Die eine Souveränitätsfrage, die sich jede Kanzlei stellen sollte

Die meisten Gespräche über Legal AI drehen sich nach wie vor um Leistungsfähigkeit: Welches Tool fasst Verträge besser zusammen, welches Modell bewältigt Due Diligence schneller? Das sind berechtigte Fragen, und für Praktiker, die eigenständige Kanzleien aufbauen – oft in Spezialgebieten, in denen KI den Abstand zwischen einem schlanken Team und einem großen tatsächlich überbrücken kann – sind sie von erheblicher Bedeutung. Für Kanzleien und Unternehmensjurist:innen, die unter EU-Recht operieren, gibt es jedoch eine grundlegendere Frage, die ebenso viel Aufmerksamkeit verdient:

Wer kontrolliert die Infrastruktur, auf der Ihre KI läuft, und welcher Rechtsrahmen regelt sie?

Das ist keine theoretische Sorge. Der EU AI Act (Verordnung 2024/1689) ist in Kraft und wird schrittweise angewendet, wobei die vollständigen Pflichten für risikoreiche Anwendungsfälle 2026 greifen – eine Kategorie, die je nach Einsatzkontext auch Werkzeuge für juristische Tätigkeiten wie Dokumentenprüfung und Vertragsanalyse umfassen kann. Gleichzeitig gilt die DSGVO für jede Anfrage, jedes Ergebnis und jeden Stück Mandantendaten, das von diesen Systemen verarbeitet wird. Das Zusammenspiel dieser beiden Regelwerke ist nicht immer eindeutig, und die meisten Anbieter haben es nicht leicht gemacht, dies zu beurteilen.

Was „Souveränität" in der Praxis bedeutet
Der Begriff wird zu ungenau verwendet. Für Rechtspraktiker muss er präzise sein. Echte Datensouveränität erfordert mehr als EU-Datenspeicherung. Sie erfordert, dass die juristische Person, die die Infrastruktur betreibt, selbst europäischem Recht unterliegt und der Zugriff durch Behörden außerhalb der EU nur über etablierte Rechtshilfeverfahren erfolgen kann. Wenn das Mutterunternehmen eines KI-Anbieters seinen Sitz in einem Rechtsraum mit extraterritorialen Datenzugriffsgesetzen hat (wie etwa dem US CLOUD Act), können EU-gehostete Daten trotzdem widerstreitenden Rechtsverpflichtungen ausgesetzt sein, die vollständig außerhalb der Kontrolle des Praktikers liegen.

Für Kanzleien und Rechtsabteilungen ist dies aus drei konkreten Gründen relevant:

• Mandantenvertraulichkeit: Privilegierte Daten, die durch Infrastruktur mit konkurrierenden Jurisdiktionsansprüchen fließen, erzeugen ein Risikoprofil, für das die meisten Mandatsvereinbarungen nicht ausgelegt wurden.
• Regulatorische Prüfbarkeit: Artikel 10 und 12 des EU AI Act verlangen vollständige, unveränderliche Protokolle der KI-Systemaktivität. Wenn Ihr Anbieter dies auf Infrastrukturebene nicht nachweisen kann, tragen Sie die Haftung für den Einsatz eines nicht konformen Tools.
• Aufsichtspflicht: Der Einsatz von KI-Werkzeugen ohne klare Richtlinien, Schulungen und Kontrollmechanismen – sowohl für Anwälte als auch für Hilfspersonal – ist zunehmend eine berufsrechtliche Frage, nicht nur eine IT-Frage.

Unabhängige Rechtspraktiker, insbesondere solche, die Mandanten in stark regulierten Sektoren betreuen, stehen vor einer besonderen Dynamik. Ihre Mandanten kommen oft mit ausgeprägten Erwartungen an Cybersicherheit, Datenverarbeitung und Anbieter-Governance. Sie werden Fragen stellen. Sie haben möglicherweise eigene Informationssicherheitsanforderungen, die sich in die Mandatsbedingungen fortsetzen.

