KI-Vertragsklauseln: Was in jeden KI-Vertrag gehört

Das Wichtigste in Kürze: Standardverträge von KI-Anbietern enthalten regelmäßig Regelungslücken, die für den Betreiber erhebliche rechtliche Risiken bergen. Der AI Act (VO (EU) 2024/1689) verpflichtet Betreiber nach Art. 26 zu eigener Sorgfalt — auch bei der Vertragsgestaltung. Gleichzeitig gelten die strengen Anforderungen des AGB-Rechts (§§ 305-310 BGB), wenn der Anbieter vorformulierte Vertragsbedingungen verwendet. Dieser Leitfaden zeigt die 10 essenziellen Klauseln, die in keinem KI-Vertrag fehlen dürfen — jeweils mit rechtlicher Einordnung und konkretem Formulierungsvorschlag.

---

Inhaltsverzeichnis

1. Warum KI-Verträge besondere Aufmerksamkeit brauchen
2. Die 10 essenziellen KI-Vertragsklauseln
3. AGB-rechtliche Fallstricke bei KI-Verträgen
4. Häufig gestellte Fragen (FAQ)
5. Nächste Schritte

---

Warum KI-Verträge besondere Aufmerksamkeit brauchen {#warum-ki-vertraege}

KI-Software unterscheidet sich fundamental von klassischer Standardsoftware. Während herkömmliche Software deterministisch arbeitet — gleicher Input erzeugt stets gleichen Output —, sind KI-Systeme probabilistisch. Ihre Ergebnisse hängen von Trainingsdaten, Modellarchitektur und fortlaufenden Updates ab. Diese Eigenschaft erzeugt vertragliche Herausforderungen, die in klassischen Softwareverträgen schlicht nicht adressiert werden.

Hinzu kommt die regulatorische Dimension: Der AI Act (VO (EU) 2024/1689) verteilt die Compliance-Pflichten auf Anbieter (Art. 16-25) und Betreiber (Art. 26). Diese Pflichtenteilung muss sich im Vertrag widerspiegeln. Fehlen entsprechende Klauseln, kann der Betreiber seine gesetzlichen Pflichten nicht erfüllen — und haftet dennoch.

Die DSGVO verschärft die Lage zusätzlich: Verarbeitet der KI-Anbieter personenbezogene Daten in Ihrem Auftrag, gelten die Anforderungen des Art. 28 VO (EU) 2016/679 an die Auftragsverarbeitung. Ohne ordnungsgemäßen Auftragsverarbeitungsvertrag (AVV) liegt bereits ein bußgeldbewehrter Verstoß vor.

Fazit: Wer KI-Software einkauft und den Vertrag des Anbieters ungeprüft unterschreibt, handelt fahrlässig. Die folgenden 10 Klauseln schaffen die vertragliche Grundlage für rechtssicheren KI-Einsatz.

---

Die 10 essenziellen KI-Vertragsklauseln {#die-10-klauseln}

1. Leistungsbeschreibung und KI-Spezifikation

Warum diese Klausel wichtig ist:

Bei klassischer Software reicht eine funktionale Leistungsbeschreibung. Bei KI-Systemen muss der Vertrag zusätzlich die KI-spezifischen Eigenschaften definieren: Welches Modell wird eingesetzt? Welche Trainingsdaten liegen zugrunde? Welche Genauigkeitswerte sind zu erwarten? Ohne diese Spezifikation fehlt dem Betreiber die Grundlage, um die Leistung des Systems überhaupt bewerten zu können.

Art. 13 Abs. 3 VO (EU) 2024/1689 verlangt für Hochrisiko-KI-Systeme, dass die Gebrauchsanweisung Angaben zur „Leistung" enthält, einschließlich der „Genauigkeitsgrade". Diese Anforderung sollte sich direkt im Vertrag niederschlagen.

Formulierungsvorschlag:

„Der Anbieter schuldet die Bereitstellung des KI-Systems gemäß der als Anlage [X] beigefügten Leistungsbeschreibung. Diese umfasst mindestens: (a) Bezeichnung und Version des eingesetzten KI-Modells, (b) Beschreibung der Trainingsdaten nach Kategorie, Umfang und Herkunft, (c) definierte Genauigkeitsmetriken mit Mindestwerten, (d) bekannte Einschränkungen und Anwendungsgrenzen. Die Leistungsbeschreibung wird Vertragsbestandteil."

