EU AI Act für Kanzleien: Praxisleitfaden 2026 (inkl. Digital Omnibus)

Q: Gilt der EU AI Act schon oder erst ab August 2026?

Teile gelten bereits: Die Verbote unzulässiger KI und die Pflicht zur KI-Kompetenz seit dem 2. Februar 2025, die Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) seit dem 2. August 2025. Durch den Digital Omnibus vom Mai 2026 wurden die Pflichten für Hochrisiko-Systeme nach Annex III jedoch von August 2026 auf den 2. Dezember 2027 verschoben.

Q: Ist eine Kanzlei, die ChatGPT nutzt, Anbieter oder Betreiber im Sinne des AI Act?

In aller Regel ist die Kanzlei Betreiber (Deployer), nicht Anbieter. Sie setzt ein fremdes KI-System ein. Anbieter wird, wer ein KI-System entwickelt, wesentlich verändert oder unter eigenem Namen auf den Markt bringt. Für Betreiber gilt vor allem die Pflicht zur KI-Kompetenz sowie – je nach Einsatz – Transparenzpflichten.

Q: Wie hoch sind die Bußgelder nach dem EU AI Act?

Bei Einsatz verbotener KI-Praktiken drohen Geldbußen von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Verstöße gegen Pflichten für Hochrisiko-Systeme oder Transparenzpflichten können mit bis zu 15 Millionen Euro oder 3 Prozent geahndet werden, falsche Angaben mit bis zu 7,5 Millionen Euro oder 1 Prozent.

Der EU AI Act – die Verordnung (EU) 2024/1689 – ist das weltweit erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz. Er ist am 1. August 2024 in Kraft getreten und gilt seither stufenweise. Für Juristinnen und Juristen ist er gleich doppelt relevant: als Regelwerk, das die eigene Kanzlei betrifft, und als Beratungsfeld für Mandanten, die KI einsetzen.

Im Mai 2026 hat sich die Lage allerdings spürbar verschoben. Mit dem sogenannten Digital Omnibus on AI haben sich Rat, Parlament und Kommission am 7. Mai 2026 auf die ersten Änderungen des AI Act seit seiner Verabschiedung geeinigt – und dabei zentrale Fristen nach hinten verlegt. Dieser Leitfaden bringt den Stand auf Juni 2026 und erklärt, was das praktisch bedeutet.

Das Wichtigste in 30 Sekunden

Verbote und KI-Kompetenzpflicht gelten seit Februar 2025. Die Regeln für allgemeine KI-Modelle (GPAI) seit August 2025. Die Pflichten für Hochrisiko-Systeme nach Annex III wurden durch den Digital Omnibus von August 2026 auf den 2. Dezember 2027 verschoben. Die nächste scharfe Frist für viele Anbieter ist die Kennzeichnungspflicht für KI-generierte Inhalte zum 2. Dezember 2026.

Was ist der EU AI Act?

Der AI Act verfolgt einen risikobasierten Ansatz: Nicht jede KI wird gleich behandelt, sondern danach eingestuft, wie groß das Risiko für Gesundheit, Sicherheit und Grundrechte ist. Je höher das Risiko, desto strenger die Pflichten. Die Verordnung unterscheidet außerdem konsequent zwischen zwei Rollen:

Anbieter (Provider): wer ein KI-System entwickelt, unter eigenem Namen in Verkehr bringt oder wesentlich verändert.
Betreiber (Deployer): wer ein KI-System im Rahmen einer beruflichen Tätigkeit einsetzt – das trifft auf die meisten Kanzleien zu.

Diese Rollenverteilung entscheidet darüber, welche Pflichten überhaupt greifen. Wer „nur“ ein fertiges Werkzeug einsetzt, hat deutlich weniger zu beachten als wer eigene KI auf den Markt bringt.

Die vier Risikoklassen

Risikoklasse	Beispiele	Folge
Unannehmbares Risiko	Social Scoring, manipulative Systeme, ungezieltes Abgreifen von Gesichtsbildern, bestimmte biometrische Kategorisierung	verboten (Art. 5)
Hochrisiko	KI in Justiz & Rechtsanwendung, Personalauswahl, Kreditwürdigkeit, kritische Infrastruktur, Strafverfolgung (Annex III)	strenge Pflichten: Risikomanagement, Dokumentation, menschliche Aufsicht, Konformitätsbewertung
Begrenztes Risiko	Chatbots, KI-generierte Texte, Bilder und Deepfakes	Transparenzpflichten (Art. 50): Offenlegung & Kennzeichnung
Minimales Risiko	Spamfilter, einfache Assistenzfunktionen, die meisten Office-Tools	keine besonderen Pflichten

Für das Recht besonders bemerkenswert: Der Einsatz von KI zur Unterstützung von Justizbehörden bei der Auslegung von Sachverhalten und Recht zählt ausdrücklich zu den Hochrisiko-Anwendungen. Mehr dazu in unserem Beitrag KI in der Justiz.

