sollten Anwaltskanzleien die KI-Nutzung steuern? (Hier beginnen)
Anwaltskanzleien sollten die KI-Nutzung genauso steuern wie jeden Umgang mit vertraulichen Mandanteninformationen: entscheiden, welche Tools freigegeben sind, festlegen, was in sie eingegeben werden darf und was nicht, und das Ergebnis überprüfen, bevor es an einen Mandanten oder ein Gericht gelangt. In der Praxis bedeutet das ein kurzes, durchsetzbares Regelwerk.
Die Antwort in sechs Regeln
1. Beschränken Sie freigegebene KI auf Enterprise-Bereitstellungen, die die Daten Ihrer Kanzlei vertraglich aus dem Modelltraining heraushalten und Datenisolierung bieten. Vermeiden Sie Consumer- oder Gratis-KI für alles, was mit einem Mandat zusammenhängt. 2. Fügen Sie niemals privilegierte Kommunikation, Mandanteninstruktionen, Fallstrategie oder vertrauliche Geschäftsbedingungen in ein Tool ein, das diesen vertraglichen Schutz nicht bietet. Die Offenlegung gegenüber einem Dritten kann die Vertraulichkeit und unter bestimmten Umständen das Berufsgeheimnis gefährden. 3. Überprüfen Sie jede KI-generierte Quellenangabe und Tatsachenbehauptung in einer maßgeblichen Quelle, bevor sie in einem Schriftsatz oder einer Beratung erscheint. KI-Tools können Fälle erfinden, die nicht existieren. 4. Führen Sie eine schriftliche KI-Richtlinie mit einem Register freigegebener Tools, verbotener Verwendungen und benannter Verantwortlicher. Behandeln Sie nicht freigegebene Tools, die Mandantendaten berühren, als Vorfall. 5. Setzen Sie die Richtlinie mit technischen Kontrollen durch, nicht allein mit gutem Willen: ermitteln Sie, welche KI-Tools die Mitarbeitenden tatsächlich verwenden, überwachen Sie den Datenverkehr zu KI-Diensten und wenden Sie Data Loss Prevention auf juristische Dokumentenmuster an. 6. Führen Sie Aufzeichnungen. Protokollieren Sie, welches Tool von wem und in welchem Mandat verwendet wurde, damit Sie einem Mandanten, einer Aufsichtsbehörde oder einem Gericht auf Anfrage Auskunft geben können.
Diese Grundsätze gelten für jede Common-Law-Kanzlei. Die folgenden Abschnitte legen zunächst den allgemeinen Governance-Rahmen dar, fassen zusammen, wie sich die zugrunde liegenden Konzepte des Berufsgeheimnisses auf die Vereinigten Staaten, das Vereinigte Königreich und Kanada übertragen lassen, und bieten anschließend einen detaillierten, auf Australien zugeschnittenen Abschnitt, der die Leitlinien der Law Council of Australia, die Australian Solicitors' Conduct Rules und den Privacy Act abdeckt.
Eine Produktsicht darauf, wie dies in einer Anwaltspraxis funktioniert, finden Sie in Aonas Lösung KI-Governance für Rechtsabteilungen. Dieser Leitfaden enthält allgemeine Informationen, keine Rechtsberatung; prüfen Sie Ihre Pflichten anhand der Regeln Ihrer eigenen Rechtsordnung und Aufsichtsbehörde.
Grundlegende KI-Governance-Prinzipien für jede Anwaltskanzlei
Unabhängig davon, in welcher Rechtsordnung eine Kanzlei tätig ist, sind die Governance-Grundlagen einheitlich, weil die zugrunde liegenden Pflichten einheitlich sind: Mandantenvertrauen schützen, ein etwaiges Berufsgeheimnis wahren, das Arbeitsergebnis beaufsichtigen und in den verwendeten Tools kompetent bleiben.
Geben Sie Tools bewusst frei und halten Sie es schriftlich fest
Entscheiden Sie, welche KI-Tools für welche Aufgaben und unter welchen Bedingungen zulässig sind. Bewerten Sie jedes Tool danach, ob es Kanzleidaten aus dem Training heraushält, wo Daten gespeichert werden, ob der Anbieter einen Auftragsverarbeitungsvertrag unterzeichnet und ob es Ihren Sicherheitsmindeststandard erfüllt. Halten Sie das Ergebnis in einem KI-Register mit freigegebenen Anwendungsfällen und einem verantwortlichen Eigentümer fest. Was nicht im Register steht, sollte keine Mandantendaten berühren.