---

2. Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

Warum diese Klausel wichtig ist:

Art. 28 Abs. 3 VO (EU) 2016/679 schreibt zwingend vor, dass die Auftragsverarbeitung durch einen Vertrag geregelt wird, der Gegenstand und Dauer der Verarbeitung, Art und Zweck, die Art der personenbezogenen Daten und die Kategorien betroffener Personen festlegt. Ein fehlender AVV stellt einen eigenständigen DSGVO-Verstoß dar — unabhängig davon, ob tatsächlich ein Datenschutzvorfall eintritt.

Bei KI-Systemen ist der AVV besonders kritisch, weil häufig unklar ist, ob eingegebene Daten zum Training des Modells verwendet werden. Dies muss der AVV ausdrücklich regeln.

Formulierungsvorschlag:

„Die Parteien schließen den als Anlage [X] beigefügten Auftragsverarbeitungsvertrag gemäß Art. 28 VO (EU) 2016/679. Der Anbieter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Auftraggebers. Die Verwendung von Eingabedaten, Ausgabedaten oder Nutzungsdaten zum Training, zur Optimierung oder Weiterentwicklung eigener oder fremder Modelle ist ohne ausdrückliche, gesonderte schriftliche Einwilligung unzulässig."

---

3. AI Act Compliance-Zusicherung

Warum diese Klausel wichtig ist:

Art. 16 VO (EU) 2024/1689 verpflichtet Anbieter von Hochrisiko-KI-Systemen zur Einhaltung umfangreicher Pflichten: Risikomanagementsystem (Art. 9), Daten-Governance (Art. 10), technische Dokumentation (Art. 11), Protokollierung (Art. 12), Transparenz (Art. 13), menschliche Aufsicht (Art. 14) und Genauigkeit, Robustheit und Cybersicherheit (Art. 15). Als Betreiber müssen Sie darauf vertrauen können, dass der Anbieter diese Pflichten tatsächlich erfüllt — und Sie brauchen eine vertragliche Handhabe, falls er es nicht tut.

Formulierungsvorschlag:

„Der Anbieter sichert zu, dass das KI-System sämtliche anwendbaren Anforderungen der VO (EU) 2024/1689 (AI Act) erfüllt, insbesondere die Pflichten der Art. 9 bis 15 für Hochrisiko-KI-Systeme. Der Anbieter stellt dem Betreiber die CE-Konformitätserklärung, die technische Dokumentation gemäß Art. 11 sowie die Gebrauchsanweisung gemäß Art. 13 zur Verfügung. Bei Änderungen der Rechtslage oder behördlichen Anforderungen informiert der Anbieter den Betreiber unverzüglich und passt das System auf eigene Kosten an."

---

4. Haftungsregelung für KI-Fehler

Warum diese Klausel wichtig ist:

KI-Systeme produzieren zwangsläufig Fehler — das liegt in der Natur probabilistischer Modelle. Die entscheidende Frage ist: Wer haftet, wenn ein KI-Fehler zu einem Schaden führt? Nach allgemeinem Vertragsrecht (§ 280 Abs. 1 BGB) haftet der Schuldner für Pflichtverletzungen. Bei KI-Software ist jedoch oft unklar, ob ein fehlerhaftes Ergebnis eine Pflichtverletzung darstellt oder ein „erwartbares" Verhalten innerhalb der zugesicherten Genauigkeitsgrenzen.

Die geplante KI-Haftungsrichtlinie (COM(2022) 496) wird die Beweislast zugunsten Geschädigter erleichtern. Umso wichtiger ist eine klare vertragliche Haftungsverteilung zwischen Anbieter und Betreiber.

Formulierungsvorschlag:

„Der Anbieter haftet für Schäden, die durch Fehlfunktionen des KI-Systems verursacht werden, soweit diese auf Mängel der Software, der Trainingsdaten oder der technischen Dokumentation zurückzuführen sind. Die Haftung umfasst auch mittelbare Schäden und entgangenen Gewinn bis zur Höhe von [Betrag/Vielfaches der Jahresgebühr]. Der Betreiber haftet für Schäden, die auf bestimmungswidrigen Einsatz oder Missachtung der Gebrauchsanweisung zurückzuführen sind. Für Bußgelder nach VO (EU) 2024/1689 oder VO (EU) 2016/679, die auf einem Verschulden des Anbieters beruhen, stellt der Anbieter den Betreiber im Innenverhältnis frei."

