Gilt die EU KI-Verordnung für Kanzleien?

Ja. Jede Organisation, die KI-Systeme in der EU einsetzt oder entwickelt, fällt unter die EU KI-Verordnung. Wenn Ihre Kanzlei KI-Tools für Dokumentenprüfung, Vertragsanalyse, Rechtsrecherche oder Mandantenaufnahme nutzt, sind Sie ein 'Betreiber' im Sinne der Verordnung und müssen je nach Risikostufe des KI-Systems bestimmte Pflichten erfüllen.

Ab wann gilt die EU KI-Verordnung für Beratungsunternehmen?

Die EU KI-Verordnung trat am 1. August 2024 in Kraft. Verbotene KI-Praktiken sind seit dem 2. Februar 2025 durchsetzbar. Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (ChatGPT, Copilot, Claude) gelten seit dem 2. August 2025. Die vollständige Durchsetzung aller Bestimmungen, einschließlich der Anforderungen für Hochrisiko-KI-Systeme, beginnt am 2. August 2026.

Welche Strafen drohen bei Verstößen gegen die EU KI-Verordnung?

Bußgelder können bis zu 35 Millionen EUR oder 7 % des weltweiten Jahresumsatzes für verbotene KI-Praktiken betragen, 15 Millionen EUR oder 3 % für Hochrisiko-Verstöße und 7,5 Millionen EUR oder 1 % für falsche Angaben. Für KMU gelten verhältnismäßige Obergrenzen.

Ist die Nutzung von ChatGPT in einer Kanzlei jetzt reguliert?

Ja. ChatGPT ist als KI-Modell mit allgemeinem Verwendungszweck (GPAI) eingestuft. Seit August 2025 müssen GPAI-Anbieter Transparenzanforderungen erfüllen. Kanzleien, die ChatGPT einsetzen, müssen Mandanten informieren, wenn KI-generierte Inhalte verwendet werden, eine menschliche Kontrolle sicherstellen und ihre Nutzungsrichtlinien dokumentieren.

EU KI-Verordnung: Compliance-Leitfaden für Beratungsunternehmen [2026]

Die EU KI-Verordnung (EU AI Act) ist das weltweit erste umfassende Regelwerk für Künstliche Intelligenz. Sie trat am 1. August 2024 in Kraft, mit gestaffelten Pflichten bis 2027. Für Beratungsunternehmen ergeben sich daraus direkte Konsequenzen (Ihre eigenen KI-Tools sind nun reguliert) und indirekte Chancen (Ihre Mandanten brauchen Hilfe bei der Umsetzung).

Dieser Leitfaden behandelt, was Kanzleien, Unternehmensberatungen und Wirtschaftsprüfungsgesellschaften wissen müssen. Keine Rechtstheorie. Praktische Anforderungen, Fristen und Handlungsschritte.

Inhalt

Was die EU KI-Verordnung verlangt
Wichtige Fristen für Beratungsunternehmen
Risikoklassifizierung Ihrer bestehenden Tools
Ihre Pflichten als Betreiber
KI mit allgemeinem Verwendungszweck: ChatGPT, Copilot, Claude
Branchenspezifische Hinweise
10-Schritte-Compliance-Checkliste
Sanktionen und Durchsetzung
5 häufige Missverständnisse
Was Sie in diesem Quartal tun sollten

73 %

der EU-Kanzleien nutzen KI-Tools, haben aber keine formalen Nutzungsrichtlinien

CCBE-Umfrage, 2025

Aug. 2025

GPAI-Pflichten bereits in Kraft (ChatGPT, Claude, Copilot)

EU KI-VO Art. 51-56

35 Mio. €

Höchststrafe für verbotene KI-Praktiken (oder 7 % des Jahresumsatzes)

EU KI-VO Art. 99

1. Was die EU KI-Verordnung verlangt

Die EU KI-Verordnung klassifiziert KI-Systeme in vier Risikostufen. Jede Stufe bringt unterschiedliche Pflichten mit sich. Die Verordnung gilt für jeden, der KI-Systeme in der EU entwickelt oder einsetzt, unabhängig vom Sitz des Anbieters.

Für Beratungsunternehmen ist die relevanteste Rolle die des Betreibers: eine Einrichtung, die ein KI-System unter ihrer Verantwortung nutzt. Wenn Ihre Firma Harvey, Luminance, Kira, CoCounsel oder auch nur ChatGPT für Mandantenarbeit einsetzt, sind Sie Betreiber.