Trennen Sie Enterprise-Tools von Consumer-Tools
Die nützlichste Unterscheidung in der juristischen KI-Governance ist die zwischen Enterprise-Bereitstellungen mit vertraglicher Datenisolierung und Consumer- oder Gratis-Tools, die Eingaben speichern und zur Verbesserung von Modellen nutzen können. Enterprise-Vereinbarungen mit großen Anbietern sagen in der Regel zu, dass Ihre Daten nicht zum Training gemeinsam genutzter Modelle verwendet werden und Vertraulichkeitsbedingungen unterliegen. Consumer-Tools gehen in der Regel keine solche Zusage ein. Die freigegebene Nutzung sollte sich auf Erstere beschränken.
Beaufsichtigen Sie das Ergebnis und überprüfen Sie Quellenangaben
Ein Anwalt bleibt unabhängig von KI-Unterstützung für die Arbeit verantwortlich. Verlangen Sie, dass KI-generierte Recherche, Entwürfe und Analysen von einem kompetenten Anwalt überprüft werden und dass jede Quellenangabe in einer maßgeblichen Rechtsdatenbank bestätigt wird, bevor man sich darauf verlässt. Dies ist die Kontrolle, die die Pannen mit erfundenen Quellenangaben verhindert, die in mehreren Ländern richterliche Kritik hervorgerufen haben.
Setzen Sie mit Technik durch und sichern Sie Beweise
Eine Richtlinie, die vom individuellen guten Willen abhängt, versagt unter Termindruck. Ermitteln Sie die tatsächlich genutzten KI-Tools, überwachen oder blockieren Sie den Datenverkehr zu nicht freigegebenen Diensten und wenden Sie Data-Loss-Prevention-Regeln an, die juristische Dokumentenmuster erkennen. Protokollieren Sie die Nutzung, damit die Kanzlei mit Beweisen belegen kann, dass ihr Rahmen wie vorgesehen funktioniert hat.
Aktualisieren Sie Mandatsbedingungen und bereiten Sie sich auf Vorfälle vor
Teilen Sie Mandanten in den Mandatsbedingungen mit, wie die Kanzlei KI einsetzt, wenn dieser Einsatz für ihr Mandat wesentlich ist. Halten Sie ein Verfahren zur Reaktion auf Vorfälle für den Fall bereit, dass ein nicht freigegebenes Tool mit Mandantendaten verwendet wird: bewerten Sie, was offengelegt wurde, ermitteln Sie etwaige Meldepflichten, beheben Sie den Vorfall und verschärfen Sie die Kontrollen.
Verallgemeinerbare Common-Law-Konzepte des Berufsgeheimnisses (USA, Vereinigtes Königreich, Kanada)
Kanzleien außerhalb Australiens stehen vor derselben Kernfrage: Bedroht die Eingabe von Mandantenmaterial in ein KI-Tool die Vertraulichkeit, von der das Berufsgeheimnis abhängt? Die Terminologie unterscheidet sich je nach Rechtsordnung, doch der Grundsatz, dass das Berufsgeheimnis die Wahrung der Vertraulichkeit voraussetzt, ist allen Common-Law-Systemen gemeinsam.
Vereinigte Staaten
US-Kanzleien arbeiten mit dem attorney-client privilege und der work product doctrine. Kammerleitlinien, einschließlich der ABA Formal Opinion 512 (2024) zu generativer KI, behandeln Kompetenz, Vertraulichkeit und die Pflicht zum Schutz von Mandanteninformationen bei der Nutzung von KI-Tools, und mehrere bundesstaatliche Kammern haben eigene Stellungnahmen veröffentlicht. Die praktische Erkenntnis ist dieselbe wie anderswo: vertrauliche Mandanteninformationen sollten nicht in Tools eingegeben werden, die keinen angemessenen Vertraulichkeitsschutz bieten, und Anwälte bleiben für die Überprüfung des KI-Ergebnisses verantwortlich.
Vereinigtes Königreich
In England und Wales umfasst das legal professional privilege das legal advice privilege und das litigation privilege, und Solicitors sind an die SRA Standards and Regulations gebunden, einschließlich der Vertraulichkeitspflicht. Gerichte haben die Verwendung erfundener, KI-generierter Quellenangaben kritisiert und damit die Pflicht bekräftigt, das Gericht nicht in die Irre zu führen. Die Governance-Antwort, freigegebene Enterprise-Tools plus obligatorische Überprüfung, entspricht dem oben dargestellten Rahmen.
Kanada
Kanadische Kanzleien arbeiten mit dem solicitor-client privilege, einem der am stärksten geschützten Privilegien im kanadischen Recht, und unterliegen den Regeln der provinziellen Law Societies, die auf dem Federation of Law Societies Model Code of Professional Conduct beruhen, der Vertraulichkeit, Kompetenz und Technologie behandelt. Es gelten dieselben Kontrollen: halten Sie privilegiertes und vertrauliches Material aus Tools heraus, die es nicht vertraglich schützen, und überprüfen Sie das KI-Ergebnis, bevor Sie sich darauf verlassen.
