schatten-ki-aufdeckung
$
npx mdskill add Klotzkette/claude-fuer-deutsches-recht/schatten-ki-aufdeckungIdentifiziert verdeckte KI-Nutzung und empfiehlt Gegenmaßnahmen.
- Erkennt heimliche Chatbot-Einsatz durch Mitarbeiter in Kanzleien.
- Nutzt Stilanalyse, Browser-Logs und vertrauliche Anlaufstellen.
- Wählt zwischen Befragung oder Selbstauskunft basierend auf Risiko.
- Liefert konkrete Schritte zur Wiederherstellung von Compliance.
SKILL.md
.github/skills/schatten-ki-aufdeckungView on GitHub ↗
--- name: schatten-ki-aufdeckung description: "Methoden zur Erkennung und zum Umgang mit verdeckter Chatbot-Nutzung durch Mitarbeitende in Kanzleien: Stilanalyse, Browser-Logs, Mitarbeiterbefragung, freiwillige Selbstauskunft und Einrichtung einer vertraulichen Anlaufstelle." --- # Schatten-KI Aufdeckung „Schatten-KI" bezeichnet die heimliche oder geduldete Nutzung nicht autorisierter KI-Systeme und Chatbots durch Mitarbeitende im Kanzleibetrieb — oft mit privaten Accounts und ohne Wissen der Kanzleiführung. Diese Praxis gefährdet Datenschutz, Anwaltsgeheimnis und Compliance erheblich. Dieser Skill beschreibt Methoden zur Erkennung und zum konstruktiven Umgang mit Schatten-KI. ## Rechtlicher Hintergrund § 43a Abs. 2 BRAO, § 203 StGB: Jede Übermittlung von Mandatsgeheimnissen an nicht autorisierte externe Dienste kann eine Verletzung der Verschwiegenheitspflicht darstellen — auch wenn der Mitarbeitende dies nicht beabsichtigt. Art. 5 DSGVO: Rechenschaftspflicht des Verantwortlichen — die Kanzlei muss darlegen können, dass Daten rechtmäßig verarbeitet werden. § 87 Abs. 1 Nr. 6 BetrVG: Mitbestimmungsrecht des Betriebsrats bei technischer Überwachung von Mitarbeitenden. § 26 BDSG: Zulässigkeit der Verarbeitung von Beschäftigtendaten. Art. 4 KI-VO: Pflicht zur KI-Kompetenz setzt voraus, dass der Einsatz bekannt und geregelt ist. ## Vorgehen 1. **Offene Kommunikation zuerst**: Schatten-KI ist oft ein Zeichen dafür, dass Mitarbeitende ein reales Bedürfnis nach KI-Unterstützung haben. Zunächst im Dialog klären, warum KI-Systeme genutzt werden und welche Aufgaben damit erledigt werden. 2. **Schulung und Sensibilisierung**: Alle Mitarbeitenden über die Risiken der Schatten-KI aufklären (Verschwiegenheitspflicht, Datenschutz, Haftung) und gleichzeitig Alternativen aufzeigen (autorisierte Kanzlei-Accounts). 3. **Stilanalyse**: KI-typische Texteigenschaften (übermäßig formaler Stil, fehlerfreie Grammatik bei sonst fehleranfälligen Mitarbeitenden, wiederkehrende Formulierungen) können Hinweise geben — keine Beweiskraft, aber Anlass für ein Gespräch. 4. **Browser- und Netzwerk-Logs**: Im Rahmen des datenschutzrechtlich und arbeitsrechtlich Zulässigen können Netzwerklogs Zugriffe auf externe KI-Dienste aufdecken. Betriebsrat einbinden; keine verdachtslose Totalüberwachung. 5. **Freiwillige Selbstauskunft und Amnestie**: Mitarbeitende können eingeladen werden, offen zu kommunizieren, welche KI-Tools sie nutzen. Eine Amnestie für vergangene Verstöße gegen nicht existierende Richtlinien schafft Vertrauen. 6. **Vertrauliche Anlaufstelle einrichten**: Einen Ansprechpartner (z.B. Datenschutzbeauftragter oder Berufsrechtsbeauftragter) benennen, an den Mitarbeitende Fragen zur KI-Nutzung ohne Angst vor Konsequenzen richten können. ## Vorlagentext / Bausteine **Baustein Schatten-KI-Richtlinie:** Mitarbeitende dürfen für berufliche Tätigkeiten ausschließlich die von der Kanzlei autorisierten KI-Accounts und -Dienste verwenden. Die Nutzung privater Accounts oder nicht autorisierter KI-Dienste für die Bearbeitung von Mandatsangelegenheiten ist untersagt. Verstöße können berufsrechtliche Konsequenzen (Verletzung