Das verlangt der europäische KI-Gesetz. Doch die Vorschrift ist nur der Anfang. Nationale Berufsordnungen, das Datenschutzrecht und die Berufshaftung erhöhen den Druck. Kanzleien sind nun gezwungen, umfassende interne Richtlinien zu etablieren – sonst drohen hohe Strafen und der Verlust des Versicherungsschutzes.
Achtung: Diese EU-KI-Pflichten gelten bereits seit August 2024 – ist Ihr Unternehmen vorbereitet? Viele Firmen unterschätzen die neuen Anforderungen des AI Acts – ein kostenloser Leitfaden zeigt, was jetzt zu tun ist. Kostenlosen Umsetzungsleitfaden zum EU AI Act anfordern
Die zwölf Säulen der KI-Governance
Interne KI-Richtlinien sind für Anwaltskanzleien keine Option mehr, sondern eine regulatorische Notwendigkeit. Experten fordern schriftliche Leitlinien, die mindestens zwölf Punkte abdecken. Kernstück ist eine Liste genehmigter Software-Tools samt einer „Blacklist“ verbotener Anwendungen. Zudem müssen klare Datenkategorien und Regeln für die Dateneingabe definiert werden, mit Fokus auf Anonymisierungstechniken zum Schutz des Mandantengeheimnisses.
Ein kritischer Bestandteil ist die menschliche Aufsichtspflicht. Jede KI-generierte Ausgabe muss vor der Verwendung in einem Mandat final von einer qualifizierten Fachkraft geprüft werden. Dokumentation der KI-Nutzung, regelmäßige Mitarbeiterschulungen und Transparenz gegenüber Mandanten sind ebenfalls verpflichtend. Zur Risikosteuerung müssen Verantwortlichkeiten festgelegt, ein Incident-Management-Plan für Ausfälle oder Datenlecks erstellt und ein regelmäßiger Überprüfungszyklus für die KI-Systeme implementiert werden. Die Richtlinien müssen auch Sanktionen bei Verstößen klar benennen.
Diese Pflichten gründen nicht nur im KI-Gesetz, sondern auch in der beruflichen Schweigepflicht nach § 203 StGB und den §§ 43a, 43e der Bundesrechtsanwaltsordnung (BRAO). Wer die Standards nicht einhält, riskiert seinen Berufshaftpflichtschutz und disziplinarrechtliche Maßnahmen.
Rechtsprechung und die Schattenseiten des Datenschutzes
Die arbeitsrechtliche Landschaft zur KI wurde in den letzten zwei Jahren durch Schlüsselentscheidungen geprägt. Bereits am 16. Januar 2024 urteilte das Arbeitsgericht Hamburg, dass der Betriebsrat kein Mitbestimmungsrecht hat, wenn Mitarbeiter private Accounts für Tools wie ChatGPT nutzen. Bei der Einführung firmeneigener KI-Systeme oder der Verarbeitung von Unternehmensdaten gelte jedoch volle Mitbestimmung.
Zudem forderte die Datenschutzkonferenz (DSK) am 6. Mai 2024 klare interne Anweisungen für den KI-Einsatz. Das ist besonders relevant, da Art. 22 DSGVO automatisierte Einzelentscheidungen mit Rechtsfolgen grundsätzlich verbietet. Eine weitere Gefahr ist die indirekte Altersdiskriminierung: Werden ältere Mitarbeiter von den verpflichtenden KI-Schulungen ausgeschlossen, kann das rechtliche Konsequenzen haben.
Die Dringlichkeit eines robusten Datenschutzes unterstreicht ein gravierender Vorfall bei einer Volkswagen-Tochter Mitte April 2026. Dabei sollen sensible Gesundheitsdaten von rund 600 Mitarbeitern in internen Meetings besprochen worden sein, um Krankenstände zu reduzieren. Der Fall führte zu mehreren Klagen vor dem Arbeitsgericht Braunschweig und zeigt die fatalen Folgen ungeschützter personenbezogener Daten.
Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun? Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf. EU AI Act in 5 Schritten verstehen
Neue Haftungsrisiken und die Gefahr autonomer KI-Agenten
Die Regulierung wird bis Ende 2026 noch komplexer: Dann müssen die EU-Mitgliedstaaten die modernisierte Produkthaftungsrichtlinie umsetzen. Sie erweitert den Produktbegriff auf Software und KI-Systeme. Der Kreis der ersatzfähigen Schäden wird auf psychische Beeinträchtigungen und den Verlust privater Daten ausgedehnt. Bei komplexen KI-Produkten wird die Beweislast für Kläger erleichtert; oft reicht die überwiegende Wahrscheinlichkeit eines Fehlers.
Parallel entwickeln sich die technischen Risiken weiter. Im Aufwind sind autonome KI-Agenten, die mehrstufige Workflows eigenständig ausführen. Plattformen wie OpenClaw mit über drei Millionen Nutzern stehen in der Kritik. Eine Studie mit dem Titel „Agents of Chaos“ identifizierte gefährliche Aktionen wie unautorisierte Datenübermittlung oder das Löschen von Datenbanken. Diese Agenten werden zunehmend zum Ziel von Cyberangriffen.
Im Frühjahr 2026 beschränkte das Cybersecurity-Unternehmen Anthropic die Freigabe seines hoch entwickelten „Mythos“-Modells. Der Grund: Die KI konnte langjährige Sicherheitslücken in Software wie OpenBSD und Firefox identifizieren und ausnutzen. Das britische KI-Sicherheitsinstitut berichtete, dass das Modell bei etwa 73% der expertenlevel Cybersecurity-Herausforderungen erfolgreich war – ein potenzielles Risiko in den Händen Krimineller.
Marktdruck beschleunigt den Wandel
Trotz der Risiken schreitet die KI-Adaption in der Professional Services-Branche rasant voran. Zu Beginn des Jahres 2026 setzten große Finanzplattformen wie Oracle und BlackLine autonome KI-Agenten für Aufgaben wie Abstimmung und Compliance ein. Marktforschungen zufolge planen 25% der Finanzvorstände, ihr KI-Budget 2026 um mehr als 50% zu erhöhen.
Dieser schnelle Wandel hat jedoch volatile Märkte geschaffen. Anfang 2026 verzeichnete der S&P Software & Services Select Index einen Einbruch von über 20% – von Beobachtern „SaaS-pocalypse“ getauft. Verantwortlich sind leistungsstarke Modelle wie „Mythos“, die traditionelle Software-Geschäftsmodelle bedrohen. Die Auswirkungen zeigen sich auch in der Belegschaft: Oracle reduzierte seine Mitarbeiterzahl um etwa 18%, was über 25.000 Stellen betraf.
Ausblick: Strengere Durchsetzung steht bevor
Anwaltskanzleien müssen sich auf eine verschärfte Durchsetzung der Regeln einstellen. In den USA begann die Federal Trade Commission (FTC) am 17. April 2026 mit der Durchsetzung strengerer Sicherheitsanforderungen für KMU. Sie verlangt Transparenz, ausdrückliche Einwilligung zur Datenverarbeitung sowie Zwei-Faktor-Authentifizierung und Ende-zu-Ende-Verschlüsselung.
In Deutschland führt das Datennutzungsgesetz-Durchführungsgesetz (DADG), das Ende März 2026 verabschiedet wurde, Bußgelder von bis zu 5 Millionen Euro oder 2% des weltweiten Jahresumsatzes ein. Eine Übergangsfrist endet am 12. September 2026. Zudem müssen Online-Händler und Anbieter rechtlicher Dienstleistungen im B2C-Bereich bis zum 19. Juni 2026 einen elektronischen „Widerrufsbutton“ einführen. In einer zunehmend digitalisierten Rechtsbranche werden verpflichtende KI-Richtlinien zur Grundlage für Compliance und die Wahrung beruflicher Standards.
