Neues Plugin berufsrecht-ki-vertragspruefung fuer fuenf Berufsgeheimnistraeger

Forprüfung von Verträgen mit privaten Legal-AI-Anbietern berufsrechtlich und strafrechtlich. Massstab DAV-Stellungnahme 32/2025. Dreizehn Skills plus drei Referenzdokumente. Normgerüst: - Rechtsanwalt: § 43e BRAO + § 43a Abs. 2 BRAO - Steuerberater: § 62a StBerG + § 57 Abs. 1 StBerG - Wirtschaftspruefer: § 50a WPO + § 43 WPO (BG: § 59c WPO) - Patentanwalt: § 39c PAO + § 39a Abs. 2 PAO (BG: § 71 PAO) - Notar: § 26a BNotO + § 18 BNotO - Strafrechtliche Klammer: § 203 StGB Abs. 1 Nr. 1 und 3 Skills: kaltstart-interview, erforderlichkeit-dokumentieren, verschwiegenheitsklausel-pruefen, strafrechtliche-belehrung-pruefen, subunternehmer-regelung-pruefen, strafprozessuale-regelung-pruefen, avv-grenzpruefung-datenschutz, tom-und-zertifizierungen-pruefen, cloud-act-und-drittstaat-pruefen, parallelnormen-andere-berufe, gutachten-erstellen, rueckfragebrief-an-anbieter, klauselvorschlaege. Outputs: Gutachten mit Ampelbewertung, Rueckfragebrief mit Anbieterfragen zu Subunternehmern Zertifizierungen no training Drittstaaten, Klausel- vorschlaege als Vierzehn-Bausteine-Set fuer Nachverhandlung. Marketplace: jetzt fuenfzig Plugins. README aktualisiert.
2026-06-09 10:03:19 +00:00 · 2026-05-20 08:49:43 +00:00
parent 79b7f943dd
commit e5b496dde3
21 changed files with 1466 additions and 2 deletions
@@ -405,6 +405,14 @@
      "author": {
        "name": "Klotzkette"
      }
+    },
+    {
+      "name": "berufsrecht-ki-vertragspruefung",
+      "source": "./berufsrecht-ki-vertragspruefung",
+      "description": "Berufsrechtliche und strafrechtliche Forprüfung von Verträgen mit privaten Legal-AI-Anbietern. Für Rechtsanwälte Steuerberater Wirtschaftsprüfer Patentanwälte Notare. §§ 43e BRAO 62a StBerG 50a WPO 39c PAO 26a BNotO § 203 StGB. Maßstab DAV-Stellungnahme. Gutachten Rückfragebrief Klauselvorschläge.",
+      "author": {
+        "name": "Klotzkette"
+      }
    }
  ]
-}
+}
@@ -146,6 +146,13 @@ Diese Sammlung lässt sich u. a. in Claude Code, Claude Desktop und vergleichbar

 ## Was ist drin?

+> 🧭 **Querschnitts-Plugins zum Mitladen:** Zwei Plugins liefern die methodische Grundlage, die in den anderen Plugins vorausgesetzt wird. Sie gehören in jede Konfiguration mit hinein, weil sie den deutschen Stil tragen:
+>
+> - [`methodenlehre-deutsches-recht`](./methodenlehre-deutsches-recht) — Gutachten- vor Urteilsstil, Anspruchsgrundlagen-Reihenfolge, Auslegung nach Wortlaut/Systematik/Historie/Telos, unionsrechtskonforme Auslegung. Definiert die juristische Denk- und Prüfungsreihenfolge für alle Skills.
+> - [`zitierweise-deutsches-recht`](./zitierweise-deutsches-recht) — Hauszitierweise mit Pinpoint-Randnummer, Grüneberg/MüKo-Regel, BGH-/Beck-Stil, Typografiestandards. Pflicht-Checkliste vor jeder Ausgabe.
+>
+> Beide Plugins sind in jedem Modus (Claude Code, Cowork, Desktop) einzeln zuschaltbar und greifen quer in alle Rechtsgebiets-Plugins ein. Wer mit dem Marketplace startet, sollte diese beiden zuerst aktivieren — alle anderen Skills referenzieren ihre Regeln (siehe [`references/methodik-deutsches-recht.md`](./references/methodik-deutsches-recht.md) und [`references/zitierweise.md`](./references/zitierweise.md)).
+
 Plugins (in Claude-Code-Terminologie) für die wichtigsten Rechtsgebiete der deutschen Beratungspraxis, alphabetisch sortiert:

 | Plugin | Beschreibung |
@@ -153,6 +160,7 @@ Plugins (in Claude-Code-Terminologie) für die wichtigsten Rechtsgebiete der deu
 | [`aktenaufbereiter-strafrecht`](./aktenaufbereiter-strafrecht) | Aktenaufbereiter für die Strafverteidigung. Bringt große Strafakten in den Griff durch sechs Excel-fähige Übersichten (Personen, Zeitachse, Beweismittel, Vorwürfe, Schriftsätze, Anlagen). |
 | [`anlagen-zu-schriftsaetzen`](./anlagen-zu-schriftsaetzen) | Zuordnung von Anlagen zu gerichtlichen Schriftsätzen. Sortiert PDF/Word/Excel nach Schriftsatz-Logik (Klage, Erwiderung, Replik, Duplik) und erstellt das Anlagenverzeichnis. |
 | [`arbeitsrecht`](./arbeitsrecht) | Individual- und Kollektivarbeitsrecht – Kündigung, Aufhebungsvertrag, Abmahnung, Anhörung Betriebsrat, KSchG-Klage, internationale Entsendungen. |
+| [`berufsrecht-ki-vertragspruefung`](./berufsrecht-ki-vertragspruefung) | Berufsrechtliche und strafrechtliche Vorprüfung von Verträgen mit privaten Legal-AI-Anbietern. Für Rechtsanwälte, Steuerberater, Wirtschaftsprüfer, Patentanwälte, Notare. §§ 43e BRAO, 62a StBerG, 50a WPO, 39c PAO, 26a BNotO i.V.m. § 203 StGB. Maßstab DAV-Stellungnahme Nr. 32/2025. Gutachten, Rückfragebrief, Klauselvorschläge. |
 | [`betreuungsrecht`](./betreuungsrecht) | Skills für berufliche Betreuer nach BtOG und §§ 1814 ff. BGB (Reform 2023): Jahresbericht ans Betreuungsgericht (§ 1863 BGB), Vermögensverzeichnis und Rechnungslegung (§§ 1835, 1865 BGB), Genehmigungspflicht-Prüfung (§§ 1848 ff., 1831, 1832 BGB). |
 | [`datenschutzrecht`](./datenschutzrecht) | DSGVO, BDSG, TTDSG, Auskunft, Datenpanne, AVV. |
 | [`fachanwalt-agrarrecht`](./fachanwalt-agrarrecht) | Light-Touch-Plugin Fachanwalt für Agrarrecht. Höfeordnung, Anerbenrechte, Landpachtrecht (BGB §§ 581 ff.), GrdstVG, EU-GAP-Direktzahlungen, Cross-Compliance, Düngeverordnung, Pflanzenschutz, Tierschutz, Forstrecht. |
@@ -174,6 +182,7 @@ Plugins (in Claude-Code-Terminologie) für die wichtigsten Rechtsgebiete der deu
 | [`fachanwalt-verwaltungsrecht`](./fachanwalt-verwaltungsrecht) | Light-Touch-Plugin Fachanwalt für Verwaltungsrecht. VwGO, VwVfG (Bund/Länder), Anfechtungs- und Verpflichtungsklage, Eilrechtsschutz, Normenkontrolle, Polizei- und Ordnungsrecht. |
 | [`fluggastrechte`](./fluggastrechte) | Fluggastrechte selber geltend machen — VO (EG) Nr. 261/2004 plus EuGH-Rechtsprechung. Tickets erfassen, Annullierung vs. Verspätung prüfen, außergewöhnliche Umstände, Distanz und Ausgleich berechnen, Forderungsschreiben, Mahnung, Klage zum Amtsgericht. Vollmacht Familie. Katalog Airline-Standardausreden. |
 | [`forderungsmanagement-klagewerkstatt`](./forderungsmanagement-klagewerkstatt) | Generalisierter Klage-Assistent für Forderungsmanagement-Klagen mit eigenem Plugin-Generator. Lernlauf-Skill destilliert aus eigenen Mustern. Klagentwurf zum Amtsgericht und Landgericht ab 1.1.2026 nach neuer Streitwertgrenze 10.000 € (§ 23 Nr. 1 GVG n.F.). |
+| [`fortbestehensprognose`](./fortbestehensprognose) | Fortbestehensprognose nach § 19 Abs. 2 InsO als Geschäftsführer-Selbstdokumentation. Prüfablauf Bilanzstatus, Annahmen, Plausibilisierung, 12-Monats-Liquidität. Sanierungsbausteine: harte Patronatserklärung, Comfortletter, Gesellschafterdarlehen mit Rangrücktritt, Stundung, Forderungsverzicht. IDW S 11, IDW S 6, StaRUG. 90-Prozent-Maßstab nach BGHZ 163, 134. |
 | [`gesellschaftsrecht`](./gesellschaftsrecht) | GmbH, AG, Personengesellschaften, M&A, Due Diligence, Gesellschafterbeschluss, Handelsregister. |
 | [`gewerblicher-rechtsschutz`](./gewerblicher-rechtsschutz) | Marke, Design, Patent, Urheberrecht, UWG-Abmahnung. |
 | [`immobilienrechtspraxis`](./immobilienrechtspraxis) | Werkzeuge für immobilienrechtliche Rechtsabteilungen — musterbasierte Vertragserstellung mit Klauselschutz, Vertragsprüfung, Übergabeprotokolle. |
@@ -182,7 +191,7 @@ Plugins (in Claude-Code-Terminologie) für die wichtigsten Rechtsgebiete der deu
 | [`kanzlei-builder-hub`](./kanzlei-builder-hub) | Werkzeuge zum Bauen eigener kanzleiinterner Skills. |
 | [`kanzlei-cowork`](./kanzlei-cowork) | Cowork-Assistent für die deutsche Anwaltskanzlei. Fristenbuch, Timesheet, Rechnungserstellung nach RVG, Versand-Vor-Check (PDF, beA, Signatur, Adressat, Anlagen), beA-Versand-Prüfung, Postein- und ausgang, Mandantenakte, Aktenbestandspflege, Honorar-Mahnwesen, Mandantenbrief-Vorlagen, Geburtstags- und Weihnachtskarten, Sekretariats-Tagesbrief. |
 | [`ki-governance`](./ki-governance) | EU-KI-VO, KI-Inventar, AIA, Vendor Review. |
-| [Liquiditätsplanung](./liquiditaetsplanung) | Bündel-Plugin für die rollierende Liquiditätsplanung: 3-Wochen-Test § 17 InsO (BGH BGHZ 163, 134), 13/26/52-Wochen-Forecast mit Ampel, Fortführungsprognose IDW S 6/S 11 und insolvenzrechtliche Liquiditätsbilanz. Verweist auf die Skills in `steuerberater-werkzeuge` und `insolvenzrecht`. |
+| [`liquiditaetsplanung`](./liquiditaetsplanung) | Bündel-Plugin für die rollierende Liquiditätsplanung: 3-Wochen-Test § 17 InsO (BGH BGHZ 163, 134), 13/26/52-Wochen-Forecast mit Ampel, Fortführungsprognose IDW S 6/S 11 und insolvenzrechtliche Liquiditätsbilanz. Verweist auf die Skills in `steuerberater-werkzeuge` und `insolvenzrecht`. |
 | [`memorandums-ersteller`](./memorandums-ersteller) | Wandelt Mandantenunterlagen in ein juristisches Memorandum mit Vier-Teile-Gliederung: Sachverhalt mit Quellenreferenz, Rechtsfrage, rechtliche Würdigung, Ergebnis und Empfehlung. |
 | [`methodenlehre-deutsches-recht`](./methodenlehre-deutsches-recht) | Deutsche juristische Methodenlehre als zuschaltbares Plugin. Gutachten- vor Urteilsstil, Anspruchsgrundlagen-Reihenfolge, Auslegung nach Wortlaut/Systematik/Historie/Telos, unionsrechtskonforme Auslegung. |
 | [`mietrecht`](./mietrecht) | Mietrecht für Mieter und Vermieter mit ausschließlich amtlichen Mietspiegel-Quellen pro Bundesland und für Top- und Universitätsstädte. Acht Skills: Datenerhebung, Mieterhöhungs-Widerspruch, Mietsenkungsverlangen, Nebenkostenprüfung, Mieteranfragen, Klageentwurf Amtsgericht. |
@@ -0,0 +1,33 @@
+{
+  "name": "berufsrecht-ki-vertragspruefung",
+  "version": "0.1.0",
+  "description": "Berufsrechtliche und strafrechtliche Forprüfung von Verträgen mit privaten Legal-AI-Anbietern. Für Rechtsanwälte Steuerberater Wirtschaftsprüfer Patentanwälte Notare. §§ 43e BRAO 62a StBerG 50a WPO 39c PAO 26a BNotO § 203 StGB. Maßstab DAV-Stellungnahme. Gutachten Rückfragebrief Klauselvorschläge.",
+  "license": "Apache-2.0 OR MIT",
+  "author": {
+    "name": "Klotzkette"
+  },
+  "homepage": "https://github.com/Klotzkette/claude-fuer-deutsches-recht",
+  "keywords": [
+    "berufsrecht",
+    "strafrecht",
+    "ki-vertrag",
+    "legal-ai",
+    "verschwiegenheit",
+    "berufsgeheimnis",
+    "paragraph-43e-brao",
+    "paragraph-203-stgb",
+    "paragraph-62a-stberg",
+    "paragraph-50a-wpo",
+    "paragraph-39c-pao",
+    "paragraph-26a-bnoto",
+    "dav-stellungnahme",
+    "dienstleister",
+    "vertragspruefung",
+    "klauselvorschlaege",
+    "rueckfragebrief",
+    "no-training",
+    "iso-27001",
+    "bsi-c5",
+    "cloud-act"
+  ]
+}
@@ -0,0 +1,52 @@
+# berufsrecht-ki-vertragspruefung — Arbeitsanweisungen
+
+## Tonalität und Disclaimer
+
+Vor jeder neuen Skill-Ausgabe diesen Disclaimer mitführen, mindestens in der Eröffnung des Gutachtens und in jedem Brief:
+
+> Diese Forprüfung ist keine Rechtsberatung. Sie ist eine strukturierte Argumentationshilfe für das Anbietergespräch. Die abschließende berufsrechtliche und strafrechtliche Beurteilung im konkreten Einzelfall bleibt der inhabilen Kanzlei bzw. einer beauftragten Spezialkanzlei vorbehalten.
+
+## Quellenpolitik
+
+- Goldstandard: DAV-Initiativstellungnahme Nr. 32/2025 (Juli 2025).
+- Memorandum einer Spezialkanzlei zu § 43e BRAO und § 203 StGB.
+- BT-Drs. 18/12940 für die Genese des § 43e BRAO.
