gabor partners rechtsanwaltskanzlei
Kontakt
gabor partners rechtsanwaltskanzlei
Kontakt

KI im Richteralltag

KI im Richteralltag – Risiken und No-Gos beim Einsatz generativer KI mit Gerichtsakten

Von gabor partners //

Wenn Richter private KI-Tools mit echten Akten nutzen

Beim Thema KI im Richteralltag und DSGVO beraten die Experten von gabor partners rechtsanwaltsgesellschaft aus Stuttgart – einer Boutique-Kanzlei mit Schwerpunkt im IT-Recht – zunehmend öffentliche Stellen und Fachkräfte der Justiz zu den Grenzen des erlaubten KI-Einsatzes. KI im Richteralltag bezeichnet den Einsatz generativer KI-Systeme (wie ChatGPT) durch Richterinnen und Richter zur Aufbereitung von Sachverhalten oder zur Entwurfsfertigung – insbesondere unter Verwendung nicht-anonymisierter Verfahrensakten.

Der private Einsatz solcher Systeme birgt erhebliche Risiken: datenschutzrechtlich (Art. 5, 6, 9, 28, 44 ff. DSGVO), strafrechtlich (§§ 353b, 353d StGB), dienst- und berufsrechtlich (Beratungsgeheimnis § 43 DRiG) sowie prozessual (rechtliches Gehör/Überraschungsentscheidung). Der folgende Beitrag beleuchtet die wichtigsten Problemfelder – und was Richter keinesfalls tun sollten.

I. Ausgangsszenario
Richter X lädt abends im Home-Office vor dem Kamin komplette Verfahrensakten mit Klarnamen in ein öffentlich erreichbares ChatGPT-Interface hoch, lässt sich Sachverhalte aufbereiten und Entwürfe für Urteile erstellen. Daten können US-Server erreichen; vertragliche, technische und organisatorische Sicherungen fehlen.
II. Datenschutzrechtliche Kernfragen (DSGVO)

1. Geltung der DSGVO und Rechtsgrundlagen

  • Die DSGVO gilt auch für Gerichte; Erwägungsgrund 20 und Rspr. des EuGH bestätigen die Anwendbarkeit auf Justizbehörden.
  • Rechtsgrundlage justizieller Verarbeitung: Art. 6 Abs. 1 lit. e DSGVO (Wahrnehmung öffentlicher Aufgaben) i.V.m. nationalem Verfahrensrecht (z.B. §§ 138, 286, 355 ff. ZPO); für besondere Datenkategorien Art. 9 Abs. 2 lit. f DSGVO (gerichtliche Tätigkeit).
  • Aber: Diese Grundlagen legitimieren die gerichtliche Verarbeitung „im Gericht“, nicht die Offenlegung an private Dritte/Cloud-Dienste ohne Auftragsverarbeitungsvertrag (Art. 28 DSGVO) und ohne Drittland-Compliance (Art. 44 ff.).


Konsequenz: Das Hochladen von Akten zu ChatGPT ohne AV-Vertrag und ohne datenschutzkonforme Einbindung ist regelmäßig rechtswidrig – selbst wenn die originäre Gerichtsverarbeitung zulässig wäre.

2. Integrität, Vertraulichkeit, Sicherheit (Art. 5 Abs. 1 lit. f, Art. 32 DSGVO)

  • Verantwortliche müssen geeignete TOMs sicherstellen (Integrität/Vertraulichkeit). Offene, nicht kontrollierte Uploads an Dritte verletzen typischerweise diese Pflichten.


3. Drittlandübermittlungen (USA) – Schrems II und DPF

  • Standardvertragsklauseln (SCCs) allein genügen nicht, weil sie ausländische Behörden nicht binden; zusätzliche technische Maßnahmen und ein Transfer Impact Assessment (TIA) sind erforderlich.
  • Der EuGH verlangt ein Schutzniveau, das dem in der EU „im Wesentlichen gleichwertig“ ist; bei Zugriffsbefugnissen (z.B. FISA 702) bedarf es wirksamer Zusatzmaßnahmen.
  • EU-US Data Privacy Framework (DPF): Für Datenübermittlungen an zertifizierte US-Organisationen kann ein Angemessenheitsbeschluss greifen; dennoch müssen interne Vorgaben, Zweckbindung, Rollen und Sicherheit eingehalten werden.
  • Praxis: Private Nutzung konsumorientierter KI-Frontends ist regelmäßig nicht an die Behörden-Bedarfe angepasst (kein AV-Vertrag, keine klaren Zusicherungen zu Speicherort, keine TIA, unklarer Trainingszweck). Ergebnis: hohes Risiko der Unzulässigkeit.

