EU-KI-VERORDNUNG: Stichtag 2. August 2026
Warum die EU-KI-Verordnung jede Kanzlei zum Handeln zwingt.
Am 2. August 2026 endet die letzte große Schonfrist der EU-Verordnung über künstliche Intelligenz. Was bisher in Whitepapern und Compliance-Workshops diskutiert wurde, wird Recht, mit Bußgeldern von bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes. Für Rechtsanwaltskanzleien und Steuerberatungen, die KI-Agenten einsetzen oder einführen wollen, beginnt damit ein regulatorischer Ernstfall, auf den der Großteil der Branche noch nicht vorbereitet ist. Eine Bestandsaufnahme.
| 2. August 2026 | 15 Mio. € | 70 % |
| STICHTAG HOCHRISIKO-PFLICHTEN Art. 113 KI-VO | MAXIMALES BUSSGELD oder 3 % Jahresumsatz | BÜROAUFGABEN AUTOMATISIERBAR WEF, zit. nach DStV |
Was am 2. August 2026 wirklich passiert
Die KI-Verordnung trat bereits am 1. August 2024 in Kraft, doch der europäische Gesetzgeber hat eine gestaffelte Übergangsfrist eingebaut, um der Wirtschaft Zeit zur Anpassung zu geben. Im Februar 2025 wurden zunächst die verbotenen Praktiken wirksam; etwa Social Scoring oder bestimmte Formen der Emotionserkennung am Arbeitsplatz. Im August 2025 folgten die Transparenzpflichten für allgemeine KI-Modelle wie GPT, Claude oder Gemini. Der 2. August 2026 ist der nächste und mit Abstand schwerste Schritt: Ab diesem Datum sind die Artikel 8 bis 15 der Verordnung in vollem Umfang durchsetzbar. Sie regeln Risikomanagement, technische Dokumentation, Protokollierung und menschliche Aufsicht für sogenannte Hochrisiko-KI-Systeme.
Was viele Berufsträger unterschätzen: Die Pflichten richten sich nicht nur an die Hersteller der Modelle, sondern auch an die Unternehmen, die sie einsetzen. Sobald eine Kanzlei einen KI-Agenten in ihre Mandantenprozesse integriert, wird sie aus regulatorischer Sicht zum Betreiber eines KI-Systems – mit allen damit verbundenen Dokumentations- und Aufsichtspflichten.
Wer betroffen ist – und in welcher Risikoklasse
Die Verordnung klassifiziert KI-Systeme nicht nach Technologie, sondern nach Anwendungsfall und Auswirkungen. Für Kanzleien und Steuerberatungen ergeben sich daraus zwei Pflichtkreise, die häufig verwechselt werden. Der Fachverlag Haufe stellt klar: Klassische Bürowerkzeuge wie Chatbots, generative Textmodelle oder Extraktionssoftware werden in der Regel als Niedrigrisiko-Systeme eingestuft. Für sie greifen ab dem 2. August 2026 vor allem die Transparenz- und Kennzeichnungspflichten aus Artikel 50 der Verordnung – KI-generierte Texte, Bilder, Audio- und Videoinhalte müssen entsprechend markiert werden. Eine Erleichterung gilt dort, wo Inhalte vor der Verwendung von einem Menschen redaktionell überprüft wurden; in diesem Fall entfällt die Kennzeichnungspflicht.
Anders verhält es sich, sobald ein KI-System in einen der acht Hochrisiko-Bereiche aus Anhang III fällt. Für die Beraterbranche besonders relevant ist Punkt 8(a): Erfasst sind Systeme, die dazu bestimmt sind, „eine Justizbehörde bei der Recherche und Auslegung von Sachverhalten und Rechtsvorschriften und bei der Anwendung des Rechts auf einen konkreten Sachverhalt zu unterstützen“ oder in der alternativen Streitbeilegung vergleichbar eingesetzt werden. Auch Punkt 5(b) – Bonitätsprüfung natürlicher Personen – kann greifen, wenn ein Agent automatisiert die Kreditwürdigkeit von Mandanten oder ihren Geschäftspartnern bewertet.
„Aufgrund ihrer hochautonomen, zielgesteuerten Natur weisen agentische KI-Systeme von vornherein ein erhöhtes Risikoprofil auf.“
— CMS Law, Analyse „Agentic AI, Risk and Compliance Under the EU AI Act“
Die internationale Wirtschaftskanzlei CMS warnt in ihrer Analyse ausdrücklich, dass die Autonomie agentischer Systeme die Einhaltung von Transparenz- und Aufsichtspflichten besonders erschwert. Sobald ein Agent eigenständig Mandantenakten durchsucht, Fristen kalkuliert und Schriftsätze vorbereitet, verschiebt sich die Bewertung schnell – spätestens dann, wenn er für Justiz- oder Behördenkontexte mitgenutzt wird. Genau diese Schwelle haben viele Häuser im vergangenen Jahr unbemerkt überschritten.
