23. Mai 2026 · 9 Min. Lesezeit

EU-AI-Act-Bereitschaft für Kanzleien 2026

Der EU AI Act hat KI-Governance zu einem Thema auf Leitungsebene gemacht (1), doch Kanzleien brauchen keine überzogenen und nicht umsetzbaren Maßnahmen. Sie brauchen ein praxistaugliches Betriebsmodell: klare Kenntnis der KI-Einsatzstellen, Risikoerfassung je Workflow, systematische Nutzerschulung, Ergebnisprüfung, Schutz von Mandantendaten und dokumentierte Kontrollen.

Update 2026: Was sich dieses Jahr geändert hat

Kanzleien sollten 2026 als Umsetzungsjahr begreifen, nicht als Abwartejahr. Die AI-Act-Politikupdates der Europäischen Kommission enthalten nun praktische Entwurfsleitlinien, die unmittelbar beeinflussen, wie Rechtsabteilungen Einsatzfälle klassifizieren und Transparenzpflichten umsetzen (2).

• Die AI-Act-Website der Kommission (aktualisiert am 11. Mai 2026) bestätigt, dass die Verbotsregeln bereits gelten und die GPAI-Pflichten im August 2025 in Kraft getreten sind.
• Am 8. Mai 2026 veröffentlichte die Kommission Entwurfsleitlinien zu den Transparenzpflichten nach Artikel 50 mit gezielter Konsultation relevanter Stakeholder (3).
• Am 19. Mai 2026 veröffentlichte die Kommission Entwurfsleitlinien zur Hochrisiko-Klassifizierung nach Artikel 6 einschließlich praktischer Beispiele und Konsultationsbeiträge (4).
• Der GPAI-Kodex (letzte Aktualisierung am 23. April 2026) bestätigt seinen Charakter als freiwilliger Compliance-Pfad für Modellanbieter unter den AI-Act-Vorgaben (5).

Für Kanzleien ist die praktische Folge klar: Governance-Dokumentation sollte sich nicht nur am Verordnungstext orientieren, sondern auch an den Umsetzungsleitlinien und Konsultationsergebnissen.

Beginnen Sie bei der Arbeit, nicht beim Modell

Der häufigste Fehler besteht darin, KI so zu steuern, als wäre jeder Einsatz gleich. Das ist er nicht. Das Zusammenfassen eines öffentlichen Urteils, die Suche im Kanzleiwissen, die Prüfung eines Mandantenvertrags, das Entwerfen eines Vergleichsschreibens und die Vorbereitung eines Schriftsatzes haben unterschiedliche Risikoprofile.

Ein belastbares Inventar beschreibt die juristische Aufgabe, die betroffenen Daten, berechtigte Nutzer, die entstehenden Ergebnisse, ob diese Mandanten oder Gerichte erreichen und welche Prüfung vor der Nutzung erforderlich ist. Genau dieses Inventar ist die Grundlage für AI-Act-Bereitschaft, Datenschutzanalyse, berufsrechtliche Verantwortung und Teamschulung.

Rollen und Verantwortlichkeiten abbilden

Kanzleien nutzen KI-Tools in unterschiedlichen Rollen: als Auftraggeber, als operativer Nutzer oder als Administrator. Zudem beziehen sie Systeme häufig von Anbietern, die externe Modell-, Dokumenten- oder Infrastrukturdienstleister einsetzen. Die Governance-Frage bleibt deshalb zentral: Wer trägt die Verantwortung für jede operative Entscheidung?

• Die Kanzleiführung definiert, welche Kategorien juristischer Arbeit für KI-Unterstützung geeignet sind.
• Die Informationssicherheit prüft Zugriffskontrollen, Datenverarbeitung, Aufbewahrung und Vorfallsreaktion.
• Datenschutzteams bewerten Rechtsgrundlagen, Auftragsverarbeiter, Datenübermittlungen und Betroffenenrechte.
• Wissens- und Innovationsteams definieren Schulung, Templates und Qualitäts-Feedbackschleifen.
• Verantwortliche Juristinnen und Juristen prüfen Ergebnisse, bevor sie Mandatsberatung, Prozessdokumente, Verhandlungen oder Rechte beeinflussen.

