Zurück zum Blog
Compliance
Praxis

SaaS-KI-Verträge: Worauf Unternehmen achten müssen

KI als SaaS — bequem, aber rechtlich komplex. Von Datenschutz über Haftung bis Exit: Die wichtigsten Vertragsfallen bei Cloud-KI-Diensten.

KCT
KI Comply TeamKI-Compliance Experten
28. Juni 20255 Min. Lesezeit
SaaS-KI-Verträge: Worauf Unternehmen achten müssen

SaaS-KI-Verträge: Worauf Unternehmen achten müssen

Das Wichtigste in Kürze: KI-Dienste als Software-as-a-Service (SaaS) sind der schnellste Weg, künstliche Intelligenz im Unternehmen einzusetzen — doch die Standardverträge der Anbieter enthalten regelmäßig erhebliche Regelungslücken. Von Trainingsklauseln, die Ihre Geschäftsdaten zur Modellverbesserung freigeben, über fehlende SLA-Garantien bis hin zu Lock-in-Mechanismen ohne tragfähige Exit-Strategie: Wer SaaS-KI-Verträge ungeprüft unterschreibt, riskiert DSGVO-Verstöße (Art. 28 VO (EU) 2016/679), Verletzung der AI-Act-Betreiberpflichten (Art. 26 VO (EU) 2024/1689) und AGB-rechtliche Probleme (§§ 305-310 BGB). Dieser Leitfaden zeigt die 8 häufigsten Vertragsfallen und gibt konkrete Verhandlungstipps für die Praxis.

Inhaltsverzeichnis

  1. Typische SaaS-KI-Modelle im Überblick
  2. 8 Vertragsfallen bei KI-SaaS
  3. DSGVO-Anforderungen bei SaaS-KI
  4. AI-Act-Betreiberpflichten bei SaaS-Nutzung
  5. 5 Verhandlungstipps für KI-SaaS-Verträge
  6. Häufig gestellte Fragen (FAQ)
  7. Nächste Schritte

Typische SaaS-KI-Modelle im Überblick {#saas-ki-modelle}

Bevor Sie einen KI-SaaS-Vertrag verhandeln, müssen Sie verstehen, welches Bereitstellungsmodell vorliegt. Denn je nach Modell verschieben sich die datenschutzrechtlichen Verantwortlichkeiten, die Kontrollmöglichkeiten und die vertraglichen Risiken erheblich.

ModellBeschreibungBeispieleDatenhoheitVertragliches Hauptrisiko
API-basiertEigene Anwendung ruft KI-Modell über REST-API ab. Daten verlassen das Unternehmen bei jedem Request.OpenAI API, Anthropic API, Google Vertex AIGering — Daten beim Anbieter verarbeitetTrainingsklausel, Drittlandtransfer
Embedded KIKI-Funktion ist in bestehende SaaS-Software eingebettet (z. B. „Copilot"-Features). Nutzer hat keine separate KI-Vereinbarung.Microsoft 365 Copilot, Salesforce Einstein, HubSpot AIMittel — abhängig von Plattform-AVVIntransparenz, fehlende Opt-out-Möglichkeit
Full SaaSKomplettes KI-Produkt wird als eigenständiger Cloud-Dienst genutzt. Alle Daten liegen beim Anbieter.ChatGPT Enterprise, Jasper AI, Personio AIGering bis mittel — je nach VertragsgestaltungLock-in, Modell-Änderungen, SLA
On-Premise-Cloud-HybridKI-Modell läuft in kundeneigener oder dedizierter Cloud-Instanz. Training und Updates über Cloud-Verbindung.Azure OpenAI (eigene Instanz), AWS Bedrock, Private GPTHoch — Daten in eigener InfrastrukturKosten, Update-Abhängigkeit, Support

Praxishinweis: Die Grenzen zwischen diesen Modellen sind fließend. Viele Anbieter kombinieren Elemente — etwa ein Full-SaaS-Produkt mit optionalem API-Zugang. Entscheidend für die rechtliche Bewertung ist stets die Frage: Wo werden die Daten verarbeitet, wer hat Zugriff, und fließen sie in das Training ein?