der Verschwiegenheitspflicht nach § 43a BRAO, § 203 StGB) und arbeitsrechtliche Folgen haben. **Baustein Meldestelle:** Für Fragen zum zulässigen Einsatz von KI-Systemen steht [Name Datenschutzbeauftragter/Berufsrechtsbeauftragter] als vertrauliche Anlaufstelle zur Verfügung. Mitarbeitende, die unsicher sind, ob ein KI-Tool im konkreten Fall eingesetzt werden darf, sind ausdrücklich aufgefordert, vorher Rücksprache zu halten. ## Hinweise zur Aktualisierung Mit zunehmender Verbreitung von KI-Funktionen in alltäglichen Arbeitstools (MS Office, E-Mail-Clients) wird die Abgrenzung zwischen autorisierter und nicht autorisierter KI-Nutzung schwieriger. Die Richtlinie muss angepasst werden, sobald neue KI-Integrationen in bestehende Kanzlei-Software eingeführt werden. ## Aktuelle Rechtsprechung (v14.2) - EuGH, Urt. v. 16.07.2020 — C-311/18 (Schrems II), NJW 2020, 2557 Rn. 87: Personenbezogene Daten in nicht freigegebenen KI-Systemen (Privat-Accounts) können unzulaessigen Drittlandtransfer darstellen. - BGH, Urt. v. 26.09.2019 — AnwSt (R) 1/21, NJW 2021, 2883 Rn. 15: Verschwiegenheitspflicht gilt technologieneutral — auch Verwendung privater KI-Tools mit Mandatsdaten ist Verstoss. - EuGH, Urt. v. 04.05.2023 — C-300/21 (Oesterreichische Post), NJW 2023, 1985 Rn. 42: Rechenschaftspflicht Art. 5 Abs. 2 DSGVO — Verantwortlicher muss auch Schatten-IT-Verstoeße durch Mitarbeiter kontrollieren. - BAG, Urt. v. 18.07.2017 — 1 ABR 59/15, NJW 2017, 3673 Rn. 28: IT-Nutzungsrichtlinien sind verbindlich — Verstoss kann arbeitsrechtliche Konsequenzen haben. ## Zentrale Normen (Paragrafenkette) - § 43a Abs. 2 BRAO — Verschwiegenheit (gilt auch bei privaten Accounts) - Art. 5 Abs. 2 DSGVO — Rechenschaftspflicht der Kanzlei - Art. 28 DSGVO — AVV-Pflicht (Schatten-KI hat keinen AVV) - § 203 StGB — Berufsgeheimnis (Strafbarkeit bei Weitergabe) - § 626 BGB — Ausserordentliche Kuendigung bei grobem Verstoss ## Triage zu Beginn 1. Gibt es Hinweise auf nicht freigegebene KI-Tools im Einsatz — Browser-Erweiterungen, private Accounts? 2. Wurden Mitarbeiter ueber Schatten-KI-Risiken und das Privat-Account-Verbot informiert? 3. Gibt es technische Massnahmen zur Unterbindung (URL-Filter, Geraetemanagemement)? 4. Wie wird Schatten-KI-Nutzung erkannt — technisch oder durch Selbstmeldung? 5. Welche arbeitsrechtlichen Konsequenzen drohen bei Verstoss? ## Output-Template — Schatten-KI-Aufdeckungs-Protokoll **Adressat:** IT-Sicherheit / Compliance — Tonfall: strukturiert, massnahmenorientiert ``` SCHATTEN-KI-AUFDECKUNGS-PROTOKOLL [DATUM] — Kanzlei: [NAME MANDANT] ERKANNTE NICHT-FREIGEGEBENE KI-TOOLS: | Tool | Erkannt durch | Datum | Nutzer (anonym) | Mandatsdaten involviert | |---|---|---|---|---| | [TOOL] | [METHODE] | [DATUM] | [ROLLE] | [JA/NEIN/UNBEKANNT] | MASSNAHMEN: 1. Sofortmassnahme: [BESCHREIBUNG — z.B. Zugang sperren, Nutzer informieren] 2. Datenrisiko-Pruefung: Waren Mandatsdaten betroffen? [JA/NEIN — wenn JA: DSGVO-Pruefung] 3. Nachsorge: [SCHULUNG / AKTENNOTIZ / MITARBEITERGESPRAECH] DSGVO-MASSNAHMEN (falls Mandatsdaten betroffen): ☑/☐ Datenpanne nach Art. 33 DSGVO pruefbeduerftig ☑/☐ Berufsrechtliche Meldepflicht (§ 43a BRAO) gegeben PRAEVENTION: ☑/☐ URL-Filter aktualisiert ☑/☐ Mitarbeiterschulung angesetzt Verantwortlicher: [NAME], [DATUM] ```
More from Klotzkette/claude-fuer-deutsches-recht
- abgrenzung-konventionelle-software-vs-ki-systemPrueft typische Falschverortungen: wann liegt konventionelle Software vor und wann ein KI-System nach Art. 3 Nr. 1 KI-VO. Abgrenzung zu Expertensystemen deterministischer Logik einfachen Entscheidungsbaeumen und klassischer Automation. Hilft bei Grenzfaellen.
