AI Act und LegalTech: Wie Anwaltskanzleien betroffen sind.
Am 2. November 2026 treten die Transparenzpflichten des AI Act in Kraft. Für Anwälte und LegalTech-Anbieter bedeutet dies eine präzise Klassifizierung der genutzten Tools und eine angepasste Dokumentation. Hier erfahren Sie, was sich ändert, was verboten ist und wie Sie sich vorbereiten können.
Anwälte und LegalTech: Zwei Rollen, zwei Verantwortlichkeiten
Der AI Act unterscheidet zwei Kategorien von Akteuren: Anbieter und Betreiber. Für Anwaltskanzleien und LegalTech-Anbieter ist diese Unterscheidung entscheidend.
LegalTech-Anbieter, wie Entwickler von Tools für prädiktive Analysen oder unterstützte Dokumentenerstellung, gelten als Anbieter von KI-Systemen. Als solche müssen sie die Pflichten des AI Act einhalten, insbesondere in Bezug auf technische Dokumentation, Transparenz und Risikomanagement. Anwaltskanzleien hingegen sind Betreiber, wenn sie diese Tools nutzen. Ihre Verantwortung liegt in der Auswahl der Systeme, deren Überwachung und der Einhaltung berufsrechtlicher Vorschriften.
Diese Dualität erfordert eine enge Zusammenarbeit zwischen Anbietern und Nutzern. Die Anbieter müssen klare Dokumentationen über die Fähigkeiten und Grenzen ihrer Tools bereitstellen, während die Anwälte sicherstellen müssen, dass diese Tools die Prinzipien der Vertraulichkeit und des Berufsgeheimnisses einhalten. Die Verordnung (EU) 2024/1689 stellt klar, dass Betreiber prüfen müssen, ob die genutzten Systeme den geltenden Anforderungen entsprechen.
Welche LegalTech-Tools sind vom AI Act betroffen?
Nicht alle LegalTech-Tools mit KI unterliegen denselben Pflichten. Ihre Klassifizierung hängt von ihrer Nutzung und ihrem potenziellen Einfluss ab.
Tools für die Dokumentenrecherche, wie Lexis+ AI oder Doctrine, gelten in der Regel als begrenzt risikoreich. Ihre Nutzung erfordert keine umfangreiche Dokumentation, aber sie müssen die Transparenzpflichten einhalten, insbesondere indem sie die Nutzer darüber informieren, dass sie mit einer KI interagieren. Hingegen können Tools für die prädiktive Analyse von Rechtsstreitigkeiten oder die Unterstützung bei gerichtlichen Entscheidungen als Hochrisiko-KI-Systeme eingestuft werden, wenn ihre Nutzung direkt eine rechtliche oder gerichtliche Entscheidung beeinflusst.
Das AI-Act-Glossar von AiActo präzisiert, dass Hochrisiko-KI-Systeme einer Risikobewertung, einer detaillierten technischen Dokumentation und einer kontinuierlichen menschlichen Überwachung unterliegen müssen. Für Anwälte bedeutet dies, dass ein Tool wie Harvey AI, das für die Erstellung von Dokumenten genutzt wird, als begrenzt risikoreich eingestuft werden könnte, während ein Tool, das den Ausgang eines Rechtsstreits vorhersagt, strengere Compliance-Anforderungen erfüllen müsste.
Hochrisiko-KI-Systeme: Was besagt Anhang III.8?
Anhang III der AI-Act-Verordnung listet KI-Systeme auf, die als hochriskant gelten. Punkt 8 bezieht sich speziell auf Tools, die im Justizbereich eingesetzt werden.
Gemäß Anhang III.8 gelten KI-Systeme, die von Justizbehörden oder in deren Namen genutzt werden, als hochriskant, wenn sie:
- Tatsachen oder Beweise recherchieren,
- das Recht auslegen,
- das Recht auf eine tatsächliche Situation anwenden.
Diese Definition gilt auch für Tools, die von Anwälten genutzt werden, wenn ihr Einsatz eine gerichtliche Entscheidung direkt beeinflusst. Beispielsweise könnte ein Tool, das den Ausgang eines Rechtsstreits vorhersagt und zur Beratung eines Mandanten über eine Prozessstrategie genutzt wird, als Hochrisiko-KI-System eingestuft werden. Anbieter solcher Tools müssen die strengen Pflichten des AI Act einhalten, insbesondere in Bezug auf Dokumentation, Rückverfolgbarkeit und menschliche Überwachung.
