Der Stichtag 2. August 2026, den Luxemburger Kanzleien nicht länger verschieben können

Für Luxemburger Kanzleien, ihre Inhouse-Teams und das umliegende professionelle Dienstleistungs-Ökosystem ist die Frage nun beantwortet, ob die KI-Verordnung der EU stillschweigend verschoben werden würde. Am 28. April 2026 endete der zweite politische Trilog zum Digital Omnibus zur KI-Verordnung der Europäischen Kommission — der die Hochrisiko-Compliance vom August 2026 auf Dezember 2027 verschoben hätte — ohne Einigung. Sofern keine Adoption vor dem 2. August 2026 erfolgt, gilt der ursprüngliche Zeitplan einschließlich der Hochrisiko-Verpflichtungen wie geschrieben.

Das verändert die Planungslage jeder Kanzlei, die in den vergangenen achtzehn Monaten KI-Tools pilotiert hat — und jeder CSSF-beaufsichtigten Adresse, deren KI-Einsatz in die Anhang-III-Kategorien fällt. Das Karenzfenster gegenüber dem Vollzugsrisiko ist vorerst geschlossen.

Was der 2. August 2026 wirklich auslöst

Ab diesem Datum müssen die Betreiber von Hochrisiko-KI-Systemen, die im EU-Markt platziert sind, das volle Pflichtenkapitel erfüllen: Qualitätsmanagementsystem, technische Dokumentation, Konformitätsbewertung, CE-Kennzeichnung, Eintragung in die EU-Datenbank, Marktüberwachung nach Inverkehrbringen und — entscheidend für die anwaltliche Praxis — wirksame menschliche Aufsicht. Die sektorale Anwendung der Hochrisiko-Pflichten auf den Finanzsektor greift am selben Tag.

Für Anwältinnen und Anwälte ist die relevanteste Anhang-III-Kategorie die der „KI-Systeme, die von einer Justizbehörde oder in ihrem Auftrag eingesetzt werden, um eine Justizbehörde bei der Recherche und Auslegung von Tatsachen und Recht zu unterstützen". Sie erfasst bestimmte Dokumentenanalyse- und Urteilsvorhersagewerkzeuge in justiznahen Funktionen — auch Einsätze externer Berater im Auftrag von Gerichten oder öffentlichen Mandanten. Standard-Vertragsanalyse, eDiscovery oder Backoffice-Automatisierung sind davon nicht ohne Weiteres erfasst.

Die Grauzonen liegen am Rand. KI im Zugang zu wesentlichen Diensten, in der Bonitätsbewertung, in Beschäftigungsentscheidungen oder zur Strafverfolgungsunterstützung fällt unter Anhang III. Wer Banken, Versicherer, Arbeitgeber und Behörden berät, wird KI-Konformitätspakete künftig parallel zur klassischen Vertragsdokumentation austauschen.

Wie Luxemburg die Aufsichtsseite verdrahtet hat

Der luxemburgische Umsetzungsentwurf Bill 8476 — im Dezember 2024 in die Abgeordnetenkammer eingebracht — sieht eine mehrgliedrige Aufsichtsarchitektur statt eines einzelnen KI-Superregulators vor:

• CSSF für KI-Systeme im Finanzdienstleistungsbereich.
• Commissariat aux Assurances (CAA) für versicherungsbezogene KI-Systeme.
• Autorité luxembourgeoise indépendante de l'audiovisuel (ALIA) für Transparenz- und audiovisuelle Aspekte.
• Commission nationale pour la protection des données (CNPD) für die Schnittstelle zum Datenschutz, einschließlich biometrischer und Emotionserkennungssysteme.

Die Struktur spiegelt das bestehende sektorale Aufsichtsbild. Für multinationale Adressen verlaufen KI-Konformitätsdossiers damit über vertraute regulatorische Kanäle statt über eine neue zentrale Anlaufstelle — ein einzelnes Hochrisiko-System kann jedoch in mehreren Kanälen gleichzeitig im Fokus stehen.

Das Sanktionsraster

Das Sanktionsregime der KI-Verordnung kennt drei Stufen, kalibriert nach Schwere:

• Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei Verstößen gegen den Katalog verbotener Praktiken (seit 2. Februar 2025 in Kraft).
• Bis zu 15 Millionen Euro oder 3 % des Umsatzes bei Nichteinhaltung der Hochrisiko-Pflichten und sonstiger operativer Bestimmungen.
• Bis zu 7,5 Millionen Euro oder 1 % des Umsatzes bei der Übermittlung unrichtiger oder irreführender Informationen an Behörden.

Nationale Behörden dürfen für KMU und Start-ups niedrigere Bußgelder ansetzen; die Luxemburger Umsetzung wird diesen Spielraum voraussichtlich nutzen.

Die Kanzlei-Checkliste bis August

Gespräche mit General Counsel und Managing Partnern auf dem Platz Luxemburg ergeben fünf konkrete Arbeitspakete:

1. KI-Inventar und Anhang-III-Kartierung. Jedes intern eingesetzte System und jedes System, das die Kanzlei Mandanten empfiehlt, muss klassifiziert werden — verboten, hochrisikoreich, beschränkt riskant oder minimal — mit dokumentierter Begründung.
2. Analyse Anbieter vs. Betreiber. Die meisten Kanzleien sind Betreiber. Wer aber eigene Chatbots oder Workflow-Automatisierungen entwickelt, gleitet in die Anbieterrolle mit deutlich schwererem Pflichtenheft.
3. Aufsichtsdesign für Menschen. Bei Hochrisiko-Anwendungen ist menschliche Aufsicht keine Best Practice mehr — sie ist gesetzliche Pflicht. Kontrollpunkte müssen spezifiziert, geschult und protokolliert werden.
4. Konformitätsdossiers für mandantenseitige Systeme. Wenn eine Kanzlei KI in ein Mandantenprodukt integriert, fallen Konformitätsbewertung, technische Dokumentation und Registrierung auf sie zurück.
5. Lieferantenverträge und Freistellungen. Standardbestellungen reichen nicht mehr. Kanzleien verhandeln die Verteilung von Konformitäts-, Monitoring- und Incident-Pflichten mit ihren KI-Anbietern neu.

Was der gescheiterte Trilog nicht geändert hat

Eine nützliche Klarstellung aus dem 28. April: Selbst wenn der Digital Omnibus später adoptiert würde, gelten die verbotenen Praktiken seit Februar 2025, die Pflichten für general-purpose AI seit August 2025, und der Bußgeldrahmen ist unverändert. Wer den Omnibus-Diskurs als grünes Licht zum Verlangsamen las, arbeitete im Rückblick mit einer zu optimistischen Prämisse.

Die realistische Planungsannahme für das verbleibende zweite Quartal und den Sommer lautet: Der August-2026-Kalender hält. Alles andere ist Aufwärtspotenzial.