+- BRAK-Leitfaden Dezember 2024 wird kurz und kritisch eingeordnet, **nicht als maßgeblich behandelt**.
+- BGH-Pinpoint immer mit Aktenzeichen und Randnummer (etwa: BGH NJW 2024, 123 Rn. 14). Bei Unsicherheit live recherchieren oder als Lücke kennzeichnen.
+- Kommentarliteratur: **Grüneberg** statt Palandt; **MüKo BGB / MüKo StGB**; **Erbs/Kohlhaas** für Nebenstrafrecht.
+- Larenz NICHT zitieren.
+
+## Methodik
+
+- Pro Skill: zuerst Norm zitieren, dann Auslegung nach DAV, dann konkrete Prüfpunkte am Vertrag.
+- Pro Prüfpunkt: Ampel grün / gelb / rot mit kurzer Begründung.
+- Gelbe und rote Punkte fließen in den Rückfragebrief und in die Klauselvorschläge ein.
+- Berufsrechtlich-strafrechtliche Perspektive klar von datenschutzrechtlicher Perspektive (Art. 28 DS-GVO) trennen. Letzteres nur als Schnittstelle, ausdrücklich nicht im Hauptfokus.
+
+## Norm-Adapter
+
+Pro Berufsgruppe stehen folgende Normen in der jeweiligen Skill-Ausgabe:
+
+| Beruf | Verschwiegenheit | Dienstleister | § 203 StGB |
+|---|---|---|---|
+| Rechtsanwalt | § 43a Abs. 2 BRAO | § 43e BRAO | Abs. 1 Nr. 3 |
+| Steuerberater | § 57 Abs. 1 StBerG | § 62a StBerG | Abs. 1 Nr. 3 |
+| Wirtschaftsprüfer | § 43 WPO | § 50a WPO (§ 59c bei Berufsgesellschaft) | Abs. 1 Nr. 3 |
+| Patentanwalt | § 39a Abs. 2 PAO | § 39c PAO | Abs. 1 Nr. 3 |
+| Notar | § 18 BNotO | § 26a BNotO | Abs. 1 Nr. 1 |
+
+Beim Notar ist die Eröffnung gegenüber Dienstleistern ohne Einwilligung des Beteiligten ausdrücklich zulässig (§ 26a Abs. 1 BNotO); bei Dienstleistungen, die unmittelbar einem einzelnen Amtsgeschäft dienen, ist die Einwilligung nach Abs. 4 erforderlich.
+
+## Workflow
+
+1. `kaltstart-interview` — Beruf, Anbieter, Datenarten erfassen.
+2. Materielle Prüfungen — Erforderlichkeit, Verschwiegenheit, Belehrung, Subunternehmer, StPO, Ausland.
+3. Technische Prüfung — TOM, Zertifizierungen, Cloud Act.
+4. Datenschutz-Schnittstelle (kurz).
+5. Output — Gutachten, Rückfragebrief, Klauselvorschläge.
+
+## Validator-Anforderungen
+
+- Skill-Description maximal 300 Zeichen.
+- Keine Kommazahlen in der Description (kein `42,5` etc.). Größenangaben als Worte ("Vier-Stufen-Prüfung") oder mit Punkt ("42.5").
+- Umlaute (ä ö ü ß) in eigens für dieses Plugin geschriebenen Texten erlaubt. In Skill-Description trotzdem vorsichtig — der Validator akzeptiert Umlaute, aber Konsistenz mit Schwesterplugins beachten.
@@ -0,0 +1,65 @@
+# berufsrecht-ki-vertragspruefung
+
+> Hinweis: Dieses Plugin wurde mit Hilfe von Codex (OpenAI) entworfen und programmatisch durch eine KI redaktionell zusammengestellt. Inhaltlich verantwortlich ist Klotzkette. Die rechtlichen Bezugspunkte sind auf bestmöglichem Stand recherchiert; gleichwohl ersetzt keine Skill dieses Plugins die Prüfung durch einen spezialisierten Rechtsanwalt.
+
+## Worum es geht
+
+Kanzleien, Steuerberatungen, Wirtschaftsprüfungsgesellschaften, Patentanwaltskanzleien und Notariate setzen zunehmend Legal-AI-Tools privater Anbieter ein (LLM-basierte Recherche, Dokumentenanalyse, Vertragsgeneratoren, Chatbots). Sobald solche Tools mit Mandats- oder Beteiligtendaten gefüttert werden, betreten wir berufsrechtliches und strafrechtliches Terrain — nicht primär datenschutzrechtliches.
+
+Dieses Plugin liefert eine **berufsrechtliche und strafrechtliche Forprüfung** des Anbietervertrags. Es ist keine vollwertige juristische Begutachtung. Es ist ein strukturierter Argumentationsapparat, mit dem die Kanzlei dem Anbieter sagen kann: "So, wie macht ihr das eigentlich? Wie gewährleistet ihr die Anforderungen aus § 43e BRAO Absatz 3? Wo ist eure ISO-27001-Zertifizierung? Wo steht 'no training' im Vertrag?".
+
+## Maßstab
+
+Maßgeblich ist die **Initiativstellungnahme des Deutschen Anwaltvereins Nr. 32/2025** (Juli 2025) zum KI-Einsatz in der anwaltlichen Praxis. Die BRAK-Stellungnahme vom Dezember 2024 ist demgegenüber zurückhaltender und wird in diesem Plugin nur kurz und kritisch eingeordnet — nicht als verbindlicher Maßstab herangezogen.
+
+Zur strafrechtlichen Absicherung dient § 203 StGB als verbindendes Element für alle fünf Berufsgruppen.
+
+## Berufsgruppen
+
+| Beruf | Verschwiegenheit | Dienstleisterregelung | § 203 StGB |
+|---|---|---|---|
+| Rechtsanwalt | § 43a Abs. 2 BRAO | § 43e BRAO | Abs. 1 Nr. 3 |
+| Steuerberater | § 57 Abs. 1 StBerG | § 62a StBerG | Abs. 1 Nr. 3 |
+| Wirtschaftsprüfer | § 43 WPO | § 50a WPO (§ 59c bei BG) | Abs. 1 Nr. 3 |
+| Patentanwalt | § 39a Abs. 2 PAO | § 39c PAO | Abs. 1 Nr. 3 |
+| Notar | § 18 BNotO | § 26a BNotO | Abs. 1 Nr. 1 |
+
+Die Dienstleisterregelungen sind nahezu wortgleich aufgebaut. Das Plugin abstrahiert die gemeinsame Prüfung und stellt pro Beruf eine Norm-Adapter-Tabelle bereit.
+
+## Skills
+
+| Skill | Zweck |
+|---|---|
+| `kaltstart-interview` | Beruf, Anbieter, Datenarten, Vertragstyp erfassen |
+| `erforderlichkeit-dokumentieren` | Erforderlichkeit der Offenlegung (Abs. 1) — unternehmerischer Beurteilungsspielraum nach DAV |
+| `verschwiegenheitsklausel-pruefen` | Textform, jedermann, zeitlich unbegrenzt, alle Berufsgeheimnisse |
+| `strafrechtliche-belehrung-pruefen` | Belehrung über §§ 203, 204 StGB; Anlage Normtext |
+| `subunternehmer-regelung-pruefen` | Zustimmungsvorbehalt, Weiterverpflichtung in Textform |
+| `strafprozessuale-regelung-pruefen` | §§ 53a, 97 StPO — Widerspruchsrecht des Dienstleisters, Beschlagnahmefreiheit |
+| `avv-grenzpruefung-datenschutz` | Schnittstelle zu Art. 28 DS-GVO — explizit andere Prüfung |
+| `tom-und-zertifizierungen-pruefen` | TOM nach Art. 32 DS-GVO, ISO 27001, BSI C5, "no training", Zero-Retention |
+| `cloud-act-und-drittstaat-pruefen` | Auslandsregelung Abs. 4; CLOUD Act; Professional Secrecy Addendum |
+| `parallelnormen-andere-berufe` | Norm-Adapter pro Beruf — Mapping-Referenz |
+| `gutachten-erstellen` | Zusammenfassendes Forprüfungs-Gutachten |
+| `rueckfragebrief-an-anbieter` | Strukturierter Brief mit präzisen Anbieterfragen |
+| `klauselvorschlaege` | Mustertexte für nachverhandelbare Klauseln |
+
+## Outputs
+
+- **Forprüfungs-Gutachten** mit Ampelbewertung (grün/gelb/rot) je Prüfpunkt
+- **Rückfragebrief an den Anbieter** zur Klärung offener Versprechen
+- **Klauselvorschläge** als Verhandlungsmaterial (Verschwiegenheit, "no training", Subunternehmerliste, EU/EWR-Beschränkung, Professional Secrecy Addendum)
+- **Zertifizierungs- und Sicherheits-Checkliste** (ISO 27001, BSI C5, TOM Art. 32)
+
+## Wichtiger Hinweis (mehrfach)
+
+**Diese Forprüfung ist ausdrücklich keine Rechtsberatung.** Sie ist eine strukturierte Argumentationshilfe für das Anbietergespräch. Die berufsrechtliche und strafrechtliche Beurteilung des konkreten Einzelfalls bleibt der inhabilen Kanzlei (interne Compliance) bzw. einer beauftragten Spezialkanzlei vorbehalten.
+
+## Quellenpolitik
+
+- DAV-Stellungnahme 32/2025 als Hauptquelle (Berufsrecht IV ab S. 8, Datenschutz V S. 17-18)
+- Memorandum einer Spezialkanzlei zu § 43e BRAO und § 203 StGB
+- BT-Drs. 18/12940 für historische Genese von § 43e BRAO
+- BRAK-Leitfaden Dezember 2024 nur am Rande
+- BGH-Pinpoint mit Aktenzeichen und Randnummer
+- Kommentarliteratur: Grüneberg / MüKo (nicht Palandt)
@@ -0,0 +1,22 @@
+# BRAK-Leitfaden Dezember 2024 — kurze Einordnung
+
+Die Bundesrechtsanwaltskammer hat im Dezember 2024 einen Leitfaden zum Einsatz von KI in der anwaltlichen Praxis veröffentlicht. Er wird in diesem Plugin **nicht als maßgeblicher Standard** behandelt.
+
+## Warum nicht maßgeblich
+
+Drei Gründe:
+
+1. **Rechtliche Bindungswirkung fehlt.** Die BRAK ist Dachorganisation der regionalen Rechtsanwaltskammern; ein BRAK-Leitfaden ist eine Empfehlung, keine verbindliche Auslegung des § 43e BRAO. Verbindliche Auslegung ergibt sich aus dem Wortlaut der Norm, der Gesetzesbegründung (BT-Drs. 18/12940) und der höchstrichterlichen Rechtsprechung.
+
+2. **Missverständliche Kernaussage.** Der BRAK-Leitfaden enthält eine Aussage des Inhalts, die "Übermittlung von Mandatsgeheimnissen sei nach aktuellem Stand der Technik nicht erforderlich". Diese Aussage ist in zweierlei Hinsicht problematisch:
+
+   - Sie verkennt die Unterscheidung zwischen Verbraucher-KI und § 43e-konformen Fach-Dienstleistern.
+   - Sie verschiebt den Bezugspunkt der Erforderlichkeit auf den "Stand der Technik" anstatt auf den Zweck der Offenlegung.
+
+3. **DAV-Stellungnahme korrigiert sie.** Die DAV-Initiativstellungnahme Nr. 32/2025 (insbesondere Seiten 11 bis 16) stellt klar, dass die Übermittlung von Mandatsdaten an einen § 43e-konform verpflichteten Dienstleister im Rahmen der Erforderlichkeit zulässig ist. Eine pauschale Pflicht zur Anonymisierung oder Pseudonymisierung besteht in diesen Fällen nicht.
+
+## Konsequenz für dieses Plugin
+
+- Maßstab ist und bleibt die DAV-Stellungnahme.
+- Der BRAK-Leitfaden wird gegebenenfalls als historischer Beleg für die zurückhaltende Anfangsphase der Diskussion zitiert.
+- Eine zeitnahe Aktualisierung des BRAK-Leitfadens, die sich der DAV-Position annähert, ist zu erwarten — Aktualisierung dieses Plugins dann zu prüfen.
@@ -0,0 +1,92 @@
+# DAV-Stellungnahme Nr. 32/2025 — Kerntexte und Fundstellen
+
+Initiativstellungnahme des Deutschen Anwaltvereins zum KI-Einsatz in der anwaltlichen Praxis, Juli 2025. Hauptquelle für dieses Plugin.
+
+## Gliederung der Stellungnahme
+
+- I. Einleitung (S. 1-2)
+- II. Use Cases (S. 2-7)
+- III. Wirtschaftlichkeit (S. 7-8)
+- IV. Berufsrecht (S. 8-17) — Kernabschnitt
+- V. Datenschutz (S. 17-19)
+- VI. KI-VO (S. 19-21)
+- VII. Urheberrecht (S. 21-22)
+- VIII. GeschGehSchG (S. 22)
+- IX. Fazit (S. 22-23)
+
+## Berufsrecht — Kernaussagen (Abschnitt IV)
+
+### Zwei Konstellationen (S. 11)
+
+Die DAV unterscheidet zwischen zwei Konstellationen:
+
+- **Konstellation 1**: Einsatz von Verbraucher-KI (etwa öffentlich zugängliches ChatGPT-Frontend), die nicht § 43e-konform verpflichtet ist. Hier ist eine Anonymisierung bzw. Pseudonymisierung der Mandatsdaten erforderlich.
+- **Konstellation 2**: Einsatz eines spezialisierten Fach-Dienstleisters, der nach § 43e BRAO vertraglich verpflichtet ist. Hier besteht **keine** zwingende Pflicht zur Anonymisierung oder Pseudonymisierung — die berufsrechtliche Verpflichtung übernimmt den Schutz.
+
+### Bezugspunkt der Erforderlichkeit (S. 12)
+
+> Bezugspunkt der Erforderlichkeit ist der Zweck der Offenlegung, nicht die Frage, ob die Kanzlei KI nutzen darf oder muss. Der Beurteilungsspielraum der Kanzlei ist weit.
+
+Die unternehmerische Entscheidung der Kanzlei für oder gegen ein Tool ist nicht Gegenstand der § 43e-Prüfung.
+
+### Verschlüsselung darf die Dienstleistung nicht entwerten (S. 13)
+
+Es besteht keine Pflicht zu einer Verschlüsselung, die das KI-Inferencing unmöglich macht. Die Ende-zu-Ende-Verschlüsselung gegen den Anbieter würde den Dienst entwerten und ist daher nicht zu verlangen.
+
+### "no training" als Erfordernis (S. 14)
+
+> Die Übermittlung von Mandatsdaten zu Trainingszwecken erreicht die Erforderlichkeitsschwelle des § 43e Abs. 1 BRAO nicht. Bei KI-Dienstleistern muss vertraglich geregelt sein, dass die Daten nicht zum Training verwendet werden.
+
+### Einwilligung Mandant nur bei Einzelmandats-Tools (S. 15)
+
+Nach § 43e Abs. 5 BRAO ist die Einwilligung des Mandanten nur erforderlich, wenn das Tool unmittelbar einem einzelnen Mandat dient. Für Kanzleiinfrastruktur (übergreifende Tools) ist keine Einwilligung erforderlich.