Die vier Risikostufen:

Unannehmbares Risiko: Vollständig verboten. Social Scoring, Emotionserkennung am Arbeitsplatz (mit engen Ausnahmen), manipulative Techniken. Seit Februar 2025 durchsetzbar.
Hohes Risiko: Erlaubt, aber streng reguliert. Konformitätsbewertung, Dokumentation, menschliche Aufsicht und Transparenzpflichten erforderlich. Vollständige Durchsetzung ab August 2026.
Begrenztes Risiko: Nur Transparenzpflichten. Nutzer müssen informiert werden, wenn sie mit KI interagieren oder Inhalte KI-generiert sind.
Minimales Risiko: Keine spezifischen Pflichten. Freiwillige Verhaltenskodizes empfohlen.

2. Wichtige Fristen für Beratungsunternehmen

1. August 2024

EU KI-Verordnung tritt in Kraft

Offizielle Veröffentlichung. 24-monatige Übergangsfrist für die meisten Bestimmungen.

2. Februar 2025

Verbotene Praktiken durchsetzbar

Verbotene KI-Systeme müssen eingestellt werden. Betrifft Social Scoring, manipulative KI und die meisten Formen der Emotionserkennung am Arbeitsplatz.

2. August 2025

GPAI-Modellpflichten gelten

Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (OpenAI, Anthropic, Google, Microsoft) müssen Transparenz- und Dokumentationspflichten erfüllen. Betreiber müssen ihre Nutzung dieser Tools auf Transparenzregeln prüfen.

2. August 2026

Vollständige Durchsetzung

Alle Bestimmungen durchsetzbar, einschließlich Hochrisiko-KI-Systemanforderungen. Konformitätsbewertungen, Risikomanagementsysteme und Qualitätsmanagement müssen eingerichtet sein.

2. August 2027

Bestandsschutz endet

KI-Systeme, die bereits vor August 2026 auf dem Markt waren oder in Betrieb sind, haben ein zusätzliches Jahr zur vollständigen Compliance.

Warum das jetzt wichtig ist: GPAI-Pflichten (August 2025) gelten bereits. Wenn Ihre Firma ChatGPT, Claude, Copilot oder andere KI-Tools mit allgemeinem Verwendungszweck nutzt, sollten Sie bereits Transparenzmaßnahmen implementiert haben. Die Frist für Hochrisiko-Systeme (August 2026) liegt nur noch 5 Monate entfernt.

3. Risikoklassifizierung Ihrer bestehenden Tools

Die Risikostufe hängt vom Anwendungsfall ab, nicht vom Tool selbst. Dasselbe KI-System kann in einem Kontext minimales und in einem anderen hohes Risiko darstellen.

KI-Tool / Anwendungsfall	Risikostufe	Begründung
KI-Dokumentenprüfung (Harvey, Luminance, Kira)	Begrenzt	KI-gestützte Suche und Analyse. Mensch trifft finale Entscheidung. Transparenzpflicht gegenüber Mandanten.
KI-Vertragserstellung	Begrenzt	KI generiert Inhalte, die ein Mensch vor Auslieferung prüft. Transparenzpflicht gilt.
KI für HR-Entscheidungen (Einstellung, Beförderung)	Hoch	Anhang III listet KI im Beschäftigungsbereich explizit auf. Vollständige Hochrisiko-Compliance erforderlich.
KI-Kreditbewertung / Finanzanalyse	Hoch	In Anhang III gelistet. Konformitätsbewertung erforderlich.
Chatbots für Mandantenaufnahme	Begrenzt	Offenlegungspflicht, dass der Nutzer mit einem KI-System interagiert.
KI-Rechtsrecherche (Westlaw AI, CoCounsel)	Minimal	Internes Tool zur Unterstützung. Kein direkter Mandanteneinfluss. Freiwillige Kodizes.
KI-Steuerberatung / automatisierte Buchhaltung	Begrenzt	Erzeugt Ergebnisse, die ein Mensch prüft. Bei autonomen steuerlichen Entscheidungen potenziell hohes Risiko.
Emotionserkennung in Bewerbungsgesprächen	Verboten	Emotionserkennung am Arbeitsplatz/in der Bildung ist untersagt. Seit Februar 2025.
KI-gestützte Due Diligence	Begrenzt	KI analysiert Dokumente, Mensch entscheidet. Kann eskalieren, wenn KI autonom Transaktionen bewertet.
Predictive Analytics für Verfahrensausgang	Hoch (potenziell)	Bei Einsatz in der Rechtspflege oder zur Beeinflussung gerichtlicher Entscheidungen fällt dies unter Anhang III.