4. DPIA-Pflicht

  • Bei neuartigen, risikoreichen Verarbeitungen (KI-gestützte Textanalyse mit Personenbezug) ist eine Datenschutz-Folgenabschätzung erforderlich (Art. 35 DSGVO) – mit Dokumentation von Zweck, Erforderlichkeit, Risiken und Abhilfemaßnahmen.

5. Auftragsverarbeitung / elektronische Akte

  • Für das dauerhafte, rechtsverbindliche Speichern elektronischer Akten dürfen Nicht-Öffentliche nur beauftragt werden, wenn eine öffentliche Stelle Zutritt/Zugang tatsächlich und ausschließlich kontrolliert – eine private Nutzung „außer Kontrolle“ ist damit unvereinbar.


Sonderfall „Anonymisierung“: Echte Anonymisierung (irreversibel) nimmt die Daten aus der DSGVO heraus; Pseudonymisierung genügt nicht. Bei LLMs besteht das (Rekonstruktions-)Risiko, dass Inhalte wieder personenbezogen werden – erhöhte Vorsicht.

III. Amts- und Berufsgeheimnisse, Strafrecht

1. Beratungsgeheimnis und Verschwiegenheit

  • Richter haben über Hergang von Beratung und Abstimmung zu schweigen (§43 DRiG) – auch nach Dienstende. Die Rspr. betont die Schutzfunktion für die richterliche Unabhängigkeit und die Abschirmung der internen Willensbildung.
  • Das Einstellen von Beratungsinterna, Entwürfen, Voten oder Beratungsverläufen in ein externes KI-System verletzt regelmäßig dieses Geheimnis.

2. Dienstgeheimnis (§ 353b StGB) und verbotene Mitteilungen (§ 353d StGB)

  • Unbefugte Offenbarungen von Dienstgeheimnissen durch Amtsträger sind strafbewehrt; Gefährdung wichtiger öffentlicher Interessen kann auch in der Erschütterung des Vertrauens in die Integrität staatlicher Stellen liegen.
  • Rspr. zeigt, dass auch „unter C“ weitergegebene Informationen über interne polizeiliche/laufende Vorgänge § 353b StGB erfüllen können.
  • § 353d StGB erfasst u.a. öffentliche Mitteilungen über nichtöffentliche Gerichtsverhandlungen oder amtliche Dokumente.

Praktischer Befund: Das Hochladen nichtöffentlicher Verfahrensunterlagen in ein externes System ist geeignet, Geheimnisse unbefugt „offenbar“ zu machen – straf- und disziplinarriskant.

IV. Prozessuale Risiken: rechtliches Gehör, Transparenz, „Überraschungsentscheidung“
  • Art. 103 Abs. 1 GG schützt vor Überraschungsentscheidungen; Parteien müssen sich zu entscheidungserheblichen Tatsachen und Rechtsgesichtspunkten äußern können.
  • Wenn ein Gericht verdeckt externe, den Parteien unbekannte Informationsquellen (hier: KI-Generierungen) verwertet, droht eine Verletzung des rechtlichen Gehörs und der Begründungspflichten, insbesondere wenn die Herleitung und Quellen nicht offen gelegt werden.
  • Minimalkonsens: Extern bezogene, entscheidungstragende Inhalte sind offenzulegen; ansonsten Angriffsfläche für Anhörungsrüge/Verfassungsbeschwerde.
V. Judicial Governance, IT-Souveränität und Unabhängigkeit
  • Die Rspr. fordert für die IT-Nutzung der Justiz klare, überprüfbare Regeln, die den Schutz des „unbeobachteten Rechtsfindungsprozesses“ sicherstellen; Administration und Zugriffe sind rechtlich zu binden und zu protokollieren.
  • Ohne solche Regelungen kann bereits die bloße Möglichkeit unkontrollierter Zugriffe die Unabhängigkeit beeinträchtigen.
  • Der Einsatz externer Cloud/KI-Dienste außerhalb der justizinternen IT-Kontrolle ist mit diesen Grundsätzen kaum vereinbar.
VI. KI-Compliance (EU-AI-Act) – Hochrisiko in der Justiz
  • Die KI-VO (EU) 2024/1689 verdrängt die DSGVO nicht; beide gelten parallel.
  • KI-Systeme zur Unterstützung richterlicher Entscheidungen sind nach der Systematik des AI-Act (Anhang III) Hochrisiko. Pflichten u.a.: Risikomanagement, Daten- und Modellqualität, Logging, Transparenz, menschliche Aufsicht, Cybersicherheit; für Nutzer (Gerichte/Behörden) u.a. bestimmungsgemäße Verwendung, Monitoring und Meldung schwerer Vorfälle. Implikation: Der private, nicht kontrollierte Einsatz generativer KI durch Richter verfehlt regelmäßig die Anforderungen an Hochrisiko-Einsatz in der Justiz.
VII. Typische Fehlannahmen – und die harte Realität
  • „Die gerichtliche Tätigkeit ist doch von Art. 6 Abs. 1 lit. e/Art. 9 Abs. 2 lit. f DSGVO gedeckt.“ – Ja, aber nicht die Auslagerung an Dritte/Drittland ohne AV-Vertrag und Transfer-Compliance.
  • „SCCs genügen.“ – Nein; sie binden US-Behörden nicht; zusätzliche technische Maßnahmen und TIA sind Pflicht.
  • „Ich lade nur Entwürfe hoch.“ – Beratungsgeheimnis/§43 DRiG schützt gerade Beratungsverlauf und Entwürfe – auch außerhalb der Dienstzeit.
  • „Es war nur „unter C“/vertraulich.“ – Vertraulichkeitsabsprachen mit Journalisten/Privaten heben § 353b StGB nicht auf.
  • Ich nenne keine Namen.“ – Metadaten, Kontext und Textpassagen können Re-Identifikation ermöglichen; bei LLMs droht Wiedererkennung.
Do-Not-List (No-Gos) für Richter
  • Keine Übermittlung von Verfahrensakten, Entwürfen, Beratungsinterna oder nichtöffentlichen Dokumenten an öffentliche KI-Interfaces.
  • Keine Drittlandübermittlungen ohne Rechtsgrundlage, AV-Vertrag, TIA und wirksame Zusatzmaßnahmen (Verschlüsselung, Zugriffskontrolle, Ausschluss von Training).
  • Keine Nutzung von KI-Inhalten als Entscheidungsgrundlage ohne Offenlegung gegenüber den Parteien (Art. 103 Abs. 1 GG).
  • Keine Speicherung gerichtlicher Dokumente außerhalb justizinterner/eigens kontrollierter Infrastrukturen (vgl. StPO-Vorgaben für elektronische Akte).
KI im Richteralltag ist ohne strikte Compliance-Rahmung ein No-Go