+
+### Auslandsregelung (S. 15)
+
+§ 43e Abs. 4 BRAO. EU-Mitgliedstaaten erfüllen das Erfordernis des vergleichbaren Schutzes regelmäßig wegen der harmonisierten anwaltlichen Berufspflichten. Außerhalb der EU/des EWR ist eine Einzelfallprüfung erforderlich.
+
+### Verhältnis Berufsrecht und Strafrecht (S. 16)
+
+> Eine Verletzung von § 43e BRAO ist nicht automatisch eine Strafbarkeit nach § 203 StGB. § 43e geht über § 203 hinaus. Umgekehrt knüpft die Strafbarkeit nach § 203 Abs. 4 Satz 2 Nr. 1 StGB an die Verletzung der vertraglichen Verpflichtungspflicht an.
+
+BT-Drs. 18/12940, S. 8 (zitiert in DAV S. 16).
+
+## Datenschutz (V) — Kernaussagen
+
+### Beide Regime gelten parallel (S. 17)
+
+DSGVO und Berufsrecht stehen nebeneinander. Die berufsrechtliche Verschwiegenheit ist breiter als der personenbezogene Datenschutz.
+
+### Art. 22 DS-GVO bei Vorbereitung (S. 18-19)
+
+Reine Vorbereitung anwaltlicher Entscheidungen durch KI fällt regelmäßig nicht unter das Verbot ausschließlich automatisierter Entscheidungen.
+
+## KI-VO (VI)
+
+### Hochrisiko-Einstufung nur für Justizbehörden (S. 20)
+
+Anhang III Nr. 8 KI-VO erfasst KI-Systeme der Justizbehörden — Rechtsanwälte fallen nicht darunter (Erwägungsgrund 61).
+
+### Art. 4 KI-VO (KI-Kompetenz)
+
+Anwälte müssen auf KI-Kompetenz ihrer Mitarbeiter hinwirken — Norm ist generalklauselartig und sanktionsfrei.
+
+### Art. 50 KI-VO (Transparenz)
+
+Bei Chatbots zur Mandantenkommunikation Hinweis erforderlich. KI-erzeugte Inhalte ab August 2026 in maschinenlesbarer Form zu kennzeichnen.
+
+## Urheberrecht (VII)
+
+§§ 44a, 44b UrhG. Nutzungsvorbehalte sind zu beachten; "no training" empfohlen.
+
+## GeschGehSchG (VIII)
+
+§ 1 Abs. 3 Nr. 1 GeschGehG: Berufsrecht bleibt unberührt. Berufs- und strafrechtliche Vorschriften überlagern.
+
+## Fazit (IX, S. 22-23)
+
+KI-Einsatz ist berufsrechtlich beherrschbar, wenn § 43e BRAO eingehalten wird. Zentrale Punkte: Verschwiegenheitspflicht in Textform, sorgfältige Dienstleisterauswahl, Beachtung des Datenschutzes.
+
+## Bezug zur BRAK-Stellungnahme (Dezember 2024)
+
+Die BRAK-Stellungnahme ist im Tenor zurückhaltender und enthält eine missverständliche Aussage zur "Erforderlichkeit der Übermittlung". Sie ist nicht maßgeblich. Bezugspunkt dieses Plugins bleibt die DAV-Stellungnahme.
@@ -0,0 +1,78 @@
+# Parallelnormen — Vollständige Tabelle
+
+## Grundgerüst pro Beruf
+
+| Beruf | Verschwiegenheit | Dienstleisterregelung | Berufsgesellschaft | § 203 StGB |
+|---|---|---|---|---|
+| Rechtsanwalt | § 43a Abs. 2 BRAO | § 43e BRAO | § 59c BRAO | Abs. 1 Nr. 3 |
+| Steuerberater | § 57 Abs. 1 StBerG | § 62a StBerG | § 56 StBerG | Abs. 1 Nr. 3 |
+| Wirtschaftsprüfer | § 43 WPO | § 50a WPO | § 59c WPO | Abs. 1 Nr. 3 |
+| Patentanwalt | § 39a Abs. 2 PAO | § 39c PAO | § 71 PAO | Abs. 1 Nr. 3 |
+| Notar | § 18 BNotO | § 26a BNotO | (keine BG) | Abs. 1 Nr. 1 |
+
+## Struktur der Dienstleisterregelungen
+
+Die fünf Dienstleisterregelungen folgen einem identischen Schema:
+
+- **Abs. 1** Befugnisnorm zur Offenlegung
+- **Abs. 2** Sorgfaltspflicht bei der Auswahl
+- **Abs. 3** Textform und drei Pflichtinhalte
+- **Abs. 4** Auslandsregelung
+- **Abs. 5** Einzelfall-Einwilligung (Mandat oder Amtsgeschäft)
+- **Abs. 6/7** Verzicht und Subsidiarität
+- **Abs. 8** Datenschutzrecht unberührt
+
+## Wortlaut Abs. 3 Satz 2 — drei Pflichtinhalte
+
+In allen fünf Normen lauten die drei Pflichtinhalte:
+
+> 1. der Dienstleister ist unter Belehrung über die strafrechtlichen Folgen einer Pflichtverletzung zur Verschwiegenheit zu verpflichten,
+> 2. der Dienstleister ist zu verpflichten, sich nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Vertragserfüllung erforderlich ist, und
+> 3. festzulegen, ob der Dienstleister befugt ist, weitere Personen zur Erfüllung des Vertrags heranzuziehen; für diesen Fall ist dem Dienstleister aufzuerlegen, diese Personen in Textform zur Verschwiegenheit zu verpflichten.
+
+## Besonderheit Notar
+
+§ 26a Abs. 1 Satz 1 BNotO stellt ausdrücklich klar: "Der Notar darf Dienstleistern ohne Einwilligung der Beteiligten den Zugang zu Tatsachen eröffnen..."
+
+§ 26a Abs. 4 BNotO spricht von "Amtsgeschäft" statt "Mandat".
+
+§ 26a Abs. 6 BNotO enthält eine Sonderregel zum Verpflichtungsgesetz: Abs. 3 gilt nicht in Fällen, in denen der Dienstleister nach § 1 des Verpflichtungsgesetzes förmlich verpflichtet wurde.
+
+## Besonderheit Wirtschaftsprüfer
+
+Bei Berufsausübungsgesellschaften gilt zusätzlich § 59c WPO (Wirtschaftsprüfungsgesellschaft) bzw. die parallelen Vorschriften für vereidigte Buchprüfer.
+
+## Besonderheit Patentanwalt
+
+§ 39c PAO wurde mit Wirkung zum 9. November 2017 eingeführt — zeitgleich mit § 43e BRAO. § 71 PAO regelt für Patentanwaltsgesellschaften die Verschwiegenheit und Inanspruchnahme von Dienstleistungen.
+
+## § 203 StGB — Aufbau
+
+- **Abs. 1**: Berufsgruppen-Katalog, Nr. 1-8
+  - Nr. 1: Arzt, Zahnarzt, Tierarzt, Apotheker, Hebamme, Psychotherapeut etc. — und Notar
+  - Nr. 3: Rechtsanwalt, Patentanwalt, Notar (alternativ), Verteidiger, Wirtschaftsprüfer, Steuerberater etc.
+- **Abs. 2**: Amtsträger und ähnliche
+- **Abs. 3 Satz 2**: Befugnisnorm für mitwirkende Personen
+- **Abs. 4 Satz 1**: Strafbarkeit der mitwirkenden Personen
+- **Abs. 4 Satz 2 Nr. 1**: Sekundärpflicht der Berufsträger — Verletzung macht selbst strafbar
+- **Abs. 6**: gewerbsmäßig — höhere Strafandrohung
+
+## Strafprozessrecht
+
+§ 53 Abs. 1 Satz 1 Nr. 1 bis 4 StPO: Zeugnisverweigerungsrecht der Berufsgeheimnisträger.
+
+§ 53a StPO: Erstreckung auf Berufshelfer und mitwirkende Personen.
+
+§ 97 Abs. 1 und Abs. 2 Satz 2 StPO: Beschlagnahmeverbot, auch bei mitwirkenden Personen.
+
+## Berufsrechtliche Aufsicht
+
+| Beruf | Aufsichtsorgan |
+|---|---|
+| Rechtsanwalt | Rechtsanwaltskammer (regional), BRAK |
+| Steuerberater | Steuerberaterkammer, BStBK |
+| Wirtschaftsprüfer | Wirtschaftsprüferkammer (WPK) |
+| Patentanwalt | Patentanwaltskammer (PAK) |
+| Notar | Landesjustizverwaltung und Notarkammer |
+
+Die jeweilige Berufskammer ist Adressatin etwaiger Beschwerden bei Verstößen gegen die Dienstleisterregelung.
@@ -0,0 +1,72 @@
+---
+name: avv-grenzpruefung-datenschutz
+description: "Schnittstelle zum Datenschutzrecht. Pruefe ob eine Auftragsverarbeitungsvereinbarung nach Art. 28 DS-GVO vorliegt und ob die berufsrechtliche Pruefung der vorliegenden Skills durch die AVV nicht ersetzt wird. AVV ist eigenstaendige andere Pruefung. Berufsrecht laeuft parallel und ist strenger. Wichtige Abgrenzungspunkte und Stolperfallen."
+---
+
+# AVV-Grenzprüfung Datenschutz
+
+## Disclaimer
+
+Diese Forprüfung ist keine Rechtsberatung, sondern strukturierte Argumentationshilfe für das Anbietergespräch. Die abschließende berufsrechtliche und strafrechtliche Beurteilung bleibt der inhabilen Kanzlei beziehungsweise einer beauftragten Spezialkanzlei vorbehalten.
+
+## Zweck dieser Skill
+
+Diese Skill ist bewusst eine **Grenzprüfung**, keine vertiefte Datenschutzprüfung. Das Plugin behandelt das Berufsrecht und das Strafrecht. Die datenschutzrechtliche Prüfung ist eine eigene, parallele Aufgabe — sie wird häufig mit der berufsrechtlichen Prüfung verwechselt oder vermischt.
+
+Das Plugin `datenschutzrecht` im selben Repository deckt diese Prüfung ab.
+
+## Was die AVV regelt — und was nicht
+
+Die Auftragsverarbeitungsvereinbarung nach Art. 28 DS-GVO regelt die Verarbeitung personenbezogener Daten. Sie regelt:
+
+- Gegenstand, Dauer, Art und Zweck der Verarbeitung
+- Kategorien betroffener Personen und Datenarten
+- Pflichten und Rechte des Verantwortlichen
+- Weisungsbindung des Auftragsverarbeiters
+- TOM (Art. 32 DS-GVO)
+- Unterauftragnehmer (Art. 28 Abs. 4 DS-GVO)
+- Mitwirkungspflichten
+- Löschung am Vertragsende
+
+Die AVV regelt **nicht** das Berufsgeheimnis. Sie schützt nicht die Verschwiegenheit als solche, sondern den personenbezogenen Datenschutz. Beide Schutzregimes laufen parallel.
+
+## Was das Berufsrecht zusätzlich verlangt
+
+Die berufsrechtliche Dienstleisterregelung (§§ 43e BRAO, 62a StBerG, 50a WPO, 39c PAO, 26a BNotO) verlangt darüber hinaus:
+
+- Verschwiegenheitspflicht in Textform — auch wenn keine personenbezogenen Daten verarbeitet werden (zum Beispiel anonymisierte Vertragsanalyse)
+- Strafrechtliche Belehrung (§§ 203, 204 StGB)
+- Festlegung Subunternehmer mit berufsrechtlicher (nicht datenschutzrechtlicher) Weiterverpflichtung
+- Beachtung des § 203 Abs. 4 Satz 2 Nr. 1 StGB (Sekundärpflicht)
+
+## DAV-Klarstellung
+
+Die DAV-Stellungnahme 32/2025 (Seite 17 und 18) stellt klar:
+
+- Beide Regelungsregimes (DS-GVO und Berufsrecht) gelten nebeneinander
+- Die anwaltliche Verschwiegenheitspflicht ist breiter als die DS-GVO (sie erfasst auch nicht personenbezogene Geheimnisse wie Strategiepapiere)
+- Anonymisierung oder Pseudonymisierung der Mandatsdaten ist nach der DS-GVO ein Mittel der Datenminimierung, **nicht** ein berufsrechtlich zwingendes Erfordernis — soweit der Dienstleister § 43e-konform verpflichtet ist (DAV S. 11)
+
+## Prüfschema
+
+| Punkt | Status | Bemerkung |
+|---|---|---|
+| AVV nach Art. 28 DS-GVO liegt vor | | |
+| Aktueller Stand (Datum, Version) | | |
+| Datenkategorien sind beschrieben | | |
+| TOM nach Art. 32 DS-GVO (Anlage) | | |
+| Subunternehmer nach Art. 28 Abs. 4 DS-GVO (Anlage) | | |
+| Drittlandsübermittlung geregelt (SCC, Adequacy) | | |
+| Verweis auf Berufsrecht im Vertrag | | |
+
+## Typische Stolperfallen
+
+- Anbieter argumentiert, die AVV decke alles ab — sie deckt das Berufsrecht nicht ab
+- AVV verweist auf US-Datenschutzstandards — DSGVO-konform fraglich
+- Pseudonymisierung wird angepriesen als "berufsrechtlich notwendig" — sie ist es nach DAV nicht (DAV S. 11)
+- Trennung von Verschwiegenheit und Datenschutz fehlt
+- Berufsrechtliche Verpflichtung in der AVV "versteckt" — sollte eigenständig erfolgen
+
+## Output
+
+Kurzer Zwischenstatus. Falls die AVV unzureichend ist, Hinweis auf das Plugin `datenschutzrecht` und den separaten Prüfprozess.
@@ -0,0 +1,82 @@
+---
+name: cloud-act-und-drittstaat-pruefen
+description: "Pruefe Auslandsbezug des KI-Anbieters nach Absatz vier der einschlaegigen Dienstleisterregelung (BRAO StBerG WPO PAO BNotO). EU/EWR werden als gleichwertig unterstellt. Drittstaaten benoetigen vergleichbares Schutzniveau. US-CLOUD Act und Foreign Intelligence Surveillance Act schaffen Restzugriff. Professional Secrecy Addendum empfohlen. DAV-Stellungnahme Seite fuenfzehn sechzehn."
+---
+
+# Cloud Act und Drittstaat prüfen
+
+## Disclaimer
+
+Diese Forprüfung ist keine Rechtsberatung, sondern strukturierte Argumentationshilfe für das Anbietergespräch. Die abschließende berufsrechtliche und strafrechtliche Beurteilung bleibt der inhabilen Kanzlei beziehungsweise einer beauftragten Spezialkanzlei vorbehalten.
