Der EU AI Act ist seit August 2024 in Kraft. Wer die Auswirkungen auf Legal Tech und Schweizer Kanzleien bisher als europäisches Binnenthema abgetan hat, liegt falsch. Das Gesetz gilt extraterritorial — ähnlich wie die DSGVO — und betrifft jede Organisation, die KI-gestützte Dienste für EU-Kunden einsetzt oder solche Systeme anbietet. Für Schweizer Anwaltskanzleien und Inhouse-Legal-Teams, die internationale Mandate bearbeiten oder EU-Klienten betreuen, sind die EU AI Act Legal Tech Auswirkungen damit unmittelbar relevant.
Was der EU AI Act regelt — und für wen er gilt
Die Verordnung (EU) 2024/1689 klassifiziert KI-Systeme in vier Risikokategorien: minimal, begrenzt, hoch und inakzeptabel. Jede Kategorie zieht unterschiedliche Pflichten nach sich. Systeme mit inakzeptablem Risiko — etwa KI zur sozialen Bewertung von Personen — sind verboten. Hochrisiko-Systeme unterliegen strengen Anforderungen an Transparenz, menschliche Aufsicht und Datenqualität.
Für Legal-Tech-Anwendungen ist die Einordnung oft nicht trivial. Predictive-Coding-Tools, automatisierte Vertragsanalysen oder KI-gestützte Risikoeinschätzungen können unter die Hochrisiko-Kategorie fallen, wenn sie rechtlich relevante Entscheidungen vorbereiten oder beeinflussen. Entscheidend ist der tatsächliche Einsatz, nicht die technische Architektur.
Die Extraterritorialität greift dort, wo KI-Systeme in der EU eingesetzt werden oder die Outputs in der EU wirken — unabhängig vom Standort des Anbieters. Eine Schweizer Kanzlei, die ein US-amerikanisches Legal-AI-Tool für EU-Mandate nutzt, bewegt sich damit in einem regulierten Bereich.
Die vier Risikokategorien im Überblick
Minimales Risiko umfasst etwa einfache Spam-Filter oder Dokumentenformatierung. Keine spezifischen Pflichten.
Begrenztes Risiko gilt für Systeme, die mit Menschen interagieren, ohne dass dies erkennbar ist — z. B. Chatbots. Hier greift primär eine Kennzeichnungspflicht.
Hohes Risiko ist die relevanteste Kategorie für Legal Tech. Darunter fallen KI-Systeme, die bei der Strafverfolgung, im Personalwesen oder in der Rechtspflege eingesetzt werden. Anforderungen: Technische Dokumentation, Risikomanagement, Datenqualitätsprüfung, menschliche Aufsicht, Konformitätsbewertung vor Markteinführung.
Inakzeptables Risiko betrifft Systeme, die grundlegende Rechte gefährden. Diese sind schlicht verboten.
Welche Legal-Tech-Anwendungen als hochriskant gelten
Die Abgrenzung ist noch im Fluss, und die zuständigen EU-Behörden haben bisher keine abschliessende Klassifizierungsliste für Legal Tech publiziert. Aus dem Wortlaut der Verordnung und den begleitenden Leitlinien ergibt sich aber: KI-Systeme, die rechtliche Einschätzungen automatisiert erstellen und dabei erheblichen Einfluss auf Verfahrensausgänge haben, werden tendenziell als hochriskant eingestuft.
Konkret betroffen sein können:
Predictive Legal Analytics (Prozesserfolgsprognosen)
Automatisierte Vertragsrisikoanalysen, die als bindende Entscheidungsgrundlage verwendet werden
KI-gestützte Due-Diligence-Tools, wenn ihre Outputs ohne menschliche Prüfung in Transaktionsentscheide einfliessen
Reine Assistenzfunktionen — also KI, die Juristen bei der Arbeit unterstützt, ohne eigenständig zu entscheiden — dürften in der Regel tiefer eingestuft werden. Hier bleibt die Praxis aber abzuwarten.
Was das für Schweizer Kanzleien und Inhouse-Teams konkret bedeutet
Auch wenn die Schweiz kein EU-Mitglied ist, bestehen drei unmittelbare Berührungspunkte:
Erstens: Toolauswahl. Wer Legal-AI-Tools für EU-Mandate oder von EU-Klienten mandatierte Projekte einsetzt, muss prüfen, ob der Anbieter die Anforderungen des EU AI Act erfüllt. Das betrifft Transparenzpflichten, Dokumentation und das Vorhandensein menschlicher Aufsichtsmechanismen.
Zweitens: Mandantenberatung. Viele Schweizer Unternehmen sind ihrerseits an den EU AI Act gebunden, wenn sie KI-Systeme einsetzen und dabei EU-Kunden bedienen. Kanzleien werden zunehmend gefragt, zu klassifizieren, zu dokumentieren und Konformitätsprozesse zu begleiten.
Drittens: Eigene Haftungsrisiken. Werden KI-generierte Outputs ohne ausreichende menschliche Prüfung weitergegeben, kann dies Haftungsfragen aufwerfen — auch unter Schweizer Recht, wenn ein EU-Rechtsrahmen als Standard herangezogen wird.
Wie CASUS diese Anforderungen berücksichtigt
CASUS ist eine Schweizer Legal-AI-Plattform, entwickelt für Kanzleien und Inhouse-Legal-Teams in der Schweiz. Das Hosting erfolgt in der Schweiz und der EU, ohne Datenübertragung in die USA. Zero Data Retention und kein Human Review durch Dritte sind feste Bestandteile der Architektur — keine optionalen Add-ons.
