EU AI Act für Anwaltskanzleien: Risikoklassifikation und Compliance 2026

Für die meisten Anwaltskanzleien gilt: KI-Tools für Vertragsanalyse, Rechtsrecherche und Dokumentenentwurf fallen unter den EU AI Act als geringes Risiko — weil der Anwalt die finale Entscheidung trifft, nicht das System. Der AI Act stuft KI, die professionelle Fachkräfte unterstützt ohne selbst zu entscheiden, regelmäßig niedrig ein. Dennoch bestehen konkrete Pflichten: Transparenz, Dokumentation und die Einhaltung berufsrechtlicher Anforderungen nach der Bundesrechtsanwaltsordnung (BRAO).

Der kritische Stichtag: Ab dem 2. August 2026 müssen Hochrisiko-KI-Systeme im Sinne von Anhang III EU AI Act vollständig compliant sein. Für Kanzleien, die KI im Bereich Prozesskostenhilfe-Entscheidungen oder Zugang zur Justiz einsetzen, ist dieser Termin verbindlich.

Stand Mai 2026: 84 Tage bis zur Hochrisiko-Frist

Der 2. August 2026 rückt in greifbare Nähe. Die Compliance-Ampel für Kanzleien steht jetzt auf Gelb:

• GPAI-Pflichten (Art. 51–56) sind seit August 2025 in Kraft — Kanzleien, die ChatGPT, Claude oder Gemini über API oder Unternehmenslizenzen einsetzen, mussten bereits ab diesem Zeitpunkt handeln. Wer noch keinen AVV, keine Nutzungsrichtlinie und keine Mandanteninformationsstandards eingeführt hat, ist in Verzug.
• Hochrisiko-Frist am 2. August 2026 — KI-Systeme nach Anhang III, insbesondere im Bereich Zugang zur Justiz (Nr. 7 lit. a) und Strafverfolgung (Nr. 8), benötigen vollständige Konformitätsdokumentation, Risikomanagement und — für öffentliche Stellen — Registrierung in der EU AI Act-Datenbank.
• Geringes Risiko bleibt geringes Risiko — die meisten Kanzlei-KI-Tools unterliegen keinen harten Fristen, aber eine Dokumentationspflicht ab Inbetriebnahme besteht bereits heute.

Eine branchenübergreifende August-2026-Frist-Checkliste für Unternehmen bietet einen Überblick über alle Hochrisiko-Anforderungen. Die folgenden Abschnitte behandeln die kanzleispezifischen Besonderheiten.

Risikoklassifikation: Legal-KI im Überblick

Die Risikoklasse eines KI-Systems bestimmt den Umfang der Compliance-Pflichten. Für typische Kanzlei-Anwendungen ergibt sich folgendes Bild:

KI-Anwendung	Risikoklasse	Begründung
KI-gestützte Vertragsanalyse	Geringes Risiko	Anwalt prüft und entscheidet; KI liefert Analyse
Legal Research (z. B. Rechtsprechungsrecherche)	Geringes Risiko	Werkzeugcharakter; keine eigenständige Entscheidung
Dokumentenentwurf und -zusammenfassung	Geringes Risiko	Redaktionelle Unterstützung; Anwalt zeichnet ab
Due-Diligence-Analyse	Geringes Risiko	Prüfwerkzeug; keine rechtsverbindliche Wirkung
E-Discovery / Predictive Coding (mit Anwaltsaufsicht)	Geringes Risiko	TAR als Werkzeug; finale Review durch Anwalt
Mandantenchatbot (Erstberatung)	Eingeschränktes Risiko	Transparenzpflicht: KI-Beteiligung muss offengelegt werden
E-Discovery ohne finale menschliche Review	Hohes Risiko	Automatisierter Ausschluss von Dokumenten aus Verfahren
KI zur Prozesskostenhilfe-Entscheidung	Hohes Risiko	Anhang III Nr. 7 lit. a: Zugang zur Justiz
Strafmaßunterstützungssysteme (Gerichte)	Hohes Risiko	Anhang III Nr. 8: Strafverfolgung / Justiz
Biometrische Mandantenidentifikation	Hohes Risiko	Anhang III Nr. 1: biometrische Identifizierung

Praktische Regel: Entscheidet das KI-System selbst über Rechtspositionen oder Ressourcenzugang — ohne finale menschliche Überprüfung — ist das Hochrisiko-Territorium. Unterstützt es lediglich einen Anwalt, der selbst entscheidet, ist es geringes oder eingeschränktes Risiko.

