EU KI-Verordnung für Kanzleien: Wo KI wirklich hingehört

Die EU KI Verordnung kommt, und er trifft Kanzleien als Anwender

Die EU-KI-Verordnung trat am 1. August 2024 in Kraft und wird ab dem 2. August 2026 vollständig anwendbar sein. Sie stuft KI-Systeme nach ihrem Risikograd ein und legt je nach Kategorie konkrete Anforderungen an Transparenz, Sicherheit und Dokumentation fest. Erste Verbote bestimmter KI-Praktiken gelten bereits seit Februar 2025. Für Hochrisiko-KI-Systeme gilt eine verlängerte Übergangsfrist bis August 2027. Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.

Die meisten Debatten über die EU KI Verordnung kreisen um Technologieunternehmen, Plattformbetreiber und Konzerne mit eigenen KI-Entwicklungsabteilungen. Was dabei untergeht: Die EU KI Verordnung gilt auch für diejenigen, die KI-Systeme lediglich einkaufen und im Betrieb einsetzen. Kanzleien, die ein KI-Tool für Dokumentenanalyse, Recherche oder Mandats Kommunikation nutzen, sind nach der Verordnung sogenannte Deployer, also Betreiber. Und Betreiber haben eigene Pflichten.

Ab dem 2. Februar 2025 gelten bereits die allgemeinen Verbote unzulässiger KI-Praktiken sowie eine Pflicht zur KI-Kompetenz für Anbieter und Anwender. Ab dem 2. August 2026 folgen die meisten operativen Pflichten, darunter Transparenzanforderungen und die Hauptpflichten für Hochrisiko-Systeme.

Wer KI-Systeme einsetzt oder entwickelt, muss ein dokumentiertes Risikomanagementsystem vorweisen, Transparenzpflichten erfüllen und eine menschliche Aufsicht sicherstellen. Hinzu kommt eine Pflicht, die bereits seit Februar 2025 gilt und die viele übersehen haben: die sogenannte AI Literacy. Jeder Mitarbeiter, der ein KI-System bedient, muss nachweisbar über ausreichende Kenntnisse verfügen.

Wer das bisher ignoriert hat, ist bereits heute nicht vollständig compliant, unabhängig davon, welches Tool konkret eingesetzt wird.

Was die EU KI Verordnung von Kanzleien konkret verlangt

Die EU KI Verordnung folgt einem risikobasierten Ansatz. Die Verordnung kategorisiert KI-Systeme in vier Stufen: verboten, hochriskant, begrenzt riskant und minimal riskant. In welche Stufe ein System fällt, bestimmt, welche Pflichten gelten und ob das System überhaupt im EU-Markt eingesetzt werden darf.

Für die meisten Kanzleien, die KI für Recherche, Texterstellung oder administrative Aufgaben einsetzen, wird die Einstufung in der Regel nicht im Hochrisiko-Bereich liegen. Die Europäische Kommission schätzt in einer Folgenabschätzung, dass nur 5 bis 15 Prozent der Anwendungen den strengeren Regeln unterliegen werden. Das klingt entlastend, ist es aber nur bedingt: Auch für Systeme mit niedrigem oder begrenztem Risiko gelten Pflichten.

Für KI mit niedrigem Risiko müssen Transparenz Hinweise für Nutzer bereitgestellt und KI-generierte Inhalte gekennzeichnet werden. Zuständigkeiten für KI-Compliance müssen benannt und verbindliche Prozesse definiert werden, etwa für Modelländerungen, Updates, Monitoring und Dokumentation.

Das bedeutet im Kanzleialltag konkret: Wenn ein Anwaltsschreiben KI-gestützt formuliert wurde, muss das intern dokumentiert und unter Umständen transparent gemacht werden. Wenn ein Mitarbeiter ein KI-Tool zur Mandats-Recherche nutzt, braucht es eine nachweisbare Grundlage dafür, dass er das Tool versteht und einordnen kann. Transparenz ist keine Marketing Frage, sondern eine eigenständige Pflicht, deren Verletzung bußgeldbewehrt sein kann.

Die Frage, die Sie sich nicht stellen sollten

In Gesprächen mit Kanzleien dreht sich die Diskussion aktuell häufig um eine sehr konkrete Frage: Welche KI-Tools sind noch erlaubt? Die Antwort auf diese Frage ist rechtlich lösbar, sie ist aber nicht die produktivste Antwort auf das, was die EU KI Verordnung eigentlich auslöst.

Die EU KI Verordnung ist keine Negativliste von verbotenen Produkten. Es ist ein Rahmen, der verlangt, dass Organisationen wissen, welche KI-Systeme sie einsetzen, zu welchem Zweck, mit welchen Risiken und mit welcher internen Aufsicht. Unternehmen, die KI-Systeme nutzen, müssen ein KI-Inventar aufbauen, alle Systeme korrekt klassifizieren, die Rolle als Provider oder Deployer für jedes System bestimmen und Maßnahmen für Risikomanagement, menschliche Aufsicht, Datenqualität und Transparenz umsetzen.

