Wissen · Rechtsgrundlagen

Die Verpflichtungskette nach §203 StGB: Wie Kanzleien prüfen, ob ihr KI-Anbieter wirklich abgesichert ist

Die Geheimhaltungsverpflichtung mit dem eigenen Dienstleister ist nur das erste Glied. Hinter fast jedem KI-Anbieter stehen weitere Firmen, die technischen Zugang zu den Daten erlangen können. Die Verpflichtung muss jede von ihnen erreichen. Dieser Artikel zeigt, wie die Kette aussieht, wo sie typischerweise reißt und welche Fragen eine Kanzlei stellen sollte, bevor sie unterschreibt.

Die Grundlagen, also warum überhaupt eine Geheimhaltungsverpflichtung nach §203 StGB nötig ist und warum der Auftragsverarbeitungsvertrag sie nicht ersetzt, stehen im Grundlagenartikel zu §203 StGB und KI in der Kanzlei. Dieser Artikel setzt sie voraus.

Warum reicht die Verpflichtung des direkten Dienstleisters nicht?

Weil der direkte Dienstleister in den meisten Fällen nicht der einzige ist, der Zugang zu den Daten erlangen kann.

Der Vertrag der Kanzlei besteht mit einem Anbieter. Die Verarbeitung findet aber selten allein bei diesem Anbieter statt. Er mietet Rechenleistung bei einem Rechenzentrumsbetreiber, dieser beauftragt eine Wartungsfirma, dazu kommen vielleicht ein Speicherdienst und ein Dienstleister für den Betrieb der Systeme. Jede dieser Stationen kann technisch an die Daten gelangen, die die Kanzlei übermittelt.

Für §203 StGB gibt es an jeder Station nur zwei Möglichkeiten: Entweder sie ist eine verpflichtete mitwirkende Person im Sinne von §203 Abs. 3 StGB, oder ihr Zugang ist eine unbefugte Offenbarung. Eine dritte Kategorie kennt das Gesetz nicht. Eine Verpflichtung, die beim ersten Glied endet, lässt alle weiteren Glieder ungeregelt, und das Risiko dafür liegt beim Berufsträger.

Was verlangt das Gesetz konkret für die Kette?

§203 Abs. 4 StGB verlangt, dass der Dienstleister zur Geheimhaltung verpflichtet wird, und das Berufsrecht verlangt, dass diese Pflicht an seine eigenen Hilfspersonen weitergegeben wird.

Die Verpflichtung selbst muss in Textform erfolgen und eine Belehrung über die strafrechtlichen Folgen einer Verletzung enthalten. Für Rechtsanwälte regelt §43e Abs. 3 BRAO ausdrücklich, dass der Dienstleister seine Unterauftragnehmer in gleicher Weise zu verpflichten hat. Für Steuerberater gilt über §62a StBerG dieselbe Systematik.

Daraus folgt eine klare Aussage: Ein Vertrag, in dem der Dienstleister nicht zusichert, seine Subunternehmer ebenso zu verpflichten, erfüllt die gesetzlichen Anforderungen nicht. Die Weitergabepflicht ist kein freiwilliges Extra, sie ist Bestandteil der Konstruktion, die die Einschaltung des Dienstleisters überhaupt erlaubt.

An welchen Stellen reißt die Kette in der Praxis?

Meist nicht beim Vertragspartner selbst, sondern eine Ebene dahinter, wo die Kanzlei keinen direkten Einblick hat.

Aus eigenen Vertragsverhandlungen mit Infrastrukturanbietern kennen wir die typischen Bruchstellen. Sie sehen immer wieder ähnlich aus:

Der Anbieter nennt seine Subunternehmer nicht vollständig. Die Liste im Auftragsverarbeitungsvertrag enthält Sammelbegriffe wie "Rechenzentrumsdienstleister in der EU" statt benannter Firmen, oder sie ist schlicht veraltet.

Der Anbieter weiß selbst nicht genau, wo verarbeitet wird. Das klingt überraschend, ist aber ein normales Ergebnis moderner Infrastruktur: Wer Rechenkapazität flexibel über mehrere Partner bezieht, kann den Verarbeitungsort einer einzelnen Anfrage oft nicht ohne Weiteres festlegen. Für den Anbieter ist das Effizienz. Für die Kanzlei ist es eine offene Stelle in der Kette.

