Wirtschaftsjurist + Entwickler in einer Person — der Mehrwert für KI-Projekte

Die meisten KI-Projekte scheitern nicht am Modell, sondern an der Naht zwischen Recht und IT: Der Jurist kennt die Pflicht, der Entwickler kennt das Machbare — aber beide sprechen verschiedene Sprachen. Wer beides in einer Person vereint, schließt diese Naht. Das ist der konkrete Mehrwert, um den es hier geht. (Stand: Dezember 2025. Fachliche Aufbereitung, keine Rechtsberatung im Einzelfall.)

Von Leon Lotz, Wirtschaftsjurist & Entwickler.

Das eigentliche Problem: KI scheitert an der Schnittstelle, nicht am Modell

Es ist ein verbreiteter Irrtum, dass KI-Projekte an der Technik scheitern. Die Branchenbefunde zeichnen ein anderes Bild: Eine vielzitierte MIT-Analyse beziffert die Quote gescheiterter KI-Pilotprojekte auf rund 95 % — und die Ursachen liegen überwiegend nicht im Modell, sondern in fehlender Vorbereitung, Datensilos und mangelnder Abstimmung. Eine weitere Auswertung verortet fast die Hälfte der Fehlschläge in der Abstimmung zwischen den Beteiligten, nicht in der Machbarkeit (Materna; IT-BOLTWISE).

Der Kern: Recht und IT arbeiten an einem KI-Projekt mit zwei verschiedenen Vokabularen. Der Jurist formuliert eine Anforderung — „personenbezogene Daten dürfen das Modell nicht trainieren” — und der Entwickler übersetzt sie in Architektur. An jeder dieser Übergaben entsteht ein Übersetzungsverlust: Die rechtliche Pflicht wird zu spät, unvollständig oder schlicht falsch in Code gegossen. Der Entwickler kennt die Pflicht nicht in ihrer Tiefe, der Jurist nicht das technisch Machbare. Genau in dieser Lücke verzögern sich Projekte und entstehen Compliance-Risiken.

Diese Naht ist keine Randerscheinung. Sie ist der teuerste Punkt im Projekt — weil sie sich durch jede Phase zieht, von der Tool-Wahl bis zur Abnahme.

Wie der Markt das löst — und warum das teuer bleibt

Der Markt hat auf das Schnittstellen-Problem eine Antwort gefunden. Sie ist organisatorisch, nie personell: Man stellt mehr Beteiligte an die Naht, statt sie zu entfernen.

Die Kanzlei: berät, baut aber nicht

Kanzleien und Datenschutzberater bewerten KI-Vorhaben rechtlich sauber — zu DSGVO, AI Act, Auftragsverarbeitung. Was sie nicht tun: Software bauen. Ihre Empfehlung verlässt die Kanzlei als Dokument und muss von jemand anderem umgesetzt werden. Die Übersetzung — und ihr Verlust — bleibt bestehen, sie wird nur ausgelagert.

Die Agentur: baut, verantwortet aber kein Recht

KI-Agenturen und Entwicklerteams liefern die Umsetzung. „DSGVO-konform” und „rechtssicher” sind dort oft ein Marketing-Claim, der eine eigene Rechtsbewertung nicht ersetzt. Die juristische Verantwortung trägt am Ende der Kunde — oder seine separat beauftragte Kanzlei. Wieder zwei Lager, wieder eine Naht.

Das interdisziplinäre Team: löst es — mit Koordinations-Overhead

Die anspruchsvollste Marktantwort ist das interdisziplinäre Team mit definierten Rollen, teils einem „AI Compliance Officer”, das Compliance, Datenschutz, IT und Legal zusammenbringt. Das funktioniert — aber es managt die Schnittstelle, statt sie aufzulösen. Jede Abstimmungsrunde kostet Zeit, jede Übergabe ein Stück Klarheit über die Verantwortung. Mittelständische Vorhaben arbeiten dabei nicht selten mit drei bis fünf Dienstleistern parallel, und jede Übergabe kostet Zeit, Geld und eindeutige Zuständigkeit.

Alle drei Modelle sind legitim und für viele Konstellationen richtig. Sie haben nur denselben blinden Fleck: Sie nehmen die Naht als gegeben hin.

Übergaben zwischen Kanzlei, KI-Agentur und Projektteam als Bruchstellen gegenüber durchgehender Verantwortung für Recht und Technik aus einer Hand

Jede Übergabe zwischen Recht und IT ist eine potenzielle Bruchstelle. Aus einer Hand entfällt sie — eine Linie statt vieler Nähte.

Die Alternative: Recht und Technik aus einer Hand

„Aus einer Hand” heißt hier präzise: eine verantwortliche Person für die rechtliche Bewertung und die technische Umsetzung. Nicht zwei Dienstleister mit einem gemeinsamen Kickoff. Nicht ein Team, das sich abstimmt. Eine Person, die die rechtliche Pflicht versteht und denselben Anspruch selbst in Code gießt.

