KI-Vertragsklauseln: Rechtssichere Gestaltung nach EU AI Act

Folgende Klauseln sollten in jedem KI-Lieferantenvertrag enthalten sein: EU AI Act-Konformitätszusicherung (Anbieter sichert zu, dass System dem EU AI Act entspricht), Pflicht zur Bereitstellung technischer Dokumentation auf Anfrage, Informationspflicht bei wesentlichen Systemänderungen (mindestens 30 Tage Vorlauf), Meldepflicht bei bekannten schwerwiegenden Mängeln oder Sicherheitslücken, Audit-Recht des Betreibers (mindestens jährlich), Verarbeitungsverzeichnis und DSGVO-Konformitätszusicherung.

Die Haftungsverteilung ist einer der kritischsten Vertragspunkte. Anbieter haftet für: Mängel des Grundsystems, Fehler in der technischen Dokumentation, unrichtige Angaben über Fähigkeiten und Grenzen des Systems. Betreiber haftet für: Einsatz außerhalb des vorgesehenen Zwecks, fehlende menschliche Aufsicht, Nichtbefolgung der Anbieter-Anweisungen, unzureichende Schulung der Mitarbeitenden. Vertraglich sollten klare Grenzen und Haftungshöchstsummen vereinbart werden, da sonst die gesetzlichen Regelungen greifen.

Bei Hochrisiko-KI-Systemen sind zusätzliche Vertragsklauseln erforderlich: Pflicht des Anbieters zur EU-Datenbankregistrierung (Art. 49), Bereitstellung der Konformitätserklärung (Art. 47), Pflicht zur Durchführung von Post-Market Surveillance (Art. 72 für Anbieter), Klausel zur Übergabe der Compliance-Dokumente bei Vertragsende, Mindest-Supportzeitraum nach Vertragsende (Dokumentationspflichten laufen weiter), Regelung für den Fall, dass das System aus dem Markt genommen werden muss.

Bei Open-Source-KI-Modellen (Llama, Mistral, etc.) gibt es besondere Herausforderungen: Oft keine vertragliche Beziehung mit dem Modell-Entwickler, Nutzungsbedingungen können Hochrisiko-Anwendungen einschränken (z.B. Meta Llama Acceptable Use Policy), kein direkter Ansprechpartner für Compliance-Fragen. Empfehlung: Schließen Sie Verträge mit Dritten (Fine-Tuning-Anbietern, Hosting-Providern), die die Compliance-Verantwortung übernehmen, und prüfen Sie die Open-Source-Lizenz auf Restriktionen.

Vor Unterzeichnung prüfen: Ist die KI klar definiert und der Systemumfang beschrieben? Sind Haftungsgrenzen angemessen und gegenseitig? Gibt es eine Audit-Klausel? Sind Änderungsprozesse geregelt? Ist die Datenschutz-Vereinbarung (AV-Vertrag) beigefügt? Sind Gerichtsstand und anwendbares Recht geregelt? Ist die Laufzeit und Kündigungsregelung klar? Gibt es eine Regelung für behördlich angeordnete Systemänderungen? Holen Sie rechtliche Beratung für hochwertige KI-Verträge – die Komplexität rechtfertigt den Aufwand.