Die KI-Verordnung der EU (AI Act) stuft zahlreiche KI-Systeme in Kanzleien und Finanzunternehmen als hochriskant ein. Was bedeutet das für Compliance, Risikomanagement und Transparenzpflichten? Ein Überblick über die Anforderungen und den Zeitplan bis August 2026.
Künstliche Intelligenz unter regulatorischem Brennglas
Künstliche Intelligenz durchdringt längst den Arbeitsalltag in Kanzleien und Finanzunternehmen: Vertragsprüfung, Kreditwürdigkeitsanalyse, automatisierte Rechtsrecherche, Risikobewertungen in der Versicherungsbranche. Was viele Entscheider jedoch unterschätzen, ist das regulatorische Rahmenwerk, das die Europäische Union mit der Verordnung (EU) 2024/1689 – dem sogenannten AI Act – geschaffen hat. Diese Verordnung ist am 1. August 2024 in Kraft getreten und entfaltet ihre volle Wirkung stufenweise bis August 2026.
Für Kanzleien und Finanzdienstleister stellt sich eine zentrale Frage: Welche der eingesetzten KI-Systeme fallen in die Kategorie Hochrisiko – und welche Pflichten ergeben sich daraus? Dieser Beitrag gibt einen praxisorientierten Überblick.
Das Klassifizierungssystem des AI Act
Der AI Act verfolgt einen risikobasierten Ansatz. KI-Systeme werden in vier Risikostufen eingeteilt:
- Unannehmbares Risiko (Art. 5): Vollständig verbotene Praktiken, etwa Social Scoring oder unterschwellige Manipulation
- Hohes Risiko (Art. 6 i. V. m. Anhang III): Systeme mit erheblichem Gefährdungspotenzial für Grundrechte, Gesundheit oder Sicherheit
- Begrenztes Risiko: Systeme mit Transparenzpflichten (z. B. Chatbots, die sich als KI offenbaren müssen)
- Minimales Risiko: Frei nutzbare Systeme ohne besondere Auflagen
Für die Praxis in Kanzleien und Finanzunternehmen ist vor allem die zweite Kategorie relevant: Hochrisiko-KI-Systeme.
Welche KI-Systeme gelten als hochriskant?
Anhang III der KI-Verordnung listet acht Bereiche auf, in denen KI-Systeme als hochriskant eingestuft werden. Für die Finanzbranche und rechtsberatende Berufe sind insbesondere folgende Kategorien relevant:
Kreditwürdigkeitsprüfung und Versicherung (Anhang III Nr. 5b)
KI-Systeme, die zur Bewertung der Kreditwürdigkeit natürlicher Personen oder zur Risikobewertung und Preisgestaltung bei Lebens- und Krankenversicherungen eingesetzt werden, gelten als hochriskant. Das betrifft Banken, Versicherungen und FinTech-Unternehmen gleichermaßen.
Beschäftigung und Personalmanagement (Anhang III Nr. 4)
KI-gestütztes Recruiting, automatisierte Leistungsbewertung und algorithmische Beförderungsentscheidungen fallen ebenfalls in die Hochrisiko-Kategorie. Dies betrifft jede Kanzlei und jedes Finanzunternehmen, das entsprechende Tools im Personalwesen einsetzt.
Zugang zu wesentlichen öffentlichen und privaten Dienstleistungen (Anhang III Nr. 5a)
Hierunter fallen KI-Systeme, die über den Zugang zu grundlegenden Dienstleistungen entscheiden – einschließlich bestimmter Finanzdienstleistungen.
Strafverfolgung und Rechtspflege (Anhang III Nr. 6 und 8)
Besonders relevant für Kanzleien: KI-Systeme, die in der Rechtspflege und demokratischen Prozessen eingesetzt werden. Wenn KI-Tools zur Unterstützung richterlicher Entscheidungsfindung oder zur Rechtsrecherche mit entscheidungsunterstützender Funktion eingesetzt werden, können diese unter die Hochrisiko-Kategorie fallen.