---

5. Audit- und Kontrollrechte

Warum diese Klausel wichtig ist:

Art. 26 Abs. 5 VO (EU) 2024/1689 verpflichtet Betreiber von Hochrisiko-KI-Systemen, die automatisch erzeugten Protokolle aufzubewahren und bei Bedarf den Aufsichtsbehörden zur Verfügung zu stellen. Art. 28 Abs. 3 lit. h DSGVO verlangt darüber hinaus, dass der Auftragsverarbeiter dem Verantwortlichen „alle erforderlichen Informationen zum Nachweis der Einhaltung" zur Verfügung stellt und Überprüfungen „einschließlich Inspektionen" ermöglicht. Ohne vertragliche Audit-Rechte können Sie weder Ihre AI-Act-Pflichten noch Ihre DSGVO-Pflichten erfüllen.

Formulierungsvorschlag:

„Der Betreiber oder ein von ihm beauftragter, zur Verschwiegenheit verpflichteter Dritter ist berechtigt, die Einhaltung der vertraglichen und gesetzlichen Pflichten des Anbieters jederzeit zu überprüfen. Der Anbieter gewährt zu diesem Zweck Zugang zu relevanten Räumlichkeiten, Systemen, Dokumentationen und Protokollen. Audits werden mit angemessener Frist von mindestens [14] Werktagen angekündigt, es sei denn, ein begründeter Verdacht auf Pflichtverletzungen oder eine behördliche Anordnung erfordert eine kurzfristigere Prüfung. Die Kosten des Audits trägt der Betreiber, es sei denn, das Audit deckt wesentliche Vertragsverletzungen auf."

---

6. SLA mit KI-spezifischen KPIs

Warum diese Klausel wichtig ist:

Herkömmliche SLAs regeln Verfügbarkeit und Antwortzeiten. Bei KI-Systemen reicht das nicht. Entscheidend ist die Qualität der Ergebnisse: Genauigkeit (Accuracy), Präzision (Precision), Trefferquote (Recall), Fairness-Metriken und Antwortzeiten des Modells. Nur wenn diese KPIs vertraglich definiert und messbar sind, kann der Betreiber die Leistung des KI-Systems objektiv bewerten.

Art. 15 Abs. 1 VO (EU) 2024/1689 fordert, dass Hochrisiko-KI-Systeme ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit erreichen. Die SLA-Klausel übersetzt diese regulatorische Anforderung in konkrete vertragliche Pflichten.

Formulierungsvorschlag:

„Der Anbieter gewährleistet die in Anlage [X] (Service Level Agreement) definierten Leistungskennzahlen. Diese umfassen mindestens: (a) Systemverfügbarkeit von [99,5] % pro Kalendermonat, (b) Modell-Genauigkeit (Accuracy) von mindestens [X] % gemessen am vereinbarten Testdatensatz, (c) maximale Antwortzeit von [X] Millisekunden (p95), (d) maximale Drift-Toleranz von [X] Prozentpunkten gegenüber dem Referenzwert bei Vertragsschluss. Die Kennzahlen werden monatlich gemessen und in einem automatisierten Dashboard bereitgestellt. Bei Unterschreitung sind Gutschriften gemäß Anlage [X] geschuldet."

---

7. Datennutzung und Trainingsverbot

Warum diese Klausel wichtig ist:

Viele KI-Anbieter behalten sich in ihren AGB das Recht vor, Kundendaten — einschließlich Eingaben und Ausgaben — zum Training ihrer Modelle zu verwenden. Für den Betreiber ist das aus mehreren Gründen problematisch: Es kann einen DSGVO-Verstoß darstellen (fehlende Rechtsgrundlage), Geschäftsgeheimnisse gefährden (§ 2 GeschGehG) und dazu führen, dass proprietäre Informationen in Modellen anderer Nutzer auftauchen.

Art. 10 Abs. 5 VO (EU) 2024/1689 stellt zudem besondere Anforderungen an Trainingsdaten. Werden Kundendaten unkontrolliert zum Training verwendet, kann dies die Datenqualität und damit die Konformität des Systems beeinträchtigen.

Formulierungsvorschlag:

„Sämtliche vom Betreiber eingegebenen Daten (Eingabedaten), vom System erzeugten Ergebnisse (Ausgabedaten) sowie Nutzungs- und Interaktionsdaten verbleiben im alleinigen Eigentum des Betreibers. Dem Anbieter ist es untersagt, diese Daten zum Training, Fine-Tuning, zur Validierung oder Weiterentwicklung eigener oder fremder Modelle zu verwenden. Ausgenommen sind aggregierte, vollständig anonymisierte Nutzungsstatistiken, sofern eine Re-Identifikation nach dem Stand der Technik ausgeschlossen ist. Ein Verstoß gegen dieses Trainingsverbot berechtigt den Betreiber zur fristlosen Kündigung."