Der Anbieter kennt die DSGVO, aber nicht §203 StGB. Er sichert Datenschutzkonformität zu, hat aber noch nie eine strafbewehrte Geheimhaltungsverpflichtung mit Belehrung unterschrieben und weiß nicht, wer bei ihm dafür zuständig wäre.

Wichtig für die Einordnung: Das ist selten böser Wille. Die meisten Anbieter kommen aus einer Welt, in der die DSGVO der Maßstab ist, und das Berufsrecht der Geheimnisträger ist für sie neu. Manche reagieren auf präzise Fragen konstruktiv und bauen die nötigen Zusagen in den Vertrag ein. Andere können oder wollen es nicht. Genau das herauszufinden ist der Zweck der Prüfung, und zwar vor der Unterschrift, nicht danach.

Gibt es Lücken, die kein Vertrag schließen kann?

Ja. Wenn ein Anbieter dem Recht eines Drittstaats untersteht, kann er vertraglich zusichern, was er will, gegen eine gesetzliche Herausgabepflicht seines Heimatlandes hilft das nicht.

Das praktisch wichtigste Beispiel ist der US CLOUD Act. Dieses US-Gesetz aus dem Jahr 2018 verpflichtet Unternehmen unter US-Recht, Daten auf Anordnung an US-Behörden herauszugeben. Entscheidend ist dabei die rechtliche Zugehörigkeit des Unternehmens, nicht der Standort des Servers. Ein Rechenzentrum in Frankfurt schützt nicht, wenn der Betreiber eine US-Firma oder deren Tochtergesellschaft ist.

Für die Verpflichtungskette bedeutet das einen grundsätzlichen Unterschied zu allen bisher genannten Bruchstellen. Die gesamte Konstruktion beruht darauf, dass jedes Glied seine Geheimhaltungspflicht auch einhalten kann. Ein Anbieter unter US-Recht kann sich nach §203 StGB verpflichten und diese Verpflichtung ernst meinen. Er kann aber in die Lage geraten, in der sein eigenes Recht ihn zur Herausgabe zwingt. Die Kette ist dann formal geschlossen und praktisch offen.

Zur rechtlichen Bewertung gehört Ehrlichkeit: Ob eine Herausgabe unter dem CLOUD Act den deutschen Berufsträger strafbar macht, ist nicht abschließend geklärt. Es gibt die Position, dass die Kanzlei sich mit der Wahl eines solchen Anbieters bewusst diesem Risiko aussetzt und das zu vertreten hat. Und es gibt die Gegenposition, dass eine ausländische Zwangsmaßnahme keine unbefugte Offenbarung durch den Berufsträger ist. Fest steht nur: Es ist ein Risiko, dessen Größe umstritten ist, und es lässt sich vertraglich nicht beseitigen, sondern nur durch die Wahl des Anbieters vermeiden.

Daraus folgt kein pauschales Verbot. Ein großer Teil der deutschen Wirtschaft, Kanzleien eingeschlossen, arbeitet täglich mit Software von Anbietern unter US-Recht. Für manche Mandate ist das Restrisiko nach Abwägung tragbar, für andere, etwa in der Strafverteidigung oder bei Mandaten mit US-Bezug, sieht die Abwägung anders aus. Der Punkt ist ein anderer: Diese Entscheidung sollte bewusst getroffen und dokumentiert werden, statt sie unbesehen mit der Produktwahl mitzukaufen.

Welche Fragen sollte die Kanzlei jedem Anbieter stellen?

Sechs Fragen genügen, um zu erkennen, ob ein Anbieter die Kette im Griff hat.

