Verbotene KI-Praktiken: Kontrollmechanismen für Kanzleien, die in 2026 nicht aufgeschoben werden dürfen
Viele Rechtsteams konzentrieren sich auf Transparenz und Hochrisiko-Klassifizierung. Bei der Steuerung verbotener KI-Praktiken werden jedoch rechtliche und reputationsbezogene Risiken im AI Act oft unmittelbar zu Umsetzungsfragen. In 2026 brauchen Kanzleien klare, konkrete Grenzen für verbotene Nutzungen in Richtlinien und Systemen – nicht nur allgemeine Absichtserklärungen.
Regulatorischer Kontext, den Rechtsteams nicht übersehen sollten
Die Europäische Kommission veröffentlichte im Februar 2025 Leitlinien zu verbotenen KI-Praktiken, um eine einheitliche Anwendung des AI Act zu unterstützen (2). Der regulatorische Rahmen des AI Act macht klar, dass diese Verbotkategorien bereits gelten und unmittelbar mit dem Grundrechtsschutz verknüpft sind (3).
Für Kanzleien bedeutet das: Governance muss eine belastbare Sperrschicht gegen verbotene KI-Nutzungen in Beschaffung, Pilotierung und Mandats-Workflows vorsehen.
Warum Kanzleien betroffen sind, auch wenn sie keine KI-Anbieter sind
Rechtsanwaltskanzleien setzen zunehmend Drittanbieter-Tools in sensiblen Workflows ein. Beruhen Onboarding, Triage oder Prozessunterstützung auf Systemen, deren Konfiguration verbotene Grenzen überschreitet, können Kanzleien trotzdem erhebliche rechtliche und mandantenbezogene Folgen tragen.
- Innovationsteams testen neue Funktionen, bevor die Governance nachgezogen wurde.
- Teams im Tagesgeschäft nutzen externe Tools ohne ausreichende technische und vertragliche Kontrollen.
- Beschaffungs- oder Rechtsabteilungen prüfen Konfigurationen nicht mit ausreichender juristischer Präzision.
Ein Freigabepunkt für verbotene Praktiken vor der Pilotierung
Vor jedem KI-Pilot sollten Kanzleien einen kurzen Screeningprozess gegen verbotene Praktiken durchführen:
- Wie ist der beabsichtigte Einsatzfall, und wer ist betroffen?
- Kann die Konfiguration in Richtung verbotener Manipulation, Ausbeutung, Social-Scorings oder unzulässiger biometrischer Verfahren führen?
- Kann der Anbieter problematische Funktionen standardmäßig deaktivieren?
- Welche vertraglichen Kontrollen sichern diese Grenzen dauerhaft ab?
Wenn die Antwort unsicher ist, stoppen Sie den Pilot, bis die rechtliche Prüfung abgeschlossen ist.
Eine Kontrollarchitektur, die in der Praxis funktioniert
- Strenge Zugriffssperren: sensible Funktionsklassen automatisch auf Mandats- oder Richtlinienebene begrenzen.
- Beschaffungskontrollen: schriftliche Zusicherungen zu Sicherheitsmaßnahmen gegen verbotene KI-Praktiken einfordern.
- Audit-Kontrollen: protokollieren, wenn verbotene Funktionen angefragt oder initiiert werden.
- Schulungen: Teammitglieder mit konkreten Beispielen befähigen, was in welchen Fällen als „verboten“ gilt.
Drei Warnzeichen, dass die Governance zu weich ist
- Richtliniendokumente sprechen von „Ethik“, nennen aber keine konkreten verbotenen Nutzungskategorien.
- Es gibt keine klar zuständige Person für Freigabe- oder Stoppentscheidungen bei KI-Funktionen in Grenzfällen.
- Verträge und Einstellungen erlauben externen Anbietern freigegebene Funktionen ohne funktionsbezogene Einschränkungen.
30-Tage-Umsetzungsplan
- Erstellen Sie eine präzise Entscheidungsmatrix für verbotene KI-Praktiken für die gesamte Beschaffung.
- Verlangen Sie eine Rechtsfreigabe für jede produktionsnahe KI-Funktion.
- Ergänzen Sie Verträge um Klauseln zur Deaktivierung verbotener Funktionen sowie Benachrichtigungs- und Änderungsregeln.
- Führen Sie Red-Team-Tests gegen aktuell freigegebene Tools durch.
- Leiten Sie jede Unklarheit an ein funktionsübergreifendes Gremium aus Recht, Risiko, Datenschutz und Operations weiter.
Governance für verbotene KI-Praktiken ist der Startpunkt für Legal-AI-Reife. Sind Grenzen für verbotene Nutzungen nicht operativ hinterlegt, bleibt das Gesamtmodell unvollständig.
Operative Schlussfolgerung
2026 können Kanzleien mit klaren Kontrollmechanismen für verbotene KI-Praktiken verantwortbaren KI-Einsatz freigeben. Teams, die diese Schicht aufschieben, spüren die Folgen häufig erst, wenn Mandantenvertrauen bereits belastet ist oder die Aufsicht bereits eingreift.