KI-Lieferantenmanagement: Due Diligence und Vertragsgestaltung

Art. 26 EU AI Act legt umfangreiche Betreiberpflichten fest: Nutzung des KI-Systems nur gemäß Anweisungen des Anbieters, Sicherstellung ausreichend qualifizierten Personals, Überwachung des Betriebs und Meldung von Anomalien, Datenschutz bei Trainingsdaten, Transparenz gegenüber betroffenen Personen. Wichtig: Der Betreiber kann trotz Einhaltung aller Anbietervorgaben für Schäden haften, wenn er das System in einem nicht vorgesehenen Kontext eingesetzt hat.

Prüfen Sie vor Vertragsschluss: Ist das KI-System korrekt klassifiziert (Hochrisiko?)? Liegt eine CE-Kennzeichnung für Hochrisiko-Systeme vor? Ist das System in der EU-KI-Datenbank registriert? Stellt der Anbieter vollständige technische Dokumentation bereit? Sind Logging- und Monitoring-Funktionen vorhanden? Wie werden Updates und Modellveränderungen kommuniziert? Welche Zertifizierungen hat der Anbieter (ISO 42001, SOC 2)? Wo werden Daten verarbeitet und gespeichert? Wie sind Haftung und Versicherung geregelt? Gibt es einen dedizierten Compliance-Ansprechpartner?

Verträge mit KI-Anbietern sollten folgende Klauseln enthalten: EU AI Act-Konformitätszusicherung des Anbieters, Pflicht zur Information über wesentliche Systemänderungen, Bereitstellung technischer Dokumentation auf Anfrage, Meldepflicht des Anbieters bei bekannten Sicherheitslücken oder Systemversagen, Datenverarbeitungsvereinbarung (DSGVO-konform), Haftungsregelung bei KI-bedingten Schäden, Audit-Rechte für den Betreiber, Regelung bei Vertragsende (Datenlöschung, Portabilität).

Viele Unternehmen nutzen KI über SaaS-Modelle (z.B. KI-Features in CRM, HR-Software, Marketing-Tools). Hier gelten besondere Herausforderungen: Standardverträge großer Anbieter bieten oft wenig Verhandlungsspielraum, technische Dokumentation ist häufig nicht zugänglich, Updates verändern Systemverhalten ohne Vorankündigung. Strategie: Nutzen Sie Marktmacht durch gemeinsame Anfragen von Branchenverbänden, fordern Sie EU AI Act-spezifische Ergänzungen zu Standardverträgen und dokumentieren Sie aktiv alle Anbieter-Kommunikation.

Open-Source-KI-Modelle genießen unter dem EU AI Act teilweise Ausnahmen (Art. 2 Abs. 12). Wenn Sie Open-Source-Modelle einsetzen oder anpassen, gelten Sie als Anbieter – mit allen entsprechenden Pflichten. Das betrifft insbesondere Unternehmen, die Llama, Mistral, BERT oder ähnliche Modelle fine-tunen oder in eigene Produkte integrieren. Holen Sie sich rechtliche Beratung, bevor Sie Open-Source-Modelle für Hochrisiko-Anwendungsfälle nutzen.