Der neue Zeitplan: Was der Digital Omnibus geändert hat

Am 7. Mai 2026 haben sich die EU-Institutionen auf den Digital Omnibus on AI verständigt. Die Grundarchitektur des AI Act – die vier Risikoklassen, das Konformitätsbewertungsverfahren, der GPAI-Track und die Rolle des AI Office – bleibt unangetastet. Verschoben wurden vor allem die Anwendungsdaten für Hochrisiko-Systeme. Die formale Verabschiedung wird für die Sommermonate 2026 erwartet; die genannten Daten gelten als Planungsgrundlage.

Pflicht	Bisher	Neu
Verbote (Art. 5)	2. Feb. 2025	2. Feb. 2025 (in Kraft)
KI-Kompetenz (Art. 4)	2. Feb. 2025	2. Feb. 2025 (in Kraft)
GPAI-Modelle (Art. 51–55)	2. Aug. 2025	2. Aug. 2025 (in Kraft)
Kennzeichnung KI-Inhalte (Art. 50 Abs. 2)	2. Aug. 2026	2. Dez. 2026
Nationale Reallabore (Sandboxes)	2. Aug. 2026	2. Aug. 2027
Hochrisiko – Annex III (eigenständig)	2. Aug. 2026	2. Dez. 2027
Hochrisiko – Annex I (in Produkten)	2. Aug. 2027	2. Aug. 2028

Zwei Dinge sind dabei wichtig. Erstens: Die neuen Daten gelten unabhängig davon, ob die harmonisierten Normen und Leitlinien der Kommission bis dahin fertig sind. Zweitens wurde mit dem Omnibus ein neues Verbot in Artikel 5 aufgenommen – gegen KI-Systeme, die nicht-einvernehmliche intime Darstellungen (NCII) oder Darstellungen sexuellen Kindesmissbrauchs (CSAM) erzeugen. Es greift ab dem 2. Dezember 2026.

Nicht zurücklehnen

Die Verschiebung der Hochrisiko-Pflichten klingt nach Entwarnung – ist aber keine. Die KI-Kompetenzpflicht gilt seit Februar 2025 unverändert, die Kennzeichnungspflicht für KI-Inhalte wird zum Dezember 2026 scharf, und Haftung nach DSGVO, Produkthaftung und Berufsrecht besteht ohnehin schon heute, ganz ohne AI Act. Eine Verzögerung der Frist ist keine Verzögerung des Risikos.

Was bedeutet das konkret für Kanzleien?

1. Die KI-Kompetenzpflicht gilt – jetzt

Artikel 4 verpflichtet Anbieter und Betreiber, für ein ausreichendes Maß an KI-Kompetenz bei den Personen zu sorgen, die mit KI-Systemen umgehen. Der Digital Omnibus hat die Formulierung leicht entschärft – statt „sicherstellen“ heißt es nun „Maßnahmen zur Förderung“ –, die Pflicht bleibt aber bestehen und ist bereits anwendbar. Für Kanzleien heißt das: Wer ChatGPT, Legal-AI-Tools oder eine KI-Kanzleisoftware einsetzt, sollte Mitarbeitende dokumentiert schulen – zu Funktionsweise, Grenzen, Datenschutz und Berufsrecht.

2. Anbieter oder Betreiber? Meist Betreiber

Die typische Kanzlei ist Betreiberin: Sie nutzt fremde Werkzeuge. Damit entfällt der Großteil der schweren Hochrisiko-Pflichten. Vorsicht ist nur geboten, wenn eine Kanzlei eigene KI-Lösungen entwickelt, wesentlich verändert oder unter eigenem Namen anbietet – dann kann sie zur Anbieterin werden.

3. Transparenz: Chatbots und KI-Texte kennzeichnen

Setzt eine Kanzlei auf ihrer Website einen Chatbot ein, müssen Nutzer erkennen können, dass sie mit einer Maschine kommunizieren. Werden Inhalte KI-generiert und veröffentlicht, greift ab Dezember 2026 die maschinenlesbare Kennzeichnungspflicht. Das betrifft eher KI-Anbieter, aber Kanzleien mit eigenen generativen Funktionen sollten es im Blick behalten.

4. Berufsrecht und Datenschutz bleiben der härtere Maßstab

Für Anwältinnen und Anwälte ist oft nicht der AI Act die größte Hürde, sondern die anwaltliche Verschwiegenheitspflicht (§ 43a BRAO, § 203 StGB) und die DSGVO. Mandantendaten in ein frei zugängliches Modell einzugeben, das Eingaben zu Trainingszwecken verwertet, ist hochriskant – unabhängig von jeder Risikoklasse. Maßgeblich sind Serverstandort, Auftragsverarbeitung, Trainingsausschluss und Anonymisierung. Wir vertiefen das im Beitrag KI für Anwälte.