AI-Kompetenz ist jetzt operativ

KI-Kompetenz ist kein einmaliges Webinar. Rechtsabteilungen brauchen wiederkehrende Routinen: Quelle prüfen, Fakten von Schlussfolgerungen trennen, unnötige personenbezogene Daten vermeiden, keine vertraulichen Mandatsunterlagen in nicht zugelassene Tools geben, Unsicherheiten dokumentieren und eskalieren, wenn Ergebnisse hohe Auswirkungen haben.

Gute Schulung ist rollenspezifisch. Ein Partner, der Prozessentwürfe beaufsichtigt, braucht andere Beispiele als ein Wissensjurist, der Präzedenzfälle pflegt, eine Rechtsanwaltsfachangestellte, die die Offenlegung prüft, oder ein Administrator, der Zugriffe konfiguriert. Der gemeinsame Nenner ist, dass alle Nutzerinnen und Nutzer sowohl den Wert als auch die Grenzen KI-gestützter Arbeit verstehen.

Menschliche Kontrolle muss im Workflow sichtbar sein

Menschliche Kontrolle wird oft abstrakt beschrieben. Für Legal AI muss sie konkret sein. Eine qualifizierte Fachkraft benötigt das Quellmaterial, kann prüfen, ob es die Antwort trägt, Fehler korrigieren und entscheiden, ob das Ergebnis für das Mandat geeignet ist.

Kanzleien sollten unterschiedliche Prüfstufen definieren. Unkritisches Brainstorming kann eine leichtere Prüfung erhalten. Mandantenberatung, Gerichtsunterlagen, regulierte Mandate oder sensible personenbezogene Daten benötigen eine deutlich strengere Prüfung. Es geht nicht darum, jede Aufgabe gleich stark zu verlangsamen, sondern dort die strengste Prüfung zu setzen, wo Fehler die größten Folgen haben.

Transparenz sollte für Mandanten verständlich sein

Mandanten und Aufsichtsbehörden werden fragen, wie KI in juristischer Arbeit eingesetzt wird. Eine glaubwürdige Antwort vermeidet Schlagworte und erklärt die Kernaussagen: Was macht das Tool, welche Daten werden verarbeitet, sind externe Anbieter beteiligt, sind die Ergebnisse quellenverknüpft und wie prüft die Kanzlei sie?

Kanzleien sollten klare Formulierungen für Mandatsbedingungen, Sicherheitsfragebögen und mandatsspezifische Gespräche vorbereiten. Diese Sprache sollte nicht übertreiben. KI kann Tempo und Konsistenz verbessern, doch juristisches Urteil, Verschwiegenheitspflichten, Konfliktprüfungen und professionelle Kontrolle bleiben zentral.

Datenschutz bleibt zentral

KI-Governance ersetzt die DSGVO nicht. Rechtsrelevante Prompts und Dokumente können Namen, arbeitsrechtliche Vorwürfe, Gesundheitsdaten, strafrechtliche Kontexte, Geschäftsgeheimnisse, Verhandlungsstrategien und privilegierte Informationen enthalten. Ein Satz kann zugleich rechtlich und persönlich sensibel sein, weshalb KI-Datenschutzleitlinien Teil des Betriebsmodells bleiben (6).

Bevor Legal AI breit ausgerollt wird, sollten Kanzleien beantworten:

• Welche Kategorien personenbezogener Daten können in jedem Workflow verarbeitet werden?
• Ist die Kanzlei Verantwortliche für Mandatsinhalte und ist der Anbieter als Auftragsverarbeiter eingebunden?
• Liegen Auftragsverarbeitungsverträge, Unterauftragsverarbeiter-Transparenz und Übermittlungsgarantien vor?
• Kann die Kanzlei Daten bei Bedarf exportieren, löschen, einschränken oder berichtigen?
• Wie werden Backups, Audit-Logs, rechtliche Aufbewahrungssperren und Aufbewahrungsfristen gehandhabt?