  1. Wo werden unsere Daten verarbeitet, in welchem Land und in welchem Rechenzentrum? Eine gute Antwort nennt Orte und Betreiber. Eine ausweichende Antwort verweist auf "die EU" oder auf eine Website, die sich jederzeit ändern kann.
  2. Welche Subunternehmer haben technischen Zugang zu den Daten? Eine gute Antwort ist eine benannte, aktuelle Liste. Eine ausweichende Antwort enthält Sammelbegriffe oder verweist auf Geschäftsgeheimnisse.
  3. Verpflichten Sie diese Subunternehmer nach §203 Abs. 4 StGB, und können Sie das nachweisen? Eine gute Antwort kennt die Norm und beschreibt den Prozess. Wer bei dieser Frage zum ersten Mal von §203 hört, hat die Kette nicht gebaut.
  4. Was geschieht, wenn Sie Subunternehmer wechseln, werden wir vorab informiert? Eine gute Antwort sichert Information oder Zustimmung zu. Eine ausweichende Antwort behält sich Änderungen ohne Mitteilung vor.
  5. Unterliegt Ihr Unternehmen oder eines Ihrer Subunternehmen dem Recht eines Drittstaats, insbesondere der USA? Eine gute Antwort ist ein klares Ja oder Nein mit Begründung. Eine ausweichende Antwort verweist auf den Serverstandort, der genau diese Frage nicht beantwortet.
  6. Wer in Ihrem Haus ist für Geheimnisschutz nach §203 StGB zuständig? Eine gute Antwort benennt eine Person oder Abteilung. Wenn niemand zuständig ist, ist das Thema nicht verankert.

Ein Praxishinweis dazu: Diese Fragen beantwortet in aller Regel nicht der Support. Man muss zum Vertrieb oder zur Rechtsabteilung, und schon der Weg dorthin ist ein Test. Ein Anbieter, bei dem sich niemand für diese Fragen zuständig fühlt, hat sie sich selbst noch nicht gestellt.

Was muss am Ende im Vertrag stehen?

Die Kette ist erst geschlossen, wenn vier Punkte schriftlich zugesichert sind.

Erstens die Geheimhaltungsverpflichtung des Anbieters selbst, nach §203 Abs. 4 StGB in Textform, mit Belehrung über die Strafbarkeit, den Anforderungen des §43e BRAO beziehungsweise §62a StBerG entsprechend.

Zweitens die Zusicherung, alle Subunternehmer mit Zugangsmöglichkeit in gleicher Weise zu verpflichten.

Drittens eine benannte, aktuelle Liste dieser Subunternehmer als Vertragsbestandteil, nicht als Link auf eine Webseite, die sich still ändern kann.

Viertens ein Informations- oder Zustimmungsrecht der Kanzlei, wenn Subunternehmer wechseln.

Zur Abgrenzung: Diese Punkte ersetzen den Auftragsverarbeitungsvertrag nach Art. 28 DSGVO nicht. Sie sind sein strafrechtliches Gegenstück. Beide Dokumente gehören nebeneinander in die Akte. Wie die einzelnen Regelungen im Vertragstext auszugestalten sind, ist eine Frage für die anwaltliche Beratung, denn an den Formulierungen hängt im Ernstfall die Wirksamkeit der gesamten Konstruktion.

Und wenn der Anbieter das alles nicht leisten kann?

Dann ist das ein Ergebnis, kein Scheitern der Prüfung.

Die Kanzlei hat in diesem Fall drei Optionen. Sie kann einen anderen Anbieter wählen, der die Zusagen machen kann. Sie kann das Betriebsmodell wechseln, etwa auf eine Verarbeitung unter deutscher Jurisdiktion oder auf eigener Hardware, wo die Kette kurz ist und die Drittstaatsfrage sich strukturell nicht stellt. Oder sie kann das Werkzeug nicht einsetzen.

Was keine Option ist: trotzdem zu starten und auf die geringe Wahrscheinlichkeit einer Verfolgung zu setzen. Die persönliche Verantwortung nach §203 StGB bleibt beim Berufsträger, und eine Prüfung, deren unbequemes Ergebnis ignoriert wird, ist schlechter als keine Prüfung, denn sie dokumentiert, dass man es wusste.

Dieser Artikel erklärt die Rechtslage, ersetzt aber keine Rechtsberatung im Einzelfall. Ob eine konkrete Vertragskonstruktion den Anforderungen genügt, sollte anwaltlich geprüft werden.

Stand: Juli 2026, zuletzt geprüft: Juli 2026. Die Abschnitte zu Zugriffsrechten von Drittstaaten werden bei jeder Prüfung vorrangig kontrolliert, da sich die Rechtslage zum Datentransfer zwischen EU und USA wiederholt geändert hat.

Wie Two in the Loop die Verpflichtungskette in eigenen Projekten aufbaut, von der Kanzlei bis zum Rechenzentrum, steht unter Sicherheit & Compliance.