Pflichten für Anbieter und Betreiber von Hochrisiko-KI
Die KI-Verordnung unterscheidet zwischen Anbietern (providers) und Betreibern (deployers) von KI-Systemen. Kanzleien und Finanzunternehmen sind in der Regel Betreiber – doch auch für sie gelten erhebliche Pflichten:
Risikomanagement (Art. 9)
Betreiber müssen ein Risikomanagementsystem einrichten, das die gesamte Lebensdauer des KI-Systems umfasst. Risiken müssen identifiziert, bewertet und durch geeignete Maßnahmen gemindert werden.
Transparenz und Information (Art. 13, 50)
Personen, die von Hochrisiko-KI-Entscheidungen betroffen sind, müssen informiert werden. Für Kanzleien bedeutet das: Wenn ein KI-System bei der Mandatsbearbeitung zum Einsatz kommt, müssen Mandanten darüber in Kenntnis gesetzt werden. In der Finanzbranche gilt dies beispielsweise bei automatisierten Kreditentscheidungen.
Menschliche Aufsicht (Art. 14)
Hochrisiko-KI-Systeme müssen so gestaltet sein, dass eine wirksame menschliche Aufsicht gewährleistet ist. Der Mensch muss in der Lage sein, die KI-Entscheidung zu verstehen, zu überprüfen und gegebenenfalls zu korrigieren. Die Bundesrechtsanwaltskammer (BRAK) hat in ihrem Leitfaden zum KI-Einsatz in Kanzleien betont, dass die anwaltliche Eigenverantwortung durch KI-Einsatz nicht ausgehöhlt werden darf.
Datenqualität (Art. 10)
Trainings-, Validierungs- und Testdaten müssen bestimmten Qualitätsanforderungen genügen. Insbesondere müssen Verzerrungen (Bias) erkannt und adressiert werden – ein Punkt, der bei Kreditwürdigkeitsprüfungen besonders kritisch ist.
KI-Kompetenz (Art. 4)
Seit dem 2. Februar 2025 gilt: Alle Anbieter und Betreiber von KI-Systemen müssen sicherstellen, dass ihr Personal über eine ausreichende KI-Kompetenz verfügt. Haufe weist darauf hin, dass dies Schulungskonzepte erfordert, die auf verschiedene Zielgruppen zugeschnitten sind.
BaFin als Aufsichtsbehörde für die Finanzbranche
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat im Dezember 2025 eine Orientierungshilfe zu IKT-Risiken beim Einsatz von KI veröffentlicht. Diese adressiert die Risiken, die mit dem Einsatz von KI in regulierten Finanzunternehmen einhergehen, und stellt die Erwartungshaltung der Aufsicht klar.
Zentrale Punkte der BaFin-Orientierungshilfe:
- Erklärbarkeit: KI-Modelle müssen so weit wie möglich nachvollziehbar sein
- Bias-Kontrolle: Systematische Verzerrungen müssen erkannt und adressiert werden
- Governance: Klare Verantwortlichkeiten für den KI-Einsatz müssen definiert werden
- Auslagerungsrisiken: Beim Einsatz externer KI-Dienste gelten die üblichen aufsichtsrechtlichen Anforderungen an Auslagerungen
Die BaFin wird mit hoher Wahrscheinlichkeit als Marktüberwachungsbehörde für Hochrisiko-KI-Systeme im Finanzsektor fungieren.
Das deutsche Durchführungsgesetz: KI-MIG
Deutschland hat am 11. Februar 2026 den Entwurf des KI-Marktüberwachungs- und Innovationsförderungsgesetzes (KI-MIG) beschlossen. Dieses Gesetz überführt die Vorgaben der europäischen KI-Verordnung in deutsches Recht und schafft die nationalen Aufsichtsstrukturen. Als zentrales Koordinierungs- und Kompetenzzentrum ist die Bundesnetzagentur vorgesehen.