Was das konkret eliminiert:

Keinen Übersetzungsverlust. Die Pflicht muss nicht von der Rechts- in die Tech-Sprache und zurück übersetzt werden — sie wird direkt als technische Entscheidung gedacht.
Keine nachgelagerte Compliance-Reparatur. Datenschutz und Risikoklasse stehen vor dem ersten Datenmodell fest, nicht danach.
Keine Schuldverschiebung. Es gibt keinen Punkt, an dem „das hat die andere Abteilung so gesagt” als Erklärung für eine Lücke taugt.

Das ist kein theoretischer Vorteil. Er zeigt sich genau dort, wo Recht und Technik im Projekt aufeinandertreffen.

Wo sich die Doppelqualifikation konkret auszahlt

In jeder Phase eines KI-Projekts gibt es einen Moment, in dem eine rechtliche Frage eine technische Entscheidung erzwingt. Liegen beide Kompetenzen in einer Person, fällt die Entscheidung sofort und richtig — statt in einer Abstimmungsschleife.

Tool- und Modell-Auswahl: AVV und Drittland, bevor das Tool gewählt ist

Welches KI-Tool darf überhaupt zum Einsatz kommen? Sobald personenbezogene Daten fließen, braucht es einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO), und bei US-Anbietern stellt sich die Drittland-Frage (Kapitel V DSGVO). Diese Frage ist nicht abschließend geklärt: Das EU-Gericht hat den EU-US Data Privacy Framework am 3. September 2025 zwar bestätigt (Rs. T-553/23, Latombe), die Entscheidung ist aber beim EuGH angefochten (Stand: Dezember 2025) (DLA Piper). Wer Recht und Technik zusammendenkt, prüft das vor der Tool-Festlegung — nicht, wenn das Tool schon eingebaut ist.

Architektur und Datenmodell: Privacy by Design im Code

Art. 25 DSGVO verlangt Datenschutz durch Technikgestaltung. Das ist keine Dokumentationsaufgabe, sondern eine Architektur-Entscheidung: Datenminimierung, Trennung, Löschkonzepte gehören ins Datenmodell — beim ersten Entwurf, nicht als Nachrüstung. Genau hier zahlt sich aus, dass dieselbe Person die Pflicht kennt und das Schema schreibt.

Feature-Schnitt: AI-Act-Risikoklasse vorab bestimmen

Bevor ein Feature gebaut wird, sollte klar sein, in welche Risikoklasse der KI-Verordnung es fällt — denn daran hängen Pflichten und ganze Funktionsumfänge. Die KI-Verordnung (VO (EU) 2024/1689) ist seit 1. August 2024 in Kraft und greift gestaffelt: verbotene Praktiken und KI-Kompetenz seit Februar 2025, GPAI-Pflichten seit August 2025, Transparenzpflichten (Art. 50) ab 2. August 2026. Die umfassenden Hochrisiko-Pflichten (Anhang III) sollen durch das im November 2025 vorgestellte „Digital Omnibus”-Paket auf den 2. Dezember 2027 verschoben werden — dieses Paket ist aber noch nicht in Kraft (DataGuard; SRD Rechtsanwälte). Wer die Risikoklasse vor dem Feature-Schnitt klärt, baut nicht an einer Pflicht vorbei. Die konkreten Fristen und Risikoklassen ordne ich gesondert ein: EU AI Act — was Unternehmen jetzt tun müssen.

Nachweis und Abnahme: Dokumentation, DSFA, Werkvertrag

Am Ende stehen Nachweisfähigkeit (ggf. Datenschutz-Folgenabschätzung nach Art. 35 DSGVO), Dokumentation und der Vertrag selbst — Werkvertrag, Nutzungsrechte, Haftung. Wer den Code geschrieben hat und die rechtlichen Anforderungen kennt, dokumentiert auditfest, statt im Nachhinein zu rekonstruieren.

Klassisches Setup vs. aus einer Hand: der Direktvergleich

Kriterium	Kanzlei + Agentur (getrennt)	Interdisziplinäres Team	Aus einer Hand (Jurist + Entwickler)
Verantwortung	geteilt, oft unklar	gebündelt im Team	bei einer Person gebündelt
Übersetzungsverlust Recht ↔ IT	hoch (zwei Lager)	reduziert, aber vorhanden	entfällt
Compliance-Zeitpunkt	meist nachgerüstet	parallel	by Design, von Anfang an
Koordinationsaufwand	hoch	mittel bis hoch	minimal
Klarheit beim Ansprechpartner	mehrere	ein Team	eine Person
Tempo bei Rechtsfragen im Sprint	langsam (Rückfrage extern)	mittel	sofort
Eignung für PII-/Hochrisiko-Projekte	nur mit enger Steuerung	gut	sehr gut

Der Vergleich ist nicht als Abwertung der anderen Modelle gemeint — sie haben ihre Berechtigung. Er zeigt nur, welchen Trade-off man jeweils einkauft.

