Join our Abonnenten
Einsatz von KI in der Arbitration: Datenschutz, Cybersicherheit und rechtliche Risiken
Dienstag, 5. Mai 2026
Dr. Ilia Kolochenko von ImmuniWeb teilt seine interdisziplinären Erfahrungen in den Bereichen Cybersecurity, digitale Forensik und Cyber Law zu den neu auftretenden Risiken des KI-Einsatzes in der alternativen Streitbeilegung.
Anwälte und Anwaltskanzleien sind seit Jahren im Fadenkreuz von Cyberkriminellen [1]; doch mit der zunehmenden Verbreitung von KI-Technologien in unserem privaten und beruflichen Leben stellen legitime Unternehmen weltweit für Schiedsgerichtspraktiker mehr Cybersicherheitsprobleme und Datenschutzrisiken dar als bösartige Cyberkriminelle und sogar staatlich geförderte Cybergruppen.
Seit Anfang 2023 sind die technischen und rechtlichen Risiken des KI-Einsatzes in der Rechtspraxis, sei es in Gerichts- oder Schiedsverfahren, gut bekannt [2]. Drei Jahre später haben die meisten dieser Risiken sowohl an Zahl als auch an Komplexität stark zugenommen. In der Schiedsgerichtsbarkeit kann ein unbedachter KI-Einsatz durch Schiedsrichter schwerwiegende Folgen nach sich ziehen, bis hin zur Aufhebung des Schiedsspruchs. Rechtsanwälte, die Parteien in Verfahren der alternativen Streitbeilegung (ADR) vertreten, riskieren Disziplinarmaßnahmen und nachfolgende Sanktionen, die zunehmend strenger und härter ausfallen, da KI zur neuen Normalität wird und die damit verbundenen Fehler nicht mehr toleriert werden. Selbst Sachverständige, die vor Schiedsgerichten aussagen, sind einer Vielzahl KI-bedingter Risiken ausgesetzt, wenn sie sensible Daten einer Partei ohne angemessene Vorsichtsmaßnahmen speichern oder verarbeiten. Dieser Artikel bietet einen knappen Überblick über die häufigsten Fallstricke und Risiken des KI-Einsatzes in der Schiedsgerichtsbarkeit.
Heutzutage herrscht weitgehend Konsens darüber, dass KI-Tools und -Lösungen Schiedsrichter und andere Beteiligte von Schiedsverfahren unterstützen können, indem sie aufwendige Aufgaben intelligent automatisieren. KI-gestützte Automatisierung umfasst Bereiche von der Analyse großer Mengen an Discovery-Daten und der Zusammenfassung von Gerichtsunterlagen bis hin zur Unterstützung bei der Rechtsrecherche, wenn beispielsweise anwendbare Schieds- oder Beweisregeln zu einer komplizierten Verfahrenfrage oder einem neuen technischen Detail schweigen. Die Automatisierung hat jedoch ihren Preis und ist nicht frei von Risiken und Fallstricken.
Um einigen der zugrunde liegenden Risiken zu begegnen, haben viele führende Schiedsinstitutionen bereits Leitlinien zum ethischen Einsatz von KI in Schiedsverfahren veröffentlicht. Die „Guideline on the Use of AI in Arbitration“ des Chartered Institute of Arbitrators (CIArb) oder die „Guidelines on the Use of Artificial Intelligence in International Arbitration“ des Silicon Valley Arbitration and Mediation Center (SVAMC) sind gute Beispiele für einen umfassenden Ansatz zur Vermeidung der wichtigsten Fallstricke beim Einsatz von KI in ADR. Dennoch werden selbst technisch versierte Schiedsexperten regelmäßig Opfer von Sicherheits- und Datenschutzvorfällen, dem Leaks sensibler Daten und sogar von Data Breaches aufgrund der stark zunehmenden Komplexität technischer Umgebungen und der raschen Ausbreitung unsichtbarer KI-Risiken für die Vertraulichkeit von Daten.