Auditierbarkeit ist nicht optional

Legal AI berührt vertrauliches Wissen. Auditierbarkeit hilft Kanzleien, die Einführung zu steuern, Vorfälle aufzuklären, Compliance nachzuweisen und Mandantenfragen fundiert zu beantworten. Mindestvoraussetzung ist, dass nachvollziehbar ist, wer auf sensible Arbeitsbereiche zugreift, wer Zugriffsregeln ändert, was exportiert wird und wann Material gelöscht oder eingeschränkt wurde.

Audit-Logs sollten nutzbar statt nur symbolisch sein. Ein Log, das nie geprüft wird, trägt nicht zur Governance bei. Eine knappe monatliche Auswertung von Nutzungsmustern, abgelehnten Zugriffen, ungewöhnlicher Exportaktivität und Qualitätsfeedback kann Probleme sichtbar machen, bevor sie zu Vorfällen eskalieren.

Ein praktischer 90-Tage-Umsetzungsplan

1. Erstellen Sie ein KI-Einsatzfallregister für Recherche, Drafting, Dokumentenprüfung, Wissenssuche und mandantenbezogene Workflows.
2. Klassifizieren Sie jeden Workflow nach Datensensitivität, möglicher Wirkung der Ergebnisse, Abhängigkeit von externen Anbietern und erforderlicher menschlicher Prüfung.
3. Veröffentlichen Sie eine klare Nutzerrichtlinie mit freigegebenen Tools, nicht nutzbaren Datenkategorien, Prüfregeln und Eskalationspfaden.
4. Schulen Sie Nutzerinnen und Nutzer anhand fachbereichsspezifischer Beispiele und aktualisieren Sie die Schulung, wenn sich Workflows ändern.
5. Bestätigen Sie Anbieterauswahl, Datenschutzbedingungen, Sicherheitskontrollen, Aufbewahrungsregeln und Auditierbarkeit.
6. Führen Sie einen kontrollierten Piloten durch, messen Sie Qualitäts- und Risikosignale und erweitern Sie nur dort, wo der Workflow bereit ist.

Die wirksamsten KI-Governance-Programme versuchen nicht, KI-Risiken verschwinden zu lassen. Sie machen Risiken sichtbar, geprüft und verhältnismäßig zur geleisteten juristischen Arbeit.

Was reife Governance erfordert

Ein reifes KI-Programm in einer Kanzlei ist nicht nur eine Richtlinie. Es ist ein Set operativer Gewohnheiten: freigegebene Workflows, quellenbewusste Tools, klare Prüfstufen, geschulte Nutzerinnen und Nutzer, dokumentierte Anbieterentscheidungen, Datenschutzgarantien, Zugriffskontrollen und Auditierung. So unterstützt die Kanzlei KI mit Vertrauen, ohne Tempo an die Stelle juristischer Prüfung zu setzen.

Eine praktische Aktionsliste für Q2 bis Q4 2026

1. Validieren Sie Ihr Use-Case-Register neu anhand der Entwurfsleitlinien zur Hochrisiko-Klassifizierung und der Beispiele zu Artikel 6.
2. Ermitteln Sie, wo die Transparenzpflichten nach Artikel 50 mandantspezifische Texte, internes Drafting und öffentliche juristische Inhalte betreffen.
3. Aktualisieren Sie die Schulung, damit Juristinnen und Juristen Risiken verbotener Praktiken von den Pflichten für Hochrisikosysteme und den Transparenzregeln unterscheiden können.
4. Prüfen Sie Anbieter-Dokumentation auf GPAI-Pflichten, einschließlich Modell-Dokumentation, Urheberrechtsregelungen und Reife der Vorfallbehandlung.
5. Benennen Sie eine verantwortliche Person für das Regulierungs-Tracking, damit regulatorische Änderungen zu Workflow-Updates werden und nicht nur zu Newsletter-Notizen.

Quellen und weiterführende Lektüre

• EUR-Lex: Verordnung (EU) 2024/1689, der Artificial Intelligence Act
• Europäische Kommission: AI-Act-Politikseite
• Europäische Kommission: Entwurfsleitlinien zu den Transparenzpflichten nach Artikel 50
• Europäische Kommission: Entwurfsleitlinien zur Hochrisiko-AI-Klassifizierung
• Europäische Kommission: Verhaltenskodex für General-Purpose AI
• ICO: Guidance on AI and data protection