Supplier Management: Diese Klauseln brauchen Sie in KI-Verträgen

Veröffentlicht am 12. Februar 2026 um 23:27

Supplier Management: Worauf Sie bei KI-Verträgen grundsätzlich achten müssen

In der Welt der künstlichen Intelligenz sind Verträge weit mehr als reine Einkaufsdokumente. Sie sind Ihr wichtigstes Instrument zur Risikosteuerung. Unabhängig davon, ob Sie einen bestehenden Vertrag aus der Zeit vor der Verordnung prüfen oder eine neue Partnerschaft eingehen: Wenn das System nach dem 2. August 2026 im Einsatz ist, muss die vertragliche Basis stimmen.

Hier sind die essenziellen Punkte, die in jedem KI-Vertrag enthalten sein müssen, um die Compliance-Anforderungen des EU AI Acts langfristig abzusichern.

1. Rollendefinition und Compliance-Garantie

Der EU AI Act unterscheidet strikt zwischen Anbietern (Providern) und Betreibern (Deployern). Ein Vertrag muss klar definieren, wer welche Rolle einnimmt.

  • Das Problem: Wenn Sie ein System stark verändern oder unter eigenem Namen nutzen, werden Sie rechtlich vom Nutzer zum Anbieter und übernehmen alle Entwicklungspflichten.

  • Die Lösung: Der Vertrag muss festhalten, dass der Lieferant der Anbieter ist und garantiert, dass das System vollumfänglich der Verordnung entspricht (Konformitätsbescheinigung).

2. Informationsfluss und Dokumentationszugriff

Als Betreiber einer KI sind Sie gegenüber Behörden rechenschaftspflichtig. Sie müssen die Funktionsweise des Systems erklären können, haben aber oft keinen Einblick in die Technik des Lieferanten.

  • Die Anforderung: Der Vertrag muss den Lieferanten verpflichten, Ihnen alle notwendigen technischen Informationen, Log-Daten und Gebrauchsanweisungen in einer Form bereitzustellen, die es Ihnen ermöglicht, Ihre eigenen Betreiberpflichten (Art. 26) zu erfüllen.

3. Umgang mit Systemänderungen

KI-Systeme entwickeln sich ständig weiter. Jedes Update kann die Risikostufe des Systems verändern oder den gesetzlichen Bestandsschutz für Altsysteme aufheben.

  • Die Anforderung: Vereinbaren Sie eine Meldepflicht für „wesentliche Änderungen“. Der Lieferant muss Sie informieren, bevor eine Änderung eingespielt wird, die das Risikoprofil beeinflusst, damit Sie Ihre interne Risikobewertung aktualisieren können.

4. Unterstützung bei der Grundrechte-Folgenabschätzung

Für viele Hochrisiko-Systeme (z. B. im öffentlichen Sektor oder bei der Kreditprüfung) müssen Betreiber eine Grundrechte-Folgenabschätzung durchführen.

  • Die Anforderung: Da Sie hierfür Informationen über die Funktionsweise und die Trainingsdaten benötigen, sollte der Vertrag eine Klausel enthalten, die den Lieferanten zur aktiven Unterstützung bei solchen Prüfprozessen verpflichtet.

5. Haftung für KI-spezifische Risiken

Herkömmliche Haftungsklauseln decken oft nur Sach- oder einfache Vermögensschäden ab. KI-Systeme können jedoch Diskriminierung verursachen oder gegen Urheberrechte verstoßen.

  • Die Anforderung: Sorgen Sie für klare Regelungen zur Freistellung und Haftung, falls das System aufgrund fehlerhafter Algorithmen oder mangelhafter Trainingsdaten gegen den AI Act verstößt. Dies gilt besonders für Bußgelder, die durch Versäumnisse des Anbieters ausgelöst werden.

6. Audit-Rechte und Überwachung

Besonders bei kritischen Anwendungen reicht blindes Vertrauen nicht aus.

  • Die Anforderung: Sichern Sie sich vertraglich das Recht zu (oder lassen Sie sich Nachweise durch Dritte vorlegen), die Compliance-Maßnahmen des Anbieters regelmäßig zu überprüfen. Dies ist ein zentraler Bestandteil eines professionellen Risikomanagements.

Fazit: Verträge als dynamisches Sicherheitsnetz

KI-Compliance ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess. Ein Vertrag, der diese Dynamik nicht abbildet, ist im Ernstfall wertlos. Prüfen Sie daher Ihre gesamte Lieferantenstruktur: Decken die Klauseln den Informationsbedarf ab, den Sie ab August 2026 gegenüber den Aufsichtsbehörden haben werden? Wenn nicht, ist jetzt der richtige Zeitpunkt für Verhandlungen.

Über diesen Beitrag: KI-Unterstützung: Wir nutzen moderne KI-Tools als Recherche- und Formulierungshilfe. Die fachliche Kontrolle und Verantwortung für diesen Text liegt vollständig bei unseren Experten, um den Anforderungen des EU AI Acts (Verordnung 2024/1689) gerecht zu werden.

«   »