KI-Assistenten: Neue Freunde oder getarnte Feinde?
Viele Schiedsrechtspraktiker arbeiten in großen Unternehmensumgebungen, die mit zahlreichen KI-Tools und -Assistenten ausgestattet sind. Viele dieser Assistenten, wie zum Beispiel Microsoft Copilot, werden standardmäßig in die IT-Umgebung integriert und erfordern viel Zeit und Aufwand, um vollständig deaktiviert zu werden. Haben Sie jemals eine Schiedsverhandlung, etwa über Zoom, durchgeführt? Melden Sie sich dann in Ihrem persönlichen Zoom-Konto an und überprüfen Sie die Einstellungen der neu eingeführten „AI Companion“-Funktion – Sie werden möglicherweise von einigen der dortigen Optionen überrascht sein. Heute finden Schiedsverhandlungen routinemäßig remote auf Zoom, Microsoft Teams oder anderen Online-Konferenzplattformen statt. Bei korrekter Konfiguration und Verwaltung sind diese digitalen Umgebungen reasonably sicher. Das Problem lauert jedoch in verschiedenen KI-Assistenten, die einige Teilnehmer von Online-Meetings unbemerkt nutzen. Der Autor hatte kürzlich ein vertrauliches Zoom-Meeting, bei dem zwei von vier Anwälten mit ihren KI-gestützten Transkriptionsassistenten加入了, die Notizen zum Meeting machten. Bemerkenswerterweise waren sich beide Anwälte der Präsenz dieser KI-Bots auf ihren Unternehmensgeräten völlig unaware, ganz zu schweigen davon, dass Transkripte ihrer Zoom-Meetings angefertigt und zur Speicherung und Analyse in die Cloud gesendet wurden. Ähnliche Probleme mit KI-Assistenten beginnen, eine wachsende Zahl von Klagen wegen verschiedener Datenschutzverletzungen auf beiden Seiten des Atlantiks voranzutreiben.
Während KI-Anbieter für Unternehmen zunehmend vertragliche Zusicherungen treffen, dass Ihre Daten segregiert werden und nicht gezielt zum Training ihrer kommerziellen KI-Modelle verwendet werden, kann der Wortlaut ihrer Nutzungsbedingungen und der darin enthaltenen Anhänge manchmal genau das Gegenteil nahelegen. So haben die meisten KI-Anbieter zum Schutz ihrer cloudbasierten KI-Lösungen mehrschichtige Cyber-Abwehrsysteme eingerichtet, um Prompt-Injektionen, Datenvergiftung und andere KI-spezifische Cyberangriffe zu vermeiden. Folglich wird alles, was Sie an einen entfernten KI-Server senden, zunächst von Cybersicherheits-Drittanbietern auf potenzielle Schädlichkeit und Cyberrisiken abgefangen und analysiert und gelangt erst danach zum Large Language Model (LLM) zur risikofreien Endverarbeitung. Haben Sie sich jemals gefragt, was diese legitimen, aber oft nicht offengelegten oder sogar undokumentierten Cybersicherheits-Drittanbieter mit Ihren Daten tun, bereits getan haben oder tun könnten – einschließlich all Ihrer Chat-Prompts, Sprach- und Videoaufnahmen, gescannter Dokumente und anderer sensibler Informationen, die Sie mit cloudbasierten KI-Lösungen teilen?