8 Vertragsfallen bei KI-SaaS {#vertragsfallen}

Falle 1: Trainingsklausel — Ihre Daten als Modell-Futter

Die mit Abstand gefährlichste Klausel in KI-SaaS-Verträgen betrifft die Frage, ob der Anbieter eingegebene Daten zum Training oder zur Verbesserung seiner KI-Modelle verwenden darf. In vielen Standardverträgen ist diese Erlaubnis in allgemeinen Nutzungsbedingungen versteckt — häufig unter Formulierungen wie „zur Verbesserung unserer Dienste" oder „zur Weiterentwicklung der Technologie".

Das Problem: Wenn Geschäftsgeheimnisse, personenbezogene Daten oder vertrauliche Informationen ins Training einfließen, verlieren Sie faktisch die Kontrolle darüber. Die Daten können in Ausgaben für andere Nutzer auftauchen. Zudem liegt ein DSGVO-Verstoß vor, wenn personenbezogene Daten ohne Rechtsgrundlage zum Training genutzt werden — denn das ist ein neuer, vom ursprünglichen Verarbeitungszweck abweichender Zweck (Art. 6 Abs. 4 VO (EU) 2016/679).

Vertragsempfehlung: Bestehen Sie auf einer ausdrücklichen Klausel, die jede Nutzung Ihrer Eingabedaten zum Training, Fine-Tuning oder zur Modellverbesserung ausschließt. Die Klausel muss verbindlich und nicht nur in einem Opt-out-Setting geregelt sein.

Falle 2: Modell-Änderungen ohne Vorwarnung

KI-Modelle werden regelmäßig aktualisiert — neue Versionen, geänderte Parameter, andere Trainingsdaten. Bei SaaS-Diensten geschieht dies serverseitig und ohne Mitwirkung des Kunden. Das bedeutet: Das System, das Sie am Montag getestet haben, kann am Dienstag anders funktionieren.

Das Problem: Für regulierte Anwendungsbereiche — etwa Kreditentscheidungen, HR-Prozesse oder medizinische Triage — kann eine unangekündigte Modelländerung dazu führen, dass Ihre Risikobewertung nach Art. 9 VO (EU) 2024/1689 oder Ihre Datenschutzfolgenabschätzung nach Art. 35 VO (EU) 2016/679 hinfällig wird.

Vertragsempfehlung: Vereinbaren Sie eine Vorabbenachrichtigungspflicht bei wesentlichen Modelländerungen (mindestens 30 Tage), ein Recht auf Versionsfreeze für kritische Anwendungen und eine Pflicht zur Dokumentation aller Änderungen, die das Modellverhalten beeinflussen.

Falle 3: Verfügbarkeit und SLA — Wolkige Versprechen

Viele KI-SaaS-Anbieter versprechen hohe Verfügbarkeit, definieren aber keine belastbaren Service Level Agreements (SLA). Oder die SLA enthalten Ausnahmen für „KI-bedingte Ausfälle", „Modell-Neuladen" oder „Kapazitätsengpässe" — was bei KI-Diensten de facto jederzeit eintreten kann.

Das Problem: Wenn Ihr Geschäftsprozess von der KI-SaaS-Lösung abhängt und diese ausfällt, steht Ihr Betrieb still. Ohne vertragliche SLA mit Eskalationsstufen und Gutschriften haben Sie keine Handhabe.

Vertragsempfehlung: Fordern Sie messbare SLA-Metriken (Verfügbarkeit, Antwortzeit, Durchsatz), definierte Ausfall-Eskalationsstufen, automatische Gutschriften bei SLA-Verletzung und ein außerordentliches Kündigungsrecht bei wiederholter Unterschreitung.

Falle 4: Datennutzung jenseits des Auftrags

Neben dem Training (Falle 1) gibt es weitere problematische Datennutzungen: Aggregierte Analysen, Benchmarking, anonymisierte Auswertungen oder die Weitergabe an Konzerngesellschaften. In der Praxis ist „anonymisiert" bei KI-Daten ein trügerisches Versprechen — Re-Identifikation ist häufig möglich.

