General Counsel sind nun persönlich für die KI-Governance verantwortlich – und nicht mehr nur ihre IT-Lieferanten. Der EU-AI Act ist der erste umfassende KI-Governance-Rahmen, der solche Initiativen in Gang setzt. Das von der EU geschaffene Gesetz trat im August 2024 in Kraft und wurde schrittweise in allen Mitgliedstaaten angewandt, wobei die nächste große Welle von Verpflichtungen ab August 2026 in Kraft treten soll. Damit wird die Rechtsaufsicht nicht mehr eine Frage des Anbieters, sondern eine Aufgabe der Unternehmensleitung sein.
Der General Counsel und die Rechtsabteilung werden intern zu Koordinatoren des Gesetzes und verwandeln eine Verordnung in ein praktikables Betriebsmodell.
KI-Risikomanagement ist kein einmaliges Projekt
Im Gegensatz zu anderen Vorschriften benötigt das KI-Gesetz einen Fahrplan und eine kontinuierliche Überwachung. Der schrittweise Ansatz mit der Durchsetzung der Verpflichtung ab 2024 und dem voraussichtlichen Abschluss im August 2027 zeigt, dass eine kontinuierliche Überwachung erforderlich ist.
Vier zentrale Herausforderungen für den GC
Die folgende Liste ist nicht erschöpfend, da die Herausforderungen sicherlich je nach Branche, Unternehmensgröße und natürlich KI-Bereitschaft variieren. Dennoch können wir vier allgemeine Herausforderungen des KI-Gesetzes identifizieren, die interne Rechtsabteilungen herausfordern werden.
Klassifizierung in einem nuancierten Kontext
Der EU-Rechtsrahmen umfasst eine Reihe von Regeln, die bei der Risikoklassifizierung von KI-Tools zu beachten sind, unabhängig davon, ob diese intern erstellt und eingesetzt werden oder von Drittanbietern stammen. Die wichtigste Information, die es zu beachten gilt, ist, dass sich ein System, das auf den ersten Blick als risikoarm erscheint, je nach Nutzung, Integration oder Anpassung des Tools tatsächlich als risikoreich erweisen kann.
Die Rolle des General Counsel wird über die Beratung hinausgehen: Er muss klare Prozesse einrichten, um risikoreiche KI-Tools und -Dienste zu definieren und die Verantwortlichen für diese Entscheidungen zu benennen oder zumindest dabei zu helfen.
Auswahl der richtigen Anbieter
Das Vertragsrisiko wird für viele Unternehmen ein großes Problem darstellen. Dies liegt daran, dass sich die meisten Unternehmen für interne Aufgaben auf KI-Tools von Drittanbietern verlassen (man denke nur an ein KI-gestütztes Vertragsprüfungstool), die zwar einige Informationen liefern, aber der General Counsel und sein Team müssen sicherstellen, dass es keine rechtlichen Risikolücken gibt.
Gemäß der Verordnung müssen Anbieter von KI-Diensten transparente Informationen über das Systemverhalten, Trainingsdaten und Aktualisierungen zur Verfügung stellen; um jedoch ganz sicher zu gehen, muss der General Counsel dafür sorgen, dass die Verantwortung in den Verträgen klar zugewiesen wird. Das alte Modell, das die volle Haftung für jeden Vorfall auf den Anbieter abwälzt, gilt nicht mehr. GCs müssen jetzt die Compliance-Stellung jedes risikoreichen KI-Systems, das sie einsetzen, überprüfen, dokumentieren und verantworten.
Eine Anmerkung zur Data Governance:
Die Anforderungen von Artikel 10 an die Qualität der Trainingsdaten, die Repräsentativität und die Prüfung von Verzerrungen sind besonders wichtig für juristische KI-Tools, die auf historische juristische Dokumente trainiert werden und bei denen die Gefahr besteht, dass sie juristische, demografische oder rechtswissenschaftliche Verzerrungen kodieren. Anbieter müssen proaktive Bias-Audits durchführen, und der Grundsatz der Datenminimierung der DSGVO schafft ein inhärentes Spannungsverhältnis mit der Forderung des Gesetzes nach ausreichend repräsentativen Datensätzen.
Die Einhaltung der Vorschriften in die Praxis umsetzen
Eine dritte Herausforderung besteht darin, die Einhaltung der Vorschriften in die Praxis umzusetzen. Das KI-Gesetz erfordert mehr als nur eine juristische Auslegung, sondern auch Dokumentation, Schulung, Governance und laufende Überwachung. Für die General Counsel besteht das eigentliche Problem darin, wie sie diese Kontrollen in die Beschaffung, die Einsatzgenehmigungen und die regelmäßigen Überprüfungen einbetten können.
Das „Privilegien“-Paradoxon
Dies ist vielleicht das größte Problem für General Counsel: Die Transparenz- und Protokollierungsanforderungen des Gesetzes (Artikel 12 und 13) verlangen dokumentierte Prüfpfade für den Betrieb von KI-Systemen. Das klingt nach Standard, aber im juristischen Kontext können genau diese Protokolle, Aufforderungen und Metadaten zu auffindbaren Aufzeichnungen werden, die das anwaltliche Berufsgeheimnis gefährden.