Zeitplan: Wann wird es ernst?
Die Umsetzung des AI Act erfolgt gestaffelt:
| Datum | Meilenstein |
|---|---|
| 1. August 2024 | Inkrafttreten der Verordnung |
| 2. Februar 2025 | Verbotene KI-Praktiken (Art. 5) und KI-Kompetenzpflicht (Art. 4) |
| 2. August 2025 | Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) |
| 2. Februar 2026 | EU-Kommission veröffentlicht Leitlinien zur Hochrisiko-Einstufung |
| 2. August 2026 | Vollständige Anwendung der Hochrisiko-Vorschriften (Anhang III) |
Das bedeutet: Ab August 2026 müssen alle Unternehmen, die Hochrisiko-KI-Systeme einsetzen oder anbieten, die vollständigen Compliance-Anforderungen erfüllen. Die Vorbereitungszeit ist bereits jetzt knapp bemessen.
Sanktionen: Was droht bei Verstößen?
Der AI Act sieht empfindliche Bußgelder vor:
- Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für verbotene KI-Praktiken
- Bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes für Verstöße gegen Hochrisiko-Pflichten
- Bis zu 7,5 Millionen Euro oder 1 % des Jahresumsatzes für falsche Angaben gegenüber Behörden
Für Kanzleien und mittelständische Finanzdienstleister sind diese Beträge existenzbedrohend.
Praktische Schritte für Kanzleien und Finanzunternehmen
Angesichts des nahenden Stichtags im August 2026 empfehlen sich folgende Maßnahmen:
1. Bestandsaufnahme durchführen: Identifizieren Sie alle KI-Systeme in Ihrem Unternehmen – von der Vertragsprüfungssoftware über Chatbots bis hin zu Scoring-Modellen. Prüfen Sie anhand von Art. 6 und Anhang III, ob diese als hochriskant einzustufen sind.
2. Risikomanagement aufbauen: Etablieren Sie ein dokumentiertes Risikomanagementsystem für alle Hochrisiko-KI-Anwendungen. Dies umfasst die Risikobewertung, Mitigationsmaßnahmen und regelmäßige Überprüfungen.
3. Transparenzprozesse implementieren: Stellen Sie sicher, dass betroffene Personen – Mandanten, Kunden, Mitarbeitende – über den Einsatz von KI informiert werden.
4. KI-Kompetenz schulen: Entwickeln Sie Schulungskonzepte für alle Mitarbeitenden, die mit KI-Systemen arbeiten. Die Pflicht gilt bereits seit Februar 2025.
5. Lieferanten prüfen: Wenn Sie KI-Systeme von Drittanbietern einsetzen, stellen Sie sicher, dass diese die Anforderungen des AI Act erfüllen. Fordern Sie entsprechende Konformitätserklärungen und technische Dokumentationen an.
6. Governance-Strukturen schaffen: Benennen Sie Verantwortliche für den KI-Einsatz in Ihrem Unternehmen und etablieren Sie klare Prozesse für die Überwachung und Dokumentation.
Fazit: Regulierung als Chance begreifen
Der EU AI Act stellt Kanzleien und Finanzunternehmen vor erhebliche Compliance-Herausforderungen. Doch wer die Regulierung frühzeitig ernst nimmt, kann sie als Wettbewerbsvorteil nutzen: Mandanten und Kunden vertrauen Unternehmen, die den verantwortungsvollen Umgang mit KI nachweisen können. Die strukturierte Auseinandersetzung mit KI-Risiken stärkt zudem die interne Governance und die Qualität der eigenen Dienstleistungen.
Bei compleneo unterstützen wir Sie bei der Umsetzung der KI-Verordnung in Ihrer Kanzlei oder Ihrem Finanzunternehmen – von der Bestandsaufnahme über die Risikobewertung bis hin zur Implementierung der erforderlichen Compliance-Strukturen. Sprechen Sie uns an.