Das Problem: Jede Datennutzung jenseits des vereinbarten Auftragsverarbeitungszwecks verstößt gegen Art. 28 Abs. 3 lit. a VO (EU) 2016/679 und kann als eigenständige Verarbeitung gewertet werden, für die dem Anbieter eine eigene Rechtsgrundlage fehlt.

Vertragsempfehlung: Lassen Sie im Vertrag abschließend auflisten, zu welchen Zwecken der Anbieter Ihre Daten verarbeiten darf. Jede Nutzung, die über die unmittelbare Leistungserbringung hinausgeht, muss Ihrer vorherigen schriftlichen Zustimmung bedürfen.

Falle 5: Lock-in durch proprietäre Formate und Integrationen

KI-SaaS-Anbieter schaffen Abhängigkeiten: Proprietäre Datenformate, eigene Prompt-Bibliotheken, anbietergebundene Fine-Tuning-Modelle oder exklusive API-Schnittstellen. Je tiefer Sie integrieren, desto schwieriger wird der Wechsel.

Das Problem: Ohne vertragliche Vorkehrungen sitzen Sie nach einem Jahr so fest, dass ein Anbieterwechsel wirtschaftlich kaum noch vertretbar ist. Dies schwächt Ihre Verhandlungsposition bei Preiserhöhungen und Vertragsänderungen massiv.

Vertragsempfehlung: Vereinbaren Sie standardisierte Datenexport-Formate, eine Portabilitätsklausel, die den Export aller Konfigurationen und Fine-Tuning-Ergebnisse in offenen Formaten garantiert, sowie eine Übergangsfrist von mindestens 6 Monaten nach Vertragsende, in der Sie weiterhin lesenden Zugriff auf Ihre Daten haben.

Falle 6: Haftung für KI-Output

Wer haftet, wenn die KI falsche Informationen liefert, diskriminierende Entscheidungen trifft oder urheberrechtlich geschützte Inhalte generiert? Die Standardverträge der meisten KI-Anbieter schließen die Haftung für die „Richtigkeit, Vollständigkeit oder Eignung" der KI-Ausgaben vollständig aus.

Das Problem: Als Betreiber bleiben Sie gegenüber Dritten und Aufsichtsbehörden in der Verantwortung — auch für fehlerhafte KI-Outputs. Art. 26 Abs. 1 VO (EU) 2024/1689 verpflichtet Betreiber, Hochrisiko-KI-Systeme „gemäß der Gebrauchsanweisung" zu verwenden. Wenn der Anbieter aber jede Haftung ausschließt und gleichzeitig keine verbindlichen Leistungsparameter definiert, steht der Betreiber im Ernstfall allein da. Zudem können pauschale Haftungsausschlüsse in AGB nach § 307 Abs. 1 BGB unwirksam sein, wenn sie den Vertragspartner unangemessen benachteiligen.

Vertragsempfehlung: Verhandeln Sie eine angemessene Haftungsverteilung: Der Anbieter haftet für die Übereinstimmung des KI-Systems mit der vereinbarten Leistungsbeschreibung und den Compliance-Anforderungen des AI Act. Vereinbaren Sie eine verschuldensunabhängige Freistellung bei Verletzung der vertraglichen Genauigkeitsmetriken und IP-Indemnification-Klauseln für urheberrechtliche Ansprüche Dritter.

Falle 7: Subprocessors — Die unsichtbare Lieferkette

KI-SaaS-Dienste nutzen regelmäßig Unterauftragsverarbeiter: Cloud-Infrastruktur-Anbieter (AWS, Azure, GCP), spezialisierte Modell-Hoster, Monitoring-Dienste oder Content-Moderations-Services. Art. 28 Abs. 2 VO (EU) 2016/679 verlangt, dass der Auftragsverarbeiter keine weiteren Auftragsverarbeiter ohne vorherige schriftliche Genehmigung des Verantwortlichen einsetzt.