Die vier Säulen, an denen Compliance hängt
Wer Hochrisiko-KI im Sinne der Verordnung betreibt, muss vier konkrete Pflichten erfüllen. Sie wirken auf den ersten Blick technisch – in der Praxis verändern sie die Architektur jedes ernsthaft eingesetzten KI-Agenten.
| Rechtsgrundlage | Pflicht | Worauf es ankommt |
| Artikel 9 | Kontinuierliches Risikomanagement | Fortlaufendes, iteratives Verfahren über den gesamten Lebenszyklus, einschließlich vernünftigerweise vorhersehbarer Fehlanwendungen. |
| Artikel 11 + Anhang IV | Technische Dokumentation | Vollständige Akte vor Inbetriebnahme: Beschreibung, Trainingsdaten, Designentscheidungen, Validierung, Metriken zu Genauigkeit und Robustheit. |
| Artikel 12 | Automatische Protokollierung | Revisionssichere Aufzeichnung von Ereignissen über die Lebensdauer des Systems – mehr als die üblichen Debug-Logs heutiger Frameworks. |
| Artikel 14 | Wirksame menschliche Aufsicht | Natürliche Personen müssen das System verstehen, seine Grenzen kennen und es jederzeit anhalten können – ein Zielkonflikt mit hoher Autonomie. |
Insbesondere die Protokollierungspflicht aus Artikel 12 hat es in sich. Übliche Debug-Logs heutiger Agenten-Frameworks – etwa von LangChain, CrewAI oder dem Microsoft Agent Framework – wurden für Entwickler gebaut, nicht für Aufsichtsbehörden. Gefragt ist ein revisionssicherer, langfristiger Audit-Trail, der jede Entscheidung des Agenten nachvollziehbar macht. Wer das nicht von Beginn an in die Architektur einbaut, baut zweimal.
Bundesnetzagentur, KI-MIG und der deutsche Sonderweg
Während Brüssel den Rahmen vorgibt, definiert Berlin die Zuständigkeiten. Bereits im Juli 2025 hat die Bundesnetzagentur ihren KI-Service Desk eröffnet – die zentrale Anlaufstelle für Unternehmen, die Klarheit über ihre Pflichten suchen. Bundesdigitalminister Karsten Wildberger stellte das Angebot auf einer KI-Konferenz in Frankfurt vor; im Mittelpunkt steht der KI-Compliance Kompass, ein interaktives Werkzeug, mit dem sich in wenigen Schritten prüfen lässt, ob ein vorhandenes System unter die Verordnung fällt und in welche Risikoklasse es einzuordnen ist.
Den entscheidenden ordnungspolitischen Schritt unternahm die Bundesregierung am 11. Februar 2026. An diesem Tag billigte das Bundeskabinett das KI-Marktüberwachungs- und Innovationsförderungsgesetz, kurz KI-MIG. Es überträgt der Bundesnetzagentur die Rolle der zentralen Marktüberwachungsbehörde für sämtliche KI-Systeme, die nicht bereits einer spezialgesetzlichen Aufsicht unterliegen. Für Kanzleien bedeutet das: Sie haben einen konkreten Ansprechpartner – und im Ernstfall einen konkreten Prüfer.
Was die Branche selbst sagt
Die Berufsverbände der deutschen Steuerberatung haben das Thema nicht den IT-Beratern überlassen. Der Deutsche Steuerberaterverband (DStV) veröffentlichte gemeinsam mit dem Digitalisierungsexperten Ahmed Mowafek das Whitepaper „KI-Agenten – Die nächste Evolutionsstufe der Kanzleiautomatisierung?“. Der Verband zieht darin eine deutliche Grenze zwischen klassischen, reaktiv arbeitenden KI-Assistenten, die auf konkrete Eingaben reagieren, und einer neuen Generation autonomer KI-Agenten, die eigenständig Aufgaben planen, Werkzeuge nutzen und Entscheidungen innerhalb definierter Leitplanken treffen.
Bemerkenswert ist die Tonlage: Der konservativste Berufsstand der Republik bezeichnet KI-Agenten als „Evolutionsstufe“ – ein Wort, das im Vokabular eines Berufsverbands nahe an einer Empfehlung liegt. Der begleitende Leitfaden enthält einen Selbstcheck zur Standortbestimmung, eine Tool-Landkarte mit konkreten Anbietern wie Dr. Mailo, Candis und Finmatics sowie ein 90-Tage-Pilotmodell. Der DStV verweist zudem auf Prognosen des Weltwirtschaftsforums, wonach bis zum Jahr 2030 ein erheblicher Teil der typischen Bürotätigkeiten von handlungsfähiger KI übernommen werden könnte – ein Effizienzhebel, den keine Kanzlei ignorieren sollte.
