EU AI Act für Anwaltskanzleien: Risikoklassifikation und Compliance 2026
Für die meisten Anwaltskanzleien gilt: KI-Tools für Vertragsanalyse, Rechtsrecherche und Dokumentenentwurf fallen unter den EU AI Act als geringes Risiko — weil der Anwalt die finale Entscheidung trifft, nicht das System. Der AI Act stuft KI, die professionelle Fachkräfte unterstützt ohne selbst zu entscheiden, regelmäßig niedrig ein. Dennoch bestehen konkrete Pflichten: Transparenz, Dokumentation und die Einhaltung berufsrechtlicher Anforderungen nach der Bundesrechtsanwaltsordnung (BRAO).
Der kritische Stichtag: Ab dem 2. August 2026 müssen Hochrisiko-KI-Systeme im Sinne von Anhang III EU AI Act vollständig compliant sein. Für Kanzleien, die KI im Bereich Prozesskostenhilfe-Entscheidungen oder Zugang zur Justiz einsetzen, ist dieser Termin verbindlich.
Risikoklassifikation: Legal-KI im Überblick
Die Risikoklasse eines KI-Systems bestimmt den Umfang der Compliance-Pflichten. Für typische Kanzlei-Anwendungen ergibt sich folgendes Bild:
| KI-Anwendung | Risikoklasse | Begründung |
|---|---|---|
| KI-gestützte Vertragsanalyse | Geringes Risiko | Anwalt prüft und entscheidet; KI liefert Analyse |
| Legal Research (z. B. Rechtsprechungsrecherche) | Geringes Risiko | Werkzeugcharakter; keine eigenständige Entscheidung |
| Dokumentenentwurf und -zusammenfassung | Geringes Risiko | Redaktionelle Unterstützung; Anwalt zeichnet ab |
| Due-Diligence-Analyse | Geringes Risiko | Prüfwerkzeug; keine rechtsverbindliche Wirkung |
| Mandantenchatbot (Erstberatung) | Eingeschränktes Risiko | Transparenzpflicht: KI-Beteiligung muss offengelegt werden |
| KI zur Prozesskostenhilfe-Entscheidung | Hohes Risiko | Anhang III Nr. 7 lit. a: Zugang zur Justiz |
| Strafmaßunterstützungssysteme (Gerichte) | Hohes Risiko | Anhang III Nr. 8: Strafverfolgung / Justiz |
| Biometrische Mandantenidentifikation | Hohes Risiko | Anhang III Nr. 1: biometrische Identifizierung |
Praktische Regel: Entscheidet das KI-System selbst über Rechtspositionen oder Ressourcenzugang — ohne finale menschliche Überprüfung — ist das Hochrisiko-Territorium. Unterstützt es lediglich einen Anwalt, der selbst entscheidet, ist es geringes oder eingeschränktes Risiko.
Rechtsrecherche und Dokumentenentwurf
KI-Tools für Fallrecherche, Vertragsanalyse und Schriftsatzentwurf sind professionelle Arbeitsmittel — vergleichbar mit Datenbanken wie beck-online oder juris. Der EU AI Act für KI-Rechtsrecherche sieht für diese Anwendungen minimale Anforderungen vor:
- Systeminventar führen: Dokumentieren Sie, welche KI-Tools Sie einsetzen und wofür
- Ausgaben verifizieren: Keine blinde Übernahme von KI-Output — der Anwalt prüft und haftet
- Anbieterbewertung: Prüfen Sie Datenschutz und Vertraulichkeit der eingesetzten Tools
- Schulung: Mitarbeiter müssen die Grenzen des jeweiligen Systems kennen
Für dokumentenintensive Praxisbereiche empfiehlt sich ein gesonderter Blick auf die KI-Dokumentenanalyse-Compliance sowie auf die KI-Zusammenfassungs-Compliance für Urteilsexzerpte und Schriftsatzzusammenfassungen.
GPAI-Modelle in der Kanzlei: ChatGPT, Claude & Co.