Für die richterliche Praxis ist der „private“ Einsatz generativer KI im Richteralltag mit Klarnamensakten ein Hochrisiko-Vorhaben – datenschutzrechtlich, straf-/dienstrechtlich und prozessual. Der rechtssichere Weg führt über behördlich kontrollierte, EU-konforme KI-Lösungen mit strikt begrenzten, dokumentierten Eingaben, AV-Verträgen, wirksamen TOMs, DPIA und Offenlegungspflichten. Ohne diese Guardrails ist der Upload gerichtlicher Unterlagen an öffentliche KI-Dienste ein No-Go.

Das IT-rechtliche Beratungsteam von gabor partners steht öffentlichen Stellen und Justizangehörigen zur Seite, wenn es um die DSGVO-konforme Einführung und Nutzung von KI-Systemen, die Prüfung von AV-Verträgen oder die Erstellung von Datenschutz-Folgenabschätzungen geht. Wer jetzt handelt, vermeidet später kostspielige Compliance-Nachbesserungen. Informieren Sie sich auf unserer Fachseite IT-Recht über unsere Beratungsangebote.

Dieser Beitrag dient der allgemeinen Information und ersetzt keine rechtliche Beratung im Einzelfall.

IT-rechtliche Beratung zu KI-Compliance und DSGVO – Jetzt Kontakt aufnehmen

Sie möchten generative KI in der Justiz oder in Ihrer Behörde rechtssicher einsetzen? gabor partners rechtsanwaltsgesellschaft in Stuttgart berät Sie umfassend zu DSGVO-Compliance, EU-AI-Act-Anforderungen, Auftragsverarbeitungsverträgen und Drittlandübermittlungen. Nehmen Sie jetzt Kontakt auf – für eine fundierte IT-rechtliche Einschätzung Ihrer konkreten KI-Vorhaben.

Alle News IT-Recht

Jetzt
Sie

gabor partners rechtsanwaltsgesellschaft – Ihre Ansprechpartnerin Frau Maike Gabor

Wie können wir Ihnen helfen?

gabor partners
rechtsanwaltsgesellschaft mbh & Co. KG
Alexanderstraße 104
70180 Stuttgart

Telefon
Email

Sie verlassen jetzt die Seite von gabor partners.

Weiter
Hier bleiben
Wissenswertes rund um Erbrecht, Gesellschaftsrecht und IT-Recht. Jetzt unseren Newsletter abonieren.

Vielen Dank. Ihre Nachricht wurde versendet.
Wir melden uns schnellstmöglich bei Ihnen.

gabor partners rechtsanwaltsgesellschaft – Phone Button
gabor partners rechtsanwaltsgesellschaft – Top Button