In allen drei Fällen ist die Governance-Schlussfolgerung identisch. Beschränken Sie KI auf Tools, die die Vertraulichkeit vertraglich wahren, gehen Sie niemals davon aus, dass ein Consumer-Tool Daten privat hält, und beaufsichtigen und überprüfen Sie alles, bevor Sie sich darauf verlassen. Der folgende detaillierte Abschnitt wendet diese Grundsätze auf Australien an, wo die Law Council of Australia, die Australian Solicitors' Conduct Rules und der Privacy Act spezifische Pflichten festlegen.
Australien: warum KI-Governance jetzt eine Priorität für Anwaltskanzleien ist
Künstliche Intelligenz hat schneller Einzug in die australische Anwaltspraxis gehalten, als die meisten geschäftsführenden Partner erwartet hatten. Von KI-gestützter Rechtsrecherche und Vertragsanalyse bis hin zur automatisierten Dokumentenprüfung in groß angelegten Discovery-Verfahren sind die Tools überzeugend, doch die passenden Governance-Rahmen sind weit zurückgeblieben.
Das Technology and the Law Committee der Law Council of Australia gab 2024 förmliche Leitlinien heraus, die anerkennen, dass die KI-Einführung in der Anwaltspraxis grundlegende Fragen zu Berufsethik, Berufsgeheimnis und Kompetenz aufwirft. Die bundesstaatlichen Anwaltskammern von New South Wales, Victoria, Queensland und Western Australia haben jeweils Ethik-Stellungnahmen veröffentlicht, die KI-spezifische Risiken aufzeigen. Dennoch zeigen Umfragen durchweg, dass weniger als ein Drittel der australischen Anwaltskanzleien über eine dokumentierte KI-Richtlinie verfügt, was die Praktiker regulatorischen, ethischen und reputationsbezogenen Risiken aussetzt.
Die Dringlichkeit ist real. Anwälte in New South Wales und Victoria müssen bereits nach aktualisierten Berufsregeln technologische Kompetenz nachweisen. Die im Parlament voranschreitenden Reformen des Privacy Act werden die Pflichten rund um die Verarbeitung von Mandantendaten erheblich verschärfen. Und immer mehr australische Gerichte, darunter der Federal Court, haben ständige Anordnungen eingeführt oder erwägen sie, die eine Offenlegung verlangen, wenn KI zur Erstellung von Gerichtsdokumenten verwendet wird.
Für geschäftsführende Partner und CIOs schließt sich das Zeitfenster, um eine proaktive Governance zu etablieren. Kanzleien, die jetzt handeln, bestimmen das Narrativ; wer wartet, riskiert einen Vorfall beim Berufsgeheimnis, eine aufsichtsrechtliche Feststellung oder eine Schlagzeile, die jahrelanges Mandantenvertrauen zunichtemacht.
Berufsgeheimnis und KI: das kritische Risiko für australische Anwälte
Das anwaltliche Berufsgeheimnis, das dem attorney-client privilege in anderen Rechtsordnungen entspricht, gehört zu den unantastbarsten Schutzrechten im australischen Recht. Es erlaubt Mandanten, offen mit ihren Anwälten zu kommunizieren, im Vertrauen darauf, dass diese Kommunikation in Verfahren nicht erzwungen werden kann. Das Risiko, dass KI-Tools dieses Privileg versehentlich aufheben oder gefährden könnten, ist heute das schwerwiegendste Governance-Problem australischer Anwaltskanzleien.
Wie der Einsatz von KI das Berufsgeheimnis gefährden kann
Wenn ein Anwalt privilegierte Kommunikation, Mandanteninstruktionen, Fallstrategie oder vertrauliche Beratung in ein KI-Tool eines Dritten kopiert, stellt sich ernsthaft die Frage, ob das Privileg fortbesteht. Der in Esso Australia Resources v Commissioner of Taxation und nachfolgenden Entscheidungen aufgestellte Maßstab verlangt, dass der vorrangige Zweck der Kommunikation darin besteht, Rechtsberatung zu erhalten oder zu erteilen, und dass die Vertraulichkeit gewahrt bleibt. Die Offenlegung gegenüber einem Dritten, einschließlich eines KI-Dienstes, der Daten speichert, protokolliert oder zum Modelltraining verwendet, kann einen Verzicht darstellen.
Das Risiko ist nicht hypothetisch. Consumer-KI-Tools wie die kostenlose Version von ChatGPT behalten sich ausdrücklich das Recht vor, Konversationsdaten für das Modelltraining zu verwenden. An diese Tools übermittelte Eingaben, selbst Eingaben, die nur Auszüge privilegierter Dokumente enthalten, können gespeichert, von Mitarbeitenden des KI-Anbieters eingesehen und möglicherweise zur Verbesserung künftiger Modellausgaben genutzt werden. Nach australischem Recht begründet diese freiwillige Offenlegung gegenüber einem Dritten ein erhebliches Risiko des Verzichts auf das Berufsgeheimnis.