Inhaltlich ist CASUS als Assistenzsystem konzipiert: Die Plattform unterstützt Juristen bei der Vertragsanalyse, beim Vergleich gegen Playbooks oder Marktstandards und bei der juristischen Recherche — ohne eigenständige Rechtsentscheide zu treffen. Die menschliche Prüfung bleibt zwingend, was dem Geist der Hochrisiko-Anforderungen des EU AI Act entspricht.
Der AI Data Room etwa ermöglicht die parallele Analyse von Dutzenden oder Hunderten von Dokumenten anhand selbst definierter Felder — das Ergebnis ist eine strukturierte Tabelle, kein automatischer Bescheid. Der Risk & Quality Review identifiziert Risiken und Schwachstellen in Verträgen, ordnet sie nach Schweregrad ein und schlägt Formulierungsoptionen vor — die Entscheidung liegt beim Juristen.
Für Due-Diligence-Prozesse mit vielen Dokumenten, wo der EU AI Act Klassifizierungsfragen aufwirft, gibt diese Architektur eine belastbare Antwort: Die KI analysiert, der Mensch entscheidet.
Praktische Schritte für Kanzleien und Legal-Teams
Wer sich jetzt vorbereiten will, kann mit vier Massnahmen beginnen:
Bestandsaufnahme der genutzten KI-Tools. Welche Tools sind im Einsatz? Handelt es sich um reine Assistenzfunktionen oder um Systeme, deren Output ohne weitere Prüfung in Entscheide einfliesst?
Anbieterprüfung. Stellt der Anbieter technische Dokumentation bereit? Wo werden Daten verarbeitet? Gibt es klare Aussagen zu Human Review und Data Retention?
Mandantenberatung positionieren. EU AI Act-Compliance ist für viele Schweizer Unternehmen mit EU-Geschäft ein neues Thema. Kanzleien, die diese Beratung jetzt aufbauen, gewinnen einen frühen Vorsprung.
Interne Governance dokumentieren. Auch ohne EU-Mitgliedschaft ist eine interne Richtlinie zur KI-Nutzung sinnvoll — sie schafft Klarheit über Haftungsfragen und zeigt Klienten, dass der Einsatz von KI kontrolliert erfolgt.
Mit CASUS starten
Kanzleien und Legal-Teams, die Legal AI ohne US-Datenübertragung, mit Zero Data Retention und klarer Assistenzlogik einsetzen wollen, können CASUS kostenlos testen. Die Plattform ist als Word-Add-in und Web-App verfügbar — ohne aufwändiges Setup.
Mehr zur Datensicherheit und den technischen Rahmenbedingungen findet sich auf der Sicherheitsseite von CASUS.
FAQ
Gilt der EU AI Act für Schweizer Kanzleien?
Ja, wenn Schweizer Kanzleien KI-Tools für EU-Mandate einsetzen oder Klienten mit EU-Nexus betreuen, greifen die extraterritorialen Regeln des EU AI Act — vergleichbar mit dem Mechanismus der DSGVO. Der Anbieterstandort allein schützt nicht.
Welche Legal-Tech-Anwendungen gelten als hochriskant im Sinne des EU AI Act?
Als hochriskant gelten KI-Systeme, die rechtlich relevante Entscheidungen vorbereiten und erheblichen Einfluss auf Verfahrens- oder Transaktionsausgänge haben. Predictive Legal Analytics und automatisierte Vertragsrisikoanalysen, die ohne menschliche Prüfung weiterverwendet werden, fallen tendenziell in diese Kategorie.
Was müssen Anbieter von Hochrisiko-KI-Systemen nachweisen?
Anbieter müssen technische Dokumentation bereitstellen, ein Risikomanagementsystem vorhalten, Datenqualität sicherstellen, menschliche Aufsicht ermöglichen und vor der Markteinführung eine Konformitätsbewertung durchführen.
Sind KI-Assistenzsysteme für Juristen ebenfalls betroffen?
Reine Assistenzsysteme, bei denen der Jurist die Kontrolle behält und eigenständige Entscheide der KI ausgeschlossen sind, werden tendenziell tiefer eingestuft. Die genaue Klassifizierung hängt aber vom konkreten Einsatz ab, nicht nur von der technischen Architektur.
Was ist der Unterschied zwischen EU AI Act und DSGVO für Legal-Tech-Nutzende?
Die DSGVO regelt den Schutz personenbezogener Daten. Der EU AI Act regelt die Entwicklung, das Inverkehrbringen und den Betrieb von KI-Systemen nach Risikoklassen. Beide Regelwerke können gleichzeitig gelten — wer personenbezogene Daten mit KI verarbeitet, muss beide beachten.
Wie kann eine Kanzlei prüfen, ob ihr Legal-AI-Tool EU-AI-Act-konform ist?
Relevant sind: Wo werden Daten verarbeitet? Gibt es technische Dokumentation? Ist Human Review vorgesehen? Wie ist das System klassifiziert? Anbieter, die auf diese Fragen keine klaren Antworten liefern, sind ein Risikosignal.
Was gilt für Legal-AI-Tools, die in der Schweiz gehosted sind?
Der Hostingstandort allein ist nicht entscheidend. Massgeblich ist, ob das System in der EU eingesetzt wird oder ob seine Outputs in der EU rechtliche Wirkung entfalten. Ein in der Schweiz gehostedtes Tool, das für EU-Mandate genutzt wird, kann dennoch unter den EU AI Act fallen.
Ab wann gelten die Hochrisiko-Anforderungen des EU AI Act verbindlich?
Die Verbote für inakzeptable Risiken galten ab Februar 2025. Die Anforderungen für Hochrisiko-Systeme nach Anhang III werden ab August 2026 vollständig angewendet. Für Anbieter und Betreiber läuft die Vorbereitungszeit also jetzt.