---

8. Transparenz und Erklärbarkeit

Warum diese Klausel wichtig ist:

Art. 13 VO (EU) 2024/1689 verlangt, dass Hochrisiko-KI-Systeme so konzipiert werden, dass ihr Betrieb „hinreichend transparent" ist. Art. 86 VO (EU) 2024/1689 gibt betroffenen Personen zudem ein Recht auf Erklärung individueller Entscheidungen. Parallel dazu gewährt Art. 22 Abs. 3 DSGVO bei automatisierten Einzelentscheidungen das Recht auf „Erläuterung der Entscheidung".

Der Betreiber kann diese Transparenzpflichten nur erfüllen, wenn der Anbieter die technischen Voraussetzungen dafür schafft. Dies muss vertraglich abgesichert sein.

Formulierungsvorschlag:

„Der Anbieter stellt sicher, dass das KI-System für jede Einzelentscheidung eine nachvollziehbare Erklärung (Explainability) bereitstellt, die mindestens die wesentlichen Einflussfaktoren und deren Gewichtung umfasst. Die Erklärungen müssen in einem Format bereitgestellt werden, das der Betreiber gegenüber betroffenen Personen und Aufsichtsbehörden ohne zusätzliche technische Hilfsmittel verwenden kann. Der Anbieter dokumentiert die Funktionsweise des Systems in der Gebrauchsanweisung gemäß Art. 13 VO (EU) 2024/1689 und aktualisiert diese bei wesentlichen Änderungen."

---

9. Exit-Klausel und Datenportabilität

Warum diese Klausel wichtig ist:

Vendor Lock-in ist bei KI-Software ein besonders gravierendes Risiko. Wenn der Betreiber seine Prozesse auf ein bestimmtes KI-System optimiert hat, ist ein Wechsel aufwendig und teuer. Umso wichtiger ist eine vertragliche Regelung, die den geordneten Übergang sicherstellt. Art. 20 DSGVO gewährt zudem ein Recht auf Datenübertragbarkeit, das durch die Vertragsklausel konkretisiert wird.

Darüber hinaus verlangt Art. 26 Abs. 6 VO (EU) 2024/1689), dass Betreiber die automatisch erzeugten Protokolle für mindestens sechs Monate aufbewahren. Diese Protokolle müssen auch nach Vertragsende verfügbar sein.

Formulierungsvorschlag:

„Bei Beendigung des Vertrages — gleich aus welchem Grund — ist der Anbieter verpflichtet, dem Betreiber innerhalb von [30] Kalendertagen sämtliche Daten in einem gängigen, maschinenlesbaren Format (mindestens CSV, JSON oder XML) zu übergeben. Dies umfasst: (a) sämtliche Eingabe- und Ausgabedaten, (b) Konfigurationen und Anpassungen, (c) automatisch erzeugte Protokolle gemäß Art. 12 VO (EU) 2024/1689, (d) Trainings- oder Fine-Tuning-Datensätze, sofern betreibereigene Daten verwendet wurden. Der Anbieter gewährt eine Übergangsphase von mindestens [90] Tagen, in der das System unverändert weiter betrieben werden kann. Nach vollständiger Datenübergabe löscht der Anbieter alle Betreiberdaten nachweisbar und unwiderruflich."

---

10. Änderungsmanagement bei Modell-Updates

Warum diese Klausel wichtig ist:

KI-Modelle werden regelmäßig aktualisiert — sei es durch den Anbieter oder durch Dritte in der Lieferkette. Jedes Update kann die Leistung, Genauigkeit und Compliance-Eigenschaften des Systems verändern. Art. 16 lit. f VO (EU) 2024/1689 verpflichtet Anbieter, bei „wesentlichen Änderungen" des Systems ein neues Konformitätsbewertungsverfahren durchzuführen. Für den Betreiber ist entscheidend, dass er vor einem Update informiert wird und die Möglichkeit hat, das Update zu prüfen und gegebenenfalls abzulehnen.