Enterprise-Bereitstellungen vs. Consumer-Tools
Die Governance-Antwort liegt in der Unterscheidung zwischen KI-Bereitstellungen auf Enterprise-Niveau und Consumer-KI-Tools. Enterprise-Vereinbarungen mit großen KI-Anbietern (einschließlich Microsoft Azure OpenAI, Google Workspace mit Gemini und Enterprise-Anthropic-API-Vereinbarungen) enthalten in der Regel Bestimmungen zur Datenisolierung: die Daten Ihrer Kanzlei werden nicht zum Training gemeinsam genutzter Modelle verwendet, nicht über die Sitzung hinaus gespeichert und unterliegen vertraglicher Vertraulichkeit. Diese Enterprise-Vereinbarungen bieten eine wesentlich bessere Wahrung des Berufsgeheimnisses als Consumer-Tools.
Kanzleien sollten ein pauschales Verbot der Eingabe privilegierter Inhalte in Consumer-KI-Dienste einführen und die freigegebene KI-Nutzung auf Enterprise-Bereitstellungen mit entsprechenden Auftragsverarbeitungsverträgen beschränken.
Arbeitsergebnis und vertrauliche Strategie
Über das Berufsgeheimnis hinaus schützt die work product doctrine die gedanklichen Eindrücke, Schlussfolgerungen und Rechtstheorien der Anwälte. KI-Tools, die Arbeitsergebnisse verarbeiten, Schriftsatzentwürfe, Beratungsvermerke, Dokumente zur Prozessstrategie, müssen dieses Material mit demselben Schutz behandeln. Das Risiko einer versehentlichen Offenlegung ist erhöht, wenn Mitarbeitende unter Zeitdruck arbeiten, wie es in streitigen Mandaten und beim Abschluss von Transaktionen häufig der Fall ist.
Die Australian Solicitors' Conduct Rules und KI-Pflichten
Die Australian Solicitors' Conduct Rules (ASCR), die in im Wesentlichen einheitlicher Form in allen Rechtsordnungen im Rahmen der Legal Profession Uniform Law übernommen wurden, begründen spezifische Pflichten, die unmittelbar regeln, wie Anwälte KI-Tools verwenden dürfen.
Rule 9, Vertraulichkeit
Rule 9 der ASCR verpflichtet Solicitors, die Vertraulichkeit von Mandanteninformationen jederzeit zu wahren, auch nach Beendigung des Mandats. Die Pflicht gilt für alle Informationen, die ein Solicitor während eines Mandats erlangt, nicht nur für förmlich privilegierte Kommunikation. Wenn Mitarbeitende KI-Tools verwenden, die Mandanteninformationen an externe Server übermitteln, können Kanzleien gegen Rule 9 verstoßen, sofern sie nicht angemessene Schritte unternommen haben, um den Schutz der Daten sicherzustellen.
Angemessene Schritte umfassen 2025: die Auswahl von KI-Tools mit australischer Datenresidenz oder nachprüfbarer Datenisolierung; den Abschluss von Auftragsverarbeitungsverträgen mit KI-Anbietern; die Einführung von Zugriffskontrollen, die KI-Tools ohne entsprechende Autorisierung den Zugriff auf Mandatsakten verwehren; und die Schulung der Mitarbeitenden zu den Vertraulichkeitsfolgen der KI-Nutzung.
Rule 4, Ehrlichkeit und Offenheit gegenüber Gerichten
Die Pflicht zur Offenheit gegenüber dem Gericht, Rule 4.1 der ASCR, wurde durch KI-Halluzinationen unmittelbar auf die Probe gestellt. Mehrere australische Fälle haben, im Anschluss an ähnliche Entscheidungen in den Vereinigten Staaten und im Vereinigten Königreich, Anwälte betroffen, die Schriftsätze einreichten, in denen Fälle zitiert wurden, die nicht existieren, oder die Tragweite realer Fälle falsch wiedergegeben wurde, wobei der Fehler aus KI-generierter Recherche stammte. Zu den Folgen gehörten nachteilige Kostenentscheidungen, Verweisungen an Aufsichtsbehörden und in einigen Rechtsordnungen förmliche Rügen.
Kanzleien müssen Überprüfungsabläufe einführen, die verlangen, dass jede KI-generierte juristische Quellenangabe unabhängig in maßgeblichen Datenbanken (AustLII, LexisNexis AU, Westlaw AU) bestätigt wird, bevor sie in Gerichtsdokumente aufgenommen wird. Dies ist nicht fakultativ, sondern eine grundlegende Berufspflicht, die KI-Tools nicht verdrängen.