5. Der AI Act als Beratungsfeld

Mandanten – vom Mittelständler bis zum Plattformbetreiber – müssen ihre KI-Systeme inventarisieren, einordnen und dokumentieren. Wer hier früh Kompetenz aufbaut, erschließt ein wachsendes Beratungsfeld: Klassifizierung von Systemen, Verträge entlang der KI-Wertschöpfungskette (Art. 25), Compliance-Dokumentation und das Zusammenspiel mit DSGVO und sektoralem Recht.

Sanktionen: Was Verstöße kosten

Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes – bei Einsatz verbotener KI-Praktiken.
Bis zu 15 Mio. € oder 3 % – bei Verstößen gegen Hochrisiko- oder Transparenzpflichten (Art. 16, 26, 50) sowie neu bei Verstößen gegen Informationspflichten in der Wertschöpfungskette (Art. 25).
Bis zu 7,5 Mio. € oder 1 % – bei falschen oder irreführenden Angaben gegenüber Behörden.

Maßgeblich ist jeweils der höhere Betrag; für kleine und mittlere Unternehmen gelten teils niedrigere Obergrenzen.

Handlungsempfehlungen – die Checkliste

Inventar: Welche KI-Systeme nutzt die Kanzlei – inklusive in Office-Software eingebetteter Funktionen?
Rolle klären: Sind wir Betreiber oder (auch) Anbieter?
KI-Kompetenz: Schulungen ansetzen und dokumentieren – die Pflicht gilt bereits.
Richtlinie: interne Nutzungsregeln für ChatGPT & Co. (Anonymisierung, Verbote, Gegencheck-Pflicht).
Datenschutz/Berufsrecht: Serverstandort, Auftragsverarbeitung und Trainingsausschluss vertraglich sichern.
Transparenz: Chatbots und KI-Inhalte kennzeichnen; Frist 2. Dez. 2026 für die Kennzeichnung beachten.
Beobachten: finale Verabschiedung des Digital Omnibus und harmonisierte Normen verfolgen.

Fazit

Der EU AI Act ist kein abstraktes Zukunftsthema mehr – wesentliche Pflichten gelten bereits, und mit dem Digital Omnibus hat sich der Zeitplan zwar entspannt, aber nicht aufgelöst. Für Kanzleien sind drei Dinge entscheidend: die KI-Kompetenzpflicht ernst nehmen, Datenschutz und Verschwiegenheit als härtesten Maßstab behandeln und den AI Act zugleich als Beratungschance begreifen. Wer jetzt Inventar und Schulung aufsetzt, hat bis Ende 2027 genug Zeit zum Verfeinern. Wer wartet, hat am Ende Wochen statt Monate.

Häufige Fragen

Gilt der EU AI Act schon oder erst ab August 2026?

Teile gelten bereits: die Verbote und die KI-Kompetenzpflicht seit dem 2. Februar 2025, die Regeln für GPAI-Modelle seit dem 2. August 2025. Durch den Digital Omnibus vom Mai 2026 wurden die Pflichten für Hochrisiko-Systeme nach Annex III von August 2026 auf den 2. Dezember 2027 verschoben.

Ist eine Kanzlei, die ChatGPT nutzt, Anbieter oder Betreiber?

In aller Regel Betreiber (Deployer), nicht Anbieter. Sie setzt ein fremdes KI-System ein. Anbieter wird, wer ein KI-System entwickelt, wesentlich verändert oder unter eigenem Namen auf den Markt bringt. Für Betreiber gilt vor allem die KI-Kompetenzpflicht sowie – je nach Einsatz – Transparenzpflichten.

Wie hoch sind die Bußgelder nach dem EU AI Act?

Bei verbotenen KI-Praktiken bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes. Verstöße gegen Hochrisiko- oder Transparenzpflichten bis zu 15 Mio. € oder 3 %, falsche Angaben bis zu 7,5 Mio. € oder 1 %. Maßgeblich ist der höhere Betrag.

Quellen

Europäische Kommission – AI Act Service Desk: „Timeline for the Implementation of the EU AI Act“ – ec.europa.eu
Rat der EU, Pressemitteilung vom 7. Mai 2026: „Artificial intelligence: Council and Parliament agree to simplify and streamline rules“ – consilium.europa.eu
Covington / Inside Privacy: „EU AI Act Update: Timeline Relief, Targeted Simplification, and New Prohibitions“, 18.05.2026 – insideprivacy.com
Verordnung (EU) 2024/1689 (KI-Verordnung / AI Act).

Dieser Beitrag dient der allgemeinen Information und Einordnung und stellt keine Rechtsberatung dar. Der Digital Omnibus befand sich zum Redaktionsschluss im finalen Gesetzgebungsverfahren; maßgeblich ist die im EU-Amtsblatt veröffentlichte Endfassung. Für die Beurteilung eines konkreten Einzelfalls wenden Sie sich bitte an eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.