AI-Act ab August 2026 — was Kanzleien jetzt vorbereiten müssen

Für Anwaltskanzleien greifen ab August 2026 zwei Regelwerke gleichzeitig: das Mandantengeheimnis nach § 43a BRAO (mit § 203 StGB im Rücken) und der AI-Act. Beide sind im Tagesgeschäft kompatibel — aber nur, wenn die IT-Architektur mitspielt. Drei Kanzleien, die wir in den letzten Monaten beraten haben, hatten alle dasselbe Problem: ihre KI-Workflows sind vor 2026 gebaut, der Sub-Processor-Stack ist nicht dokumentiert, das DPIA-Register ist eine Excel-Tabelle.

Was bis August 2026 stehen muss — pragmatisch, ohne Compliance-Theater.

§ 43a Abs. 2 BRAO — Mandantengeheimnis in der Cloud

Das Mandantengeheimnis verbietet die Weitergabe von Mandatsinhalten ohne Einwilligung. In der Cloud-Welt heißt das nach Schrems-II:

• →US-Cloud ohne Standardvertragsklauseln (SCC) plus ergänzende Maßnahmen ist nicht zulässig.
• →DPF (Data-Privacy-Framework, ehemals Privacy-Shield 2.0) ist kein Freibrief — der LfDI BW und das BfDI fordern weiterhin Verschlüsselung in Verbindung mit SCC.
• →"Confidential Computing" oder "Memory Encryption" alleine reicht nicht — die Schlüssel-Hoheit muss beim Kanzlei-Tenant liegen.

Anirag löst das durch EU-only-Hosting in Frankfurt + Wien, mit per-Tenant-AES-256-GCM-Verschlüsselung der Mandatsinhalte. Schlüssel-Hoheit liegt im BYOK-Modus bei der Kanzlei (eigene KMS-Anbindung an AWS-KMS oder Azure-Key-Vault).

Eine Kanzlei mit ~80 Anwält:innen hat das so umgesetzt: Eigene Workspace-Keys in AWS-KMS Frankfurt, Anirag-Cloud-Tenant nutzt sie über KMS-API, Mandatsinhalte sind ohne Workspace-Key auch für Anirag-Operations nicht entschlüsselbar.

AI-Act Art. 50 — Transparenz-Pflichten

Bei KI-erzeugten Schriftsätzen muss der Mandant informiert sein. Konkret:

• →Hinweis im Schriftsatz oder im Mandatsgespräch, dass KI mitgewirkt hat.
• →Modell-Identifikation auf Anfrage — welches Modell, welche Region, welche Daten als Wissensbasis.
• →Source-Citations zur Mandatsakte — woher kommt welche Aussage.

Anirag liefert pro Antwort einen Audit-Block:

textModell:    claude-opus-4-7 (Anthropic, EU-Region)
Quellen:   • Mandatsakte_2026-04/Schriftsatz_BVerfG.pdf [S. 14, 17]
           • Mandatsakte_2026-04/Replik_BehandlerSeite.docx [S. 3]
Region:    eu-fra1 (Frankfurt)
Schlüssel: byok:kanzlei-aws-kms-frankfurt
Hash:      sha256:c4f9... (Audit-Log v3.2)

Das landet als Anhang im DMS, ist beweisfest gegen Manipulation und reicht in der Regel für die Transparenz-Pflichten gemäß Art. 50.

Hochrisiko-Use-Cases nach Anhang III

AI-Act Anhang III enthält zwei Use-Cases, die für Kanzleien relevant werden können:

• →Strafverfolgung (Anhang III Punkt 6) — wenn KI bei Strafverteidigung oder bei Mandatsprüfung zur Strafverfolgungs-Analyse eingesetzt wird.
• →Justiz und demokratische Prozesse (Anhang III Punkt 8) — wenn KI bei Recherche zu Rechtsstreitigkeiten oder bei Schiedsverfahren mitwirkt.