Um die oben genannten Risiken zu minimieren, nehmen Sie sich die Zeit, die Terms of Service Ihrer KI-Anbieter sowie alle einbezogenen Dokumente sorgfältig zu lesen und zu analysieren: Sie könnten subtile Ausnahmen von der Nichtnutzung oder Geheimhaltung Ihrer sensibelsten Daten erkennen. Der Autor hat kürzlich beobachtet, wie ein Technologieunternehmen in sein Service Level Agreement (SLA) zur Wartung und Verfügbarkeit seiner KI-Lösung auf kreative Weise eine übermäßig weit gefasste Datenfreigabe-Klausel aufgenommen hat. Da Corporate Lawyers ohnehin genug zu tun haben, entziehen sich SLAs häufig ihrer sorgfältigen Prüfung, während ähnlich beschäftigte Tech-Teams in der eleganten Juristensprache kaum etwas Verdächtiges bemerken werden. Selbst wenn die rechtliche Gültigkeit und Durchsetzbarkeit solcher Klauseln fraglich ist, veranschaulicht dies den allgemeinen Trend, Ihre Daten mit allen verfügbaren Mitteln zu beschaffen – ethisch oder nicht.
Das Schlimmste daran ist jedoch, dass dieser Schaden kaum rückgängig zu machen ist: Selbst wenn Sie stichhaltige Beweise dafür haben, dass Ihre Daten durch einen Vertragsverstoß des Anbieters die sichere Umgebung verlassen haben, wird ein Rechtsstreit über dieses hochtechnische und neuartige Thema wahrscheinlich Jahre dauern und möglicherweise nur zu einem nominalen Urteil führen, das Ihre Rechtskosten kaum deckt. Ganz zu schweigen von dem lang anhaltenden Reputationsschaden für Ihre Schiedspraxis. Verhandeln Sie daher, sofern gesetzlich zulässig, Vertragsstrafen für Verstöße gegen Datenschutzklauseln in Ihrem Vertrag mit Technologie- und KI-Anbietern, und achten Sie dabei auf die Zahlungsfähigkeit des Anbieters sowie auf dessen Versicherung für diese Art von Ansprüchen.
KI-Chatbots: In Hai-durchsetzten Gewässern schwimmen
Wann immer Sie vertrauliche oder privilegierte Dokumente über die ständig wachsende Zahl frei oder kommerziell verfügbarer KI-Chatbots mit einer beeindruckenden Palette beworbener Funktionen teilen, können alle Ihre Daten – einschließlich Chat-Prompts und ausführlicher Historien – stillschweigend für das Training nationaler und internationaler KI-Modelle sowie für viele andere unerwartete Zwecke genutzt werden. Wenn solche Daten mit anderen Daten aus Drittquellen korreliert werden, ähnlich wie im laufenden BrowserGate-Fall um LinkedIn, werden Tech-Giganten wahrscheinlich alles über Sie und Ihre juristische Praxis wissen. Eine sorgfältige Prüfung ihrer Nutzungsbedingungen ist wahrscheinlich von geringem Nutzen, da diese sich ständig ändern, häufig ohne klare Information für Endnutzer.
Besonders gefährlich sind KI-Chatbots von kleineren Tech-Unternehmen und KI-Startups, die in der Regel nicht über das Budget verfügen, um ein ausreichendes Volumen an hochwertigen und aktuellen Trainingsdaten für ihre Modelle zu beschaffen. Um im harten Wettbewerb auf dem globalen KI-Markt zu überleben, beginnen kleinere Anbieter, sogenannte Trainingsdaten-Pools mit anderen kleinen und mittelständischen Unternehmen weltweit zu bilden. Dies bedeutet, dass jedes Unternehmen, das das vereinbarte Datenvolumen in den gemeinsamen Datenpool einbringt, bestimmte oder sogar alle anderen Daten aus diesem Pool nutzen darf. Da eine sorgfältige Überprüfung der legitimen, rechtmäßigen und ethischen Nutzung der Daten unter solchen Umständen eine mühselige Aufgabe ist, kann jeder Prompt, jedes Dokument oder jedes Bild – sobald es durch Ihre scheinbar harmlosen Interaktionen mit einem Online-Chatbot in einen solchen Pool gelangt ist – früher oder später in falsche Hände auf der anderen Seite des Globus gelangen. Bemerkenswert ist, dass selbst die größten Tech-Anbieter ähnliche Praktiken anwenden können, um ihre stark ansteigenden Kosten für die Datenbeschaffung zu senken.
