Liebe Leser:innen,
herzlich willkommen zur aktuellen Ausgabe unseres Newsletters, in dem wir Euch einen umfassenden Überblick über die jüngsten Entwicklungen an der Schnittstelle von Recht und Technik geben.
In dieser Woche blicken wir mal wieder nach Brüssel, wo die Umsetzungsfristen für Hochrisiko-KI im Rahmen des AI Acts aufgrund fehlender technischer Standards nach hinten verschoben wurden. Unternehmen sollten die Fristverlängerung jedoch nicht als Aufschub missverstehen.
Auch für die deutsche Verwaltung bleibt das Thema KI und Digitalisierung aktuell: Das BMDS hat einen Agentic AI Hub gestartet, um autonome KI-Agenten in deutschen Kommunen zu testen.
Und dass Technik nicht nur Chancen, sondern auch Risiken birgt, zeigt eine Analyse des Chaos Computer Clubs (CCC), der erhebliche Sicherheitslücken bei RA-MICRO aufgedeckt hat.
Zudem empfehlen wir die Lektüre des Updates zum “Hamburger Protokoll”. Die neue KI-Edition liefert spannende Impulse dazu, wie sich die juristische Ausbildung weiterentwickeln muss, um besser auf den Einsatz von KI in der realen Arbeitswelt vorzubereiten.
Wir wünschen euch viel Freude beim Lesen und freuen uns über Feedback an radar@recode.law!
Euer recode.law-Team
Redaktion: Felix, Florian, Marco, Patrick, und Veronika.
AI Act im Wandel
Brüssel verlängert Umsetzungsfristen für Hochrisikosysteme
Der AI Act der EU wurde für Hochrisikosysteme vorerst verschoben. Grund dafür ist das Fehlen technischer Standards, die Unternehmen als Orientierung dienen sollen. Unter Hochrisikosysteme fallen unter anderem Biometrie, Bildung, Strafverfolgung sowie allgemein kritische Infrastruktur. Für diese Systeme gilt nun nicht mehr der August 2026 als Stichtag, sondern je nach Kategorie Dezember 2027 bzw. August 2028.
Die Verschiebung ist ein Zeichen für die enorme Komplexität, die KI-Systeme mit sich bringen — sie eröffnet aber auch neue Chancen. So möchte das Parlament den Schutz von Persönlichkeitsrechten stärken und plant ein Verbot sogenannter „Nudifier”-Apps. Diese Apps waren zuletzt in den Fokus geraten, weil sie es ermöglichen, von Personen realistische, sexuell explizite Nacktbilder ohne deren Einwilligung zu erstellen.
Unternehmen sollten die Fristverlängerung dennoch nicht als Aufschub missverstehen: Bei Nichteinhaltung drohen empfindliche Strafen. Einen ersten Orientierungsrahmen bietet die ISO/IEC 42001. Gerade für international tätige Unternehmen ist das von Vorteil, da weltweit kein einheitlicher Regulierungsrahmen besteht und verschiedene Ansätze nebeneinander existieren.
Abschließend lässt sich sagen, dass die Überarbeitung des AI Acts grundsätzlich zu begrüßen ist. Angesichts der Sensibilität der Materie und der Einzigartigkeit dieses Vorhabens kommt der Regulierung ein besonderes Gewicht zu. Umso wichtiger ist es, dass Leitlinien frühzeitig entwickelt werden — damit Unternehmen ausreichend Zeit für eine ordentliche Compliance-Umsetzung haben.
KI in der Verwaltung
Agentic AI Hub startet Pilotprojekt in deutschen Kommunen
Das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) hat mit einer Kick-Off-Veranstaltung im März 2026 den Startschuss für 18 Pilotprojekte gegeben, bei denen autonome KI-Agenten erstmals in deutschen Kommunalverwaltungen eingesetzt werden. Das Ziel ist klar umrissen: KI soll nicht mehr nur Text vorformulieren oder Suchanfragen beschleunigen, sondern eigenständig handeln. Anträge sollen auf Vollständigkeit geprüft werden, fehlende Dokumente nachgefordert werden und Entscheidungsvorschläge an Sachbearbeiter:innen liefern.
Der Ausgangspunkt ist bekannt. Kommunalverwaltungen kämpfen mit Personalknappheit, langen Bearbeitungszeiten und einer heterogenen IT-Infrastruktur. Auf den Bewerbungsaufruf des BMDS meldeten sich rund 400 Startups und knapp 200 Kommunen, ein Signal dafür, dass der politische Wille zur Digitalisierung auf Nachfrage trifft. Ausgewählt wurden schließlich 17 Kommunen unterschiedlicher Größe und 10 Startups, die gemeinsam Lösungen für fünf Einsatzfelder entwickeln: von der Bürgerinteraktion über interne Prozessunterstützung bis hin zum Aufbau agentischer KI-Infrastruktur.