4. Ihre Pflichten als Betreiber

Auch wenn Sie KI nicht selbst entwickeln (sondern nur Tools anderer nutzen), weist die EU KI-Verordnung Betreibern spezifische Pflichten zu.

Für alle Risikostufen

Transparenz gegenüber natürlichen Personen: Wenn KI-Ergebnisse jemanden betreffen, muss die betroffene Person informiert werden (Art. 50).
KI-Kompetenz: Stellen Sie sicher, dass Ihre Mitarbeiter ein ausreichendes Verständnis der genutzten KI-Systeme haben. Dies ist eine rechtliche Pflicht (Art. 4).

Für Hochrisiko-KI-Systeme

Menschliche Aufsicht: Benennen Sie qualifizierte Personen zur Überwachung des KI-Systems (Art. 14).
Eingabedatenqualität: Stellen Sie sicher, dass die dem KI-System zugeführten Daten relevant und repräsentativ sind (Art. 10).
Aufzeichnungspflicht: Führen Sie Protokolle über den Betrieb des KI-Systems (Art. 12).
Grundrechte-Folgenabschätzung: Für öffentliche Stellen und bestimmte private Einrichtungen erforderlich (Art. 27).
Überwachung: Überwachen Sie den Betrieb und melden Sie schwerwiegende Vorfälle (Art. 72).
Mitarbeiterinformation: Beschäftigte, die mit Hochrisiko-KI arbeiten oder davon betroffen sind, müssen informiert werden (Art. 26(7)).

5. KI mit allgemeinem Verwendungszweck: ChatGPT, Copilot, Claude

KI-Modelle mit allgemeinem Verwendungszweck (General Purpose AI, GPAI) unterliegen einem eigenen Regelungsrahmen (Titel IIIa). Seit August 2025 müssen GPAI-Anbieter:

Technische Dokumentation und eine öffentliche Zusammenfassung veröffentlichen
Urheberrechts-Compliance-Richtlinien umsetzen (einschließlich Text- und Data-Mining-Opt-out)
Systemische Risiken identifizieren und mindern (für Modelle mit Systemrisiko-Einstufung)

Als Betreiber von GPAI-Tools sind Ihre Pflichten anders als die des Anbieters. Sie müssen nicht die Modellarchitektur dokumentieren. Aber Sie müssen:

Mandanten und Gegenparteien informieren, wenn KI-generierte Inhalte in Arbeitsergebnissen verwendet werden.
Interne Nutzungsrichtlinien pflegen, die dokumentieren, welche Tools genehmigt sind, für welche Zwecke und mit welchen Schutzmaßnahmen.
Ihr Team schulen zu verantwortungsvoller Nutzung, Einschränkungen und Pflichtprüfungen.
Die Compliance des Anbieters überprüfen. Kann Ihr GPAI-Anbieter keine Compliance nachweisen, teilen Sie das Haftungsrisiko.

Praktische Konsequenz: Wenn Sie ChatGPT Enterprise, Microsoft Copilot, Claude oder ähnliche Tools nutzen, sollten Sie bereits eine schriftliche KI-Nutzungsrichtlinie, ein Schulungsprogramm und Offenlegungsformulierungen in Ihren Mandantenvereinbarungen haben. Das ist seit August 2025 keine Best Practice mehr, sondern eine rechtliche Pflicht.

6. Branchenspezifische Hinweise

Kanzleien

Rechtsdienstleistungen stehen an einer einzigartigen Schnittstelle. Sie sind sowohl der Verordnung unterworfen (eigene KI-Tools) als auch in der Position, Mandanten dazu zu beraten.