Rule 37, Kompetenz
Die Kompetenzpflicht verlangt, dass Anwälte über Entwicklungen im Recht und Änderungen in der Praxis auf dem Laufenden bleiben, einschließlich des Technologieeinsatzes. Das Technology and the Law Committee der Law Council hat erklärt, dass Kompetenz 2025 das Verständnis der Fähigkeiten und Grenzen der in der Praxis eingesetzten KI-Tools umfasst. Anwälte, die KI verwenden, ohne ihre Funktionsweise zu verstehen, einschließlich ihrer Neigung zu Halluzinationen, ihrer Trainingsdaten-Stichtage und ihrer Grenzen in australienspezifischen Rechtskontexten, riskieren, den geforderten Kompetenzstandard zu unterschreiten.
Die AI Guidelines der Law Council of Australia
2024 veröffentlichte die Law Council Leitlinien zur KI in der Anwaltspraxis. Zentrale Punkte dieser Leitlinien umfassen: Anwälte bleiben unabhängig von KI-Unterstützung persönlich für jedes Arbeitsergebnis verantwortlich; die Einwilligung des Mandanten sollte eingeholt werden, bevor KI-Tools eingesetzt werden, um seine Informationen auf eine Weise zu verarbeiten, die über die übliche Praxis hinausgeht; KI-generierte Arbeit muss von einem kompetenten Anwalt überprüft und freigegeben werden, bevor sie an einen Mandanten geliefert oder bei einem Gericht eingereicht wird; und Kanzleien sollten schriftliche KI-Richtlinien entwickeln, die freigegebene Tools, verbotene Verwendungen und Aufsichtsanforderungen behandeln.
Die Law Council hat zudem darauf hingewiesen, dass Offenlegungspflichten gegenüber Mandanten in Bezug auf die KI-Nutzung wahrscheinlich expliziter werden, je weiter der Berufsstand Standards entwickelt: eine proaktive Offenlegung ist der umsichtige Ansatz.
Spezifische Risikoszenarien: ChatGPT, Vertragsentwürfe und Discovery
Das Verständnis der Governance-Risiken anhand konkreter Szenarien hilft Kanzleien, gezielte Kontrollen aufzubauen.
Szenario 1: ChatGPT für die Rechtsrecherche nutzen
Das Szenario: ein junger Associate nutzt unter Zeitdruck vor einer Einreichungsfrist die kostenlose Version von ChatGPT, um eine Rechtsfrage im australischen Vertragsrecht zu recherchieren. ChatGPT liefert eine selbstbewusste Zusammenfassung, die mehrere Fälle zitiert, darunter Renard Constructions (ME) Pty Ltd v Minister for Public Works und mehrere andere.
Die Risiken: erstens überprüft der Associate die Quellenangaben möglicherweise nicht, und ChatGPT könnte einen oder mehrere der Fallnamen oder deren Tragweite erfunden haben. Zitiert der Schriftsatz einen nicht existierenden Fall, stehen der Associate und der aufsichtführende Partner vor einem Problem der Offenheit gegenüber dem Gericht. Zweitens: hat der Associate irgendeinen Mandantenkontext oder Mandatsdetails in die Eingabe aufgenommen („mein Mandant wird wegen Vertragsbruchs verklagt und die Kernfrage ist …"), wurde diese Information unter Consumer-Bedingungen, die keine Datenisolierung auf Enterprise-Niveau bieten, an die Server von OpenAI übermittelt. Das ist ein Vertraulichkeitsproblem nach Rule 9.
Governance-Antwort: die Nutzung von Consumer-ChatGPT für jede mandatsbezogene Recherche untersagen. Zugang zu KI-gestützten Recherchetools auf Enterprise-Niveau (Westlaw AI, LexisNexis AU mit KI oder ähnliche) bereitstellen, die unter angemessenen Auftragsverarbeitungsverträgen arbeiten. Verlangen, dass alle KI-generierten Quellenangaben vor der Aufnahme in ein Dokument überprüft werden.
Szenario 2: KI-gestützte Vertragsentwürfe
Das Szenario: ein Transaktionsteam nutzt ein KI-Tool zur Vertragserstellung, um die Verhandlung eines Gewerbemietvertrags zu beschleunigen. Ein Teammitglied fügt die vom Mandanten vorgeschlagenen Mietbedingungen, einschließlich geschäftlich sensibler Mietregelungen, Sonderkündigungsklauseln und Entwicklungsbedingungen, in das KI-Tool ein, um Änderungsmarkierungen zu erzeugen.