Rechtsrecherche und Dokumentenentwurf

KI-Tools für Fallrecherche, Vertragsanalyse und Schriftsatzentwurf sind professionelle Arbeitsmittel — vergleichbar mit Datenbanken wie beck-online oder juris. Der EU AI Act für KI-Rechtsrecherche sieht für diese Anwendungen minimale Anforderungen vor:

1. Systeminventar führen: Dokumentieren Sie, welche KI-Tools Sie einsetzen und wofür
2. Ausgaben verifizieren: Keine blinde Übernahme von KI-Output — der Anwalt prüft und haftet
3. Anbieterbewertung: Prüfen Sie Datenschutz und Vertraulichkeit der eingesetzten Tools
4. Schulung: Mitarbeiter müssen die Grenzen des jeweiligen Systems kennen

Für dokumentenintensive Praxisbereiche empfiehlt sich ein gesonderter Blick auf die KI-Dokumentenanalyse-Compliance sowie auf die KI-Zusammenfassungs-Compliance für Urteilsexzerpte und Schriftsatzzusammenfassungen.

E-Discovery und Predictive Coding

E-Discovery-Systeme, die in US-amerikanischen oder international koordinierten Verfahren eingesetzt werden, nutzen zunehmend KI-gestützte Relevanzbeurteilung — sogenanntes Predictive Coding oder Technology-Assisted Review (TAR). Ihre Risikoklassifikation nach EU AI Act hängt entscheidend von der Ausgestaltung ab:

Geringes Risiko gilt, wenn das System lediglich Dokumente nach Relevanz priorisiert und Anwälte die finale Prüfungsentscheidung treffen. Das TAR-Tool bleibt Werkzeug; die anwaltliche Verantwortung bleibt vollständig erhalten.

Hohes Risiko droht, wenn das System Dokumente ohne finale menschliche Review als “nicht responsiv” klassifiziert und damit automatisiert aus dem Verfahren ausschließt — oder wenn es Privilegierungsentscheidungen (Anwaltsgeheimnis, § 43a BRAO) eigenständig bewertet.

Anforderungen für den TAR-Einsatz in der Praxis

1. Protokollführung: Dokumentieren Sie Trainingssets, Recall-Rates, Qualitätskontrollschritte und Fehlerquoten — diese Unterlagen können im Verfahren angefordert werden
2. Transparenz gegenüber Verfahrensgegnern: In deutschen Zivilverfahren kann eine Offenlegungspflicht hinsichtlich der eingesetzten Review-Methode bestehen
3. Anwaltliche Aufsicht sicherstellen: § 43a BRAO verlangt persönliche Leistungserbringung — vollständig automatisierte Dokumentenausschlüsse ohne Anwaltskontrolle gefährden dies
4. Vertragliche Absicherung: Klären Sie mit dem TAR-Anbieter EU-Datenhosting, Sub-Processor-Ketten und Datenlöschung nach Verfahrensende

Für den rechtssicheren Einsatz von KI in der Dokumentenanalyse bietet unsere KI-Dokumentenanalyse-Compliance eine strukturierte Übersicht der technischen und rechtlichen Anforderungen.

Berufsgeheimnis und KI: § 43a BRAO in der Praxis

Das anwaltliche Berufsgeheimnis nach § 43a Abs. 2 BRAO und § 203 StGB (Verletzung von Privatgeheimnissen) ist das zentrale Risiko beim KI-Einsatz in Kanzleien — und wird durch den EU AI Act nicht aufgehoben, sondern ergänzt. Wer KI-Tools ohne sorgfältige berufsrechtliche Prüfung einsetzt, riskiert Haftung, Berufsrechtsverstöße und strafrechtliche Konsequenzen.

Konkrete Praxisrisiken

Cloudverarbeitung von Mandatsdaten:

• US-CLOUD-Act-Risiko: US-Behörden können auf Daten bei US-Unternehmen zugreifen, auch wenn diese in Europa gespeichert sind
• Standardvertragsklauseln (SCC) nach Art. 46 DSGVO reichen für besonders sensitive Mandate (Strafrecht, M&A, Compliance-Ermittlungen) möglicherweise nicht aus
• Lösung: EU-Hosting-Optionen nutzen — z. B. Claude EU Hosting mit Datenspeicherung in der EU — oder On-Premise-Deployment prüfen

Modell-Training mit Kanzleidaten:

• Viele LLM-Anbieter nutzen Eingabedaten standardmäßig zum Fine-Tuning, wenn kein expliziter Opt-out erfolgt
• Diese Verarbeitung kann § 203 StGB verletzen, wenn Mandatsinhalte in das Modell einfließen
• Lösung: Vertragliche No-Training-Klausel, technische Opt-out-Einstellung, API statt Web-Interface

Sub-Processor-Risiken:

• Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO müssen sämtliche Unterauftragnehmer erfassen
• KI-Anbieter nutzen häufig Cloud-Infrastruktur-Provider als Sub-Processor — prüfen Sie die vollständige Verarbeitungskette

Berufsgeheimnis-konforme KI-Nutzung: Mindestmaßnahmen

• Datensparsamkeit: Pseudonymisieren oder anonymisieren Sie Mandantendaten, bevor sie KI-Systemen zugänglich gemacht werden
• Zweckbindung: Verwenden Sie KI nur für den dokumentierten Zweck — keine unkontrollierten Experimente mit echten Mandatsdaten
• Mandanteninformation: Informieren Sie Mandanten über KI-Einsatz, wenn deren personenbezogene Daten verarbeitet werden
• Schriftliche Vereinbarung: Holen Sie bei besonders sensiblen Mandaten eine ausdrückliche Einwilligung zur KI-unterstützten Verarbeitung ein

Unser Leitfaden zu KI-Tools für Anwaltskanzleien: BRAO- und DSGVO-Anforderungen behandelt diese Punkte mit Musterformulierungen und einer strukturierten Vendor-Checkliste.

GPAI-Modelle in der Kanzlei: ChatGPT, Claude & Co.

Allzweck-KI-Modelle (General Purpose AI, GPAI) wie ChatGPT, Claude oder Gemini unterliegen seit dem 2. August 2025 den Regelungen in Art. 51–56 EU AI Act. Diese Pflichten sind nicht erst ab August 2026 relevant — sie gelten bereits heute. Für Kanzleien, die diese Modelle direkt über API oder als Unternehmensversion einsetzen, bedeutet das:

• Transparenzpflicht gegenüber Mandanten: Wenn KI-generierter Inhalt in Mandantenarbeit einfließt, ist Offenlegung empfehlenswert und in bestimmten Konstellationen berufsrechtlich geboten
• Systemkarten und technische Dokumentation: Anbieter von GPAI-Modellen müssen Dokumentation bereitstellen — prüfen Sie, ob Ihr Anbieter compliant ist
• Datenschutz parallel prüfen: DSGVO-Anforderungen (Auftragsverarbeitung, Drittlandübermittlung) gelten neben dem AI Act unverändert fort

Wer Claude Enterprise oder ChatGPT Enterprise einsetzt, sollte die EU-Datenverarbeitungsbedingungen und das EU-Hosting-Angebot prüfen. Für Claude gibt es eine spezifische EU-Hosting-Option mit Datenspeicherung in der EU.

Zugang zur Justiz: Wann Legal-KI hochriskant wird

Anhang III Nr. 7 lit. a EU AI Act klassifiziert KI-Systeme als hochriskant, wenn sie den Zugang zu wesentlichen privaten Dienstleistungen und öffentlichen Diensten beeinflussen — dazu zählt der Zugang zur Justiz.

Konkrete Beispiele für hochriskante Anwendungen in der Rechtspraxis:

• Prozesskostenhilfe-Systeme: KI, die Berechtigungsprüfungen durchführt oder Empfehlungen über PKH-Bewilligung macht
• Fallzuteilungs- und Triage-Systeme: KI, die bestimmt, welche Mandate eine Kanzlei übernimmt, wenn Kapazitätsengpässe die Vertretung beeinflussen
• Automatisierte Risikobeurteilung: KI, die Erfolgschancen berechnet und so indirekt Mandantenberatung über Klageerhebung beeinflusst

Kanzleien kontrollieren solche Hochrisiko-Systeme meist nicht selbst — aber als Deployer oder Nutzer treffen sie trotzdem Pflichten: Grundrechte-Folgenabschätzung, Registrierung in der EU AI Act-Datenbank (für Behörden), und Sicherstellung menschlicher Aufsicht.

Gerichts- und Verwaltungs-KI: Was Kanzleien wissen müssen

KI, die Gerichte oder Staatsanwaltschaften für Fallmanagement, Strafmaßprognosen oder Rückfallrisikobewertungen einsetzen, unterliegt strengsten AI-Act-Anforderungen (Anhang III Nr. 8). Diese Systeme sind hochriskant per Definition.