Allzweck-KI-Modelle (General Purpose AI, GPAI) wie ChatGPT, Claude oder Gemini unterliegen seit dem 2. August 2025 eigenen Regelungen im EU AI Act (Art. 51–56). Für Kanzleien, die diese Modelle direkt über API oder als Unternehmensversion einsetzen, bedeutet das:
- Transparenzpflicht gegenüber Mandanten: Wenn KI-generierter Inhalt in Mandantenarbeit einfließt, ist Offenlegung empfehlenswert
- Systemkarten und technische Dokumentation: Anbieter von GPAI-Modellen müssen diese bereitstellen — prüfen Sie, ob Ihr Anbieter compliant ist
- Datenschutz parallel prüfen: DSGVO-Anforderungen (Auftragsverarbeitung, Drittlandübermittlung) gelten neben dem AI Act
Wer Claude Enterprise oder ChatGPT Enterprise einsetzt, sollte die EU-Datenverarbeitungsbedingungen und das EU-Hosting-Angebot prüfen. Für Claude gibt es eine spezifische EU-Hosting-Option mit Datenspeicherung in der EU.
Zugang zur Justiz: Wann Legal-KI hochriskant wird
Anhang III Nr. 7 lit. a EU AI Act klassifiziert KI-Systeme als hochriskant, wenn sie den Zugang zu wesentlichen privaten Dienstleistungen und öffentlichen Diensten beeinflussen — dazu zählt der Zugang zur Justiz.
Konkrete Beispiele für hochriskante Anwendungen in der Rechtspraxis:
- Prozesskostenhilfe-Systeme: KI, die Berechtigungsprüfungen durchführt oder Empfehlungen über PKH-Bewilligung macht
- Fallzuteilungs- und Triage-Systeme: KI, die bestimmt, welche Mandate eine Kanzlei übernimmt, wenn Kapazitätsengpässe die Vertretung beeinflussen
- Automatisierte Risikobeurteilung: KI, die Erfolgschancen berechnet und so indirekt Mandantenberatung über Klageerhebung beeinflusst
Kanzleien kontrollieren solche Hochrisiko-Systeme meist nicht selbst — aber als Deployer oder Nutzer treffen sie trotzdem Pflichten: Grundrechte-Folgenabschätzung, Registrierung in der EU AI Act-Datenbank (für Behörden), und Sicherstellung menschlicher Aufsicht.
Gerichts- und Verwaltungs-KI: Was Kanzleien wissen müssen
KI, die Gerichte oder Staatsanwaltschaften für Fallmanagement, Strafmaßprognosen oder Rückfallrisikobewertungen einsetzen, unterliegt strengsten AI-Act-Anforderungen (Anhang III Nr. 8). Diese Systeme sind hochriskant per Definition.
Anwälte kontrollieren diese Systeme nicht — aber für die Praxis relevant:
- Akteneinsicht in KI-Outputs: Mandanten haben ein Recht, KI-gestützte Entscheidungen zu verstehen
- Anfechtbarkeit: Automatisierte Entscheidungen im Verwaltungsrecht bleiben nach Art. 22 DSGVO und VwVfG anfechtbar
- Sachverständige: Bei KI-gestützten Beweiswürdigungen wächst die Bedeutung technischer Sachverständiger
KI-APIs und § 43e BRAO: Die Verschwiegenheitsfalle
Die Nutzung von KI-APIs in der Kanzlei berührt unmittelbar die anwaltliche Verschwiegenheitspflicht nach § 43a Abs. 2 BRAO und die neu eingeführten Anforderungen des § 43e BRAO (Legal-Tech-Zulassung). Zentrale Risiken:
- Mandatsdaten in US-Clouds: Standardvertragsklauseln (SCC) allein reichen für hochsensible Mandantendaten möglicherweise nicht aus
- Training-Opt-out: Prüfen Sie, ob der Anbieter Ihre Daten für Modell-Training nutzt — und ob ein Opt-out möglich ist
- Sub-Processor-Ketten: Auftragsverarbeitungsverträge (AVV) müssen die gesamte Verarbeitungskette abdecken
Unser ausführlicher Leitfaden zu KI-APIs für Kanzleien in Deutschland und der spezifische KI-API-BRAO-Leitfaden behandeln diese Fragen systematisch — inklusive Muster-AVV und Checkliste für Vendor-Due-Diligence.