Das ist keine Compliance-Checkliste, die einmal abgearbeitet wird. Das ist eine strukturelle Anforderung an die Art, wie eine Kanzlei mit KI-Technologie umgeht. Und genau hier liegt das eigentliche Problem: Viele Kanzleien haben KI-Tools eingeführt, ohne diese Strukturfragen je gestellt zu haben.

Wo KI in Kanzleien tatsächlich hingehört, und wo nicht

Die relevante Frage ist nicht die der Legalität einzelner Tools. Sie ist die der Passung: Für welche Aufgaben in einer Kanzlei ist KI-Unterstützung sinnvoll, nachvollziehbar und kontrollierbar, und für welche nicht?

Eine Unterscheidung hilft hier: Es gibt Aufgaben in Kanzleien, bei denen KI Arbeitslast abnimmt, ohne das Ergebnis zu beeinflussen. Dokumentenstrukturierung, administrative Sortierung, erste Entwürfe für standardisierte Textbausteine, Zeiterfassung, interne Zusammenfassungen. Diese Anwendungsfälle sind in der Regel risikoarm, gut dokumentierbar und entlasten tatsächlich.

Dann gibt es Aufgaben, bei denen KI das juristische Urteil unterstützt oder ergänzt. Recherche, Fallanalyse, Einschätzung von Risiken, Entwurf von Schriftsätzen. Hier ist KI kein Automatismus, sondern ein Werkzeug, das menschliche Prüfung voraussetzt. Auch wer KI-Tools nur einkauft und einsetzt, hat eigene Pflichten, insbesondere die Sicherstellung menschlicher Aufsicht, Protokollierung und Information der Betroffenen. Das ist keine bürokratische Anforderung, sondern eine Beschreibung dessen, was gute juristische Arbeit mit KI ohnehin leisten muss.

Und schließlich gibt es Aufgaben, bei denen KI nichts verloren hat, weil das Mandatsverhältnis, die Haftungsverantwortung oder die Komplexität des Einzelfalls ein Maß an menschlichem Urteil erfordert, das kein Tool ersetzen kann.

Diese Unterscheidung ist das, was Kanzleien jetzt brauchen. Nicht eine Antwort auf die Frage "Welches Tool ist compliant?", sondern eine klare interne Einordnung: Was übernimmt KI, was prüft ein Mensch, und was bleibt vollständig in menschlicher Verantwortung?

Was Kanzleien jetzt konkret tun müssen

Der Zeitraum bis August 2026 ist ein aktives Compliance-Fenster, keine Wartezeit. Konformitätsbewertungen für komplexe Systeme nehmen Monate in Anspruch. Für Kanzleien, die keine hochriskanten Systeme betreiben, ist die operative Anforderung überschaubarer, aber sie erfordert dennoch konkrete Schritte.

Erstens braucht jede Kanzlei ein KI-Inventar: eine Liste aller Tools, die aktuell im Einsatz sind, mit Angabe des Zwecks, der Nutzer und der Datengrundlage. Das klingt aufwendig, ist es in der Praxis für kleine und mittelgroße Kanzleien aber nicht, weil die Zahl der eingesetzten Systeme überschaubar ist.

Zweitens braucht es eine interne Einordnung jedes Tools nach Risikoklasse. Viele Unternehmen unterschätzen dies: Ein KI-gestütztes Tool zur Leistungsmessung von Mitarbeitern kann schnell als Hochrisiko einzustufen sein, mit entsprechend hohen Dokumentations- und Transparenzpflichten. Für Kanzleien gilt das besonders für alles, was Personalentscheidungen, Mandantenbewertungen oder Risikoeinschätzungen berührt.

Drittens braucht es eine klare interne Regelung darüber, wer welche KI-Tools zu welchem Zweck einsetzt und wie Ergebnisse geprüft werden. Viele Unternehmen brauchen keine abstrakte KI-Debatte, sondern eine belastbare Umsetzungsstrategie. Für Kanzleien bedeutet das: verbindliche Prozesse, nicht Einzel-Ermessen jeder Person, die gerade zufällig ein Tool ausprobiert.

Compliance als Nebenprodukt guter Kanzleistruktur

Die EU KI Verordnung erzeugt regulatorischen Druck. Das ist sein Zweck. Aber für Kanzleien, die KI bereits strukturiert und verantwortungsvoll einsetzen, ist der Compliance-Aufwand kein Zusatzprojekt, sondern ein Nebenprodukt davon, KI von Anfang an richtig eingebettet zu haben.

