Zum Hauptinhalt springen
aniragio
Zur Blog-Übersicht
Legal & Compliance2. April 20262 Min Lesezeit

AI-Act ab August 2026: Was Kanzleien jetzt vorbereiten müssen

Hochrisiko-Klassifikation, Konformitätsbewertung, Aufzeichnungspflichten: Eine konkrete Checkliste für mittelständische Kanzleien — ohne juristische Phrasen.

Dr. K.B.Compliance-Officer & externer Datenschutzbeauftragter

Am 2. August 2026 wird die Verordnung (EU) 2024/1689 (Artificial Intelligence Act) für allgemeine KI-Modelle vollumfänglich anwendbar. Für Kanzleien bedeutet das nicht nur Beratungsbedarf bei Mandanten — es bedeutet auch interne Pflichten, sobald KI-Systeme in der eigenen Mandatsbearbeitung eingesetzt werden.

Was unter Hochrisiko fällt

Anhang III definiert Hochrisiko-Anwendungen. Für Kanzleien relevant:

  • Annex III, Nr. 8 (a): KI-Systeme, die zur Bewertung der Eignung natürlicher Personen für Berufe verwendet werden — hier kollidiert die Justizverwaltung mit Anwendungen wie Notarkammer-Prüfungen, Berufungs-Verfahren.
  • Annex III, Nr. 6 (a): Strafverfolgungs-relevante KI — relevant für die Verteidigung, wenn Mandanten von KI-basierten Bewertungen betroffen sind.
  • Allgemeine Mandatsbearbeitung: in der Regel nicht Hochrisiko, sofern die KI nur Recherche-/Vorbereitungsdienste leistet und die finale juristische Bewertung durch die Anwältin / den Anwalt erfolgt.

Die meisten Kanzlei-Anwendungen (Vertragsanalyse, Klausel-Briefe, Recherche in Beck-Online / juris) fallen unter die Transparenzpflicht (Art. 50), nicht unter Hochrisiko.

Was die Transparenzpflicht konkret heißt

Mandant:innen müssen informiert werden, wenn ihre Anfrage durch KI vorbearbeitet wird. Das ist keine besondere Bürde — eine Klausel im Mandatsvertrag und ein Hinweis in der E-Mail-Signatur reichen. Wichtig: Die finale juristische Bewertung muss klar als menschliche Entscheidung gekennzeichnet sein.

Was die DSGVO-/AVV-Anforderungen verlangen

Hier ist die Latte höher als beim AI-Act:

  • Art. 28 DSGVO: Vertragliche Auftragsverarbeitungs-Vereinbarung mit dem KI-Anbieter — inklusive vollständiger Sub-Processor-Liste.
  • § 43a BRAO (Mandantengeheimnis): Übermittlung an US-Cloud ohne EU-Hosting + AVV ist ausgeschlossen. Mehrere BRAK-Stellungnahmen seit 2024 sind hier eindeutig.
  • Zero-Retention bei LLM-Providern: Vertraglich abzusichern, dass Mandantendaten nicht zu Trainingszwecken weiterverwendet werden.

Anbieter, die nur „DSGVO-konform" werben, ohne AVV-Mustervertrag und Sub-Processor-Liste auf der Website zu haben, scheitern in der DPO-Prüfung sofort.

Konkrete 4-Punkt-Checkliste für die nächsten 90 Tage

  1. Bestandsaufnahme: Wo wird in der Kanzlei bereits KI eingesetzt (auch ChatGPT, Copilot, Translate-Tools)? Inoffizielle Nutzung ist das größere Risiko.
  2. AI-Act-Risikoeinstufung pro Anwendung: Hochrisiko? Transparenzpflicht? GPAI? Die Klassifizierung entscheidet über die Compliance-Last.
  3. DSGVO-/AVV-Audit: Existiert ein AVV-Mustervertrag? Wird die Sub-Processor-Liste aktiv gepflegt? Ist Zero-Retention vertraglich abgesichert?
  4. Mandantenkommunikation: Mandatsvertrag, E-Mail-Signatur, Website — alle drei müssen vor 8/2026 die Transparenz-Anforderung abbilden.

Source-Citation-Mode ist im Legal-Plan Pflicht-on: Jede KI-Antwort hat Klausel + Seite. Ohne Citation — keine Antwort. Plus Mandanten-Workspace-Isolation auf Vector-Index-Ebene (keine Cross-Mandanten-Suche möglich, auch nicht für Admins). Der AVV-Mustervertrag steht in 48 Stunden, mit Sub-Processor-Liste auf Knopfdruck.

Fazit

Der AI-Act ist für die meisten Kanzleien handhabbar — die DSGVO-/§-43a-Anforderungen sind der härtere Filter. Wer jetzt einen US-Cloud-Anbieter pilotiert, muss in 4 Monaten migrieren. Wer von Anfang an EU-gehosteten Anbieter mit AVV + Zero-Retention wählt, hat ab 8/2026 keinen zusätzlichen Aufwand.

Sondierungsgespräch

Lassen Sie uns 30 Minuten über Ihre Branche sprechen.

Persona-spezifische Beratung ohne Verkaufsdruck. Klare Empfehlung, ob Anirag zu Ihrer Compliance- und Budget-Realität passt.

Beratungsgespräch buchen