Die Risiken: je nach verwendetem KI-Tool können diese geschäftlich sensiblen Mandanteninformationen auf den Servern des Anbieters gespeichert, zum Modelltraining verwendet oder für Mitarbeitende des Anbieters zugänglich sein. Nach den ASCR und möglicherweise nach etwaigen Vertraulichkeitsbestimmungen des Mandats kann die Kanzlei gegen ihre Pflichten verstoßen haben. Es besteht auch ein Risiko des geistigen Eigentums: die Mietbedingungen können geschützte Geschäftsstrukturen enthalten, die der Mandant nicht offengelegt sehen möchte.
Governance-Antwort: nur KI-Entwurfstools auf Enterprise-Niveau mit dokumentierter Datenisolierung verwenden. Bestätigen, dass der Auftragsverarbeitungsvertrag des Anbieters vertrauliche Geschäftsinformationen abdeckt. Den Mandanten in Mandatsschreiben über den Einsatz von KI-Tools in der Transaktionsarbeit informieren.
Szenario 3: KI in E-Discovery und Dokumentenprüfung
Das Szenario: ein mit einem groß angelegten Handelsstreit betrautes Prozessteam nutzt eine KI-gestützte Dokumentenprüfung, um 200,000 Dokumente während der Discovery zu verarbeiten. Das KI-Tool ist ein cloudbasierter Dienst, der direkt von der Kanzlei ohne IT-Sicherheitsprüfung beauftragt wurde.
Die Risiken: Dokumente in der streitigen Discovery enthalten routinemäßig privilegiertes Material, Arbeitsergebnisse und vertrauliche Mandantenkommunikation. Ein nicht ordnungsgemäß konfiguriertes KI-Prüftool kann privilegierte Dokumente der Gegenseite (durch versehentliche Vorlage) oder den Servern des KI-Anbieters offenlegen. Im australischen Prozess kann die versehentliche Vorlage privilegierter Dokumente Clawback-Anträge nach dem Evidence Act auslösen, doch das Privileg kann verloren gehen, wenn die Offenlegung als nicht versehentlich angesehen wird.
Governance-Antwort: vor der Beauftragung eine IT-Sicherheits- und Rechtsprüfung aller E-Discovery-KI-Tools verlangen. Die Bedingungen zur Datenverarbeitung und Vertraulichkeit prüfen. Protokolle zur Privilegienprüfung einführen, bevor KI-verarbeitete Dokumente vorgelegt werden. Die in der Dokumentenprüfung verwendete KI-Methodik zur Verteidigungsfähigkeit im Streitfall dokumentieren.
Aufbau eines KI-Governance-Rahmens für Ihre australische Anwaltskanzlei
Ein praxisnaher KI-Governance-Rahmen für eine australische Anwaltskanzlei sollte auf fünf Kernsäulen beruhen.
Säule 1: Freigabeprozess für KI-Tools
Richten Sie einen formellen Freigabeprozess für KI-Tools ein, der verlangt, dass jedes neue KI-Tool vor der Verwendung bei Mandaten anhand definierter Kriterien bewertet wird. Die Bewertung sollte Folgendes behandeln: Datenresidenz (werden Daten in Australien gespeichert oder unterliegen sie australischem Recht?); Datenisolierung (werden Kanzleidaten von Trainingsdaten getrennt gehalten?); vertragliche Schutzvorkehrungen (unterzeichnet der Anbieter einen Auftragsverarbeitungsvertrag?); Vereinbarkeit mit Berufsgeheimnis und Vertraulichkeit; und regulatorische Compliance.
Freigegebene Tools sollten in einem KI-Register der Kanzlei mit freigegebenen Anwendungsfällen, Beschränkungen und benannten Verantwortlichen aufgeführt sein. Nicht freigegebene KI-Tools dürfen mit keinerlei Mandantendaten verwendet werden: dies sollte eine kanzleiweite absolute Regel sein, die nach Möglichkeit technisch durchgesetzt wird.
Säule 2: Mitarbeiterschulung und Richtlinie
Entwickeln Sie eine KI-Nutzungsrichtlinie, die Folgendes abdeckt: welche Tools für welche Aufgaben freigegeben sind; welche Informationen in KI-Tools eingegeben werden dürfen und welche nicht; die Pflicht, alle KI-generierten Quellenangaben und Tatsachenbehauptungen zu überprüfen; die Aufsichts- und Prüfanforderungen, bevor KI-generierte Arbeit an Mandanten oder Gerichte geliefert wird; und die Verfahren zur Vorfallmeldung, falls ein Mitarbeitender glaubt, versehentlich ein nicht freigegebenes Tool mit Mandantendaten verwendet zu haben.
Alle Mitarbeitenden, von Senior-Partnern bis zum Verwaltungspersonal, sollten bei der Einarbeitung und danach jährlich eine Schulung zur KI-Richtlinie absolvieren. Die Schulung sollte szenariobasierte Beispiele aus der australischen Anwaltspraxis verwenden.