Ehrliche Grenzen: Wann braucht man das nicht?

Die Personalunion ist kein Allheilmittel, und es wäre unehrlich, sie als solches zu verkaufen.

Sie braucht es nicht zwingend, wenn ein reiner technischer Prototyp ohne jeden Personenbezug gebaut wird, wenn im Unternehmen bereits beide Kompetenzen eng verzahnt vorhanden sind, oder wenn ein sehr großes Vorhaben ein eigenes Legal- und Dev-Team mit eingespielten Prozessen unterhält.

Und eine zweite, ebenso wichtige Grenze: Ein Wirtschaftsjurist ist kein zugelassener Rechtsanwalt. Eine umfassende Rechtsberatung — insbesondere die Vertretung in streitigen Sachen — bleibt Volljuristen mit Anwaltszulassung vorbehalten; das ergibt sich aus dem Rechtsdienstleistungsgesetz (RDG), das unterhalb der Anwaltschaft keine umfassende Beratungsbefugnis kennt (Rechtsanwaltskammer München zum RDG). Der Mehrwert eines Wirtschaftsjuristen liegt nicht darin, eine Kanzlei zu ersetzen, sondern in der compliance-, datenschutz- und vertragsnahen Projektverantwortung und in der Fähigkeit, rechtliche Anforderungen direkt technisch umzusetzen. Wo eine streitige Rechtsfrage ansteht, gehört eine zugelassene Rechtsanwältin hinzugezogen — und genau diese Schnittstelle lässt sich sauber organisieren.

Diese Ehrlichkeit ist kein Schwächeeingeständnis, sondern Teil des Werts: Ein Berater, der die Grenze seiner Rolle kennt, ist verlässlicher als einer, der alles verspricht.

Fazit: Eine Naht weniger ist ein Risiko weniger

KI-Projekte scheitern überwiegend an der Abstimmung, nicht an der Technik. Jede Naht zwischen Recht und IT ist eine potenzielle Bruchstelle — für Verzögerung, für Übersetzungsfehler, für Compliance-Lücken. Wer Recht und Technik in einer Person vereint, entfernt diese eine Naht. Das löst nicht jedes Problem eines KI-Projekts. Aber es nimmt eines der teuersten von vornherein heraus.

Häufige Fragen

Warum sollte bei einem KI-Projekt Recht und Technik in einer Person liegen? Weil an jeder Übergabe zwischen Jurist und Entwickler ein Übersetzungsverlust entsteht: Die rechtliche Pflicht wird zu spät oder falsch umgesetzt. Liegt beides in einer Person, fällt die rechtlich getriebene technische Entscheidung sofort und korrekt — ohne Abstimmungsschleife und ohne Compliance-Nachrüstung.

Woran scheitern KI-Projekte wirklich — an der Technik oder an der Abstimmung? Überwiegend an der Abstimmung. Branchenbefunde verorten die Mehrzahl gescheiterter KI-Pilotprojekte in fehlender Vorbereitung, Datensilos und mangelnder Koordination zwischen den Beteiligten — nicht in der technischen Machbarkeit des Modells.

Was unterscheidet „aus einer Hand” von einem interdisziplinären Team? Ein Team managt die Schnittstelle zwischen Recht und IT mit Abstimmungsrunden und Übergaben. „Aus einer Hand” entfernt die Schnittstelle, weil eine Person die rechtliche Bewertung und die technische Umsetzung verantwortet. Das spart Koordinationsaufwand und macht die Verantwortung eindeutig.

Reicht es nicht, eine Kanzlei und eine Agentur getrennt zu beauftragen? Für viele Vorhaben ja. Der Preis ist die Naht dazwischen: Die Kanzlei berät, baut aber nicht; die Agentur baut, verantwortet aber kein Recht. Die Übersetzung und das Haftungsrisiko an der Schnittstelle bleiben beim Kunden. Aus einer Hand entfällt dieser Reibungspunkt.

Ist ein Wirtschaftsjurist ein „echter” Jurist für solche Fragen? Ein Wirtschaftsjurist ist auf wirtschafts-, vertrags- und compliance-nahe Rechtsfragen spezialisiert, aber kein zugelassener Rechtsanwalt. Eine umfassende Rechtsberatung in streitigen Sachen bleibt Anwälten vorbehalten (RDG). Der Mehrwert liegt in der compliance- und datenschutznahen Projektverantwortung und der direkten technischen Umsetzung — nicht im Ersatz einer Kanzlei.

Quellen — Stand 25.12.2025

Hinweis: Norm-Fristen und Risikoklassen (AI Act, DSGVO) sind Stand Dezember 2025 und teils im gesetzgeberischen Schwebezustand (Digital Omnibus). Vor konkreten Projektentscheidungen gegen die Primärquellen (EUR-Lex, Gesetzestext) prüfen. Dieser Beitrag ist eine fachliche Aufbereitung und ersetzt keine Rechtsberatung im Einzelfall.