Formulierungsvorschlag:

„Der Anbieter informiert den Betreiber mindestens [30] Kalendertage vor der Durchführung eines Updates, das die Funktionsweise, Genauigkeit, Datenverarbeitung oder Compliance-Eigenschaften des KI-Systems wesentlich verändert (wesentliches Update). Die Benachrichtigung umfasst: (a) Beschreibung der Änderung, (b) erwartete Auswirkungen auf Leistungskennzahlen, (c) aktualisierte Risikobewertung, (d) aktualisierte technische Dokumentation und Gebrauchsanweisung. Der Betreiber hat das Recht, wesentliche Updates innerhalb von [14] Tagen nach Benachrichtigung abzulehnen und die bisherige Version weiterzunutzen. Nicht-wesentliche Updates (Bugfixes, Sicherheitspatches) werden mit [7] Tagen Vorlauf angekündigt und dokumentiert."

---

AGB-rechtliche Fallstricke bei KI-Verträgen {#agb-fallstricke}

Die meisten KI-Anbieter verwenden vorformulierte Vertragsbedingungen — also Allgemeine Geschäftsbedingungen im Sinne des § 305 Abs. 1 BGB. Das hat erhebliche Konsequenzen für die Wirksamkeit einzelner Klauseln.

Einbeziehungskontrolle (§ 305 Abs. 2 BGB)

AGB werden nur dann Vertragsbestandteil, wenn der Verwender bei Vertragsschluss ausdrücklich auf sie hinweist und dem Vertragspartner die Möglichkeit verschafft, in zumutbarer Weise von ihrem Inhalt Kenntnis zu nehmen. Bei KI-Verträgen ist dies problematisch, wenn die AGB auf verschiedene Dokumente verteilt sind (Terms of Service, Privacy Policy, Acceptable Use Policy, Data Processing Agreement) und sich nur über mehrere Links erschließen. Prüfen Sie, ob alle Vertragsdokumente tatsächlich wirksam einbezogen wurden.

Überraschende Klauseln (§ 305c Abs. 1 BGB)

Klauseln, mit denen der Vertragspartner nicht zu rechnen braucht, werden nicht Vertragsbestandteil. Bei KI-Verträgen ist das etwa der Fall, wenn in den allgemeinen Nutzungsbedingungen versteckt ein umfassendes Recht zur Nutzung der Kundendaten zum Modelltraining enthalten ist. Solche Klauseln sind überraschend im Sinne des § 305c BGB und damit unwirksam.

Inhaltskontrolle (§ 307 BGB)

AGB-Klauseln sind unwirksam, wenn sie den Vertragspartner „entgegen den Geboten von Treu und Glauben unangemessen benachteiligen" (§ 307 Abs. 1 BGB). Bei KI-Verträgen sind insbesondere folgende Klauseln kritisch:

• Vollständiger Haftungsausschluss für KI-Fehler: Ein pauschaler Ausschluss der Haftung für fehlerhafte KI-Ergebnisse verstößt in der Regel gegen § 307 Abs. 2 Nr. 2 BGB, weil er wesentliche Rechte aushöhlt, die sich aus der Natur des Vertrages ergeben.
• Einseitiges Änderungsrecht: Klauseln, die dem Anbieter erlauben, das KI-Modell jederzeit und ohne Zustimmung zu ändern, benachteiligen den Betreiber unangemessen, weil sie den Vertragsgegenstand einseitig verändern.
• Unbeschränkte Datennutzung: Die Klausel, wonach der Anbieter alle Eingabedaten „zur Verbesserung seiner Dienste" nutzen darf, ist regelmäßig unwirksam, wenn sie nicht klar begrenzt und für den Kunden transparent ist.

Vorrang der Individualabrede (§ 305b BGB)

Individuelle Vertragsabreden haben Vorrang vor AGB. Das bedeutet: Wenn Sie mit dem Anbieter eine individuelle Klausel zum Trainingsverbot oder zur Haftung aushandeln, geht diese der AGB-Regelung vor — selbst wenn die AGB etwas anderes bestimmen. Dokumentieren Sie Individualabreden stets schriftlich und verweisen Sie im Vertrag explizit auf den Vorrang.

---

Häufig gestellte Fragen (FAQ) {#faq}

Braucht jeder KI-Vertrag alle 10 Klauseln?