Mandantengeheimnis: Cloud-basierte KI-Tools bedeuten, dass Mandantendaten Ihre Systeme verlassen. Aktualisieren Sie Datenschutzrichtlinien und Auftragsverarbeitungsverträge.
Berufsrechtliche Regeln: Anwaltskammern in ganz Europa veröffentlichen ergänzende Leitlinien. Prüfen Sie die Vorgaben Ihrer nationalen Kammer.
Haftungsrisiko: KI-generierte Rechtsanalysen, die ein Anwalt nicht überprüft, begründen Haftung. Die Transparenzpflichten der KI-Verordnung kommen zu den bestehenden Berufspflichten hinzu.
Neue Beratungsfelder: KI-Act-Compliance-Beratung, KI-Vertragsrecht, Grundrechte-Folgenabschätzungen und KI-Governance sind wachsende Tätigkeitsbereiche.

Unternehmensberatungen

KI-Strategieberatung: Wenn Sie Mandanten zur KI-Implementierung beraten, müssen Ihre Empfehlungen die EU KI-Verordnung berücksichtigen.
Interne Analytik: KI für Marktanalysen, Benchmarking und Präsentationen fällt typischerweise unter minimales oder begrenztes Risiko, aber Nutzungsrichtlinien sind dennoch erforderlich.
HR-Anwendungen: KI für Talentbewertung, Personalplanung oder Performance Management ist Hochrisiko-Gebiet.

Wirtschaftsprüfung und Steuerberatung

KI in Prüfungsverfahren: KI zur Analyse von Jahresabschlüssen fällt unter begrenztes Risiko, wenn der Prüfer die Entscheidungshoheit behält.
Automatisierte Steuer-Compliance: Wenn KI autonom Erklärungen abgibt, kann dies zu hohem Risiko eskalieren. Menschliche Kontrolle für alle treuhänderischen Entscheidungen beibehalten.
E-Rechnung: In Deutschland wird die E-Rechnungspflicht schrittweise eingeführt. KI-gestützte Compliance-Tools müssen auch der KI-Verordnung genügen.

7. 10-Schritte-Compliance-Checkliste

1
Alle KI-Systeme inventarisieren
Listen Sie jedes KI-Tool auf, das Ihre Firma nutzt. Von Enterprise-Plattformen bis zu einzelnen ChatGPT-Konten. Einschließlich Schatten-IT. Was Sie nicht kennen, können Sie nicht compliant machen.
2
Jedes System nach Risikostufe klassifizieren
Ordnen Sie jedes Tool seinem Anwendungsfall zu und bestimmen Sie die Risikostufe. Die Risikostufe wird durch den Anwendungsfall bestimmt, nicht durch das Tool selbst.
3
Auf verbotene Nutzungen prüfen
Bestätigen Sie, dass kein KI-System für Social Scoring, Emotionserkennung am Arbeitsplatz oder andere verbotene Praktiken eingesetzt wird. Seit Februar 2025 durchsetzbar.
4
KI-Nutzungsrichtlinie erstellen oder aktualisieren
Dokumentieren Sie genehmigte Tools, erlaubte Anwendungsfälle, erforderliche Schutzmaßnahmen und verbotene Nutzungen. Quartalsweise überprüfen.
5
Transparenzmaßnahmen umsetzen
Aktualisieren Sie Mandantenvereinbarungen, Website-AGB und interne Kommunikation zur Offenlegung der KI-Nutzung. Chatbots brauchen klare „KI-gestützt"-Kennzeichnung.
6
Protokolle für menschliche Aufsicht einrichten
Definieren Sie für jedes KI-System, wer die Ergebnisse prüft, wie geprüft wird und wer Entscheidungen überstimmen darf. Bei Hochrisiko-Systemen benannte Personen mit entsprechender Qualifikation.
7
KI-Kompetenzschulungen durchführen
Artikel 4 verlangt, dass alle Mitarbeiter, die KI-Systeme nutzen, ein ausreichendes Verständnis haben. Das bedeutet strukturierte Schulungen, nicht nur eine Rundmail.
8
Datenverarbeitung und Datenschutz prüfen
KI-Tools, die personenbezogene Daten verarbeiten, müssen sowohl der KI-Verordnung als auch der DSGVO genügen. Auftragsverarbeitungsverträge und Datenschutz-Folgenabschätzungen aktualisieren.
9
Anbieter-Compliance überprüfen
Fordern Sie Compliance-Dokumentation von Ihren KI-Tool-Anbietern an. Für GPAI-Modelle bestätigen, dass der Anbieter die erforderliche technische Dokumentation veröffentlicht hat.
10
Monitoring und Vorfallmeldung einrichten
Prozesse zur Erkennung von Fehlfunktionen, verzerrten Ergebnissen oder Sicherheitsvorfällen etablieren. Bei Hochrisiko-Systemen schwerwiegende Vorfälle an Anbieter und zuständige Behörde melden.