Wer weiß, welche Tools im Einsatz sind, welche Aufgaben sie übernehmen und wo menschliche Kontrolle stattfindet, hat den Großteil der KI-Verordnung-Anforderungen bereits erfüllt, ohne sich je explizit mit dem Gesetzestext beschäftigt zu haben. Wer das nicht weiß, hat ein Problem, das kein Compliance-Berater und kein Tool-Wechsel lösen kann.

Die Frage „Welche KI darf ich nutzen?" führt oft in die falsche Richtung. Entscheidender ist: Wo in der Kanzlei soll KI konkret eingesetzt werden, welche Aufgaben soll sie übernehmen, und wo bleibt die fachliche Verantwortung beim Anwalt? Das sind keine technischen Fragen, sondern organisatorische. Und sie sollten bewusst entschieden werden, bevor das erste Tool im Einsatz ist.

iusta unterstützt kleine und mittelgroße Kanzleien dabei, Mandate, Workflows und administrative Prozesse so zu strukturieren, dass der Einsatz von Technologie, einschließlich KI, geordnet, nachvollziehbar und kanzleiweit einheitlich funktioniert. Wenn Sie wissen möchten, wie das in der Praxis aussieht -> demo buchen.

Quellen

[1] rueden.de: EU AI Act: Was ab August 2026 für deutsche Unternehmen gilt — rueden.de

[2] Pitch Law: AI Act Risk Classification Explained — pitch.law

[3] EU AI Act Compliance Checker: EU AI Act Compliance Checker — artificialintelligenceact.eu

[4] Sage.com: EU AI Act 2026 für den Mittelstand: Fristen, Pflichten und Compliance — sage.com

[5] anwalt.de: EU AI Act ab 2025: Pflichten und typische Compliance-Fehler — anwalt.de

[6] Legal Nodes: EU AI Act 2026 Updates: Compliance Requirements and Business Risks — legalnodes.com

[7] enka consulting: EU AI Act ab August 2026: Pflichten für HR-Tools, Scoring & Recruiting im Mittelstand — enkaconsulting.de

[8] Pitch Law: AI Act Compliance Timeline: What Applies When — pitch.law

[9] anwalt.de: KI im Unternehmen: Diese 5 Pflichten müssen Sie vor dem 2. August 2026 erfüllen — anwalt.de

[10] Sternberg Consulting: ISO 42001 und EU AI Act: Was Unternehmen bis 2. August 2026 tun müssen — sternberg-consulting.com

FAQ

[faq][{"question":"Gilt die EU KI Verordnung auch für kleine Kanzleien mit wenigen Mitarbeitenden?","answer":"Ja. Die EU KI Verordnung unterscheidet nicht nach Unternehmensgröße, sondern nach der Rolle im KI-System und dem Risiko der eingesetzten Anwendung. Kanzleien, die KI-Tools nutzen, sind als Deployer eingestuft und haben entsprechende Pflichten, darunter die AI-Literacy-Anforderung, die seit Februar 2025 gilt."},{"question":"Welche Kanzleien profitieren am meisten von der Workflow-Automatisierung?","answer":"Kanzleien mit hohem Fallaufkommen und standardisierbaren Abläufen, etwa in Massenverfahren, Verkehrsrecht, Inkasso oder Miet- und Arbeitsrecht, erzielen die größten Effizienzgewinne. Dort ist der Automatisierungsnutzen direkt messbar."},{"question":"Was bedeutet AI Literacy konkret für Kanzleimitarbeitende?","answer":"Jede Person, die ein KI-System im Berufsalltag bedient, muss nachweisbar in der Lage sein, das Tool einzuordnen, seine Grenzen zu verstehen und Ergebnisse kritisch zu prüfen. Das ist keine einmalige Schulung, sondern ein kontinuierliches Anforderungsprofil, das dokumentiert werden muss."},{"question":"Welche KI-Anwendungen in Kanzleien gelten als hochriskant?","answer":"Das hängt vom konkreten Einsatz ab. KI-Systeme, die Personalentscheidungen beeinflussen, Mandant:innen nach Risikoprofilen bewerten oder in justiziellen Entscheidungsprozessen eingesetzt werden, können in den Hochrisiko-Bereich fallen. KI für Texterstellung, Dokumentensortierung oder interne Recherche wird in der Regel niedriger eingestuft."},{"question":"Was passiert, wenn eine Kanzlei die Anforderungen bis August 2026 nicht erfüllt?","answer":"Bei Verstößen gegen die Hochrisiko-Pflichten drohen Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes. Bei verbotenen KI-Praktiken sind es bis zu 35 Millionen Euro oder 7 %. Für die meisten kleinen Kanzleien sind die realistischen Risiken operativer Natur: Reputationsschäden, Haftungsfragen und Vertrauensverlust bei Mandant:innen."}][/faq]