Klassifizieren oder scheitern: So knacken Sie den KI-Risikocode im EU AI Act

Sind Sie sicher, dass Ihr Legal Team den komplexen Anforderungen des EU AI Acts gewachsen ist? Seit August 2024 setzt diese wegweisende Regulierung klare Regeln für den Einsatz von Künstlicher Intelligenz. Sie verbindet dabei Innovation mit dem Schutz von Grundrechten und gesellschaftlichen Werten. Dabei steht nicht die Technologie selbst im Fokus, sondern das Risiko. Je höher das Risiko durch ein KI-System, desto strenger die rechtlichen Vorgaben. Für Kanzleien und Rechtsabteilungen ist die korrekte Einordnung der KI-Systeme in eine von vier Risikoklassen der wichtigste Schritt zu einer effektiven und rechtskonformen KI-Governance. Jede Kategorie bringt spezifische Anforderungen mit sich, die umgesetzt werden müssen, um den Überblick zu behalten. 

Unvertretbares Risiko

KI-Anwendungen, die so gravierend in Rechte eingreifen oder derart manipulative Wirkungen entfalten, sind von vornherein verboten (Art. 5 AI Act). Dazu zählen Social-Scoring-Systeme, biometrische Echtzeitüberwachung im öffentlichen Raum und KI-Techniken, mit denen Menschen unbemerkt beeinflusst werden. Jegliche Entwicklung oder Importe solcher Systeme sind rechtswidrig, da sie fundamentale Rechte verletzen. Für Kanzleien ist es daher wichtig, entsprechende KI-Anwendungen nicht nur selbst zu vermeiden, sondern auch in der Mandatsarbeit rechtzeitig auf Risiken hinzuweisen. 

Hochrisiko-Systeme

KI-Systeme, deren Fehlfunktionen gravierende Auswirkungen auf wichtige Grundrechte haben können, sind nur unter Einhaltung rechtlicher Vorgaben erlaubt (Artikel 6 bis 29 und Anhang III). Beispiele hierfür finden sich im Personalwesen (Bewerberauswahl), im Bildungsbereich (Prüfungsbewertungen), im Gesundheitswesen (Diagnosesoftware), in der Finanzwirtschaft (Kreditwürdigkeitsprüfungen) und in der Justiz (Risikoanalysen im Strafvollzug). Es gelten umfangreiche Pflichten mit laufendem Risikomanagement- und Qualitätssicherungssytemen (Nachvollziehbarkeit, Qualität und Transparenz der Datensätze). Menschliche Aufsicht, Cybersicherheit und EU-Datenbank-Registrierung sind zwingend. Für Rechtsabteilungen und Kanzleien bringt das eine doppelte Aufgabe mit sich, da sie sowohl ihre eigene Nutzung von KI-Tools überprüfen als auch als Berater für ihre Mandanten Verantwortung übernehmen müssen.  

Begrenztes Risiko

Hierunter fallen Chatbots (Beratungstool auf Webseiten) oder Deepfake (synthetische Stimmenerzeugung). Für Systeme die mit Nutzern interagieren oder Inhalte erzeugen, ohne eigenständig bindende Entscheidungen zu treffen, gelten Transparenzpflichten (Art. 50 AI Act). Nutzer müssen durch Hinweise darüber informiert werden, dass sie mit einer KI interagieren. Für Kanzleien, die solche interaktiven Systeme z.B. im Mandantenkontakt einsetzen, ist dies eine Pflicht zur klaren Kennzeichnung und Erklärung, damit keine Verwechslung mit menschlicher Beratung entsteht. 

Minimales Risiko 

Anwendungen, die kaum Gefahrenpotenzial bergen, wie Spamfilter oder einfache Rechtschreibkorrekturen, dürfen ohne Registrierung und Dokumentation frei eingesetzt werden. Kanzleien profitieren, indem sie risikoarme Automatisierungen zur Effizienz-steigerung einsetzen. Gerade kleinere Kanzleien, die keine aufwendigen Compliance-Prozesse abbilden können, finden so pragmatischen Zugang zur Technologie.  

Klassifikation ist keine Kür, sondern Pflicht  

Die Risikoklassifikation ist der Einstiegspunkt in die Compliance. Sie legt fest, ob ein KI-System überhaupt eingesetzt werden darf und welche rechtlichen Pflichten greifen. Eine unklare oder fehlende Einstufung kann deshalb weitreichende Folgen haben: 

• Zulässigkeit und Marktzugang sind ohne Klassifikation nicht gegeben 

• Vertragsgestaltung (Haftungs- und Datenschutzklauseln) erfordert eine genaue Risikoeinschätzung 

• Auditfähigkeit und Aufsichtsbehörden setzen dokumentierte Bewertungen und klare Verantwortlichkeiten voraus 

• Interne Governance (Schulungen, Meldewegen und Prozessstruktur) hängt direkt vom Risiko-Level ab 

Wer die Klassifikation unterschätzt, riskiert Bußgelder, Haftungsfragen, Reputationsschäden und Compliance-Lücken für den eigenen Kanzleibetrieb und Ihre Mandanten. Wer sie jetzt systematisch angeht, minimiert Risiken und schafft die Grundlage für verantwortungsvollen KI-Einsatz. Gefährden Sie nicht die Rechtssicherheit, die eigene Beratungsqualität und ihre Marktposition.  

Was Kanzleien und Rechtsabteilungen jetzt tun sollten 

• Bestandsaufnahme ihrer KI-Systeme (Inventur)
• Etablierung von Klassifikations- und Dokumentationsverfahren
• Festlegung von Verantwortlichkeiten
• Schulung Ihrer Teams in juristischen und technischen Grundlagen der EU AI Acts 
• Anpassung der Mandantenberatung 

Fazit

Klare Systemklassifikation ist der Schlüssel zu rechtlicher Sicherheit im Umgang mit KI. Nur wer die Risiken und Kategorien von KI-Systemen genau kennt, kann Risiken minimieren und Compliance gewährleisten. Rechtsabteilungen und Kanzleien, die sich jetzt mit der Klassifikation vertraut machen und aktiv werden, sichern sich nicht nur Rechtssicherheit, sondern auch einen wertvollen Wettbewerbsvorteil in einem dynamischen Zukunftsfeld. Starten Sie heute mit der Bestandsaufnahme Ihrer KI-Systeme und nutzen Sie digitale Tools, um den Überblick zu behalten – so machen Sie KI-Compliance zu einer Chance statt zur Herausforderung. 

________________________________________________________________________________________________________________________________

• Teil 1 - EU AI Act: Der Gamechanger für KI-Compliance
• Teil 3 - Hochrisiko-KI im Unternehmen – Pflichten und Risiken nach dem EU AI Act
• Teil 4 - Über die EU AI Act Colmpliance hinaus: KI-Ethik, Rechtliche Risiken und Vertragsgestaltung
• Teil 5 - KI-Compliance-Strategie: So etablieren Unternehmen und Kanzleien zukunftssichere KI-Governance