8. Sanktionen und Durchsetzung

Verstoß	Höchststrafe
Verbotene KI-Praktiken (Art. 5)	35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes
Hochrisiko-KI-Systempflichten	15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes
Falsche Angaben gegenüber Behörden	7,5 Mio. EUR oder 1 % des weltweiten Jahresumsatzes

Für KMU und Startups gelten verhältnismäßige Obergrenzen. Für die meisten Beratungsunternehmen überwiegt jedoch der Reputationsschaden die finanziellen Sanktionen. Eine Kanzlei, die bei verantwortungslosem KI-Einsatz erwischt wird, riskiert Mandantenvertrauen und berufsrechtliche Konsequenzen.

9. Fünf häufige Missverständnisse

Missverständnis 1: „Wir nutzen nur ChatGPT, also sind wir nicht reguliert."

Falsch. Die Nutzung von ChatGPT macht Sie zum Betreiber eines GPAI-Systems. Transparenzpflichten gelten. Sie müssen Mandanten informieren, wenn KI-generierte Inhalte in Arbeitsergebnissen enthalten sind.

Missverständnis 2: „Die KI-Verordnung betrifft KI-Entwickler, nicht Nutzer."

Die Verordnung schafft Pflichten für Anbieter (Entwickler) und Betreiber (Nutzer). Betreiberpflichten sind leichter, aber rechtlich bindend.

Missverständnis 3: „Unser KI-Anbieter kümmert sich um Compliance."

Anbieter erfüllen Anbieterpflichten. Betreiberpflichten (Transparenz, menschliche Aufsicht, Schulung, Vorfallmeldung) liegen bei Ihnen.

Missverständnis 4: „Die vollständige Durchsetzung kommt erst 2026."

Teilweise richtig. Verbotene Praktiken seit Februar 2025. GPAI-Pflichten seit August 2025. Hochrisiko ab August 2026. Wenn Sie heute GPAI-Tools nutzen, sollten Sie bereits konform sein.

Missverständnis 5: „Das gilt nur für Firmen in der EU."

Die KI-Verordnung hat extraterritoriale Wirkung. Wenn die Ergebnisse Ihres KI-Systems in der EU genutzt werden, gilt die Verordnung, unabhängig von Ihrem Firmensitz.

10. Was Sie in diesem Quartal tun sollten

KI-Inventar vervollständigen (1 Woche). Höchste Priorität. Was Sie nicht kennen, können Sie nicht managen.
KI-Nutzungsrichtlinie veröffentlichen (2 Wochen). Selbst eine grundlegende Richtlinie setzt ein Signal gegenüber Regulierern, Mandanten und Mitarbeitern.
Mandantenvereinbarungen aktualisieren (1 Woche). Offenlegungssprache zur KI-Nutzung ergänzen.
KI-Kompetenzschulung planen (laufend). Beginnen Sie mit einer 2-stündigen Sitzung. Quartalsweise wiederholen.
Hochrisiko-KI-Systeme identifizieren (2 Wochen). Falls vorhanden (meist im HR-Bereich), Konformitätsbewertungsprozess starten.

Die Firmen, die zuerst handeln, definieren den Standard. In jedem Regulierungszyklus setzen Vorreiter den Maßstab dafür, was „angemessene Compliance" bedeutet. Nachzügler übernehmen den Standard, ohne ihn mitgestaltet zu haben. Für Beratungsunternehmen, bei denen Vertrauen das Produkt ist, schafft die wahrgenommene Führungsrolle bei verantwortungsvoller KI-Nutzung einen Wettbewerbsvorteil, der schwer zu replizieren ist.

KI-Readiness Ihrer Firma bewerten

Unser 3-Minuten-Assessment identifiziert Compliance-Lücken und erstellt einen personalisierten Aktionsplan.

Assessment starten

EU KI-Verordnung: Compliance-Leitfaden für Beratungsunternehmen