+
+## Norm
+
+Absatz 4 der jeweiligen Dienstleisterregelung. Wortlaut (am Beispiel § 43e Abs. 4 BRAO; identisch in § 62a Abs. 4 StBerG, § 50a Abs. 4 WPO, § 39c Abs. 4 PAO; bei § 26a BNotO entsprechend):
+
+"Bei der Inanspruchnahme von Dienstleistungen, die im Ausland erbracht werden, darf der Rechtsanwalt dem Dienstleister den Zugang zu fremden Geheimnissen unbeschadet der übrigen Voraussetzungen dieser Vorschrift nur dann eröffnen, wenn der dort bestehende Schutz der Geheimnisse dem Schutz im Inland vergleichbar ist, es sei denn, dass der Schutz der Geheimnisse dies nicht gebietet."
+
+## DAV-Lesart
+
+DAV-Stellungnahme 32/2025 (Seite 15): EU-Mitgliedstaaten erfüllen aufgrund der Harmonisierung anwaltlicher Berufspflichten in der Regel das Erfordernis des vergleichbaren Schutzes. Außerhalb der EU/des EWR ist die Vergleichbarkeit einzelfallabhängig zu prüfen.
+
+Wichtig: Die Vergleichbarkeit bezieht sich auf den Schutz der Geheimnisse, nicht auf das allgemeine Rechtsschutzniveau. Selbst wenn ein Land eine funktionierende Justiz hat, kann der Schutz von Berufsgeheimnissen mangelhaft sein.
+
+## Problemzone USA
+
+Die USA stellen die größte praktische Herausforderung dar, weil die meisten LLM-Anbieter dort ansässig sind oder dort verarbeiten lassen.
+
+### CLOUD Act (2018)
+
+Der US-Clarifying Lawful Overseas Use of Data Act verpflichtet US-Anbieter und ihre weltweiten Töchter, US-Behörden auf Anordnung Zugang zu Daten zu gewähren, auch wenn diese außerhalb der USA gespeichert sind. Eine deutsche Hostinglokation schützt also nicht.
+
+### FISA Section 702
+
+Der Foreign Intelligence Surveillance Act erlaubt US-Geheimdiensten Zugriff auf elektronische Kommunikation von Nicht-US-Personen ohne richterlichen Beschluss. Praktisch betroffen sind insbesondere große Cloudanbieter und LLM-Provider.
+
+### Konsequenz
+
+Bei US-Anbietern besteht ein struktureller Restzugriff durch US-Behörden, der mit dem deutschen Berufsgeheimnis nicht vollständig kompatibel ist. Die DAV-Stellungnahme verlangt nicht den vollständigen Verzicht auf US-Anbieter, aber sie verlangt eine sorgfältige Abwägung und vertragliche Absicherung.
+
+## Professional Secrecy Addendum
+
+Bei US-Anbietern empfehlenswert: ein eigenes Berufsgeheimnis-Addendum zum Hauptvertrag, das
+
+- die berufsrechtlichen Anforderungen explizit übernimmt
+- den Anbieter zur Anfechtung jedes US-Auskunftsverlangens verpflichtet
+- den Anbieter zur unverzüglichen Information der Kanzlei verpflichtet, soweit gesetzlich zulässig
+- den Anbieter zur Datenminimierung in Richtung USA verpflichtet (keine US-Backups, keine US-Logs)
+- Gerichtsstand und anwendbares Recht in Deutschland
+
+Microsoft und Google haben für ihre Cloud-Dienste teilweise solche Addenda anerkannt; OpenAI nur eingeschränkt.
+
+## Prüfschema
+
+| Punkt | Status | Ampel | Bemerkung |
+|---|---|---|---|
+| Sitz Anbieter (Hauptvertragspartei) | | | |
+| Konzernzugehörigkeit (US-Konzern?) | | | |
+| Verarbeitungsstandort | | | |
+| Backup-Standort | | | |
+| Modellanbieter (etwa OpenAI) Standort | | | |
+| Hoster Standort | | | |
+| CLOUD-Act-Anwendbarkeit | | | |
+| FISA-Anwendbarkeit | | | |
+| Professional Secrecy Addendum | | | |
+| Gerichtsstand Deutschland | | | |
+| Anwendbares deutsches Recht | | | |
+| Standardvertragsklauseln (SCC) | | | |
+| Adequacy decision (EU-US-DPF) | | | |
+
+## EU-US-Data Privacy Framework
+
+Das 2023 in Kraft getretene Data Privacy Framework regelt den datenschutzrechtlichen Datentransfer in die USA. **Es regelt nicht das Berufsgeheimnis.** Es schützt nicht vor CLOUD-Act-Zugriffen. Der DPF ist datenschutzrechtlich relevant, berufsrechtlich nur als Indiz für ein gewisses Schutzniveau, nicht als Genehmigung.
+
+## Empfehlungen
+
+- Bei EU/EWR-Anbietern: Auslandsbezug grundsätzlich unproblematisch
+- Bei US-Anbietern: Professional Secrecy Addendum, EU-Hosting-Zusicherung, kein US-Backup
+- Bei Anbietern aus sonstigen Drittstaaten (China, Indien): in der Regel rote Ampel — Vergleichbarkeit muss positiv nachgewiesen werden
+
+## Output
+
+Tabellarische Bewertung. Bei US-Bezug: Vorlage für Professional Secrecy Addendum aus dem Skill `klauselvorschlaege`.
@@ -0,0 +1,60 @@
+---
+name: erforderlichkeit-dokumentieren
+description: "Pruefe die Erforderlichkeit der Offenlegung von Berufsgeheimnissen gegenueber dem KI-Dienstleister nach Absatz eins der einschlaegigen Dienstleisterregelung (BRAO StBerG WPO PAO BNotO). Bezugspunkt ist nach DAV-Stellungnahme zweiunddreissig der Zweck der Offenlegung nicht die KI-Strategie der Kanzlei. Erstelle einen internen Compliance-Vermerk mit Beurteilungsspielraum und Grenzen."
+---
+
+# Erforderlichkeit dokumentieren
+
+## Disclaimer
+
+Diese Forprüfung ist keine Rechtsberatung, sondern strukturierte Argumentationshilfe für das Anbietergespräch. Die abschließende berufsrechtliche und strafrechtliche Beurteilung bleibt der inhabilen Kanzlei beziehungsweise einer beauftragten Spezialkanzlei vorbehalten.
+
+## Norm
+
+Pro Beruf wird auf Absatz 1 der jeweiligen Dienstleisterregelung verwiesen. Diese Vorschriften sind nahezu wortgleich:
+
+- § 43e Abs. 1 BRAO: Der Rechtsanwalt darf Dienstleistern den Zugang zu Tatsachen eröffnen, auf die sich die Verpflichtung zur Verschwiegenheit gemäß § 43a Abs. 2 BRAO bezieht, soweit dies für die Inanspruchnahme der Dienstleistung erforderlich ist.
+- § 62a Abs. 1 StBerG — wortgleich für Steuerberater bezogen auf § 57 Abs. 1 StBerG.
+- § 50a Abs. 1 WPO — wortgleich für Wirtschaftsprüfer.
+- § 39c Abs. 1 PAO — wortgleich für Patentanwalt bezogen auf § 39a Abs. 2 Satz 1 PAO.
+- § 26a Abs. 1 BNotO — wortgleich für Notar bezogen auf § 18 BNotO. Beim Notar wird ausdrücklich klargestellt, dass die Eröffnung "ohne Einwilligung der Beteiligten" zulässig ist (Abs. 1 Satz 1).
+
+## Bezugspunkt nach DAV
+
+Maßgeblich ist nicht, ob die Kanzlei KI braucht — diese unternehmerische Entscheidung wird vorausgesetzt. Maßgeblich ist, ob die konkrete Offenlegung der Mandatsdaten gegenüber dem konkreten Dienstleister für den konkreten Zweck erforderlich ist. Das hat die DAV-Stellungnahme 32/2025 (Seite 12) sehr deutlich ausgeführt. Der Beurteilungsspielraum der Kanzlei ist weit.
+
+Praktisch heißt das: Wer ein Tool zur Vertragsanalyse einsetzt, muss nicht begründen, warum er überhaupt KI nutzt. Er muss begründen, warum die Offenlegung der Mandatsdaten gegenüber genau diesem Anbieter zur Erfüllung dieses Zwecks erforderlich ist.
+
+## Erforderlich ≠ unerlässlich
+
+DAV-Stellungnahme Seite 12: Erforderlichkeit verlangt nicht, dass das Tool den günstigsten oder einzig denkbaren Weg darstellt. Es darf eine sinnvolle, fachlich gerechtfertigte Wahl sein. Die Kanzlei darf zwischen verschiedenen Anbietern abwägen — Preis, Funktionsumfang, Sicherheit. Diese Abwägung ist Teil der Berufsausübungsfreiheit.
+
+## Grenzen
+
+Bei zwei Konstellationen verlässt der Vorgang den Bereich des nach Abs. 1 Erforderlichen:
+
+1. **KI-Training mit Mandatsdaten** — Die Übermittlung von Mandatsdaten zu Trainingszwecken erreicht die Erforderlichkeitsschwelle nicht (DAV S. 14). Hier muss vertraglich "no training" zugesichert sein.
+2. **Datenmengen weit jenseits des Zwecks** — Wird das Tool nur für Recherche eingesetzt, müssen nicht alle Aktenbestandteile hochgeladen werden.
+
+## Prüfpunkte am Vertrag
+
+- Beschreibt der Vertrag den Verarbeitungszweck präzise?
+- Ist der Zweck mit dem konkret geplanten Einsatz konsistent?
+- Werden Daten erkennbar über den Zweck hinaus verarbeitet (Training, Statistik, Modellverbesserung)?
+- Gibt es Zweckbindungsklauseln im Vertrag?
+
+## Output
+
+Interner Compliance-Vermerk mit:
+
+- Beschreibung des konkreten Einsatzzwecks
+- Begründung, warum die Offenlegung erforderlich ist
+- Alternativen, die abgewogen wurden
+- "no training"-Aussage im Vertrag (Fundstelle oder Lücke)
+- Beurteilung Ampel: grün/gelb/rot
+
+Der Vermerk geht zu den Kanzleiunterlagen. Er ist im Streitfall (etwa berufsrechtliches Verfahren) der zentrale Nachweis der Erforderlichkeit.
+
+## Sonderfall Notar
+
+Bei Dienstleistungen, die unmittelbar einem einzelnen Amtsgeschäft dienen (§ 26a Abs. 4 BNotO), ist die Einwilligung des Beteiligten erforderlich. Die Erforderlichkeit nach Abs. 1 bleibt davon unberührt, tritt aber neben das Einwilligungserfordernis.
@@ -0,0 +1,93 @@
+---
+name: gutachten-erstellen
+description: "Erstelle das zusammenfassende Forpruefungs-Gutachten zum KI-Anbietervertrag. Aufbau Eingangsdaten Norm-Adapter Pruefpunkte Erforderlichkeit Verschwiegenheit Belehrung Subunternehmer Strafprozess TOM Drittstaat Ampelbewertung Lueckenliste Handlungsempfehlung. Ausdruecklich keine Rechtsberatung sondern strukturierte Argumentationshilfe fuer das Anbietergespraech."
+---
+
+# Forprüfungs-Gutachten erstellen
+
+## Disclaimer
+
+**Diese Forprüfung ist keine Rechtsberatung.** Sie ist eine strukturierte Argumentationshilfe für das Anbietergespräch. Die abschließende berufsrechtliche und strafrechtliche Beurteilung im konkreten Einzelfall bleibt der inhabilen Kanzlei beziehungsweise einer beauftragten Spezialkanzlei vorbehalten.
+
+## Zweck
+
+Das Gutachten fasst alle Einzelprüfungen zu einem strukturierten Dokument zusammen. Es ist intern für die Kanzlei bestimmt, kann aber auszugsweise als Argumentationsgrundlage gegenüber dem Anbieter verwendet werden.
+
+## Aufbau
+
+### 1. Eingangsdaten
+
+Aus `kaltstart-interview`. Beruf, Anbieter, Produkt, Datenarten, Vertragstyp, Anlagen.
+
+### 2. Norm-Adapter
+
+Aus `parallelnormen-andere-berufe`. Tabelle der einschlägigen Normen. Hinweis auf § 203 StGB als Klammer.
+
+### 3. Maßstab
+
+Goldstandard: DAV-Stellungnahme Nr. 32/2025. BRAK-Leitfaden Dezember 2024 wird kurz erwähnt — zurückhaltend.
+
+### 4. Einzelne Prüfpunkte
+
+Pro Skill ein Abschnitt:
+
+- **Erforderlichkeit** (`erforderlichkeit-dokumentieren`)
+- **Verschwiegenheitsklausel** (`verschwiegenheitsklausel-pruefen`)
+- **Strafrechtliche Belehrung** (`strafrechtliche-belehrung-pruefen`)
+- **Subunternehmer-Regelung** (`subunternehmer-regelung-pruefen`)
+- **Strafprozessuale Regelung** (`strafprozessuale-regelung-pruefen`)
+- **TOM und Zertifizierungen** (`tom-und-zertifizierungen-pruefen`)
+- **Cloud Act und Drittstaat** (`cloud-act-und-drittstaat-pruefen`)
+- **AVV-Grenzprüfung Datenschutz** (`avv-grenzpruefung-datenschutz`) — als Schnittstelle
+
+Jeder Abschnitt enthält:
+
+- die einschlägige Norm
+- die DAV-Lesart
+- die konkrete Bewertung am vorgelegten Vertrag (Ampel grün/gelb/rot)
+- Lücken und offene Punkte
+
+### 5. Gesamtampel
+
+| Bereich | Ampel | Bemerkung |
+|---|---|---|
+| Erforderlichkeit | | |
+| Verschwiegenheitsklausel | | |
+| Strafrechtliche Belehrung | | |
+| Subunternehmer | | |
+| Strafprozessuale Absicherung | | |
+| TOM und Zertifizierungen | | |
+| Drittstaat | | |
+| AVV (Schnittstelle) | | |
+
+### 6. Handlungsempfehlung
+
+Drei Stufen:
+
+- **Annehmbar** (alles grün, gelbe Punkte dokumentieren) — Vertrag nutzbar nach Annahme
+- **Nachverhandelbar** (überwiegend grün/gelb, klare rote Punkte) — Rückfragebrief und Klauselvorschläge versenden
+- **Nicht annehmbar** (mehrere rote Punkte, strukturelle Probleme) — Anbieterwechsel oder grundlegende Vertragsneuverhandlung
+
+### 7. Anlagen
+
+- Tabellarische Bewertung pro Prüfpunkt
+- Lückenliste (priorisiert)
+- Verweise auf Rückfragebrief und Klauselvorschläge
+
+## Schlussklausel im Gutachten
+
+Am Ende jedes Gutachtens steht:
+
+> Dieses Forprüfungs-Gutachten ist keine Rechtsberatung. Es ist eine strukturierte Argumentationshilfe für das Anbietergespräch. Die abschließende berufsrechtliche und strafrechtliche Beurteilung im konkreten Einzelfall bleibt der inhabilen Kanzlei beziehungsweise einer beauftragten Spezialkanzlei vorbehalten. Quellen: Memorandum zu § 43e BRAO und § 203 StGB; DAV-Initiativstellungnahme Nr. 32/2025; BT-Drs. 18/12940; einschlägige Gesetzestexte (BRAO StBerG WPO PAO BNotO StGB StPO DS-GVO).