Der Conseil National des Barreaux (CNB) hat 2024 einen Leitfaden zu KI und der Berufsethik von Anwälten veröffentlicht, der die Notwendigkeit einer erhöhten Wachsamkeit bei der Nutzung von KI-Tools betont. Der Leitfaden erinnert daran, dass Anwälte für die erteilten Ratschläge verantwortlich bleiben, auch wenn sie sich auf KI-Tools stützen.
Berufsgeheimnis und Datensouveränität
Die von Mandanten an einen Anwalt übermittelten Daten genießen besonderen Schutz. Ihre Verarbeitung durch KI-Tools wirft rechtliche und ethische Fragen auf.
Das Berufsgeheimnis und die DSGVO verpflichten Anwälte, die Vertraulichkeit der Mandantendaten zu gewährleisten. Die Nutzung von KI-Tools, die außerhalb der Europäischen Union gehostet werden, wie einige US-amerikanische Cloud-Dienste, birgt rechtliche Risiken. Der US-amerikanische CLOUD Act ermöglicht es US-Behörden nämlich, auf Daten zuzugreifen, die von US-Unternehmen gespeichert werden, selbst wenn diese Daten in Europa gehostet werden.
Um den Anforderungen des AI Act und der DSGVO zu entsprechen, müssen Anwaltskanzleien souveräne Lösungen bevorzugen, die in der EU gehostet werden und die europäischen Datenschutzstandards einhalten. LegalTech-Anbieter müssen ebenfalls dokumentieren, welche Maßnahmen sie ergreifen, um die Vertraulichkeit der von ihren Tools verarbeiteten Daten zu gewährleisten. Die CNIL empfiehlt insbesondere:
- Verschlüsselung der Daten,
- Anonymisierung oder Pseudonymisierung sensibler Daten,
- Nutzung von Servern, die in der EU lokalisiert sind.
Anwälte müssen ihre Mandanten zudem über die Nutzung von KI-Tools bei der Bearbeitung ihres Falls informieren, gemäß den Transparenzpflichten des AI Act und der DSGVO.
Verantwortung des Anwalts: Ein neues juristisches Risiko
Die Nutzung von KI-Tools in einer Anwaltskanzlei führt zu neuen Verantwortlichkeiten und birgt bisher unbekannte juristische Risiken.
Ein Anwalt, der sich auf eine KI verlässt, um einen Mandanten zu beraten, übernimmt die berufliche Verantwortung. Wenn das Tool einen Fehler macht oder eine falsche Analyse liefert, kann der Anwalt haftbar gemacht werden, insbesondere wenn die Nutzung der KI nicht klar dokumentiert und überwacht wurde. Der AI Act verstärkt diese Verantwortung, indem er Betreibern von Hochrisiko-KI-Systemen eine Pflicht zur menschlichen Überwachung und Rückverfolgbarkeit der mit Hilfe der KI getroffenen Entscheidungen auferlegt.
Auch LegalTech-Anbieter sind in der Pflicht. Als Anbieter müssen sie sicherstellen, dass ihre Tools die Anforderungen des AI Act erfüllen, insbesondere in Bezug auf Transparenz und Risikomanagement. Im Falle eines Versagens könnte ihre zivil- oder strafrechtliche Haftung geltend gemacht werden. Verträge zwischen Anbietern und Kanzleien müssen daher die Rollen und Verantwortlichkeiten jeder Partei sowie die vom Anbieter gebotenen Garantien klar definieren.
Um diese Risiken zu begrenzen, sollten Anwaltskanzleien eine Richtlinie für die Nutzung von KI-Tools einführen, die Schulungen für das Team, eine regelmäßige Bewertung der genutzten Tools und eine Dokumentation der Überwachungsprozesse umfasst. LegalTech-Anbieter sollten die AI-Act-Compliance von Anfang an in die Entwicklung ihrer Tools integrieren, indem sie einen Privacy-by-Design- und Security-by-Design-Ansatz verfolgen.