Einige Schiedsexperten wenden verschiedene Techniken an, um vertrauliche Dokumente – einschließlich Schiedssprüche oder sogar Materialien, die Geschäftsgeheimnisse der Parteien enthalten – zu bereinigen und zu anonymisieren, bevor sie sie in KI-Chatbots und ähnliche Online-Tools hochladen. Leider scheitern solche Präventivmaßnahmen häufig. Die meisten LLM-Modelle verfügen mittlerweile über beeindruckende Fähigkeiten, die geschwärzten Namen der Parteien zu erschließen, indem sie die im Dokument enthaltenen Fakten, Ereignisse und Ansprüchen mit öffentlich zugänglichen Informationen abgleichen: Schiedsverfahren mit hohem Einsatz finden selten statt, ohne dass es Pressemitteilungen, Leaks oder Gerüchte in den Medien gibt, oder zumindest einige Enthüllungen oder anonyme Hinweise in sozialen Netzwerken. Sie können sogar – auf eigenes Risiko – ein Experiment durchführen, indem Sie ein langes Dokument mit sorgfältig geschwärzten Namen der Parteien an ein LLM übermitteln und es dann auffordern, zu erraten, wer die Parteien sind. Das Ergebnis wird Sie wahrscheinlich überraschen. Ganz zu schweigen davon, dass die meisten Dokumente unsichtbare, für das Dokumentformat spezifische Metadaten enthalten, die oft nicht entfernt werden. Sofern Sie also nicht über eine On-Premise-KI-Lösung mit gründlich dokumentierten und kontinuierlich überwachten Datenflüssen verfügen, gehen Sie ein enormes Risiko ein, die sensibelsten Daten Ihrer Kunden unwissentlich preiszugeben, wenn Sie Online-KI-Chatbots um Hilfe bitten.
Mobile Geräte und vernetzte Geräte: Ihre Wände haben Ohren
Die zunehmende Beliebtheit von Smart Objects und IoT-Geräten verstärkt die Risiken des KI-Einsatzes in der ADR. Haben Sie schon einmal die Datenschutz- und KI-Einstellungen Ihrer E-Mail-App auf dem Smartphone überprüft? Wenn nicht, können alle Ihre E-Mails im besten Fall vom Hersteller Ihres Smartphones für KI-Trainingszwecke verwendet oder im schlimmsten Fall an dessen zahlreiche ausländische Zulieferer und andere Dritte weitergegeben werden.
Diese Warnung betrifft nicht nur E-Mails, sondern auch alle anderen mobilen Apps, einschließlich solcher, die Ihre Gespräche heimlich abhören könnten – ein Phänomen, das Google kürzlich zu einer Einigung in Höhe von 68 Millionen USD zwang. Selbst wenn Ihr Smartphone sicher konfiguriert und geschützt ist, können einige darauf installierte Apps von Drittanbietern – einschließlich der vorinstallierten – für ADR-Experten unerträgliche Risiken und verheerende Bedrohungen bergen. Obwohl sowohl Apple als auch viele Hersteller von Android-Geräten (wie Samsung) eine granulare Verwaltung der App-Berechtigungen – wie Zugriff auf das Mikrofon, die Kamera oder Ihre Kontakte des Geräts – ermöglichen, übersehen die meisten Nutzer häufig übermäßige, unnötige oder ungenutzte Berechtigungen sowohl legitimer als auch verdächtiger Apps oder ignorieren diese einfach.