+
+## Stil
+
+- Sachlich, kurz
+- Tabellen wo möglich
+- Keine Marketing-Sprache
+- Disclaimer am Anfang und am Ende
+- Bezeichne Anbieterversprechen klar als "Aussage Anbieter, noch nicht im Vertrag" oder "im Vertrag (Fundstelle)"
+
+## Output-Format
+
+Markdown, ca. 5 bis 10 Seiten. PDF-Export optional via Plugin `office`.
@@ -0,0 +1,98 @@
+---
+name: kaltstart-interview
+description: "Erfasse Beruf des Auftraggebers (Rechtsanwalt Steuerberater Wirtschaftspruefer Patentanwalt Notar) Anbieter Produktname Vertragsdokument Datenarten Verarbeitungszweck Hostingland und Subunternehmerstruktur. Bilde daraus den Norm-Adapter (BRAO StBerG WPO PAO BNotO) und entscheide ob Kanzleiinfrastruktur oder Einzelmandats-Tool im Sinne Absatz fuenf vorliegt. Lade dazu die Skill parallelnormen-andere-berufe."
+---
+
+# Kaltstart-Interview
+
+## Disclaimer
+
+Diese Forprüfung ist keine Rechtsberatung, sondern strukturierte Argumentationshilfe für das Anbietergespräch. Die abschließende berufsrechtliche und strafrechtliche Beurteilung bleibt der inhabilen Kanzlei beziehungsweise einer beauftragten Spezialkanzlei vorbehalten.
+
+## Zweck
+
+Bevor die materielle Prüfung beginnt, brauchen wir saubere Eingangsdaten. Das Interview fixiert Beruf, Anbieter, Datenarten und Vertragstyp. Daraus leitet sich der Norm-Adapter ab — von ihm hängt jede weitere Skill ab.
+
+## Pflichtfragen
+
+### Beruf des Auftraggebers
+
+Welche Berufsgruppe nutzt das Tool?
+
+- Rechtsanwalt — Norm: § 43e BRAO i.V.m. § 43a Abs. 2 BRAO und § 203 Abs. 1 Nr. 3 StGB
+- Steuerberater oder Steuerbevollmächtigter — Norm: § 62a StBerG i.V.m. § 57 Abs. 1 StBerG und § 203 Abs. 1 Nr. 3 StGB
+- Wirtschaftsprüfer oder vereidigter Buchprüfer — Norm: § 50a WPO i.V.m. § 43 WPO und § 203 Abs. 1 Nr. 3 StGB (bei Wirtschaftsprüfungsgesellschaft zusätzlich § 59c WPO)
+- Patentanwalt — Norm: § 39c PAO i.V.m. § 39a Abs. 2 PAO und § 203 Abs. 1 Nr. 3 StGB
+- Notar — Norm: § 26a BNotO i.V.m. § 18 BNotO und § 203 Abs. 1 Nr. 1 StGB
+
+Sind mehrere Berufsgruppen in einer Sozietät gemischt vertreten (Anwalts-Steuerberater-Gesellschaft, multidisziplinäre Praxis), gelten die strengsten Anforderungen kumulativ. Beim Notar besonders auf § 26a Abs. 4 BNotO achten — bei Dienstleistungen für ein einzelnes Amtsgeschäft ist die Einwilligung des Beteiligten erforderlich.
+
+### Anbieter und Produkt
+
+- Firmenname und Sitz des Anbieters (juristische Person, vertretungsberechtigte Personen)
+- Produktname und Versionsstand (Bsp.: GPT-4, Claude Sonnet, Mistral Large, Aleph Alpha Luminous; eigene Marken-Frontends)
+- Eigenes Sprachmodell oder API-Aufruf an Drittanbieter (z.B. Microsoft Azure OpenAI, AWS Bedrock)
+- Welche Subunternehmer sind vorgesehen (Hyperscaler, Modellanbieter, Hosting)?
+
+### Datenarten und Verarbeitungszweck
+
+- Welche Datenkategorien werden eingegeben (Mandatsschriftsätze, Vertragsentwürfe, Personalakten, Bilanzdaten, Notariatsurkunden, Patentanmeldungen)?
+- Werden besondere Kategorien personenbezogener Daten verarbeitet (Art. 9 DS-GVO)?
+- Geht es um Kanzleiinfrastruktur (übergreifend) oder ein Tool, das einem konkreten Mandat dient (Abs. 5 der Dienstleisterregelung)?
+- Wer im Haus hat Zugriff?
+
+### Hostingland und Auslandsbezug
+
+- Wo liegen die Server (EU/EWR, USA, sonstiges Drittland)?
+- Wo sitzt der Modellanbieter selbst (etwa OpenAI in den USA)?
+- Greift der US-CLOUD Act (US-Konzern oder US-Tochter)?
+
+### Vertragsstand
+
+- Liegt ein eigenständiger Vertrag vor, oder nur AGB plus Datenschutzanhang?
+- Wann wurde der Vertrag zuletzt geändert?
+- Wer hat unterzeichnet?
+- Liegt eine Auftragsverarbeitungsvereinbarung nach Art. 28 DS-GVO bei?
+
+## Heuristik Kanzleiinfrastruktur vs. Einzelmandats-Tool
+
+Nach DAV-Stellungnahme 32/2025 (Seite 15) ist die Einwilligung des Mandanten oder Beteiligten regelmäßig nicht erforderlich, wenn das Tool als allgemeine Kanzleiinfrastruktur eingesetzt wird. Sie ist erforderlich, wenn das Tool unmittelbar einem einzelnen Mandat oder einem einzelnen Amtsgeschäft dient (Abs. 5 der jeweiligen Dienstleisterregelung).
+
+Indikatoren für **Kanzleiinfrastruktur** (kein Einzelmandatsbezug, keine Einwilligung erforderlich):
+
+- Mandant-unabhängige Recherche, Vorlagenerzeugung, allgemeine Vertragsanalyse, Wissensmanagement
+- Verfügbarkeit für alle Mandate
+- keine mandatsspezifische Konfiguration
+
+Indikatoren für **Einzelmandats-Tool** (Einwilligung erforderlich):
+
+- Spezielle Konfiguration für einen Mandanten
+- Verarbeitung benannter Beteiligter
+- Mandat-spezifische Trainingsdaten oder Embeddings
+- Notariatsspezifisch: Tool dient einem konkreten Amtsgeschäft
+
+Bei Unsicherheit: konservativ entscheiden und Einwilligung einholen.
+
+## Output
+
+Strukturierter Eingangsdatensatz im Markdown-Format:
+
+```
+## Eingangsdaten
+- Beruf: ...
+- Norm-Adapter: § ... 
+- Anbieter: ...
+- Produkt: ...
+- Subunternehmer: ...
+- Datenarten: ...
+- Hostingland: ...
+- Auslandsbezug: ...
+- Vertragstyp: Kanzleiinfrastruktur / Einzelmandats-Tool
+- Vertragsdokumente vorgelegt: ja/nein, Stand, Anlagen
+```
+
+Diese Daten werden an alle folgenden Skills weitergereicht.
+
+## Lückenmanagement
+
+Wenn der Auftraggeber Antworten nicht hat, ist das selbst schon ein Befund. Fehlende Anbieter-Sitzangaben, fehlende Subunternehmerliste, unklarer Verarbeitungszweck — alles davon landet ohne weiteres im Rückfragebrief.
@@ -0,0 +1,101 @@
+---
+name: klauselvorschlaege
+description: "Liefere konkrete Mustertexte fuer Vertragsklauseln mit dem KI-Anbieter. Bausteine Verschwiegenheit Belehrung §§ 203 204 StGB Subunternehmer no training Zero-Retention EU-Hosting Audit-Recht Loeschkonzept Professional Secrecy Addendum fuer US-Anbieter Gerichtsstand Anlage Normtext. Bausteine sind Vorlagen keine fertigen Vertraege."
+---
+
+# Klauselvorschläge — Bausteine
+
+## Disclaimer
+
+Diese Forprüfung ist keine Rechtsberatung, sondern strukturierte Argumentationshilfe für das Anbietergespräch. Die Mustertexte sind Verhandlungsmaterial, kein fertiger Vertrag. Vor Unterzeichnung ist eine anwaltliche Prüfung im konkreten Vertragsumfeld erforderlich.
+
+## Aufbau
+
+Die folgenden Klauselvorschläge sind modular. Sie können einzeln oder als Paket in den Vertrag aufgenommen werden. Sie sind so formuliert, dass sie der Pflichtenstruktur der jeweiligen Dienstleisterregelung entsprechen (BRAO StBerG WPO PAO BNotO).
+
+## Baustein 1 — Verschwiegenheit
+
+> Der Anbieter ist gegenüber jedermann zur Verschwiegenheit über alle Tatsachen verpflichtet, die ihm im Rahmen der Vertragserfüllung über die Mandanten, Beteiligten oder Mandate des Auftraggebers bekannt werden. Die Verschwiegenheitspflicht gilt zeitlich unbegrenzt und besteht über das Vertragsende hinaus fort. Sie erfasst sämtliche Tatsachen, auf die sich die Verschwiegenheitspflicht des Auftraggebers gemäß [Norm-Adapter einsetzen: § 43a Abs. 2 BRAO bzw. § 57 Abs. 1 StBerG bzw. § 43 WPO bzw. § 39a Abs. 2 PAO bzw. § 18 BNotO] bezieht. Ausnahmen bestehen nur, soweit eine gesetzliche Offenbarungspflicht besteht oder der Mandant beziehungsweise Beteiligte ausdrücklich in die Offenbarung eingewilligt hat.
+
+## Baustein 2 — Strafrechtliche Belehrung
+
+> Der Anbieter ist über die strafrechtlichen Folgen einer Verletzung der Verschwiegenheitspflicht nach § 203 Abs. 4 StGB und § 204 StGB belehrt. Der Anbieter verpflichtet seine eigenen Mitarbeiter und alle eingebundenen Subunternehmer in Textform (§ 126b BGB) zur Verschwiegenheit und belehrt sie ebenfalls über §§ 203, 204 StGB. Die Belehrung umfasst auch die gewerbsmäßige Variante nach § 203 Abs. 6 StGB. Der Normtext der §§ 203, 204 StGB ist als Anlage 1 Bestandteil dieses Vertrags.
+
+## Baustein 3 — Erforderlichkeitsschwelle Kenntnis
+
+> Der Anbieter verschafft sich nur insoweit Kenntnis von den ihm anvertrauten oder bekanntgewordenen Tatsachen, als dies zur Vertragserfüllung erforderlich ist. Der Anbieter trifft technische und organisatorische Maßnahmen, um die Einhaltung dieser Erforderlichkeitsschwelle sicherzustellen, insbesondere rollenbasierte Zugriffskontrolle und Audit-Logs.
+
+## Baustein 4 — Subunternehmer
+
+> Der Anbieter ist befugt, weitere Personen zur Erfüllung des Vertrags heranzuziehen. Die aktuelle, abschließende Liste der Subunternehmer ist als Anlage 2 Bestandteil dieses Vertrags. Sie umfasst pro Subunternehmer Name, Sitz, Funktion und Verarbeitungsstandort.
+>
+> Vor Hinzunahme eines weiteren Subunternehmers oder Wechsel eines bestehenden Subunternehmers informiert der Anbieter den Auftraggeber mindestens 30 Tage im Voraus in Textform. Der Auftraggeber kann der Hinzunahme oder dem Wechsel innerhalb von 14 Tagen aus berufsrechtlichen Gründen widersprechen.
+>
+> Der Anbieter verpflichtet jeden Subunternehmer in Textform zur Verschwiegenheit und belehrt ihn über §§ 203, 204 StGB. Inhaltliche Anforderungen sind mindestens diejenigen, die für den Anbieter selbst gelten (Bausteine 1, 2 und 3).
+
+## Baustein 5 — no training
+
+> Der Anbieter verarbeitet die vom Auftraggeber eingegebenen Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistung. Eine Verwendung der Daten zum Training, Fine-Tuning, zur Verbesserung oder Bewertung von KI-Modellen — gleich ob eigene Modelle oder Drittmodelle — findet nicht statt. Dies gilt auch für aggregierte oder anonymisierte Verwendung. Der Anbieter sichert diese Beschränkung auch in seinen Verträgen mit Modellanbietern und Hostern vertraglich ab.
+
+## Baustein 6 — Zero Retention
+
+> Der Anbieter speichert die vom Auftraggeber eingegebenen Daten nicht länger als für die Erbringung der konkreten Leistung erforderlich. Eingaben werden nach Abschluss der jeweiligen Verarbeitung unverzüglich gelöscht, spätestens innerhalb von 24 Stunden. Eine Speicherung in Logfiles erfolgt nur in pseudonymisierter Form und nicht länger als sieben Tage.
+
+## Baustein 7 — EU-Hosting
+
+> Die Verarbeitung und Speicherung der Daten erfolgt ausschließlich in Rechenzentren innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Dies gilt auch für Backups und Logs. Eine Verarbeitung außerhalb von EU oder EWR — gleich ob beim Anbieter selbst oder bei Subunternehmern — bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers.
+
+## Baustein 8 — Verschlüsselung
+
+> Die Übertragung der Daten erfolgt verschlüsselt nach dem aktuellen Stand der Technik (mindestens TLS in einer aktuellen Version). Daten im Ruhezustand werden mit AES 256 oder gleichwertig verschlüsselt. Schlüssel werden in einem Schlüsselverwaltungssystem nach BSI-Empfehlung verwahrt.
+
+## Baustein 9 — Audit-Recht und Zertifizierung
+
+> Der Anbieter hält ein zertifiziertes Informationssicherheitsmanagement nach ISO 27001 vor und legt das aktuelle Testat dem Auftraggeber unaufgefordert jährlich vor. Bei Cloud-Anbietern zusätzlich ein BSI-C5-Typ-2-Testat. Der Auftraggeber kann auf eigene Kosten und nach Voranmeldung von 30 Tagen Audits durchführen oder durch einen unabhängigen Dritten durchführen lassen.
+
+## Baustein 10 — Löschung
+
+> Bei Vertragsende sowie auf Anforderung des Auftraggebers löscht der Anbieter alle vom Auftraggeber eingegebenen Daten unverzüglich, spätestens innerhalb von 30 Tagen. Die Löschung umfasst alle Speicherorte, einschließlich Backups und Logs. Der Anbieter bestätigt die Löschung schriftlich und liefert ein Löschprotokoll.
+
+## Baustein 11 — Strafprozessuale Vorkehrungen
+
+> Der Anbieter ist verpflichtet, behördlichen Auskunftsverlangen, Durchsuchungs- oder Beschlagnahmeanordnungen mit Hinweis auf §§ 53a, 97 StPO entgegenzutreten und Rechtsmittel einzulegen, soweit nicht offensichtlich unzulässig. Der Anbieter informiert den Auftraggeber unverzüglich vorab über jedes derartige Verlangen, soweit gesetzlich zulässig.