Compliance-Checkliste für Kanzleien (August 2026)
Bis zum 2. August 2026 sollten Kanzleien folgende Maßnahmen abgeschlossen haben:
- KI-Inventar erstellen: Alle eingesetzten KI-Systeme erfassen — Tools, Anbieter, Einsatzzweck
- Risikoklassifikation vornehmen: Für jedes System bestimmen, ob es geringes, eingeschränktes oder hohes Risiko trägt
- Hochrisiko-Systeme identifizieren: Prüfen, ob Anhang III EU AI Act einschlägig ist
- Datenschutz-Folgenabschätzung: DSFA nach Art. 35 DSGVO für risikoträchtige KI-Verarbeitungen
- AVV mit KI-Anbietern abschließen: DSGVO-konforme Auftragsverarbeitung sicherstellen
- Berufshaftpflicht prüfen: Deckt Ihre Versicherung KI-bedingte Fehler ab? Für Details zur Berufshaftpflicht bei KI-Einsatz haben wir einen eigenen Leitfaden
- Mitarbeiterschulung: Kanzleipersonal über KI-Grenzen und Verifizierungspflichten schulen
- Mandanteninformation: Kommunikationsstandards für KI-Beteiligung in der Mandatsarbeit festlegen
So hilft Compound Law
- KI-Systeminventar und Risikoklassifikation für Kanzleien
- Berufspflichten-Integration (BRAO, DSGVO, EU AI Act)
- Mandantenorientierte KI-Transparenzkonzepte
- Legal-Tech-Anbieterbewertung und AVV-Prüfung
- Hochrisiko-Folgenabschätzungen nach EU AI Act Anhang III
Häufig gestellte Fragen
Ist Vertragsüberprüfungs-KI hochriskant nach dem EU AI Act?
Nein — in der Regel nicht. KI, die Anwälte bei der Vertragsanalyse unterstützt, ist geringes Risiko, weil der Anwalt die finale Entscheidung trifft und die Verantwortung trägt. Hochriskant wird es erst, wenn das System selbst rechtlich relevante Entscheidungen ohne menschliche Überprüfung trifft — etwa automatisierte Mandantenablehnung oder PKH-Bewilligung.
Brauche ich für meinen Mandantenchatbot besondere Maßnahmen?
Ja. Mandantenseitige KI-Chatbots, die rechtliche Informationen bereitstellen, fallen unter die Transparenzanforderungen des EU AI Act (Art. 50): Nutzer müssen wissen, dass sie mit einem KI-System interagieren. Zusätzlich gelten DSGVO-Anforderungen und berufsrechtliche Sorgfaltspflichten bei der Ausgestaltung von Disclaimer und Haftungsausschlüssen.
Ändert der EU AI Act meine Berufshaftung als Anwalt?
Nein — der Anwalt bleibt nach geltendem Berufsrecht vollumfänglich verantwortlich. Der EU AI Act ergänzt diese Verantwortung, ersetzt sie nicht. Wer sich auf fehlerhafte KI-Ausgaben verlässt, ohne diese zu verifizieren, begeht einen Sorgfaltspflichtverstoß — unabhängig davon, welches System den Fehler produziert hat.
Welche Frist gilt für die KI-Compliance in Kanzleien?
Die wichtigsten Fristen: Verbote für inakzeptables Risiko (Art. 5) gelten seit Februar 2025. GPAI-Modell-Pflichten seit August 2025. Hochrisiko-KI-Systeme nach Anhang III müssen bis zum 2. August 2026 compliant sein. Für die meisten Kanzlei-Tools (geringes Risiko) gibt es keine harten Deadlines, aber eine Dokumentationspflicht besteht ab Inbetriebnahme.
Müssen wir unsere KI-Tools bei einer EU-Behörde registrieren?
Für Hochrisiko-KI-Systeme ja — Betreiber müssen sich in der EU AI Act-Datenbank (EUDB) registrieren, sofern sie öffentliche Stellen sind oder in spezifischen regulierten Bereichen tätig sind. Für private Kanzleien, die geringes-Risiko-Tools nutzen, ist keine Registrierung erforderlich. Die KI-Rechtsrecherche-Compliance enthält weitere Details zu Dokumentationspflichten.
Wie verhält sich der EU AI Act zur DSGVO bei Kanzlei-KI?
Beide Regelwerke gelten parallel und ergänzen sich. Die DSGVO schützt personenbezogene Daten von Mandanten und Verfahrensbeteiligten; der EU AI Act adressiert das KI-System selbst und seinen Verwendungskontext. Ein KI-Tool kann DSGVO-konform sein und trotzdem gegen EU AI Act-Anforderungen verstoßen — und umgekehrt. Kanzleien brauchen eine integrierte Prüfung beider Regelwerke.