Anwälte kontrollieren diese Systeme nicht — aber für die Praxis relevant:

• Akteneinsicht in KI-Outputs: Mandanten haben ein Recht, KI-gestützte Entscheidungen zu verstehen
• Anfechtbarkeit: Automatisierte Entscheidungen im Verwaltungsrecht bleiben nach Art. 22 DSGVO und VwVfG anfechtbar
• Sachverständige: Bei KI-gestützten Beweiswürdigungen wächst die Bedeutung technischer Sachverständiger

KI-APIs und § 43e BRAO: Die Verschwiegenheitsfalle

Die Nutzung von KI-APIs in der Kanzlei berührt unmittelbar die anwaltliche Verschwiegenheitspflicht nach § 43a Abs. 2 BRAO und die Anforderungen des § 43e BRAO (Legal-Tech-Zulassung). Zentrale Risiken:

• Mandatsdaten in US-Clouds: Standardvertragsklauseln (SCC) allein reichen für hochsensible Mandantendaten möglicherweise nicht aus
• Training-Opt-out: Prüfen Sie, ob der Anbieter Ihre Daten für Modell-Training nutzt — und ob ein Opt-out möglich ist
• Sub-Processor-Ketten: Auftragsverarbeitungsverträge (AVV) müssen die gesamte Verarbeitungskette abdecken

Unser ausführlicher Leitfaden zu KI-APIs für Kanzleien in Deutschland und der spezifische KI-API-BRAO-Leitfaden behandeln diese Fragen systematisch — inklusive Muster-AVV und Checkliste für Vendor-Due-Diligence. Für die berufsrechtliche Seite bietet §43e BRAO und KI: Anforderungen für Kanzleien eine vollständige Analyse der Schriftpflicht, No-Training-Klausel und Unterauftragnehmer-Anforderungen.

Compliance-Checkliste für Kanzleien (August 2026)

Bis zum 2. August 2026 sollten Kanzleien folgende Maßnahmen abgeschlossen haben. Die Checkliste gilt unabhängig von der Kanzleigröße — auch Einzelanwälte sind betroffen, wenn sie KI-Systeme einsetzen:

1. KI-Inventar erstellen: Alle eingesetzten KI-Systeme erfassen — Tools, Anbieter, Einsatzzweck, Datenverarbeitungsort
2. Risikoklassifikation vornehmen: Für jedes System bestimmen, ob es geringes, eingeschränktes oder hohes Risiko trägt (Tabelle oben als Ausgangspunkt)
3. Hochrisiko-Systeme identifizieren: Prüfen, ob Anhang III EU AI Act einschlägig ist — insbesondere bei Prozesskostenhilfe, E-Discovery ohne Anwaltsaufsicht, Biometrie
4. Datenschutz-Folgenabschätzung durchführen: DSFA nach Art. 35 DSGVO für risikoträchtige KI-Verarbeitungen mit Mandantendaten
5. AVV mit KI-Anbietern abschließen: DSGVO-konforme Auftragsverarbeitung sicherstellen, Sub-Processor-Listen prüfen, No-Training-Klausel einfordern
6. Berufsgeheimnis absichern: § 43a BRAO und § 203 StGB-Konformität prüfen; EU-Hosting bevorzugen; Pseudonymisierungskonzept einführen
7. Berufshaftpflicht prüfen: Deckt Ihre Versicherung KI-bedingte Fehler ab? Für Details zur Berufshaftpflicht bei KI-Einsatz haben wir einen eigenen Leitfaden
8. Mitarbeiterschulung durchführen: Kanzleipersonal über KI-Grenzen, Verifizierungspflichten und berufsrechtliche Anforderungen schulen
9. Mandanteninformation festlegen: Kommunikationsstandards für KI-Beteiligung in der Mandatsarbeit dokumentieren und konsistent anwenden

So hilft Compound Law

• KI-Systeminventar und Risikoklassifikation für Kanzleien
• Berufspflichten-Integration (BRAO, DSGVO, EU AI Act)
• Mandantenorientierte KI-Transparenzkonzepte
• Legal-Tech-Anbieterbewertung und AVV-Prüfung
• Hochrisiko-Folgenabschätzungen nach EU AI Act Anhang III

Häufig gestellte Fragen

Ist Vertragsüberprüfungs-KI hochriskant nach dem EU AI Act?