+
+## Baustein 12 — Meldepflicht
+
+> Der Anbieter meldet dem Auftraggeber jeden Sicherheitsvorfall, jede Datenpanne und jede Behördenanfrage unverzüglich, spätestens innerhalb von 24 Stunden ab Kenntnis. Die Meldung erfolgt in Textform mit Beschreibung des Vorfalls, der betroffenen Daten und der getroffenen Maßnahmen.
+
+## Baustein 13 — Professional Secrecy Addendum (für US-Anbieter)
+
+> Soweit der Anbieter unter US-Recht (insbesondere CLOUD Act, FISA) Auskunftsverlangen ausgesetzt ist, gilt zusätzlich:
+>
+> (a) Der Anbieter ficht jedes US-Auskunftsverlangen, das Mandatsdaten des Auftraggebers betrifft, mit den verfügbaren Rechtsmitteln an, soweit nicht offensichtlich unzulässig.
+> (b) Der Anbieter informiert den Auftraggeber unverzüglich, soweit gesetzlich zulässig (auch bei Gag Order: soweit zulässig allgemeine Information oder Statistik).
+> (c) Daten und Backups werden nicht in die USA übertragen.
+> (d) Der Anbieter führt keine US-seitigen Support-Zugriffe auf Mandatsdaten durch.
+
+## Baustein 14 — Gerichtsstand und anwendbares Recht
+
+> Auf diesen Vertrag findet ausschließlich deutsches Recht Anwendung. Gerichtsstand für alle Streitigkeiten ist [Sitz des Auftraggebers]. Eine Schiedsklausel oder ein ausländischer Gerichtsstand sind ausgeschlossen.
+
+## Anlage 1 — Normtext (Vorlage)
+
+```
+Anlage 1 zum Vertrag — Strafrechtliche Belehrung
+
+§ 203 StGB Verletzung von Privatgeheimnissen — Auszug
+(Abs. 1, Abs. 3 Satz 2, Abs. 4, Abs. 6) — vollständiger Normtext einfügen
+
+§ 204 StGB Verwertung fremder Geheimnisse — vollständiger Normtext einfügen
+```
+
+## Hinweise zur Verhandlung
+
+- Anbieter weichen häufig auf "Trust Center"-Versprechen aus. Die Klauseln müssen im Vertragstext stehen.
+- Bei US-Anbietern ist Baustein 13 typischer Verhandlungspunkt — wird nicht immer akzeptiert.
+- Beim Subunternehmer-Zustimmungsvorbehalt (Baustein 4) wehren sich Anbieter, weil ihre Lieferkette dann statisch wird; ein Widerspruchsrecht mit kurzer Frist ist ein realistischer Kompromiss.
+- "no training" (Baustein 5) ist heute Marktstandard und sollte verbindlich werden, nicht nur Default-Setting in einem Account.
+
+## Output
+
+Markdown-Datei mit ausgewählten oder allen Bausteinen. Bei Bedarf in das Vertragsdokument einarbeiten lassen.
@@ -0,0 +1,87 @@
+---
+name: parallelnormen-andere-berufe
+description: "Norm-Adapter-Referenz fuer alle fuenf Berufsgeheimnistraeger Rechtsanwalt Steuerberater Wirtschaftspruefer Patentanwalt Notar. Mapping der Dienstleisterregelungen Verschwiegenheitspflichten und § 203 StGB-Tatbestaende. Sonderregeln fuer Berufsausuebungsgesellschaften (§ 59c WPO) Anwaltsnotare gemischte Sozietaeten und multidisziplinaere Praxen."
+---
+
+# Parallelnormen — alle fünf Berufe
+
+## Disclaimer
+
+Diese Forprüfung ist keine Rechtsberatung, sondern strukturierte Argumentationshilfe für das Anbietergespräch. Die abschließende berufsrechtliche und strafrechtliche Beurteilung bleibt der inhabilen Kanzlei beziehungsweise einer beauftragten Spezialkanzlei vorbehalten.
+
+## Übersichtstabelle
+
+| Beruf | Verschwiegenheit | Dienstleister | § 203 StGB |
+|---|---|---|---|
+| Rechtsanwalt | § 43a Abs. 2 BRAO | § 43e BRAO | Abs. 1 Nr. 3 |
+| Steuerberater | § 57 Abs. 1 StBerG | § 62a StBerG | Abs. 1 Nr. 3 |
+| Wirtschaftsprüfer | § 43 WPO | § 50a WPO (§ 59c WPO bei BG) | Abs. 1 Nr. 3 |
+| Patentanwalt | § 39a Abs. 2 PAO | § 39c PAO (für BG § 71 PAO) | Abs. 1 Nr. 3 |
+| Notar | § 18 BNotO | § 26a BNotO | Abs. 1 Nr. 1 |
+
+## Vergleich der Tatbestände
+
+Die fünf Dienstleisterregelungen sind nahezu wortgleich. Die zentrale Struktur ist immer:
+
+- **Abs. 1** Befugnis zur Offenlegung gegenüber Dienstleistern, soweit erforderlich
+- **Abs. 2** Sorgfältige Auswahl und Beendigung bei Verstößen
+- **Abs. 3** Textform plus drei Pflichtinhalte (Verschwiegenheit + Belehrung, Erforderlichkeitsschwelle Kenntnis, Subunternehmer-Festlegung)
+- **Abs. 4** Auslandsregelung (vergleichbares Schutzniveau)
+- **Abs. 5** Einzelfallbezug (Einwilligung bei mandats- oder amtsgeschäftsspezifischen Dienstleistungen)
+- **Abs. 6/7** Verzicht durch Mandanten/Beteiligte; Subsidiarität zu speziellen Gesetzen
+- **Abs. 8** Datenschutzrecht bleibt unberührt
+
+## Berufsspezifische Besonderheiten
+
+### Rechtsanwalt (§ 43e BRAO)
+
+Die Norm wurde 2017 eingeführt durch das Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen (BT-Drs. 18/12940). Sie ist Vorbild für die Parallelnormen.
+
+### Steuerberater (§ 62a StBerG)
+
+Wortgleich zu § 43e BRAO. Bezugspunkt ist die Verschwiegenheitspflicht nach § 57 Abs. 1 StBerG. Steuerberater sind in § 203 Abs. 1 Nr. 3 StGB ausdrücklich genannt.
+
+### Wirtschaftsprüfer (§ 50a WPO)
+
+Wortgleich zu § 43e BRAO. Bezugspunkt ist § 43 WPO. Bei Wirtschaftsprüfungsgesellschaften zusätzlich § 59c WPO (Berufsgesellschaftspflichten). Die WPK (Wirtschaftsprüferkammer) veröffentlicht eigene Praxishinweise zu § 50a WPO.
+
+### Patentanwalt (§ 39c PAO)
+
+Wortgleich zu § 43e BRAO, eingeführt 2017 zeitgleich mit der BRAO-Regelung. Bezugspunkt ist § 39a Abs. 2 Satz 1 PAO. Für Patentanwaltsgesellschaften zusätzlich § 71 PAO (Verschwiegenheitspflicht; Inanspruchnahme von Dienstleistungen).
+
+### Notar (§ 26a BNotO)
+
+Wortgleich zu § 43e BRAO, aber mit zwei Eigenheiten:
+
+1. Abs. 1 Satz 1 stellt ausdrücklich klar, dass die Eröffnung "ohne Einwilligung der Beteiligten" zulässig ist (anders als bei der ungeregelten Ausgangslage).
+2. § 203 Abs. 1 Nr. 1 StGB erfasst Notare ausdrücklich (Notar ist Amtsträger mit eigener Strafrechtsnummer).
+3. Abs. 4 spricht von "Amtsgeschäft" statt "Mandat" (Abs. 5).
+
+## Multidisziplinäre Sozietäten
+
+Bei gemischten Sozietäten (etwa Anwalts-Steuerberater-Gesellschaft oder Wirtschaftsprüfungs-Steuerberatungs-Gesellschaft) gelten alle einschlägigen Berufsgeheimnisregelungen kumulativ. Die strengsten Anforderungen schlagen durch.
+
+### Anwaltsnotar
+
+Beim Anwaltsnotar (gibt es weiterhin in einigen Bundesländern, etwa Berlin Brandenburg Hessen) gilt für die anwaltliche Tätigkeit § 43e BRAO, für die notarielle Tätigkeit § 26a BNotO. In der Praxis ist die strikte Trennung schwierig — bei Mischtätigkeit wirken beide.
+
+## § 203 StGB als Klammer
+
+§ 203 Abs. 1 StGB erfasst die fünf Berufsgruppen ausdrücklich (Nr. 1 Notare, Nr. 3 die übrigen). § 203 Abs. 3 Satz 2 StGB erfasst die mitwirkenden Personen. § 203 Abs. 4 Satz 2 Nr. 1 StGB normiert die Sekundärpflicht zur vertraglichen Verpflichtung — Verletzung macht den Berufsträger selbst strafbar.
+
+## Datenfeld für Skill-Ausgaben
+
+Folgende Felder sollten in jeder Skill-Ausgabe gefüllt sein:
+
+```
+- Beruf: <RA|StB|WP|PatA|Notar>
+- Dienstleisterregelung: <§ 43e BRAO | § 62a StBerG | § 50a WPO | § 39c PAO | § 26a BNotO>
+- Verschwiegenheitsnorm: <§ 43a Abs. 2 BRAO | § 57 Abs. 1 StBerG | § 43 WPO | § 39a Abs. 2 PAO | § 18 BNotO>
+- § 203 StGB: Abs. 1 Nr. <1|3>
+- Berufsgesellschaftsnorm (falls relevant): <§ 59c WPO | § 71 PAO | nicht einschlägig>
+- Einzelfall-Variante: Mandat oder Amtsgeschäft
+```
+
+## Output
+
+Diese Skill liefert primär Referenzdaten für andere Skills. Sie kann auch eigenständig aufgerufen werden, um eine Übersichtstabelle zu erzeugen.
@@ -0,0 +1,94 @@
+---
+name: rueckfragebrief-an-anbieter
+description: "Erstelle einen strukturierten Rueckfragebrief an den KI-Anbieter zur Klaerung der berufsrechtlichen und strafrechtlichen Pflichten. Aufbau Anschreiben Kontext drei Fragenbloecke (Verschwiegenheit Subunternehmer TOM und Drittstaat) Fragen zu Zertifizierungen und Versprechungen Frist Unterschrift. Klare praezise Fragen die der Anbieter beantworten kann."
+---
+
+# Rückfragebrief an Anbieter
+
+## Disclaimer
+
+Diese Forprüfung ist keine Rechtsberatung, sondern strukturierte Argumentationshilfe für das Anbietergespräch. Die abschließende berufsrechtliche und strafrechtliche Beurteilung bleibt der inhabilen Kanzlei beziehungsweise einer beauftragten Spezialkanzlei vorbehalten.
+
+## Zweck
+
+Der Rückfragebrief operationalisiert die im Gutachten festgestellten Lücken in konkrete, präzise Fragen an den Anbieter. Er ist die zentrale Schnittstelle zwischen interner Bewertung und externer Verhandlung.
+
+## Aufbau
+
+### Briefkopf
+
+- Absender: Kanzlei mit Berufsbezeichnung
+- Empfänger: Anbieter, vertretungsberechtigte Person
+- Datum
+- Betreff: "Berufsrechtliche und strafrechtliche Anforderungen — Vertrag [Produktname]"
+
+### Anschreiben
+
+Kurze Einleitung — die Kanzlei prüft den Einsatz des KI-Produkts und benötigt vor Vertragsschluss bzw. zur Fortsetzung des Vertragsverhältnisses Klarstellungen zu den berufsrechtlichen Anforderungen aus §§ [Norm-Adapter] und § 203 StGB.
+
+### Inhaltliche Blöcke
+
+#### Block 1 — Verschwiegenheit und Belehrung
+
+- Wo und wie ist die Verschwiegenheit Ihres Hauses gegenüber der Kanzlei vertraglich geregelt? Bitte konkrete Fundstelle.
+- Gilt die Verschwiegenheit gegenüber jedermann und zeitlich unbegrenzt?
+- Wie haben Sie Ihre Mitarbeiter zur Verschwiegenheit verpflichtet (Textform nach § 126b BGB)?
+- Wie werden Mitarbeiter und Subunternehmer über die strafrechtlichen Folgen einer Pflichtverletzung nach §§ 203, 204 StGB belehrt? Liegt der Normtext als Anlage zu den Mitarbeiterverträgen vor?
+
+#### Block 2 — Subunternehmer
+
+- Bitte legen Sie die aktuelle, abschließende Liste aller Subunternehmer (insbesondere Modellanbieter und Hoster) mit Sitz, Funktion und Verarbeitungsstandort vor.
+- Wie werden Subunternehmer vertraglich auf die Verschwiegenheit verpflichtet und über §§ 203, 204 StGB belehrt?
+- Welche Vorabinformations- und Zustimmungsrechte hat die Kanzlei bei Hinzunahme oder Wechsel von Subunternehmern?
+- Falls Microsoft Azure oder AWS oder Google Cloud zum Einsatz kommt: Welche Region wird genutzt? Wo liegen Backups?
+
+#### Block 3 — Erforderlichkeit, no training, Speicherdauer
+
+- Welche konkreten Datenkategorien werden bei der Nutzung Ihres Dienstes verarbeitet?
+- Werden eingegebene Daten zum Training Ihres Modells oder eines Drittmodells verwendet? Bitte vertragliche "no training"-Zusicherung mit Fundstelle.
+- Wie lange werden Eingaben gespeichert? Liegt eine Zero-Retention-Klausel vor?
+- Wie erfolgt die Löschung am Vertragsende? Erhalten wir ein Löschprotokoll?
+
+#### Block 4 — Strafprozessuale Absicherung
+
+- Wie verhält sich Ihr Haus bei behördlichen Auskunftsverlangen, Durchsuchungs- oder Beschlagnahmeanordnungen?
+- Werden Sie die Kanzlei unverzüglich vorab informieren (soweit gesetzlich zulässig)?
+- Werden Sie sich gegen unzulässige Beschlagnahmen mit Hinweis auf §§ 53a, 97 StPO zur Wehr setzen?
+- Gilt deutsches Recht? Ist der Gerichtsstand Deutschland?
+
+#### Block 5 — TOM und Zertifizierungen
+
+- Welche aktuellen Zertifikate liegen vor (ISO 27001, BSI C5 Typ 2, SOC 2 Typ 2)? Bitte Geltungsbereich, Zertifizierungsstelle und Ausstellungsdatum.
+- Wo werden Daten gespeichert (Verarbeitungsstandort und Backupstandort)?
+- Welche Verschlüsselung wird im Transport und im Ruhezustand eingesetzt?
+- Welche Audit-Logs werden geführt? Wie lange?
+- Welche Meldefrist gilt für Sicherheitsvorfälle?
+
+#### Block 6 — Drittstaaten und CLOUD Act
+
+- Sind Sie ein US-Konzern oder eine US-Tochter? Findet US-Recht (CLOUD Act, FISA) auf Ihre Daten Anwendung?
+- Liegen Daten oder Backups in Drittstaaten?
+- Sind Sie bereit, ein Professional Secrecy Addendum zu unterzeichnen, das US-Auskunftsverlangen anficht und uns informiert?