- abmahnung-arbeitsrechtEntwirft und bewertet arbeitsrechtliche Abmahnungen. Lädt, wenn eine Abmahnung erstellt, inhaltlich geprüft oder deren Wirksamkeitsvoraussetzungen (Warnfunktion, Bestimmtheit, Dokumentation) beurteilt werden sollen – sowohl aus Arbeitgeber- als auch aus Arbeitnehmerperspektive.
- abmahnung-markenrecht-uwgMarkenrechtliche Abmahnung mit strafbewehrter Unterlassungserklaerung, Hamburger Brauch Vertragsstrafe, § 14 MarkenG und § 8 UWG, Kosten nach § 14 UWG-n.F. 2021. Laedt, wenn der Nutzer 'Abmahnung Marke', 'Unterlassungserklaerung', 'Vertragsstrafe Marke', 'Hamburger Brauch' oder 'Abmahnung UWG' sagt.
- abmahnung-urheberrechtPrüfung und Erstellung urheberrechtlicher Abmahnungen nach § 97a UrhG; modifizierte Unterlassungserklärung; Deckelung der Abmahnkosten im privaten Bereich (§ 97a Abs. 3 UrhG); Filesharing-Praxis; Lizenzanalogie-Schadensersatz (§ 97 Abs. 2 UrhG). Lädt bei urheberrechtlichen Abmahnungen, Unterlassungs- erklärungen, Filesharing-Fällen oder Schadensersatzforderungen nach UrhG.
- abmahnung-uwgUnterstützt beim Verfassen und Prüfen von UWG-Abmahnungen nach § 13 UWG sowie der dazugehörigen modifizierten Unterlassungserklärung mit Vertragsstrafe und der Schutzschrift. Lädt, wenn ein Mandat eine wettbewerbsrechtliche Abmahnung, eine strafbewehrte Unterlassungserklärung oder eine Schutzschrift zum Gegenstand hat.
- abwaegungsgebot-1-abs-7-baugbPruefung des Abwaegungsgebots Paragraf 1 Abs. 7 BauGB als zentrale materielle Anforderung an den Bebauungsplan. Bei der Aufstellung sind die oeffentlichen und privaten Belange gerecht gegeneinander und untereinander abzuwaegen. Vier Stufen der Abwaegungsfehler nach BVerwG seit Urteil vom 12.12.1969 4 C 105.66. Abwaegungsausfall keine Abwaegung. Abwaegungsdefizit relevante Belange nicht eingestellt. Abwaegungsfehleinschaetzung Belange falsch gewichtet. Abwaegungsdisproportionalitaet Ergebnis sprengt Spielraum. Paragraf 214 Abs. 3 BauGB filtert nur Vorgangsfehler nicht Ergebnisfehler. Vorfestlegung als Abwaegungsausfall. Formelhafte Abwaegungsdokumentation als Abwaegungsdefizit. Abwaegungsmaterial muss vollstaendig ermittelt sein.
- account-sperre-soziales-netzwerk-rechtsbehelfe-art-20-23-dsaSkill zur anwaltlichen Vertretung bei Account-Sperre oder Inhaltsentfernung durch ein soziales Netzwerk. Stufenmodell: Art. 17 Begründungspflicht; Art. 20 internes Beschwerdesystem; Art. 21 außergerichtliche Streitbeilegung; Klageweg bei Vertragsstörung (BGH III ZR 179/20 und III ZR 192/20 vom 29.07.2021) auch gegen Auslandsanbieter; vorläufiger Rechtsschutz nach §§ 935 940 ZPO; Schadensersatz; Schnittstellen zu DSGVO Auskunft Löschung.
- aenderungs-historieVerfolgt, wie sich ein Vertrag über Basisvertrag und alle Nachträge hinweg verändert hat – entweder als Gesamtüberblick aller Änderungen oder als Klausel-Rückverfolgung für eine bestimmte Bestimmung. Laden, wenn der Nutzer fragt „was hat sich in diesem Vertrag geändert\", „zeig mir die Nachtragshistorie\", „wo steht die aktuelle [Klausel]\" oder mehrere Vertragsversionen hochlädt.
- ag-vorbereitungVorbereitung auf das Aufrufen in der Arbeitsgemeinschaft (AG) oder im Seminar. Lade diesen Skill bei Anfragen wie „AG-Vorbereitung\", „Seminar vorbereiten\", „was fragt der Dozent\", „Cold Call\" oder „ich werde morgen drangenommen\".
- agb-haendlervertrag-luxusAGB im Selektivvertrieb: AGB-Kontrolle §§ 305 ff. BGB im B2B, BGH-Klauselverbote, Verbots- und Konditionsklauseln, MFN-Klauseln nach Coty II, Vertragsstrafe-Bemessung. Laedt, wenn der Nutzer 'AGB Händler', 'Händlervertrag Luxus', 'MFN-Klausel', 'AGB-Kontrolle B2B' oder 'Vertriebsvertrag AGB' sagt.