Nutzt Ihre Kanzlei konforme LegalTech-Tools?
Identifizieren Sie Ihre AI-Act-Pflichten in 3 Minuten mit unserer kostenlosen Diagnose. Für Anwälte und LegalTech-Anbieter geeignet.
Häufige Fragen
Antworten auf die Fragen von Anwälten und LegalTech-Anbietern zum AI Act.
Ein Tool zur unterstützten Dokumentenerstellung wie Harvey AI gilt in der Regel als begrenzt risikoreich im Sinne des AI Act. Es muss die Transparenzpflichten einhalten, insbesondere indem es den Nutzer darüber informiert, dass er mit einer KI interagiert. Es unterliegt jedoch nicht den strengen Anforderungen für Hochrisiko-KI-Systeme, wie der Risikobewertung oder der detaillierten technischen Dokumentation. Dennoch müssen Anwälte sicherstellen, dass das Tool die berufsrechtlichen Vorschriften, insbesondere in Bezug auf die Vertraulichkeit der Daten, einhält.
Ein Tool zur prädiktiven Analyse von Rechtsstreitigkeiten kann als Hochrisiko-KI-System eingestuft werden, wenn seine Nutzung eine gerichtliche oder strategische Entscheidung direkt beeinflusst. In diesem Fall übernimmt der Anwalt die berufliche Verantwortung für Fehler oder Verzerrungen in den Vorhersagen. Der AI Act verlangt eine menschliche Überwachung und Rückverfolgbarkeit der mit Hilfe des Tools getroffenen Entscheidungen. Zudem setzt sich der Anwalt bei Nutzung eines außerhalb der EU gehosteten Tools Risiken in Bezug auf das Berufsgeheimnis und die DSGVO aus, insbesondere wenn ausländische Behörden auf die Daten zugreifen können.
Ein LegalTech-Anbieter muss zunächst seine Tools gemäß den Kategorien des AI Act klassifizieren (begrenztes Risiko, hohes Risiko, verboten). Für Hochrisiko-KI-Systeme muss er eine technische Dokumentation gemäß Anhang IV der Verordnung erstellen, eine Risikobewertung durchführen und eine menschliche Überwachung der mit dem Tool getroffenen Entscheidungen sicherstellen. Die Anbieter müssen zudem die Transparenzpflichten einhalten, insbesondere indem sie die Nutzer über die Grenzen der KI informieren. Schließlich müssen sie sicherstellen, dass ihre Tools die DSGVO und die Vertraulichkeitsregeln einhalten, indem sie souveräne, in der EU gehostete Lösungen bevorzugen.
Anwälte, die KI-Tools nutzen, müssen ihre Mandanten über den Einsatz dieser Tools bei der Bearbeitung ihres Falls informieren, gemäß den Transparenzpflichten des Artikels 50 des AI Act. Diese Information muss klar und verständlich sein, ohne technischen Jargon. Für Hochrisiko-KI-Systeme müssen Anwälte zudem die mit Hilfe der KI getroffenen Entscheidungen dokumentieren und eine menschliche Überwachung sicherstellen. Schließlich müssen sie sicherstellen, dass die genutzten Tools die berufsrechtlichen Vorschriften, insbesondere in Bezug auf Vertraulichkeit und Berufsgeheimnis, einhalten.
Die Nutzung von KI-Tools, die in den USA gehostet werden, setzt Anwaltskanzleien rechtlichen Risiken aus, die mit dem US-amerikanischen CLOUD Act verbunden sind. Dieses Gesetz ermöglicht es US-Behörden, auf Daten zuzugreifen, die von US-Unternehmen gespeichert werden, selbst wenn diese Daten in Europa gehostet werden. Für Anwälte stellt dies ein großes Problem in Bezug auf das Berufsgeheimnis und die Vertraulichkeit der Mandantendaten dar. Die CNIL empfiehlt, souveräne Lösungen zu bevorzugen, die in der EU gehostet werden und die europäischen Datenschutzstandards einhalten. Bei Nutzung US-amerikanischer Tools müssen Anwälte ihre Mandanten über die Risiken informieren und deren informierte Einwilligung einholen.