+
+### Fristsetzung und Hinweise
+
+- Konkrete Frist (typisch zwei bis vier Wochen)
+- Hinweis, dass ohne Klarstellung ein Vertragsschluss bzw. eine Fortsetzung berufsrechtlich nicht möglich ist
+- Hinweis auf Vertraulichkeit der Anfrage
+
+### Unterschrift
+
+- Name, Funktion (Partner, Compliance-Officer)
+- Berufsbezeichnung
+
+## Ton
+
+Sachlich, präzise, keine Anschuldigungen. Der Anbieter soll motiviert sein zu antworten. Die Kanzlei dokumentiert dadurch zugleich die Sorgfalt nach Abs. 2 der Dienstleisterregelung.
+
+## Output
+
+Vollständiger Briefentwurf im Markdown. PDF-Export möglich.
+
+## Disclaimer im Brief
+
+Der Brief ist eine berufsrechtliche und strafrechtliche Anfrage, keine zivilrechtliche Geltendmachung. Eine zivilrechtliche oder gar strafrechtliche Geltendmachung ist im Streitfall einem spezialisierten Rechtsanwalt vorbehalten.
@@ -0,0 +1,68 @@
+---
+name: strafprozessuale-regelung-pruefen
+description: "Pruefe die strafprozessuale Absicherung des KI-Dienstleisters nach §§ 53a 97 StPO. Zeugnisverweigerungsrecht der mitwirkenden Personen Beschlagnahmeverbot fuer Mandatsdaten Widerspruchspflicht des Dienstleisters bei behoerdlichen Auskunftsverlangen Informationspflicht gegenueber der Kanzlei. Ergaenzung zum berufsrechtlich-strafrechtlichen Schutz."
+---
+
+# Strafprozessuale Regelung prüfen
+
+## Disclaimer
+
+Diese Forprüfung ist keine Rechtsberatung, sondern strukturierte Argumentationshilfe für das Anbietergespräch. Die abschließende berufsrechtliche und strafrechtliche Beurteilung bleibt der inhabilen Kanzlei beziehungsweise einer beauftragten Spezialkanzlei vorbehalten.
+
+## Normen
+
+### § 53a StPO — Zeugnisverweigerungsrecht der mitwirkenden Personen
+
+§ 53a StPO erstreckt das Zeugnisverweigerungsrecht der in § 53 Abs. 1 Satz 1 Nr. 1 bis 4 StPO genannten Berufsgeheimnisträger (also Geistliche, Verteidiger, Rechtsanwälte, Patentanwälte, Notare, Steuerberater, Wirtschaftsprüfer, Ärzte etc.) auf ihre Berufshelfer und die ihnen mitwirkenden Personen. Damit auch der KI-Dienstleister, soweit er als "mitwirkende Person" im Sinne des § 203 Abs. 3 Satz 2 StGB eingebunden ist.
+
+### § 97 StPO — Beschlagnahmeverbot
+
+§ 97 Abs. 1 StPO normiert ein Beschlagnahmeverbot für Schriftstücke und elektronische Daten, die sich im Gewahrsam der zur Zeugnisverweigerung Berechtigten befinden, soweit das Vertrauensverhältnis betroffen ist. § 97 Abs. 2 Satz 2 StPO erstreckt dies auch auf Daten, die im Gewahrsam der mitwirkenden Personen liegen.
+
+Praktische Konsequenz: Mandatsdaten beim KI-Dienstleister sind grundsätzlich der Beschlagnahme entzogen, soweit die Verschwiegenheitspflicht gilt.
+
+## Vertragliche Anforderungen
+
+Diese Schutzwirkung muss im Vertrag operationalisiert werden. Empfehlungen:
+
+### Widerspruchspflicht des Dienstleisters
+
+Der Dienstleister soll sich verpflichten, behördlichen Auskunftsverlangen, Beschlagnahmebeschlüssen oder Herausgabeverfügungen mit dem Hinweis auf §§ 53a, 97 StPO entgegenzutreten — und nicht widerstandslos zu kooperieren.
+
+### Informationspflicht gegenüber der Kanzlei
+
+Der Dienstleister muss die Kanzlei unverzüglich informieren, sobald ein Auskunftsverlangen, eine Durchsuchung oder eine Beschlagnahmeanordnung droht oder erfolgt — soweit gesetzlich zulässig (manche US-Beschlagnahmeanordnungen kommen mit Gag Order).
+
+### Pflicht zur prozessualen Inanspruchnahme
+
+Im Idealfall verpflichtet sich der Dienstleister, gegen unzulässige Beschlagnahmen den Rechtsweg zu beschreiten, mindestens aber Widerspruch einzulegen.
+
+### Gerichtsstand und anwendbares Recht
+
+Anwendbares deutsches Recht und ein deutscher Gerichtsstand sind dringend zu empfehlen, da §§ 53a, 97 StPO nur im deutschen Verfahren wirken.
+
+## Prüfschema
+
+| Punkt | Fundstelle | Ampel | Bemerkung |
+|---|---|---|---|
+| Hinweis auf §§ 53a, 97 StPO im Vertrag | | | |
+| Widerspruchspflicht bei behördlichen Verlangen | | | |
+| Informationspflicht gegenüber Kanzlei | | | |
+| Pflicht zur prozessualen Inanspruchnahme | | | |
+| Deutsches Recht und Gerichtsstand | | | |
+| Gag-Order-Klausel (Information so weit zulässig) | | | |
+
+## US-Konstellationen — CLOUD Act
+
+Bei US-Anbietern oder US-Töchtern greift der US-CLOUD Act und kann § 97 StPO faktisch unterlaufen. Hier ist ein separates Professional Secrecy Addendum erforderlich (siehe `cloud-act-und-drittstaat-pruefen`).
+
+## Typische Lücken
+
+- Keine Erwähnung von §§ 53a, 97 StPO
+- Klausel "wir kooperieren mit Behörden" ohne Vorbehalt
+- Keine Pflicht zur Vorab-Information der Kanzlei
+- Nur US-Eskalationspfad, kein deutsches Verfahren möglich
+
+## Output
+
+Tabellarische Bewertung. Defizite fließen in den Rückfragebrief und in die Klauselvorschläge.
@@ -0,0 +1,75 @@
+---
+name: strafrechtliche-belehrung-pruefen
+description: "Pruefe die strafrechtliche Belehrung des Dienstleisters nach Absatz drei Satz zwei Nummer eins der einschlaegigen Dienstleisterregelung. Pflichtinhalte § 203 Absatz eins drei vier und sechs StGB und § 204 StGB. Empfehlung Normtext als Vertragsanlage. Hinweis auf Sekundaerpflicht des Dienstleisters nach § 203 Absatz vier Satz zwei Nummer eins StGB."
+---
+
+# Strafrechtliche Belehrung prüfen
+
+## Disclaimer
+
+Diese Forprüfung ist keine Rechtsberatung, sondern strukturierte Argumentationshilfe für das Anbietergespräch. Die abschließende berufsrechtliche und strafrechtliche Beurteilung bleibt der inhabilen Kanzlei beziehungsweise einer beauftragten Spezialkanzlei vorbehalten.
+
+## Norm
+
+Absatz 3 Satz 2 Nr. 1 der jeweiligen Dienstleisterregelung verlangt die Verpflichtung des Dienstleisters "unter Belehrung über die strafrechtlichen Folgen einer Pflichtverletzung". Diese Folgen ergeben sich aus § 203 StGB und § 204 StGB.
+
+Pro Beruf identische Anforderung in:
+
+- § 43e Abs. 3 Satz 2 Nr. 1 BRAO
+- § 62a Abs. 3 Satz 2 Nr. 1 StBerG
+- § 50a Abs. 3 Satz 2 Nr. 1 WPO
+- § 39c Abs. 3 Satz 2 Nr. 1 PAO
+- § 26a Abs. 3 Satz 2 Nr. 1 BNotO
+
+## § 203 StGB — Architektur
+
+### Abs. 1 — Strafbarkeit der Berufsgeheimnisträger
+
+Wer ein fremdes Geheimnis offenbart, das ihm in seiner Eigenschaft als Angehöriger der dort genannten Berufsgruppen anvertraut oder bekanntgeworden ist. Nr. 1 erfasst unter anderem Notare; Nr. 3 erfasst Rechtsanwälte, Patentanwälte, Notare (alternativ), Steuerberater, Wirtschaftsprüfer und vergleichbare Berufsgruppen.
+
+### Abs. 3 Satz 2 — Befugnisnorm
+
+Die in Abs. 1 Genannten dürfen fremde Geheimnisse gegenüber sonstigen mitwirkenden Personen offenbaren, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen Personen erforderlich ist. Dies ist die strafrechtliche Befugnisnorm, die das Berufsrecht (§ 43e BRAO etc.) ergänzt.
+
+### Abs. 4 — Strafbarkeit des Dienstleisters
+
+**Abs. 4 Satz 1**: Die strafrechtliche Verantwortlichkeit erstreckt sich auch auf die "sonstigen mitwirkenden Personen", wenn sie das Geheimnis unbefugt offenbaren.
+
+**Abs. 4 Satz 2 Nr. 1**: Sekundärpflicht der Berufsgeheimnisträger — sie haben die mitwirkenden Personen vertraglich zur Geheimhaltung zu verpflichten. Wer dies unterlässt, macht sich nach § 203 Abs. 4 Satz 2 Nr. 1 StGB selbst strafbar. Das ist der zentrale strafrechtliche Druckpunkt für die Sorgfalt bei der Vertragsgestaltung.
+
+### Abs. 6 — gewerbsmäßig
+
+Gewerbsmäßiges Handeln führt zu erhöhter Strafandrohung. Relevant insbesondere für den Dienstleister selbst, der eine Datenverwertung betreibt.
+
+## § 204 StGB
+
+Verwertung fremder Geheimnisse zu eigenen Zwecken. Konkurrenznorm zu § 203 StGB für Fälle, in denen das Geheimnis nicht offenbart, sondern wirtschaftlich verwertet wird (etwa Modelltraining mit Mandatsdaten zu Wettbewerbszwecken).
+
+## Anforderungen an die Belehrung
+
+- Ausdrücklicher Verweis auf § 203 StGB und § 204 StGB im Vertrag
+- Hinweis auf Strafandrohung Freiheitsstrafe bis zu einem Jahr oder Geldstrafe (Grundtatbestand)
+- Hinweis auf gewerbsmäßige Variante (höhere Strafandrohung)
+- Normtext idealerweise als Vertragsanlage
+- Empfänger der Belehrung: der Dienstleister selbst und alle sonstigen mitwirkenden Personen (die der Dienstleister einbindet)
+
+## Prüfschema
+
+| Punkt | Fundstelle | Ampel | Bemerkung |
+|---|---|---|---|
+| Verweis auf § 203 StGB | | | |
+| Verweis auf § 204 StGB | | | |
+| Belehrung im Vertragstext | | | |
+| Normtext als Anlage | | | |
+| Belehrung umfasst auch Subunternehmer | | | |
+
+## Typische Lücken
+
+- Pauschaler Hinweis "strafbewehrte Verschwiegenheit" ohne Normnennung — unzureichend
+- Belehrung nur auf englisch ohne deutsche Übersetzung — bei deutschem Anbieter problematisch
+- Belehrung ausschließlich auf der Subunternehmer-Ebene, nicht beim Dienstleister selbst
+- Keine Belehrung in den Mitarbeiterunterlagen des Dienstleisters
+
+## Anlage Normtext (Vorlage)
+
+Im Skill `klauselvorschlaege` befindet sich ein Mustertext der Anlage Normtext §§ 203, 204 StGB, der direkt in den Vertrag übernommen werden kann.
@@ -0,0 +1,89 @@
+---
+name: subunternehmer-regelung-pruefen
+description: "Pruefe die Subunternehmerklausel im KI-Anbietervertrag. Norm Absatz drei Satz zwei Nummer drei der einschlaegigen Dienstleisterregelung. Pflichtinhalte Zustimmungsvorbehalt der Kanzlei Subunternehmerliste Weiterverpflichtung in Textform Belehrung. Strafrechtliche Sekundaerpflicht nach § 203 Absatz vier Satz zwei Nummer eins StGB. Modellanbieter und Hoster als typische Subunternehmer."
+---
+
+# Subunternehmer-Regelung prüfen
+
+## Disclaimer
+
+Diese Forprüfung ist keine Rechtsberatung, sondern strukturierte Argumentationshilfe für das Anbietergespräch. Die abschließende berufsrechtliche und strafrechtliche Beurteilung bleibt der inhabilen Kanzlei beziehungsweise einer beauftragten Spezialkanzlei vorbehalten.
+
+## Norm
+
+Absatz 3 Satz 2 Nr. 3 der jeweiligen Dienstleisterregelung. Der Vertrag mit dem Dienstleister muss festlegen, ob der Dienstleister befugt ist, weitere Personen zur Erfüllung des Vertrags heranzuziehen. Für diesen Fall ist dem Dienstleister aufzuerlegen, diese Personen in Textform zur Verschwiegenheit zu verpflichten.
+
+Pro Beruf:
+
+- § 43e Abs. 3 Satz 2 Nr. 3 BRAO
+- § 62a Abs. 3 Satz 2 Nr. 3 StBerG
+- § 50a Abs. 3 Satz 2 Nr. 3 WPO
+- § 39c Abs. 3 Satz 2 Nr. 3 PAO
+- § 26a Abs. 3 Satz 2 Nr. 3 BNotO
+
+Strafrechtlich ergänzend: § 203 Abs. 3 Satz 2 StGB (Befugnis zur Weitergabe an mitwirkende Personen, die ihrerseits weitere Personen einbinden) und § 203 Abs. 4 Satz 2 Nr. 1 StGB (Sekundärpflicht zur Verpflichtung).
+
+## Praxisproblem LLM-Anbieter
+
+KI-Anbieter sind oft mehrstufige Strukturen:
+
+1. **Frontend-Anbieter** (deutsche Vertragspartei, etwa ein Münchner Legal-Tech-Start-up)
+2. **Modellanbieter** (etwa OpenAI, Anthropic, Mistral, Aleph Alpha)
+3. **Hoster** (Microsoft Azure, AWS, Google Cloud)
+4. **Eventuell Trainingsdienstleister**, **Annotation-Dienstleister**, **Support-Dienstleister**
+
+Aus berufsrechtlicher Sicht sind alle vier Stufen Subunternehmer im Sinne von Abs. 3 Satz 2 Nr. 3. Der Frontend-Anbieter muss sie alle benennen und entsprechend weiterverpflichten.
+
+## Anforderungen
+
+### Festlegung im Vertrag
+
+Der Vertrag muss explizit klären, ob der Dienstleister Subunternehmer einsetzen darf. Stillschweigen reicht nicht.
+
+### Subunternehmerliste
+
+Auch wenn die Norm das nicht ausdrücklich verlangt, ist eine **abschließende Liste der Subunternehmer mit Sitz, Funktion und gegebenenfalls Hosting-Ort** der Stand guter Praxis. Sie ist Vertragsanlage oder per Link zu einem versionierten Trust Center.
