ENTRY TYPE · definition

EU-KI-Gesetz für Rechtsabteilungen

Last updated 2026-05-03 Legal Ops

Das EU-KI-Gesetz (EU AI Act) ist die risikobasierte Regulierung der Europäischen Union für Systeme der künstlichen Intelligenz, in Kraft seit August 2024 mit gestaffelter Anwendung bis 2027. Für Rechtsabteilungen, die in der EU tätig sind oder die EU bedienen, entstehen zwei Ebenen von Verpflichtungen: (a) Compliance für KI-Systeme, die die Rechtsabteilung selbst nutzt (die eigene KI-Richtlinie), und (b) Beratungsarbeit für Mandanten, die KI in riskanteren Bereichen einsetzen. Das Gesetz gilt neben (und nicht anstelle von) der DSGVO, die weiterhin die Verarbeitung personenbezogener Daten einschließlich KI-Training und -Inferenz regelt.

Die vier Risikostufen

Stufe	Relevante Beispiele für die Rechtspraxis	Verpflichtungen
Unzulässig	Social Scoring, Emotionserkennung am Arbeitsplatz, manipulative KI	Vollständig verboten
Hochriskant	KI in der Justizverwaltung (richterliche Entscheidungsunterstützung), Beschäftigung (Lebenslauf-Screening, Leistungsbewertung), kritische Infrastrukturzugang	Konformitätsbewertung, Registrierung, laufende Überwachung, menschliche Aufsicht
Begrenzt riskant	Die meisten Legal-KI-Tools (Entwurfsassistenten, Vertragsanalyse, Recherche), wenn sie mit Menschen interagieren	Transparenz: KI-Einsatz gegenüber interagierenden Parteien offenlegen
Minimales Risiko	Spam-Filter, KI-fähige Videospiele	Keine spezifischen Verpflichtungen

Für die meisten internen Rechtsabteilungen, die KI für die interne Vertragsanalyse und -erstellung nutzen, ist die relevante Stufe begrenzt riskant – Transparenzpflichten gelten, aber keine Konformitätsbewertung.

Wann der eigene KI-Einsatz der Rechtsabteilung hochriskant wird

Der eigene KI-Einsatz einer Rechtsabteilung überschreitet selten allein die Hochrisiko-Schwelle. Das kann der Fall sein, wenn:

Die KI für Beschäftigungsentscheidungen über Kanzleimitarbeiter oder Mandantenmitarbeiter genutzt wird (Leistungsbeurteilungen, Einstellungsentscheidungen, Kündigungen)
Die KI zur Unterstützung gerichtlicher Entscheidungsfindung eingesetzt wird (z.B. KI-Tools, die von Gerichten genutzt werden, die die Kanzlei liefert oder betreibt)
Die KI zur Bewertung von Kreditwürdigkeit oder Versicherungsfähigkeit von Einzelpersonen eingesetzt wird

Für die meisten Vertragsanalyse-, Recherche- und Entwurfsarbeiten ist die KI begrenzt riskant und die Verpflichtungen sind hauptsächlich Transparenz.

Transparenzpflichten

Begrenzt riskante KI-Systeme müssen:

Interagierenden Personen gegenüber offenlegen. Wenn KI mit Menschen interagiert (Chatbot, KI-entworfene Kommunikation), muss das System die KI-Natur offenlegen, es sei denn, sie ist aus dem Kontext eindeutig ersichtlich.
KI-generierte Inhalte kennzeichnen. Einige Kategorien KI-generierter Inhalte (Deepfakes, synthetische Medien) erfordern eine Kennzeichnung.
Für nachgelagerte Nutzer dokumentieren. Anbieter von Allzweck-KI-Modellen müssen Dokumentation veröffentlichen, die nachgelagerten Deployern die Erfüllung ihrer eigenen Verpflichtungen ermöglicht.

Für die Rechtspraxis: KI-entworfene Mandantenkommunikation, KI-generierte Schriftsätze und KI-erstellte Zusammenfassungen sollten dem Empfänger offengelegt werden, wenn sie wesentlich sind.

Gestaffelte Anwendung

Datum	Was gilt
Feb 2025	Verbotene Praktiken verboten; KI-Literacy-Pflichten beginnen
Aug 2025	Governance-Regeln; Allzweck-KI-Modell-Verpflichtungen
Aug 2026	Hochrisikosystem-Anforderungen (die meisten Kategorien)
Aug 2027	Hochrisikosystem-Anforderungen (verbleibende Kategorien)

Rechtsabteilungen, die Mandanten bei der KI-Compliance beraten, sollten die gestaffelten Daten sorgfältig verfolgen – unterschiedliche Verpflichtungen entstehen zu unterschiedlichen Zeitpunkten.

Zusammenwirken mit der DSGVO

Das EU-KI-Gesetz ersetzt die DSGVO nicht. Beide gelten, wenn KI personenbezogene Daten verarbeitet:

Die DSGVO regelt die Verarbeitung personenbezogener Daten. Rechtsgrundlage, Datensparsamkeit, Betroffenenrechte, DPA-Anforderungen bei KI-Anbietern.
Das EU-KI-Gesetz regelt das KI-System selbst. Transparenz, Risikoklassifizierung, Konformität für Hochrisikosysteme.

Für einen KI-Anbieter, der personenbezogene Daten verarbeitet, gelten beide Regelwerke. Rechtsabteilungen, die KI-Anbieterverträge prüfen, müssen beide Compliance-Regime verifizieren.

Wie es für interne Rechtsabteilungen operationalisiert wird

KI-Tools inventarisieren. Jedes KI-System, das von der Rechtsabteilung und angrenzenden Funktionen genutzt wird, mit Risikoklassifizierung gemäß KI-Gesetz.
Compliance in die Vendor Due Diligence einbauen. KI-Anbieter erhalten während der Due Diligence ein KI-Gesetz-Addendum: Bestätigung der Risikostufe, Transparenzoffenlegungen, DSGVO-Compliance, Trainingsdaten-Herkunft.
KI-Richtlinie für Transparenz aktualisieren. Interner KI-Einsatz für Mandantenarbeit sollte KI-Beteiligung nach angemessenem Ermessen offenlegen; externer Einsatz (Chatbots, KI-entworfene Kommunikation) erfordert ausdrückliche Offenlegung.
KI-Literacy schulen. Das Gesetz schafft eine Literacy-Pflicht – Mitarbeiter, die KI nutzen, müssen angemessen geschult sein. In bestehende KI-Richtlinien-Schulungszyklen integrieren.
Regulatorische Entwicklungen verfolgen. Das EU-KI-Büro veröffentlicht bis 2027 Leitlinien; Risikoklassifizierungen und Hochrisiko-Listen werden sich weiterentwickeln.

Häufige Fehler

Annehmen, dass Legal-KI standardmäßig hochriskant ist. Die meisten Legal-KI-Nutzungen sind begrenzt riskant; Überklassifizierung schafft unnötigen Compliance-Aufwand.
KI-Gesetz und DSGVO als ein Regime behandeln. Sie sind voneinander getrennt; die Einhaltung eines schließt das andere nicht ab.
Extraterritoriale Reichweite ignorieren. US-Kanzleien mit EU-Mandanten oder EU-Aktivitäten können den Anforderungen des KI-Gesetzes unterliegen, auch ohne EU-Niederlassung.
Statische Compliance-Bewertung. Risikostufung gilt pro Deployment, nicht pro Anbieter; dasselbe KI-Tool, das in verschiedenen Kontexten verwendet wird, kann unterschiedliche Verpflichtungen haben.