Beispielsweise hatte der Autor kürzlich mit einer Versicherungs-App zu tun, die bei der Installation nahezu sämtliche Berechtigungen anforderte – darunter Zugriff auf Fotos und Kontakte. Nach einer gründlichen Überprüfung dieses für eine solche mobile App unverständlichen Standard-Sets an Berechtigungen ergab sich laut Dokumentation des Versicherungsunternehmens, dass der Zugriff auf Fotos und Kontakte zur Bekämpfung von Versicherungsbetrug erforderlich war. Obwohl die Betrugsbekämpfung ein berechtigtes Interesse für die Verarbeitung personenbezogener Daten gemäß GDPR oder anderen Datenschutzgesetzen und -vorschriften darstellt, war dieser konkrete Fall offensichtlich übertrieben und hätte einer gerichtlichen Prüfung wahrscheinlich nicht standgehalten. Dennoch haben zumindest einige ahnungslose Nutzer dieser App diese Berechtigungen beiläufig erteilt. Um Ihre persönliche und berufliche Privatsphäre nicht zu gefährden, sollten Sie daher sicherstellen, dass alle nicht benötigten oder ungenutzten mobilen Apps von Ihrem Smartphone gelöscht werden, während die übrigen nur die Berechtigungen haben, die für das ordnungsgemäße Funktionieren der App erforderlich sind.
Leider sind übermäßig neugierige Smartphone-Apps nur die Spitze des Eisbergs der Datenschutzprobleme, mit denen sich Schiedsrichter im Jahr 2026 auseinandersetzen müssen. Tragen Sie eine Digitaluhr, ein Smart-Armband, einen Smart-Ring oder die derzeit angesagten Augmented-Reality-Brillen? Dann sollten Sie die aktuelle Klagepraxis gegen die Hersteller Ihrer Gadgets genau im Auge behalten, um zu erkennen, wer Sie und Ihr Geschäftsleben möglicherweise heimlich ausspioniert.
Haben Sie Amazon Alexa, Google Home oder andere vernetzte Geräte in Ihrem Homeoffice oder Wohnzimmer, in denen Sie gelegentlich vertrauliche Telefonate führen oder an Videokonferenzen teilnehmen? Vorsicht: Alles, was Sie sagen, tun oder sehen, könnte ohne Vorwarnung aufgezeichnet werden, wie kürzlich eine Klage des Generalstaatsanwalts von Texas gegen fünf Hersteller von Smart-TVs gezeigt hat.
Um solche Risiken und ihre langfristigen Folgen zu vermeiden, stellen Sie sicher, dass sich in Ihrem Arbeitsbereich – ob Unternehmenszentrale oder Homeoffice – keine vernetzten Geräte befinden, es sei denn, diese wurden von Ihrer IT-Abteilung nach Abschluss einer ganzheitlichen Datenschutz-Risikobewertung sorgfältig konfiguriert und sicher installiert. Wenn Sie glauben, dass bestimmte Geräte im Büro, wie z. B. Smart-Kaffeemaschinen und Kühlschränke (ja, Sie haben richtig gelesen) oder vernetzte Projektoren, unbekannte oder nicht dokumentierte Datenschutzrisiken mit sich bringen könnten, ist es sehr ratsam, die für Datenschutz zuständige Person zu informieren.
Fazit und nächste Schritte
In der Schiedsgerichtsbarkeit kann KI eine treue Verbündete sein, aber auch Ihr Erzfeind. Um die in diesem Artikel behandelten erheblichen Risiken zu vermeiden, befolgen Sie die Best Practices im Datenschutz [3] und legen Sie besonderes Gewicht auf die Implementierung eines umfassenden und aktuellen Inventars aller verwendeten Technologie- und KI-Tools, deren Nutzungsbedingungen einschließlich aller Anhänge sowie der Datenflüsse zwischen allen Systemen. Andernfalls gleicht der Einsatz von KI in der ADR einem Tanz im Minenfeld oder dem Sitzen auf einer tickenden Zeitbombe. Read Full Article
CNN: Wie ChatGPT-Konversationen zu einer „Fundgrube“ an Beweisen in strafrechtlichen Ermittlungen wurden