+
+### Zustimmungsvorbehalt
+
+Ein **Zustimmungsvorbehalt der Kanzlei vor Hinzunahme oder Wechsel von Subunternehmern** ist nicht durch das Berufsrecht zwingend gefordert, aber sehr empfehlenswert. Die DAV-Stellungnahme stellt klar, dass die Kanzlei für die Auswahl die berufsrechtliche Verantwortung trägt (Sorgfaltsanforderung Abs. 2 der Dienstleisterregelung).
+
+### Weiterverpflichtung in Textform
+
+Der Vertrag muss den Dienstleister verpflichten, jeden Subunternehmer **in Textform** zur Verschwiegenheit zu verpflichten — mit denselben inhaltlichen Anforderungen, die für den Dienstleister selbst gelten (gegenüber jedermann, zeitlich unbegrenzt, alle Berufsgeheimnisse, Belehrung).
+
+### Belehrung über strafrechtliche Folgen
+
+Auch die Subunternehmer müssen über §§ 203, 204 StGB belehrt werden (Abs. 4 Satz 2 Nr. 1 StGB).
+
+## Prüfschema
+
+| Punkt | Fundstelle | Ampel | Bemerkung |
+|---|---|---|---|
+| Festlegung Befugnis im Vertrag | | | |
+| Aktuelle Subunternehmerliste vorhanden | | | |
+| Zustimmungsvorbehalt der Kanzlei | | | |
+| Weiterverpflichtungspflicht (Textform) | | | |
+| Belehrungspflicht für Subunternehmer | | | |
+| Informationspflicht bei Wechsel | | | |
+
+## Typische Lücken
+
+- "Wir setzen Subunternehmer nach unserem Ermessen ein" — Pflicht zur Festlegung verletzt
+- Subunternehmerliste nur als unverbindlicher FAQ-Eintrag
+- Wechsel ohne Vorankündigung
+- Nur AVV-rechtliche Weiterverpflichtung (Art. 28 Abs. 4 DS-GVO) ohne berufsrechtliche Komponente
+- Keine berufsrechtliche Belehrung der Subunternehmer
+
+## Sonderkonstellation Microsoft Azure OpenAI
+
+Der häufige Aufbau "Frontend-Anbieter — Azure-Mietservice für OpenAI-Modelle" ist berufsrechtlich besonders zu prüfen:
+
+- Azure ist Hoster und Subunternehmer
+- OpenAI als Modellanbieter ist ggf. weiterer Subunternehmer
+- US-Konzern-Mutter aller Beteiligten — Cloud Act greift (siehe `cloud-act-und-drittstaat-pruefen`)
+- Datenfluss Azure → OpenAI muss explizit beleuchtet werden
+
+## Output
+
+Tabellarische Bewertung. Lücken fließen in den Rückfragebrief ein (etwa: "Bitte legen Sie die aktuelle, abschließende Subunternehmerliste mit Sitz und Funktion vor").
@@ -0,0 +1,113 @@
+---
+name: tom-und-zertifizierungen-pruefen
+description: "Pruefe technische und organisatorische Massnahmen des KI-Anbieters und seine Zertifizierungen. Maßstab Art. 32 DS-GVO ISO 27001 BSI C5 (Cloud Computing Compliance Criteria Catalogue) SOC zwei Typ zwei TISAX. Zentral fuer Berufsrecht no training Zero-Retention EU-Hosting Verschluesselung Loeschkonzept Audit-Recht. DAV-Stellungnahme Seite dreizehn vierzehn."
+---
+
+# TOM und Zertifizierungen prüfen
+
+## Disclaimer
+
+Diese Forprüfung ist keine Rechtsberatung, sondern strukturierte Argumentationshilfe für das Anbietergespräch. Die abschließende berufsrechtliche und strafrechtliche Beurteilung bleibt der inhabilen Kanzlei beziehungsweise einer beauftragten Spezialkanzlei vorbehalten.
+
+## Norm und Rahmen
+
+Berufsrechtlich verlangt die Sorgfaltspflicht bei der Dienstleisterauswahl (Abs. 2 der jeweiligen Dienstleisterregelung), dass die technische und organisatorische Sicherheit des Anbieters überzeugt. Datenschutzrechtlich präzisiert das Art. 32 DS-GVO. Die DAV-Stellungnahme 32/2025 (Seite 13) stellt klar: Die Verschlüsselung darf nicht so weit gefordert werden, dass sie die KI-Dienstleistung entwertet. Eine Ende-zu-Ende-Verschlüsselung, die das LLM-Inferencing unmöglich macht, ist berufsrechtlich nicht zu verlangen.
+
+## "no training" — Zentralfrage
+
+Nach DAV S. 14 ist die Übermittlung von Mandatsdaten zu Trainingszwecken nicht von der Erforderlichkeitsschwelle des Abs. 1 gedeckt. Daher muss der Vertrag eine **"no training"-Klausel** enthalten — eine ausdrückliche Verpflichtung des Anbieters, eingegebene Mandatsdaten nicht zum Training des Modells zu verwenden. Bei API-Aufrufen an Drittmodelle (etwa OpenAI Azure Service) ist zusätzlich der "no training"-Status des Drittmodells nachzuweisen.
+
+## Zero Retention
+
+Die Speicherdauer eingegebener Mandatsdaten beim Anbieter ist möglichst gering zu halten. Optimal: "Zero Retention" — die Daten werden nach der Verarbeitung sofort gelöscht (typisch 0 oder 30 Sekunden nach Abschluss der API-Anfrage). Andernfalls eine konkrete kurze Frist (24 Stunden, sieben Tage). Pauschalfristen wie "bis zu 90 Tage" sind problematisch.
+
+## Zertifizierungen
+
+### ISO 27001
+
+Internationaler Standard für Informationssicherheitsmanagementsysteme. **Mindeststandard**. Prüfen: Geltungsbereich (alle relevanten Standorte und Systeme), Zertifizierungsstelle (akkreditiert), Ausstellungsdatum (höchstens drei Jahre alt), Anhang A Controls relevant.
+
+### BSI C5 (Cloud Computing Compliance Criteria Catalogue)
+
+Vom BSI entwickelter Standard für Cloud-Anbieter. Für Berufsgeheimnisträger besonders aussagekräftig, weil deutsche behördliche Standardkriterien. Es gibt Typ-1- und Typ-2-Testate; Typ 2 ist der Goldstandard.
+
+### SOC 2 Typ 2
+
+US-Standard, oft bei US-Anbietern vorhanden. Trust Services Criteria: Security, Availability, Processing Integrity, Confidentiality, Privacy. Bei US-Anbietern Mindestnachweis, aber nicht spezifisch genug für deutsches Berufsrecht.
+
+### TISAX
+
+Branchenstandard der Automobilindustrie. Für Legal-AI selten einschlägig, aber bei Mandanten aus der Automotive-Branche relevant.
+
+### EU Cloud Code of Conduct
+
+DSGVO-spezifisches Konformitätsverfahren nach Art. 40 DS-GVO. Hilfreich, aber keine eigenständige Sicherheitszertifizierung.
+
+## Konkrete Prüfpunkte
+
+### EU-Hosting
+
+- Speicherort der Daten ausschließlich in EU/EWR?
+- Auch Backups in EU/EWR?
+- Verarbeitung (Inferencing) in EU/EWR?
+- Vertraglich abgesichert oder nur als Selbstauskunft?
+
+### Verschlüsselung
+
+- Transportverschlüsselung TLS aktuell (mindestens TLS einskommadrei)
+- Verschlüsselung im Ruhezustand (AES 256)
+- Schlüsselverwaltung: Anbieter oder Kanzlei (Bring-your-own-key)?
+
+### Zugriffskontrolle
+
+- Rollenbasierte Zugriffskontrolle beim Anbieter
+- Audit-Logs aller Zugriffe auf Mandatsdaten
+- Vier-Augen-Prinzip bei Administratorenzugriffen
+- Mitarbeiter-Verpflichtungen (Verschwiegenheit, Background Check)
+
+### Löschkonzept
+
+- Auf Anforderung der Kanzlei
+- Automatisch nach Vertragsende
+- Bestätigung der Löschung durch Anbieter (Löschprotokoll)
+- Auch in Backups und Logs
+
+### Audit-Recht
+
+- Recht der Kanzlei zur Auditierung
+- Vorhandene Testate als Surrogat (typisch)
+- Mindestens jährliche Aktualisierung der Testate
+
+### Meldepflichten
+
+- Information bei Sicherheitsvorfällen (24 bis 48 Stunden)
+- Information bei Behördenanfragen
+- Information bei Subunternehmerwechsel
+
+## Prüfschema
+
+| Punkt | Status | Ampel | Bemerkung |
+|---|---|---|---|
+| "no training"-Klausel | | | |
+| Zero Retention oder kurze Frist | | | |
+| ISO 27001 (akt. Testat) | | | |
+| BSI C5 (Typ 2 bevorzugt) | | | |
+| SOC 2 Typ 2 | | | |
+| EU-Hosting vertraglich | | | |
+| Verschlüsselung TLS plus Rest | | | |
+| Audit-Logs | | | |
+| Löschkonzept | | | |
+| Meldepflicht Sicherheitsvorfall | | | |
+| Audit-Recht | | | |
+
+## Typische Lücken
+
+- "Wir nehmen Sicherheit ernst" ohne Zertifikat
+- ISO-Zertifikat nur für Hauptsitz, nicht für Verarbeitungsstandort
+- Trust Center mit Versprechen, die nicht im Vertrag stehen
+- Löschung nur "auf Anforderung", keine automatische
+- Keine "no training"-Klausel für das verwendete Modell
+
+## Output
+
+Tabellarische Bewertung. Defizite landen im Rückfragebrief mit der Aufforderung, Zertifikate, Geltungsbereiche und Vertragsklauseln vorzulegen.
@@ -0,0 +1,73 @@
+---
+name: verschwiegenheitsklausel-pruefen
+description: "Pruefe die vertragliche Verpflichtung des Dienstleisters auf Verschwiegenheit nach Absatz drei der einschlaegigen Dienstleisterregelung (§§ 43e BRAO 62a StBerG 50a WPO 39c PAO 26a BNotO). Anforderungen Textform (§ 126b BGB) Verpflichtung gegenueber jedermann zeitlich unbegrenzt alle Berufsgeheimnisse Subunternehmerklausel. Lokalisiere Fundstelle im Vertrag bewerte Luecken."
+---
+
+# Verschwiegenheitsklausel prüfen
+
+## Disclaimer
+
+Diese Forprüfung ist keine Rechtsberatung, sondern strukturierte Argumentationshilfe für das Anbietergespräch. Die abschließende berufsrechtliche und strafrechtliche Beurteilung bleibt der inhabilen Kanzlei beziehungsweise einer beauftragten Spezialkanzlei vorbehalten.
+
+## Norm
+
+Absatz 3 der jeweiligen Dienstleisterregelung verlangt drei Pflichtbestandteile im Vertrag mit dem Dienstleister:
+
+1. Verpflichtung des Dienstleisters zur Verschwiegenheit unter Belehrung über die strafrechtlichen Folgen einer Pflichtverletzung (Nr. 1).
+2. Verpflichtung des Dienstleisters, sich nur soweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Vertragserfüllung erforderlich ist (Nr. 2).
+3. Festlegung, ob der Dienstleister befugt ist, weitere Personen heranzuziehen — und für diesen Fall die Pflicht, diese in Textform zu verpflichten (Nr. 3).
+
+Pro Beruf:
+
+- Rechtsanwalt: § 43e Abs. 3 BRAO
+- Steuerberater: § 62a Abs. 3 StBerG
+- Wirtschaftsprüfer: § 50a Abs. 3 WPO
+- Patentanwalt: § 39c Abs. 3 PAO
+- Notar: § 26a Abs. 3 BNotO
+
+In diesem Skill prüfen wir Nr. 1. Die anderen beiden Punkte sind eigene Skills (`erforderlichkeitsschwelle-kenntnis` ist Teil von `verschwiegenheitsklausel-pruefen`; Subunternehmer ist eigener Skill).
+
+## Anforderungen an die Verschwiegenheitsklausel
+
+### Textform
+
+§ 126b BGB. Der Vertrag mit dem Dienstleister bedarf der Textform — auch wenn das Berufsrecht (etwa § 43e BRAO) das nicht ausdrücklich nochmals sagt, weil Absatz 3 Satz 1 dies bereits anordnet ("Der Vertrag mit dem Dienstleister bedarf der Textform").
+
+### Reichweite — "jedermann"
+
+Die Verschwiegenheit muss gegenüber jedermann gelten. Klauseln, die nur eine Verschwiegenheit gegenüber Behörden oder Dritten in Ausnahmefällen vorsehen, reichen nicht. Auch Auskunftspflichten gegenüber Aufsichtsbehörden oder Konzernmüttern können der Wirksamkeit entgegenstehen, soweit sie über zwingende gesetzliche Verpflichtungen hinausgehen.
+
+### Zeitlich unbegrenzt
+
+Die Verschwiegenheitspflicht des Dienstleisters muss zeitlich unbegrenzt sein. Sie endet nicht mit dem Ende des Vertragsverhältnisses. Vorsicht bei Klauseln wie "Verschwiegenheit für die Vertragsdauer und drei Jahre danach".
+
+### Alle Berufsgeheimnisse
+
+Die Klausel muss alle dem Berufsgeheimnis unterliegenden Tatsachen erfassen, nicht etwa nur "vertrauliche Geschäftsinformationen". Maßstab ist die jeweilige Verschwiegenheitspflicht des Auftraggebers (§ 43a Abs. 2 BRAO etc.) — die ist sehr weit (alles, was in Ausübung des Berufes bekannt geworden ist; mit Ausnahme von Offenkundigem oder Bagatellfällen).
+
+### Belehrung über strafrechtliche Folgen
+
+Ausdrücklicher Verweis auf §§ 203, 204 StGB. Idealerweise als Anlage der Normtext (siehe `strafrechtliche-belehrung-pruefen`).
+
+## Prüfschema
+
+| Anforderung | Im Vertrag (Fundstelle) | Ampel | Bemerkung |
+|---|---|---|---|
+| Textform | | | |
+| Gegenüber jedermann | | | |
+| Zeitlich unbegrenzt | | | |
+| Alle Berufsgeheimnisse | | | |
+| Belehrung §§ 203, 204 StGB | | | |
+| Erforderlichkeitsschwelle Kenntnis (Nr. 2) | | | |
+
+## Typische Lücken
+
+- "Vertraulichkeit gemäß üblichem Geschäftsverkehr" — viel zu vage
+- "Verschwiegenheit, soweit gesetzlich erforderlich" — keine Selbstverpflichtung
+- Nur DSGVO-Anlehnung, kein eigenständiger Berufsgeheimnis-Bezug
+- US-AGB mit "trade secret"-Sprache statt deutscher Berufsgeheimnis-Anlehnung
+- Klausel im FAQ oder Trust Center statt im Vertragstext
+
+## Output
+
+Tabellarische Bewertung pro Anforderung. Gelbe und rote Punkte fließen automatisch in den Rückfragebrief und in die Klauselvorschläge ein.