Leitfaden

Von Elina Lesyk

LLM‑Risiko‑Matrix: Welche Aufgaben dürfen wohin?

Ein einfaches Framework, um KI‑Aufgaben sicher zu priorisieren.

Kanzleien brauchen klare Regeln. Eine Risiko‑Matrix übersetzt Datenschutz in praktische Entscheidungen.

Problem

Unklare Regeln führen zu Risiko oder blockieren sinnvolle KI‑Nutzung.

Lösung

Eine Matrix nach Datenkritikalität und Prozessrelevanz schafft Klarheit.

Für wen?

Kanzleiinhaber, die KI‑Einsatz strategisch und rechtssicher planen.

So funktioniert es

  1. Aufgaben nach Datenkritikalität einstufen.
  2. Prozessreife und Automations‑Potenzial bewerten.
  3. Zuordnung zu lokalem oder Cloud‑LLM definieren.
  4. Regeln in der Kanzlei kommunizieren.

Die Matrix: 4 Risikostufen

Jede Kanzlei‑Aufgabe lässt sich einer Risikostufe zuordnen. Die Stufe bestimmt, welches LLM genutzt werden darf.

  • 🟢 NIEDRIG → Cloud‑LLM erlaubt: Öffentliche Infos, Gesetzestexte, allgemeine Steuer‑Recherche
  • 🟡 MITTEL → Cloud mit AVV: Anonymisierte Beispiele, aggregierte Daten, interne Vorlagen
  • 🔴 HOCH → Nur lokales LLM: Mandantennamen, Steuernummern, Belege, E‑Mails mit Personenbezug
  • ⚫ KRITISCH → Kein KI‑Einsatz: Strafverfahren, Betriebsprüfungen, Insolvenz‑Akten, Whistleblower

Praxis‑Beispiele: So stufen Sie ein

Konkrete Anwendungsfälle aus dem Kanzlei‑Alltag mit Einstufung:

  • USt‑VA Entwurf erstellen → 🔴 HOCH (enthält Mandantendaten)
  • E‑Mail an Mandant formulieren → 🔴 HOCH (Name, Sachverhalt)
  • Blogpost über Steueränderung 2025 → 🟢 NIEDRIG (öffentlich)
  • Muster‑Vertrag anonymisieren → 🟡 MITTEL (nach Anonymisierung)
  • Betriebsprüfungs‑Strategie → ⚫ KRITISCH (hochsensibel)
  • Interne Checkliste erstellen → 🟢 NIEDRIG (keine Mandantendaten)
  • Mandanten‑Frage zu Grundsteuer beantworten → 🔴 HOCH (Personenbezug)

Entscheidungslogik in 3 Fragen

Für jede KI‑Aufgabe diese Fragen durchgehen:

  • 1. Enthält der Input Mandantendaten oder Personenbezug? → Falls ja: mindestens 🔴
  • 2. Könnte der Output bei Dritten Schaden anrichten? → Falls ja: mindestens 🟡
  • 3. Gibt es rechtliche Sonderrisiken (Strafrecht, Prüfung)? → Falls ja: ⚫

Umsetzung in der Kanzlei

So machen Sie die Matrix zur gelebten Praxis:

  • Matrix ausdrucken und an jeden Arbeitsplatz
  • Monatliches 15‑Minuten‑Review im Team
  • Neue Anwendungsfälle dokumentieren und einstufen
  • Verstöße ohne Schuldzuweisung besprechen – Lernkultur

FAQ

Wie oft sollte die Matrix aktualisiert werden?

Mindestens halbjährlich oder bei neuen Tools/Prozessen.

Wer sollte sie freigeben?

Kanzleileitung gemeinsam mit Datenschutz‑ und IT‑Verantwortlichen.

Was, wenn ein Anwendungsfall nicht eindeutig ist?

Im Zweifel die höhere Risikostufe wählen. Lieber einmal zu vorsichtig als einmal zu offen.

Alle Leitfäden anzeigen

Matrix für Ihre Kanzlei anpassen?

Ich helfe Ihnen, eine individuelle Risiko‑Matrix zu entwickeln, die zu Ihren Prozessen und Mandanten passt.

Pilotpartner werden

Verwandte Leitfäden

ViDA: E‑Invoicing wird Pflicht ab 2030

E‑Invoicing, 5‑Tage‑Meldefristen, neue Pflichtangaben – der Fahrplan bis 2035 und was jetzt zu tun ist.