Säule 3: Technische Kontrollen
Setzen Sie technische Kontrollen ein, die die Richtlinie durch Technik durchsetzen, statt sich allein auf die individuelle Befolgung zu verlassen. Zentrale Kontrollen umfassen: netzwerkseitige Sperrung oder Überwachung der Endpunkte von Consumer-KI-Diensten (ChatGPT.com, claude.ai im Consumer-Modus, Gemini.google.com privat) von Kanzleigeräten aus; Data-Loss-Prevention-Regeln (DLP), die juristische Dokumentenmuster im ausgehenden Datenverkehr zu KI-Diensten erkennen; Endpunktkontrollen, die das Hochladen von Mandatsakten zu nicht freigegebenen Diensten verhindern; und Überwachungs-Dashboards, die die Nutzung von KI-Tools zu Sicherheits- und Compliance-Zwecken sichtbar machen.
Aonas Workforce-AI-Security-Plattform bietet australischen Anwaltskanzleien eine Echtzeit-Erkennung der KI-Tool-Nutzung in der gesamten Kanzlei, eine automatisierte Durchsetzung der Richtlinie und auditfähige Berichte, sodass geschäftsführende Partner und CIOs genau sehen können, welche KI-Tools von wem verwendet werden und ob diese Nutzung der Kanzleirichtlinie entspricht.
Säule 4: Aktualisierung von Mandanten und Mandatsschreiben
Aktualisieren Sie die Standard-Mandatsschreiben, um den Einsatz von KI zu behandeln. Die Leitlinien der Law Council legen nahe, dass Mandanten informiert werden sollten, wenn KI-Tools eingesetzt werden, um ihre Informationen in wesentlicher Weise zu verarbeiten. Die Formulierung des Mandatsschreibens sollte den KI-Governance-Ansatz der Kanzlei erläutern, die Kategorien der einsetzbaren KI-Tools beschreiben, sich zu den bestehenden Schutzvorkehrungen verpflichten und Mandanten die Möglichkeit geben, bei besonderen Bedenken eine KI-eingeschränkte Bearbeitung ihrer Mandate zu verlangen.
Säule 5: Reaktion auf Vorfälle
Richten Sie ein KI-spezifisches Verfahren zur Reaktion auf Vorfälle ein. Verwendet ein Mitarbeitender versehentlich ein nicht freigegebenes KI-Tool mit Mandantendaten, muss die Kanzlei schnell handeln: bewerten, welche Daten betroffen waren und ob Berufsgeheimnis oder Vertraulichkeit gefährdet sein könnten; ermitteln, ob der Mandant nach dem Mandat oder nach dem Meldesystem für Datenschutzverletzungen des Privacy Act benachrichtigt werden muss; den Vorfall und die Abhilfemaßnahmen dokumentieren; und die Kontrollen aktualisieren, um eine Wiederholung zu verhindern.
Privacy-Act-Compliance für KI in der Anwaltspraxis
Anwaltskanzleien unterliegen dem Privacy Act 1988 (Cth) und den Australian Privacy Principles (APPs), wenn sie personenbezogene Informationen verarbeiten, und Mandantenakten sind voll davon. KI-Tools, die Mandantendaten verarbeiten, berühren den Rahmen des Privacy Act und begründen Compliance-Pflichten neben den oben erörterten Berufspflichten.
APP 11, Sicherheit personenbezogener Informationen
APP 11 verpflichtet Kanzleien, angemessene Schritte zu unternehmen, um personenbezogene Informationen vor Missbrauch, Beeinträchtigung, Verlust und unbefugtem Zugriff zu schützen. Wenn KI-Tools personenbezogene Informationen aus Mandantenakten verarbeiten, Namen, Adressen, Finanzdaten, Gesundheitsinformationen in Personenschadensmandaten, Familiendaten in familienrechtlichen Mandaten, muss die Kanzlei sicherstellen, dass das KI-Tool den Sicherheitsstandard von APP 11 erfüllt. Das bedeutet, die Sicherheitslage des Anbieters zu bewerten, sicherzustellen, dass Daten bei der Übertragung und im Ruhezustand verschlüsselt sind, und zu prüfen, dass Zugriffskontrollen begrenzen, wer innerhalb der Anbieterorganisation auf Kanzleidaten zugreifen kann.