Nein — in der Regel nicht. KI, die Anwälte bei der Vertragsanalyse unterstützt, ist geringes Risiko, weil der Anwalt die finale Entscheidung trifft und die Verantwortung trägt. Hochriskant wird es erst, wenn das System selbst rechtlich relevante Entscheidungen ohne menschliche Überprüfung trifft — etwa automatisierte Mandantenablehnung oder PKH-Bewilligung.

Brauche ich für meinen Mandantenchatbot besondere Maßnahmen?

Ja. Mandantenseitige KI-Chatbots, die rechtliche Informationen bereitstellen, fallen unter die Transparenzanforderungen des EU AI Act (Art. 50): Nutzer müssen wissen, dass sie mit einem KI-System interagieren. Zusätzlich gelten DSGVO-Anforderungen und berufsrechtliche Sorgfaltspflichten bei der Ausgestaltung von Disclaimer und Haftungsausschlüssen.

Ändert der EU AI Act meine Berufshaftung als Anwalt?

Nein — der Anwalt bleibt nach geltendem Berufsrecht vollumfänglich verantwortlich. Der EU AI Act ergänzt diese Verantwortung, ersetzt sie nicht. Wer sich auf fehlerhafte KI-Ausgaben verlässt, ohne diese zu verifizieren, begeht einen Sorgfaltspflichtverstoß — unabhängig davon, welches System den Fehler produziert hat.

Welche Frist gilt für die KI-Compliance in Kanzleien?

Die wichtigsten Fristen: Verbote für inakzeptables Risiko (Art. 5) gelten seit Februar 2025. GPAI-Modell-Pflichten seit August 2025. Hochrisiko-KI-Systeme nach Anhang III müssen bis zum 2. August 2026 compliant sein. Für die meisten Kanzlei-Tools (geringes Risiko) gibt es keine harten Deadlines, aber eine Dokumentationspflicht besteht ab Inbetriebnahme.

Müssen wir unsere KI-Tools bei einer EU-Behörde registrieren?

Für Hochrisiko-KI-Systeme ja — Betreiber müssen sich in der EU AI Act-Datenbank (EUDB) registrieren, sofern sie öffentliche Stellen sind oder in spezifischen regulierten Bereichen tätig sind. Für private Kanzleien, die geringes-Risiko-Tools nutzen, ist keine Registrierung erforderlich. Die KI-Rechtsrecherche-Compliance enthält weitere Details zu Dokumentationspflichten.

Wie verhält sich der EU AI Act zur DSGVO bei Kanzlei-KI?

Beide Regelwerke gelten parallel und ergänzen sich. Die DSGVO schützt personenbezogene Daten von Mandanten und Verfahrensbeteiligten; der EU AI Act adressiert das KI-System selbst und seinen Verwendungskontext. Ein KI-Tool kann DSGVO-konform sein und trotzdem gegen EU AI Act-Anforderungen verstoßen — und umgekehrt. Kanzleien brauchen eine integrierte Prüfung beider Regelwerke.

Darf ich ChatGPT oder Claude für die Mandatsarbeit nutzen?

Grundsätzlich ja — aber mit Einschränkungen. Sie müssen sicherstellen, dass keine Mandatsdaten in US-Cloud-Systeme fließen, die dem CLOUD Act unterliegen, ohne geeignete Schutzmaßnahmen. Nutzen Sie Unternehmensversionen mit EU-Hosting und expliziter No-Training-Klausel, schließen Sie einen AVV nach Art. 28 DSGVO ab, und informieren Sie Mandanten über den KI-Einsatz, wenn deren Daten verarbeitet werden. Unsere BRAO- und DSGVO-Anforderungen für KI-Tools in Kanzleien enthält eine konkrete Anbieterbewertung.

Was gilt speziell für § 203 StGB beim KI-Einsatz?

§ 203 StGB stellt die Verletzung von Privatgeheimnissen unter Strafe — auch durch Anwälte. Die Übermittlung von Mandantendaten an einen KI-Anbieter kann eine “Offenbarung” im Sinne des § 203 StGB darstellen, wenn kein wirksamer Erlaubnisgrund vorliegt. Als Erlaubnisgrund kommen in Betracht: ausdrückliche Einwilligung des Mandanten, Einschaltung als “berufsmäßig tätiger Gehilfe” bei entsprechender vertraglicher Einbindung des Anbieters, oder Pseudonymisierung der Daten vor der Verarbeitung. Ohne diese Absicherung droht strafrechtliches Risiko — unabhängig von DSGVO und EU AI Act.