Das Problem: Viele KI-Anbieter listen Dutzende von Subprocessors in einer separaten Webseite auf, die sie jederzeit ändern können. Eine echte Kontrolle hat der Kunde nicht. Jeder neue Subprocessor kann einen neuen Drittlandtransfer, neue Sicherheitsrisiken oder neue Compliance-Lücken bedeuten.

Vertragsempfehlung: Bestehen Sie auf einer abschließenden Subprocessor-Liste als Vertragsanlage, einer Vorabbenachrichtigung bei Änderungen (mindestens 30 Tage), einem Widerspruchsrecht mit Sonderkündigungsrecht und einer vertraglichen Zusicherung, dass alle Subprocessors mindestens das gleiche Datenschutzniveau einhalten.

Falle 8: Exit und Datenrückgabe — Das vergessene Vertragsende

Die meisten SaaS-Verträge regeln den Beginn der Nutzung ausführlich, aber das Ende nur oberflächlich. Bei KI-Diensten ist die Exit-Problematik besonders gravierend: Fine-Tuning-Ergebnisse, Prompt-Bibliotheken, Konfigurationen und historische Nutzungsdaten müssen gesichert und übertragen werden.

Das Problem: Ohne Exit-Klausel verlieren Sie bei Vertragsende möglicherweise den Zugang zu allen Daten und Konfigurationen. Der Anbieter kann nach Ablauf einer kurzen Frist alles löschen — und Sie stehen ohne Migrationsmöglichkeit da. Art. 28 Abs. 3 lit. g VO (EU) 2016/679 verlangt, dass der Auftragsverarbeiter nach Abschluss der Verarbeitung alle personenbezogenen Daten löscht oder zurückgibt — aber nur, wenn dies vertraglich so vereinbart wurde.

Vertragsempfehlung: Regeln Sie verbindlich: Datenexport in maschinenlesbaren Standardformaten innerhalb von 30 Tagen nach Vertragsende, Migrationsunterstützung durch den Anbieter (ggf. gegen gesonderte Vergütung), eine Übergangsphase von mindestens 90 Tagen mit Lesezugriff, eine Löschbestätigung nach Art. 28 Abs. 3 lit. g DSGVO und die Herausgabe aller kundenbezogenen Fine-Tuning-Ergebnisse.

DSGVO-Anforderungen bei SaaS-KI {#dsgvo-saas-ki}

Die datenschutzrechtliche Einordnung von KI-SaaS-Diensten folgt einem dreistufigen Prüfschema:

1. Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

Sobald der KI-SaaS-Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet — und das ist bei praktisch jeder geschäftlichen Nutzung der Fall —, ist ein AVV nach Art. 28 Abs. 3 VO (EU) 2016/679 zwingend erforderlich. Der AVV muss mindestens regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung (inkl. klarem Ausschluss von Training)
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen
  • Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
  • Unterauftragsverarbeiter und Genehmigungsverfahren
  • Löschung oder Rückgabe nach Verarbeitungsende

Praxisproblem: Viele KI-Anbieter stellen ihren AVV als nicht verhandelbares Standarddokument bereit. Prüfen Sie dennoch kritisch, ob alle gesetzlichen Pflichtinhalte enthalten sind. Ein lückenhafter AVV ist kein wirksamer AVV im Sinne des Art. 28 DSGVO.

2. Technische und organisatorische Maßnahmen (TOM)

Art. 32 VO (EU) 2016/679 verlangt „geeignete technische und organisatorische Maßnahmen" zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus. Bei KI-SaaS-Diensten sind zusätzlich zu den üblichen Maßnahmen (Verschlüsselung, Zugangskontrollen, Backup) folgende KI-spezifische TOM relevant:

  • Eingabe-Logging: Protokollierung, welche Daten an die KI übermittelt wurden
  • Output-Filterung: Mechanismen zur Erkennung personenbezogener Daten in KI-Ausgaben
  • Zugriffskontrolle: Rollenbasierte Zugriffssteuerung für KI-Funktionen
  • Datenisolierung: Sicherstellung, dass Ihre Daten nicht mit Daten anderer Mandanten vermischt werden (Tenant Isolation)

Lassen Sie sich die TOM des Anbieters als Vertragsanlage bestätigen und vereinbaren Sie ein regelmäßiges Audit-Recht nach Art. 28 Abs. 3 lit. h DSGVO.