APP 8, Grenzüberschreitende Offenlegung
Viele KI-Dienste werden von in den USA ansässigen Unternehmen betrieben, und an diese Dienste übermittelte Daten können auf Servern in den Vereinigten Staaten oder anderen Rechtsordnungen verarbeitet werden. APP 8 verpflichtet Kanzleien, angemessene Schritte zu unternehmen, um sicherzustellen, dass ausländische Empfänger personenbezogene Informationen im Einklang mit den APPs behandeln, oder die Einwilligung des Mandanten einzuholen. Enterprise-Auftragsverarbeitungsverträge, die APP-äquivalente Schutzvorkehrungen ausländischer KI-Anbieter enthalten, erfüllen diese Pflicht; Consumer-KI-Bedingungen im Allgemeinen nicht.
Meldepflichtige Datenschutzverletzungen (Notifiable Data Breaches)
Legt ein KI-Tool personenbezogene Informationen eines Mandanten offen, durch eine Datenschutzverletzung des Anbieters, eine Fehlkonfiguration oder eine versehentliche Offenlegung, kann die Kanzlei verpflichtet sein, die betroffenen Personen und den Office of the Australian Information Commissioner (OAIC) im Rahmen des Notifiable-Data-Breaches-Systems zu benachrichtigen. Kanzleien sollten KI-bezogene Datenschutzverletzungen in ihre NDB-Reaktionsverfahren aufnehmen, mit klaren Kriterien zur Beurteilung, ob eine Verletzung wahrscheinlich zu einem ernsthaften Schaden führt.
Reform des Privacy Act
Die derzeit im Parlament voranschreitenden Reformen des Privacy Act werden die Rechte des Einzelnen stärken und die Sanktionen für den unsachgemäßen Umgang mit personenbezogenen Informationen erhöhen. Anwaltskanzleien, die jetzt eine robuste KI-Governance etablieren, mit dokumentierten KI-Tool-Bewertungen, Auftragsverarbeitungsverträgen und Zugriffskontrollen, werden besser aufgestellt sein, wenn das reformierte Regime in Kraft tritt.
Wie Aona australischen Anwaltskanzleien hilft, KI zu steuern
Aona ist eine Workforce-AI-Security-Plattform, die für Organisationen konzipiert ist, die ihre Pflichten ernst nehmen. Für australische Anwaltskanzleien löst Aona die drei schwierigsten Probleme der juristischen KI-Governance: Sichtbarkeit, Kontrolle und Beweis.
Sichtbarkeit: wissen, welche KI verwendet wird
Shadow AI, also Mitarbeitende, die ohne Wissen der Kanzlei nicht freigegebene KI-Tools verwenden, ist die Hauptursache der meisten Pannen in der juristischen KI-Governance. Associates, die private ChatGPT-Konten nutzen, Rechtsanwaltsfachangestellte, die Dokumente zu Consumer-KI-Zusammenfassungstools hochladen, und Quereinsteiger, die KI-Gewohnheiten aus früheren Kanzleien mitbringen, schaffen allesamt eine Gefährdung, die geschäftsführende Partner nicht angehen können, weil sie sie nicht sehen. Aona erkennt automatisch die gesamte KI-Tool-Nutzung auf Kanzleigeräten und -netzwerken und bietet CIOs und Sicherheitsteams einen Echtzeitüberblick über den tatsächlichen KI-Fußabdruck der Kanzlei im Vergleich zum freigegebenen KI-Register.
Kontrolle: die Richtlinie konsequent durchsetzen
Aona setzt die KI-Richtlinie der Kanzlei durch technische Kontrollen durch, nicht durch eine bloß dokumentierte Richtlinie, die auf individueller Befolgung beruht. Freigegebene Tools werden zugelassen; nicht freigegebene Tools, die auf Mandantendaten zugreifen, lösen Warnungen oder Sperren aus. Für juristische Dokumentenmuster konfigurierte DLP-Regeln verhindern, dass privilegierte Inhalte an Dienste übermittelt werden, die die Standards der Kanzlei nicht erfüllen. Die Durchsetzung der Richtlinie ist für alle Mitarbeitenden konsistent, unabhängig von Dienstalter oder Praxisgruppe.
Beweis: Compliance nachweisen
Wenn ein Mandant fragt, wie seine Daten behandelt wurden, wenn eine Aufsichtsbehörde eine Untersuchung durchführt oder wenn ein Gericht die in der Discovery verwendete KI-Methodik hinterfragt, liefert Aona den Prüfpfad. Jede KI-Interaktion wird mit Zeitstempel, Tool-Identifikation, Nutzer und Mandatskontext protokolliert. Kanzleien können mit Beweisen belegen, dass ihr KI-Governance-Rahmen wie vorgesehen funktioniert hat.
Um zu sehen, wie Aona für australische Anwaltskanzleien funktioniert, buchen Sie eine Demonstration mit unserem Team. Wir arbeiten gezielt mit Rechtsorganisationen an Governance-Rahmen, die den Leitlinien der Law Council, den Pflichten der ASCR und den Anforderungen des Privacy Act gerecht werden.