Die Anwendungsfälle sind bewusst nah am Verwaltungsalltag gewählt. Das Startup formfix etwa unterstützt Köln und Berlin bei der Antragstellung auf Hilfe zur Pflege; forml automatisiert die Vollständigkeitsprüfung beim Wohnberechtigungsschein in Frankfurt und Düsseldorf; Celonis soll in München das Einbürgerungsverfahren beschleunigen. Summ AI wiederum modelliert Verwaltungsprozesse per Sprachaufnahme und hilft so, versteckte Einsparpotenziale sichtbar zu machen.
So überzeugend die Praxis klingt, so deutlich zeigen sich die rechtlichen Stellschrauben. Denn sobald KI-Agenten nicht mehr nur assistieren, sondern Entscheidungsvorschläge mit unmittelbarer Rechtswirkung für Bürger:innen vorbereiten, etwa beim Wohngeld, der Einbürgerung oder der Pflegehilfe, greifen sowohl der AI Act als auch die DSGVO. Anwendungssysteme, die Entscheidungen mit Wirkung auf den Zugang zu öffentlichen Leistungen oder Rechten vorbereiten, werden in der Regel als Hochrisiko-KI eingestuft (Art. 6 Abs. 2 i.V.m. Anhang III Nr. 5 lit. a AI Act). Das zieht strenge Anforderungen nach sich: menschliche Aufsicht (Art. 14 AI Act), Transparenz gegenüber Betroffenen und erhöhte Dokumentationspflichten für die Betreiber (Art. 26 AI Act). Parallel dazu ist Art. 22 DSGVO zu beachten, der automatisierten Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung grundsätzlich Grenzen setzt, sofern keine der dort geregelten Ausnahmen greift.
Das BMDS betont, dass alle Pilotprojekte auf Wirksamkeit und Skalierbarkeit hin evaluiert werden. Die Ergebnisse sollen dann, soweit übertragbar, bundesweit ausgerollt werden.
Das Modell ist vielversprechend: Ein zentraler „Maschinenraum” übersetzt bürokratische Probleme in technische Prototypen, testet sie unter realen Bedingungen und skaliert, was funktioniert. Ob dabei in drei Monaten tatsächlich praxistaugliche Lösungen entstehen, die auch dem regulatorischen Anforderungsprofil des AI Acts standhalten, wird die eigentliche Bewährungsprobe sein.
Sicherheitslücken bei RA-MICRO
CCC entdeckt IT-Schwachstellen beim Marktführer
Der Chaos Computer Club (CCC) hat im Rahmen einer Sicherheitsanalyse von Legal-Tech-Anbietern erhebliche Schwachstellen in der Kanzleisoftware RA-MICRO Essentials aufgedeckt, die den Zugriff auf hochsensible Daten ermöglichten.
Das Einfallstor bestand aus einem Bündel verschiedener Sicherheitsprobleme, darunter der Einsatz eines seit Jahren veralteten und als unsicher eingestuften Verschlüsselungsverfahrens sowie Datenlecks in frei zugänglichen Dateien. So war etwa der Zugriff auf vollständige Backup-Archive möglich.
Zu den einsehbaren Daten gehören Mandantennamen und -adressen, Verfahren, interne Aktenvermerke, Gutachten und Schriftwechsel sowie beA-Zugangsdaten. Einige Monate später gelang dem CCC zudem der Zugriff auf RA-MICRO-Passwörter, das Anlegen von Administrator-Accounts und der Versand von E-Mails im Namen von RA-MICRO.
Möglicherweise liegt in diesen Schwachstellen sogar ein Rechtsverstoß, etwa gegen Art. 32 DSGVO oder § 43a Abs. 2 BRAO und § 2 BORA. Laut Spiegel hat die Berliner Datenschutzbeauftragte RA-MICRO bereits im November verwarnt, weil das Unternehmen Verantwortliche nicht unverzüglich über die Verletzung des Schutzes personenbezogener Daten bei einer der Lücken informiert habe. Da RA-MICRO die dafür nötigen Informationen nicht weitergegeben hat, konnten betroffene Kanzleien ihrer Meldepflicht nach Art. 33 DSGVO nicht nachkommen.
Der CCC meldete die Schwachstellen im Mai und August 2025 an RA-MICRO, das sie nach eigener Auskunft seitdem behoben hat. Bereits in der Vergangenheit hatte der CCC Sicherheitslücken bei Legal-Tech-Plattformen wie myRight, EUflight und advocado aufgedeckt.