3. Drittlandtransfer nach Art. 44-49 DSGVO

Die meisten führenden KI-Modelle werden von US-amerikanischen Unternehmen betrieben. Selbst wenn europäische Rechenzentren genutzt werden, stellt sich die Frage: Haben Mitarbeiter oder Systeme des US-Mutterkonzerns Zugriff auf die Daten? Wenn ja, liegt ein Drittlandtransfer nach Art. 44 ff. VO (EU) 2016/679 vor.

Prüfschema für den Drittlandtransfer:

  1. Angemessenheitsbeschluss nach Art. 45 DSGVO vorhanden? (z. B. EU-US Data Privacy Framework)
  2. Falls nein: Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO vereinbart?
  3. Transfer Impact Assessment (TIA) durchgeführt?
  4. Ergänzende Maßnahmen identifiziert und umgesetzt? (Verschlüsselung, Pseudonymisierung)

Dokumentieren Sie diese Prüfung sorgfältig. Aufsichtsbehörden erwarten eine nachvollziehbare Bewertung des Drittlandtransfers — nicht nur das bloße Vorhandensein von SCC.

AI-Act-Betreiberpflichten bei SaaS-Nutzung {#ai-act-betreiberpflichten}

Der AI Act (VO (EU) 2024/1689) unterscheidet strikt zwischen Anbieter und Betreiber eines KI-Systems. Wer ein KI-SaaS-Produkt nutzt, ist in der Regel Betreiber im Sinne des Art. 3 Nr. 4 — auch wenn das System vollständig vom Anbieter gehostet und betrieben wird. Die Betreiberpflichten nach Art. 26 treffen Sie unabhängig vom gewählten Bereitstellungsmodell.

Kernpflichten des Betreibers bei SaaS-KI

Bestimmungsgemäße Verwendung (Art. 26 Abs. 1): Sie müssen das KI-System gemäß der Gebrauchsanweisung einsetzen. Voraussetzung: Der Anbieter muss Ihnen eine vollständige Gebrauchsanweisung bereitstellen. Verankern Sie diese Pflicht vertraglich.

Menschliche Aufsicht (Art. 26 Abs. 2): Für Hochrisiko-KI-Systeme müssen Sie sicherstellen, dass natürliche Personen die Aufsicht über das System führen. Bei SaaS-Modellen bedeutet das: Sie brauchen ausreichende Transparenz über die Funktionsweise, um eine wirksame Aufsicht überhaupt ausüben zu können. Fordern Sie vom Anbieter Dashboards, Monitoring-Zugang und Erklärbarkeits-Features.

Eingabedatenqualität (Art. 26 Abs. 4): Soweit Sie Kontrolle über die Eingabedaten haben, müssen Sie sicherstellen, dass diese dem bestimmungsgemäßen Zweck entsprechen. Bei SaaS-KI heißt das: Definieren Sie intern, welche Daten in das System eingegeben werden dürfen und welche nicht.

Überwachungspflicht (Art. 26 Abs. 5): Bei Hochrisiko-KI-Systemen müssen Betreiber den Betrieb überwachen und bei Risiken die zuständige Marktüberwachungsbehörde informieren. Vereinbaren Sie vertraglich, dass der Anbieter Ihnen die dafür nötigen Monitoring-Daten und Incident-Berichte zeitnah zur Verfügung stellt.

KI-Kompetenz (Art. 4): Alle Personen, die KI-SaaS-Dienste nutzen oder einsetzen, müssen über ausreichende KI-Kompetenz verfügen. Dies gilt unabhängig von der Risikoklasse des Systems. Schulen Sie Ihre Mitarbeiter — und dokumentieren Sie es.