Ein Praktiker, der seine KI-Infrastruktur durchdacht hat – der erklären kann, wo Daten verarbeitet werden, unter welchem Rechtsrahmen und wie sein Notfallplan aussieht, wenn sich eine Anbieterbeziehung ändert – befindet sich in einer grundlegend anderen Position als jemand, der das nicht kann. Das ist nicht nur eine Compliance-Geschichte. Es ist eine Geschichte über Mandantenvertrauen.

Es ist auch angebracht, bei der Risikoabwägung nüchtern zu sein. Für die meisten eigenständigen Kanzleien liegt die unmittelbarere Souveränitätsfrage nicht allein in einem Datenzugriffsszenario. Es geht auch um Verfügbarkeit. Was passiert, wenn ein Anbieter seine Bedingungen ändert, seine EU-Aktivitäten umstrukturiert oder aufgrund einer kommerziellen oder regulatorischen Entscheidung in einer anderen Jurisdiktion nicht mehr erreichbar ist? Das ist ein konkretes operatives Risiko – aber eines, das sich durch Planung abfedern lässt.

Die entscheidende Architekturentscheidung
Die Kanzleien und Rechtsabteilungen, die die belastbarsten Entscheidungen treffen, wählen nicht unbedingt das „beste" Modell. Sie bauen von Anfang an mit Prüfbarkeit und Portabilität als Designprinzipien – mithilfe von Abstraktionsschichten, die es ihnen ermöglichen, Modelle oder Anbieter zu wechseln, wenn sich das regulatorische und wettbewerbliche Umfeld verschiebt, anstatt an ein einzelnes Ökosystem gebunden zu sein, dessen Compliance-Haltung sie nicht vollständig prüfen oder kontrollieren können.

Die digitale Souveränitätsagenda der EU – bestehend aus dem AI Act, der DSGVO, dem Data Governance Act und dem Data Act – ist kein Flickenteppich isolierter Regeln. Zusammen bilden diese Instrumente eine kohärente Regulierungsarchitektur, die darauf ausgelegt ist, KI von der Infrastrukturebene aufwärts zu regeln. Die KI-Strategie einer Kanzlei muss mit Blick auf diese Architektur konzipiert werden – nicht nachträglich daran angepasst, wenn der Einsatz bereits läuft. Für Praktiker, die eigenständige Kanzleien von Grund auf aufbauen, ist es erheblich einfacher, es von Anfang an richtig zu machen, als es später zu korrigieren. Wer das tut, schafft sich einen echten Wettbewerbsvorteil, wenn Mandanten in regulierten Sektoren beginnen, die richtigen Fragen zu stellen.

1. Drei praktische Fragen, die es jetzt zu beantworten gilt
   Kann Ihr aktueller KI-Anbieter nachweisen, dass Inferenz und Datenverarbeitung vollständig innerhalb EU-souveräner Infrastruktur stattfinden – nicht nur in EU-Rechenzentren, sondern unter einer juristischen Person, die europäischem Recht unterliegt und frei von konkurrierenden Jurisdiktionsverpflichtungen ist?
2. Haben Sie eine dokumentierte Risikoklassifikation für jeden KI-Anwendungsfall in Ihrer Kanzlei, wie es die abgestuften Pflichten des EU AI Act erfordern?
3. Wenn Ihr primärer KI-Anbieter morgen seine Bedingungen, Preise oder Compliance-Haltung ändern würde – wie schnell könnte Ihr Team migrieren?

Die Kanzleien, die in drei Jahren gut aufgestellt sein werden, sind jene, die KI-Governance als strategische Disziplin und nicht als einmalige Beschaffungsentscheidung behandeln. Für diejenigen, die heute eigenständige Kanzleien aufbauen, lohnt es sich, dieses Fundament früh zu legen – und das ist einer der Bereiche, in denen die Zusammenarbeit mit Menschen, die das bereits getan haben, einen wesentlichen Unterschied macht.