Beide Use-Cases lösen Hochrisiko-Pflichten aus:

1. 01DPIA (Datenschutz-Folgenabschätzung) nach DSGVO Art. 35.
2. 02Risiko-Management-System nach AI-Act Art. 9.
3. 03Human-Oversight nach AI-Act Art. 14 — Anwalt prüft Output, dokumentiert Eingriff.
4. 04Logging mit min. 12 Monaten Retention nach Art. 12.

Anirag liefert dafür druckfertige Anhänge: DPIA-Vorlage spezifisch für RAG-Workflows, Risiko-Register-Template, Logging-Konfigurationsbeispiele.

Was bis August 2026 stehen muss

Pragmatische Checkliste — wenn alles davon steht, ist die Kanzlei AI-Act-bereit:

• →[ ] AVV mit Sub-Processor-Map (jede LLM-Region, jeder Storage-Anbieter, jeder Mail-Provider).
• →[ ] Audit-Log mit min. 90 Tagen Retention. Empfehlung Kanzlei: 365 Tage, weil Mandatsbeziehungen oft länger laufen.
• →[ ] DPIA für jeden Hochrisiko-Use-Case (Strafrecht, Familienrecht, Asyl, Migration sind die häufigsten Anhang-III-Treffer).
• →[ ] BYOK oder klar definierte Schlüssel-Hierarchie mit Kanzlei-Hoheit.
• →[ ] Transparenz-Hinweis im Mandatsanschreiben oder im DMS-Schriftsatz-Footer.
• →[ ] Mandanten-Einwilligung für KI-gestützte Verarbeitung im Mandatsvertrag.
• →[ ] Risiko-Register mit Bewertung pro Use-Case (Niedrig / Mittel / Hochrisiko).

Wo Excel-Tabellen reichen — und wo nicht

Excel reicht für:

• →Risiko-Register-Übersicht im 1-Seiten-Format.
• →AVV-Versions-Tracking.

Excel reicht nicht für:

• →Audit-Log auf Verarbeitungsebene — das muss Hash-Chained und manipulationssicher sein.
• →DPIA mit aktiven Datenflüssen — die müssen verlinkt sein zu Logs und Architektur-Diagrammen.
• →Sub-Processor-Map — die ändert sich quartalsweise, Excel-Versionen werden nicht mit-aktualisiert.

Hier braucht es ein System, das die Kompatibilität automatisch prüft. Anirag bietet ein eingebautes Compliance-Dashboard, das pro Mandant zeigt: Welche Use-Cases sind welcher Risiko-Klasse zugeordnet, welche Sub-Processor laufen, welche DPIA-Versionen sind aktuell.

Drei Stolpersteine in der Praxis

"Wir haben einen ChatGPT-Plus-Account für die Kanzlei" — das ist die häufigste Aussage in Erst-Briefings. Und die häufigste Schrems-II-Lücke.

• →OpenAI-API über US-Account — selbst wenn ChatGPT-Plus auf einem deutschen Account läuft, geht der API-Traffic standardmäßig in die USA. Workaround: explizit auf Azure-OpenAI EU oder auf Anirag Multi-LLM-Router umstellen.
• →„Der Kollege nutzt es nur fürs Brainstorming" — auch Brainstorming mit Mandatsinhalten ist § 203-relevant. Schon der Prompt enthält geschützte Daten.
• →DPIA nicht aktualisiert — DPIA ist kein Einmal-Dokument. Bei jedem neuen Modell, jedem neuen Workflow, jeder neuen LLM-Region gehört das DPIA aktualisiert.

Empfehlung

Wer in 2026 noch keinen DPO-Austausch zur AI-Act-Bereitschaft hatte, sollte das in den nächsten 8 Wochen einplanen. Anirag bietet einen vertraulichen DPO-Termin an: 60 Min mit unserem DPO, NDA-geschützt, ohne Sales. Wir gehen die obige Checkliste an Ihrem konkreten Setup durch und liefern eine Lücken-Liste plus Roadmap für die letzten 4 Monate vor August 2026.