Es wurden mehrere zentrale Risikobereiche identifiziert, wie z. B. die falsche Klassifizierung von privilegierten Dokumenten durch KI im Rahmen von eDiscovery oder die KI-Transkription von privilegierter Kommunikation. Für die Rechtsabteilung als Ganzes müssen diese Risiken unter Kontrolle gehalten werden.
Stellen Sie sich ein Szenario vor, in dem ein General Counsel ein Offenlegungsersuchen erhält, das KI-generierte Protokolle aus internen Vertragsprüfungs-Workflows umfasst. Diese Protokolle können strategische Überlegungen, Prozessstrategien oder vertrauliche Kundenempfehlungen offenlegen, die in der Vergangenheit durch das Privileg geschützt waren. Jetzt sind sie gesetzlich vorgeschriebene Prüfprotokolle. Es besteht ein echtes Spannungsverhältnis: Die Einhaltung von Vorschriften erfordert Transparenz, aber das Privileg hängt von der Vertraulichkeit ab.
Die Antwort liegt in einer privilegienbewussten KI-Governance von Anfang an. Das bedeutet, rollenbasierte Zugriffskontrollen zu implementieren, privilegierte Workflows von der allgemeinen geschäftlichen Nutzung zu trennen und sicherzustellen, dass KI-Protokolle zwischen operativen Daten und geschützten rechtlichen Analysen unterscheiden. In der Praxis geht es darum, Privilegien in die Systemarchitektur einzubauen und sie nicht erst nach der Einführung nachzurüsten.
Die gute Nachricht ist, dass das KI-Gesetz eine Reihe praktischer Kontrollpflichten vorsieht, um solche Risiken zu mindern. Die Erfüllung dieser Pflichten ist keine einmalige Prüfung, sondern ein fortlaufendes Betriebsmodell.
Compliance-Anforderungen für Rechtsabteilungen im Einsatz von KI
Die Uhr tickt: Ab August 2026 müssen alle Anwaltskanzleien und Rechtsabteilungen, die KI-Tools einsetzen, die gemäß dem Gesetz als risikoreich eingestuft sind, die in Artikel 26 (siehe unten) festgelegten Verpflichtungen erfüllen.
| Eine KI-Bestandsaufnahme | Alle eingesetzten KI-Tools müssen den Kategorien des Anhangs III zugeordnet werden. Bestimmte Anwendungen werden dabei automatisch als hochriskant eingestuft. |
| Rollenfestlegungen | Anbieter und Bereitsteller müssen klar definiert werden. Insbesondere das White-Labeling kann unter bestimmten Umständen Bereitsteller zu Anbietern machen. |
| Protokolle zur menschlichen Aufsicht | Es müssen verantwortliche und geschulte Personen benannt werden, die befugt sind, das System bei Bedarf außer Betrieb zu setzen.* |
| Systeme zur Protokollaufbewahrung | Protokolle müssen von Betreibern von KI-Systemen mindestens sechs Monate lang aufbewahrt werden. |
| Schulung in KI-Kenntnissen | Seit Februar 2025 ist dies verpflichtend. Schulungen müssen allen Nutzern zugänglich gemacht werden. |
| Verträge mit Anbietern | Verträge müssen den Zugang zur technischen Dokumentation, die Meldung von Vorfällen sowie die Einhaltung der datenschutzrechtlichen Anforderungen sicherstellen. |
General Counsel, Rechtsabteilungen, die Verantwortung liegt auch in Ihren Händen
Das KI-Gesetz der EU macht die Information-Governance wieder einmal von einer Back-Office-Funktion zu einer Compliance-Disziplin an vorderster Front. Damit Unternehmen florieren können, muss das KI-Gesetz als Chance gesehen werden, interne Governance-Architekturen aufzubauen, die KI vertretbar und wertvoll machen.
Die Rechtsabteilung und der General Counsel sind in einer einzigartigen Position, um die Vorschriften in die betriebliche Realität umzusetzen und sie mit unternehmensweiten Zielen zu verknüpfen. In der Praxis bedeutet dies, dass sie die Nutzer schulen oder Compliance-Kontrollen in KI-Agenten oder Arbeitsabläufe einbetten müssen.
Und deshalb lautet die eigentliche Frage nicht, ob die Rechtsabteilung an der KI-Governance beteiligt ist, sondern wie die Rechtsabteilung sie leiten muss und kann.
Referenzen:
[1] AI Act | Die digitale Zukunft Europas gestalten
[2] AI-Gesetz tritt in Kraft – Europäische Kommission
[3] Zeitplan für die Umsetzung | EU-Gesetz über künstliche Intelligenz
[4] Zeitplan für die Umsetzung des EU-KI-Gesetzes | AI Act Service Desk
[5] KI-Gesetz Von Zeitplänen zu Spannungen Ein Überblick über Mitte 2025
[7] EU AI Act 2026 Updates: Compliance-Anforderungen und Business …