5 Verhandlungstipps für KI-SaaS-Verträge {#verhandlungstipps}

Tipp 1: Volumen als Hebel nutzen

Auch wenn KI-Anbieter behaupten, ihre Verträge seien nicht verhandelbar — bei Enterprise-Volumen gibt es fast immer Spielraum. Bündeln Sie Lizenzen, verhandeln Sie mehrjährige Commitments gegen bessere Vertragsbedingungen und nutzen Sie den Wettbewerb zwischen Anbietern.

Tipp 2: Vertragsanhänge statt Vertragsänderungen

Wenn der Anbieter seinen Hauptvertrag nicht ändern will, schließen Sie eine ergänzende Vereinbarung (Sideletter oder Addendum) ab. Darin können Sie KI-spezifische Regelungen treffen, die den Standardvertrag ergänzen und im Konfliktfall Vorrang haben. Das ist rechtlich wirksam und für den Anbieter leichter zu akzeptieren.

Tipp 3: Benchmark-Klausel vereinbaren

Sichern Sie sich das Recht, die Leistung des KI-Systems regelmäßig anhand definierter Metriken zu benchmarken. Liegt die Leistung unter den vereinbarten Schwellenwerten, greifen Eskalationsmechanismen bis hin zum Sonderkündigungsrecht. So schützen Sie sich vor schleichendem Qualitätsverlust durch Modelländerungen.

Tipp 4: Audit-Rechte aktiv verankern

Art. 28 Abs. 3 lit. h DSGVO gibt Ihnen ein Audit-Recht beim Auftragsverarbeiter. Ergänzen Sie dieses um ein KI-spezifisches Audit-Recht: Einsicht in Modellversionen, Änderungsprotokolle, Genauigkeitsmetriken und Incident-Reports. Vereinbaren Sie, dass der Anbieter jährlich einen unabhängigen Auditbericht (z. B. SOC 2 Type II) vorlegt.

Tipp 5: Exit von Anfang an planen

Verhandeln Sie die Exit-Klauseln nicht am Ende, sondern am Anfang der Vertragsverhandlung — wenn Ihre Verhandlungsposition am stärksten ist. Definieren Sie konkret: Datenformate, Migrationszeiträume, Unterstützungspflichten und Kostenobergrenzen. Ein sauberer Exit-Plan ist das beste Mittel gegen Lock-in.

Häufig gestellte Fragen (FAQ) {#faq}

Brauche ich für jeden KI-SaaS-Dienst einen eigenen AVV?

Ja. Gemäß Art. 28 Abs. 3 VO (EU) 2016/679 ist für jede Auftragsverarbeitung ein Vertrag erforderlich, der die spezifischen Umstände der Verarbeitung regelt. Wenn Sie verschiedene KI-SaaS-Dienste nutzen, die jeweils personenbezogene Daten verarbeiten, benötigen Sie für jeden Dienst einen eigenen AVV — oder zumindest einen Rahmen-AVV mit dienstspezifischen Anlagen. Prüfen Sie bei jedem Dienst individuell, welche Daten verarbeitet werden und ob ein Drittlandtransfer stattfindet.

Kann ich als Betreiber die Compliance-Pflichten des AI Act auf den SaaS-Anbieter übertragen?

Nein, die Betreiberpflichten nach Art. 26 VO (EU) 2024/1689 sind nicht delegierbar. Sie können den Anbieter vertraglich verpflichten, Sie bei der Erfüllung Ihrer Pflichten zu unterstützen — etwa durch Bereitstellung von Dokumentation, Monitoring-Tools und Incident-Berichten. Aber die Verantwortung bleibt beim Betreiber. Insbesondere die Pflicht zur menschlichen Aufsicht (Art. 26 Abs. 2) und zur Überwachung des Betriebs (Art. 26 Abs. 5) sind originäre Betreiberpflichten, die Sie nicht auslagern können.

Was passiert, wenn der KI-Anbieter seinen Sitz außerhalb der EU hat?