Was ein spezialisierter Automatisierungspartner leisten kann
Die vier Compliance-Säulen lassen sich in keiner Kanzlei nebenbei erfüllen. Sie verlangen eine Kombination aus juristischem Sachverstand, regulatorischer Erfahrung und der Fähigkeit, KI-Systeme bereits in der Architektur revisionssicher zu bauen. Genau an dieser Schnittstelle entsteht der Bedarf nach spezialisierten Automatisierungspartnern – Anbietern, die seit Jahren Hochrisiko-Prozesse in regulierten Branchen automatisieren und dabei etablierte Plattformen wie Microsoft und UiPath mit eigenständigen Compliance-Konzepten verbinden.
VIER LEISTUNGEN, DIE DEN UNTERSCHIED MACHEN
Inventarisieren und klassifizieren. Strukturiertes Audit aller eingesetzten KI-Werkzeuge – einschließlich der Schatten-IT, in der Mitarbeitende Mandantendaten in öffentliche Modelle kopieren. Jedes System wird gegen Anhang III und Artikel 50 geprüft und einer Risikoklasse zugeordnet.
Compliance-by-Design bauen. Audit-Trails, Human-in-the-Loop-Schnittstellen, Eskalationswege und Protokollierung entstehen als Teil der Architektur – nicht als nachträglicher Aufsatz auf Frameworks, die für Entwickler gedacht waren.
Plattformen sauber auswählen. Microsoft, UiPath und Spezialanbieter unterscheiden sich erheblich in ihrer regulatorischen Reife. Ein erfahrener Partner matcht die Stärken der Plattformen zu konkreten Anwendungsfällen – herstellerunabhängig statt verkäuferisch.
Befähigen statt binden. Am Ende stehen ein laufendes System, geschulte Mitarbeiter, dokumentierte Prozesse und ein klarer Verantwortungsplan. Die Kanzlei kann den Betrieb aufsichtsbehördlich vertreten – ohne dauerhafte Abhängigkeit von externer Beratung.
Lunatec hat in den vergangenen Monaten und Jahren Expertise entwickelt, das sich speziell an Kanzleien und Steuerberatungen richtet. Es kombiniert die regulatorische Logik der KI-Verordnung mit der Implementierungspraxis agentischer Systeme – von der ersten Standortbestimmung bis zum laufenden Audit-Trail. Wer nicht selbst Architektur, Recht und Plattformwissen vereinen kann, gewinnt damit den entscheidenden Vorsprung gegenüber Häusern, die den 2. August 2026 mit Eigenmitteln zu nehmen versuchen.
Was jetzt zu tun ist
Die viereinhalb verbleibenden Monate bis zum Stichtag reichen aus – vorausgesetzt, die Vorbereitung beginnt unverzüglich. Drei Schritte haben sich in der Praxis als belastbar erwiesen.
DREI SCHRITTE BIS ZUM 2. AUGUST 2026
1. Inventarisieren. Vollständige Bestandsaufnahme aller eingesetzten KI-Anwendungen – einschließlich der Schatten-IT, in der Mitarbeitende Mandantendaten in öffentliche Modelle kopieren.
2. Klassifizieren. Jedes System mit dem KI-Compliance Kompass der Bundesnetzagentur prüfen und Risikoklasse dokumentieren.
3. Operationalisieren. Für jedes Hochrisiko-System die vier Compliance-Säulen ausplanen, Verantwortliche benennen und einen revisionssicheren Audit-Trail einrichten.
Wer diese Vorbereitung in den nächsten Wochen ernsthaft beginnt, kann den 2. August 2026 als das nehmen, was er sein sollte: ein Stichtag, kein Schicksalstag. Wer wartet, riskiert mehr als ein Bußgeld. Er riskiert das Vertrauen seiner Mandanten in die Verlässlichkeit eines Berufsstandes, der traditionell genau dafür steht.
ÜBER LUNATEC
Lunatec mit Sitz in Frankfurt am Main begleitet unter anderem Kanzleien und Steuerberatungen bei der Einführung agentischer Automatisierung. Als UiPath Diamond Partner und Microsoft Partner verbinden wir technische Umsetzung mit regulatorischem Verständnis – damit aus dem Stichtag 2. August 2026 ein Stichtag wird und kein Schicksalstag.
lunatec.de · Frankfurt am Main · Shape the Automated World