Lese-Tipp
Update zum Hamburger Protokoll
2024 forderte das „Hamburger Protokoll” erstmals eine strukturelle Reform des Jurastudiums — weniger Stoff, neue Prüfungsformate, mehr Praxisnähe. Recode.law wirkte am Workshop der Bucerius Law School und der Fakultät für Rechtswissenschaft der Universität Hamburg mit, der die Grundlage für das Protokoll legte. Die im März veröffentlichte „KI-Edition” von Prof. Dr. Tabea Bauermeister (Universität Regensburg), Prof. Dr. Michael Grünberger (Bucerius Law School) und Prof. Dr. Paulina Jo Pesch (Universität Erlangen-Nürnberg) fragt nun: Wie muss sich die juristische Ausbildung, die die reale Arbeitswelt zunehmend schlechter abbildet, angesichts von KI weiterentwickeln?
Das Papier entwickelt dabei ein dreistufiges Kompetenzprofil: Juristische Kernkompetenzen, reflexive Technologiekompetenz und kommunikative Fähigkeiten. Daneben diskutiert es das Risiko des „Deskilling”, also die Gefahr, dass eine unreflektierte Nutzung von KI-Systemen grundlegende analytische Fähigkeiten zurückdrängt. Das Protokoll plädiert daher nicht für einen KI-Ausschluss aus dem Studium, sondern für einen strukturierten, kritisch-reflektierten Umgang und insbesondere neue Lehr- und Prüfungsformate.
Das Papier ist bewusst als offene Diskussionsgrundlage angelegt und daher unsere jüngste Leseempfehlung.
Podcast-Tipp
„Legal Market Economics”-Studie
Die Studie „Legal Market Economics” des Bucerius Legal Innovation Hub analysiert die strukturellen Umbrüche im deutschen Rechtsmarkt. Die Autoren belegen ein wachsendes „Leistungsgap”: Die Einzelnormen im Bundesrecht sind seit 2010 um über 22 % gestiegen, während der juristische Nachwuchs rückläufig ist und ein großer Teil der heutigen Anwaltschaft innerhalb der nächsten 15 Jahre das Ruhestandsalter erreichen wird. Rein quantitative Ansätze zur Personalgewinnung reichen nicht aus – stattdessen rücken Arbeitsteilung durch interdisziplinäre „Legal Connectors” und der strategische KI-Einsatz in den Fokus. Dabei entscheidet die Organisationsgröße maßgeblich, wer profitiert. Zugleich fühlen sich fast alle befragten Studierenden unzureichend auf den Umgang mit KI vorbereitet. Die Studie ist Bestandsaufnahme und Impulsgeber zugleich – eine empfehlenswerte Lektüre für alle, die die Zukunft des deutschen Rechtsmarktes verstehen möchten.
Veranstaltungs-Tipp
Hamburg Legal Hackathon 2026
Vom 12. bis 14. Juni 2026 findet an der Bucerius Law School in Hamburg der 2. Hamburg Legal Hackathon statt. Gemeinsam mit der Law School und built e.V. bringen wir Talente aus den Bereichen Recht, Technologie und Design zusammen, um innerhalb von drei Tagen innovative Lösungen für die Rechtsbranche zu entwickeln. Das Format bietet die Chance, theoretische Konzepte in interdisziplinären Teams unmittelbar in die Praxis umzusetzen.
Die diesjährige Leit-Challenge „(Legal) AI Buddies“ konzentriert sich auf intelligente Assistenzsysteme für die juristische Arbeit. Im Fokus steht dabei die Frage, wie generative Modelle und spezialisierte Softwarelösungen Fachkräfte bei komplexen Recherche- oder Entwurfsaufgaben entlasten und Prozesse beschleunigen können.
Während der gesamten Entwicklungsphase stehen euch erfahrene Mentoren zur Seite, bevor die Projekte abschließend vor einer Fachjury präsentiert werden. Für die besten Konzepte ist ein Preisgeld von insgesamt 4.000 € ausgelobt.
Die Teilnahme ist kostenlos und richtet sich an alle, die Lust auf die Gestaltung von Legal Tech haben – egal welcher Fachrichtung. Für die Verpflegung während des Wochenendes ist gesorgt, und für externe Teilnehmende steht eine Bettenbörse zur Vermittlung von Unterkünften bereit.
Hier geht es direkt zur Anmeldung.
Veranstaltungs-Tipp
legalXchange in München
Vom 28. bis 30. April 2026 findet in der BMW Welt in München die legalXchange statt, ein Fachkongress mit begleitender Messe zur digitalen Transformation des Rechtsmarkts. Das Format dient dem Austausch zwischen Praxis, Justiz, Wissenschaft und IT-Wirtschaft über technologische Entwicklungen und neue Geschäftsmodelle. Das Programm umfasst Masterclasses, Keynotes und interaktive Breakout-Sessions zu aktuellen Branchentrends. In einer dedizierten Startup-Area stellen junge Unternehmen zudem innovative Softwarelösungen für die juristische Arbeit vor. Ergänzt wird die Veranstaltung durch eine Career Lounge, die der Vernetzung von Talenten und Arbeitgebern im Legal-Tech-Sektor gewidmet ist.
Weitere Informationen zum Programm und den Teilnahmebedingungen sind auf der Website der legalXchange verfügbar.