Für den Datenschutz gelten die Regeln des Drittlandtransfers nach Art. 44-49 VO (EU) 2016/679. Sie benötigen eine Transfergrundlage (Angemessenheitsbeschluss, SCC oder verbindliche interne Datenschutzvorschriften). Für den AI Act gilt: VO (EU) 2024/1689 findet nach Art. 2 Abs. 1 auch auf Anbieter Anwendung, die KI-Systeme in der EU in Verkehr bringen — unabhängig von ihrem Sitz. Als Betreiber mit Sitz in der EU unterliegen Sie ohnehin dem AI Act.

Sind die Standardverträge großer KI-Anbieter AGB-rechtlich wirksam?

Nicht unbedingt. Die AGB-Kontrolle nach §§ 305-310 BGB gilt auch für vorformulierte KI-SaaS-Verträge. Klauseln, die den Vertragspartner unangemessen benachteiligen, sind nach § 307 Abs. 1 BGB unwirksam — insbesondere pauschale Haftungsausschlüsse für die Richtigkeit von KI-Outputs, einseitige Änderungsvorbehalte für Modelle und Leistungsumfang, unangemessen kurze Löschfristen nach Vertragsende und der Ausschluss von Audit-Rechten. Im B2B-Bereich ist die AGB-Kontrolle zwar etwas weniger streng als im B2C-Bereich (§ 310 Abs. 1 BGB), aber § 307 BGB gilt uneingeschränkt.

Wie oft sollte ich einen KI-SaaS-Vertrag überprüfen?

Mindestens jährlich und anlassbezogen. Die KI-Regulierung entwickelt sich dynamisch: Neue Durchführungsrechtsakte zum AI Act, aktualisierte Leitlinien der Datenschutzbehörden und technologische Entwicklungen können vertraglichen Anpassungsbedarf auslösen. Vereinbaren Sie im Vertrag eine jährliche Review-Klausel und ein Recht auf Nachverhandlung bei wesentlichen Änderungen der Rechtslage. Dokumentieren Sie jede Überprüfung als Nachweis Ihrer Sorgfaltspflichten.

Nächste Schritte {#naechste-schritte}

KI-SaaS-Verträge erfordern mehr als einen kurzen Blick auf die AGB. Sie müssen datenschutzrechtliche, regulatorische und wirtschaftliche Risiken systematisch erfassen und vertraglich absichern.

Ihr Aktionsplan:

  1. Bestandsaufnahme: Identifizieren Sie alle KI-SaaS-Dienste in Ihrem Unternehmen — auch die, die Mitarbeiter eigenständig gebucht haben (Shadow AI).
  2. Vertragscheck: Prüfen Sie bestehende Verträge anhand der 8 Vertragsfallen aus diesem Leitfaden.
  3. AVV-Audit: Stellen Sie sicher, dass für jeden Dienst ein vollständiger AVV nach Art. 28 DSGVO vorliegt.
  4. AI-Act-Mapping: Ordnen Sie jeden Dienst einer Risikoklasse zu und prüfen Sie Ihre Betreiberpflichten.
  5. Schulung: Stellen Sie sicher, dass alle Nutzer von KI-SaaS-Diensten über die nötige KI-Kompetenz nach Art. 4 VO (EU) 2024/1689 verfügen.

KI Comply unterstützt Sie bei der Schulung Ihrer Mitarbeiter, der Dokumentation Ihrer KI-Systeme und dem Aufbau eines strukturierten KI-Governance-Frameworks. Jetzt kostenlos starten und Ihre KI-Compliance auf ein solides Fundament stellen.

Rechtsquellen

  • AuftragsverarbeitungArt. 28 VO (EU) 2016/679 (Quelle)
  • BetreiberpflichtenArt. 26 VO (EU) 2024/1689
  • DrittlandtransferArt. 44-49 DSGVO
  • Vertragsrecht§§305-310 BGB

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine rechtliche Bewertung Ihres konkreten Falls wenden Sie sich bitte an einen spezialisierten Rechtsanwalt.

Artikel teilen:

Machen Sie Ihr Team KI-fit

Mit unserer Online-Schulung erfüllen Sie die Anforderungen der KI-Verordnung - einfach und effizient.

Preise ansehen