Nicht zwingend in vollem Umfang. Der konkrete Klauselkatalog hängt von der Risikoklasse des KI-Systems ab. Für Hochrisiko-KI-Systeme im Sinne des Art. 6 VO (EU) 2024/1689 sind sämtliche 10 Klauseln dringend empfehlenswert. Für KI-Systeme mit geringerem Risiko — etwa interne Textzusammenfassungen — können einzelne Klauseln vereinfacht werden. Die Klauseln 2 (AVV), 4 (Haftung), 7 (Trainingsverbot) und 9 (Exit) sollten jedoch in jedem KI-Vertrag enthalten sein, unabhängig von der Risikoklasse.

Gelten die Klauseln auch für US-amerikanische KI-Anbieter?

Ja. Wenn ein US-Anbieter Daten von Personen im EWR verarbeitet, gilt die DSGVO kraft ihres Marktortprinzips (Art. 3 Abs. 2 VO (EU) 2016/679). Der AI Act gilt ebenfalls für Anbieter, die KI-Systeme in der EU in Verkehr bringen, unabhängig von ihrem Sitz (Art. 2 Abs. 1 VO (EU) 2024/1689). In der Praxis sind US-Anbieter bei individuellen Vertragsverhandlungen oft weniger flexibel. Desto wichtiger ist es, die AGB sorgfältig auf die genannten Fallstricke zu prüfen und zumindest die kritischsten Punkte als Individualabrede (§ 305b BGB) durchzusetzen. Zusätzlich ist der Drittlandtransfer nach Art. 44-49 DSGVO vertraglich abzusichern, etwa durch Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Wie verhält sich der KI-Vertrag zur bestehenden Betriebsvereinbarung?

Betriebsvereinbarungen nach § 87 Abs. 1 Nr. 6 BetrVG regeln den Einsatz von KI-Systemen im Innenverhältnis zwischen Arbeitgeber und Betriebsrat. Der KI-Vertrag regelt das Außenverhältnis zum Anbieter. Beide Dokumente müssen aufeinander abgestimmt sein. Enthält die Betriebsvereinbarung beispielsweise ein Verbot der Verhaltens- und Leistungskontrolle durch KI, muss der Vertrag sicherstellen, dass der Anbieter entsprechende technische Einschränkungen umsetzt. Widersprüche zwischen Betriebsvereinbarung und Anbietervertrag erzeugen erhebliche Compliance-Risiken.

Was passiert, wenn der Anbieter die zugesicherte Genauigkeit nicht einhält?

Wenn die Genauigkeitsmetriken als Beschaffenheitsvereinbarung im Sinne des § 434 Abs. 2 BGB (Kaufvertrag) bzw. § 633 Abs. 2 BGB (Werkvertrag) vertraglich fixiert sind, liegt bei Unterschreitung ein Sachmangel vor. Der Betreiber kann dann Nacherfüllung verlangen (§ 439 bzw. § 635 BGB), mindern (§ 441 bzw. § 638 BGB) oder bei erheblichen Mängeln vom Vertrag zurücktreten (§ 323 BGB). Bei SaaS-Verträgen, die als Mietverträge eingeordnet werden, gelten die §§ 536 ff. BGB. Zusätzlich greifen die vertraglich vereinbarten SLA-Gutschriften. Entscheidend ist, dass die Genauigkeitswerte messbar und nachprüfbar definiert sind — andernfalls bleibt der Mangelanspruch in der Praxis durchsetzungsschwach.

Muss ich als Betreiber den Vertrag bei jeder Modell-Aktualisierung anpassen?

Nicht bei jedem Update, aber bei wesentlichen Änderungen. Art. 16 lit. f VO (EU) 2024/1689 definiert eine wesentliche Änderung als eine Änderung, die „vom Anbieter zum Zeitpunkt der ursprünglichen Konformitätsbewertung nicht vorhergesehen oder geplant wurde". In der Praxis empfiehlt es sich, im Vertrag eine Wesentlichkeitsschwelle zu definieren (z. B. Genauigkeitsabweichung > 2 Prozentpunkte, Änderung der Datenverarbeitung, neues Modell). Für Updates unterhalb dieser Schwelle reicht die Dokumentation; bei Überschreitung sollte ein formales Change-Request-Verfahren mit Zustimmungsvorbehalt greifen.

---

Nächste Schritte {#naechste-schritte}

Ein rechtssicherer KI-Vertrag ist nur ein Baustein der KI-Compliance. Er setzt voraus, dass Sie Ihre KI-Systeme inventarisiert, die Risikoklasse bestimmt und den Anbieter einer Due Diligence unterzogen haben. Die folgenden Leitfäden helfen Ihnen bei den weiteren Schritten:

• KI-Vendor Due Diligence: 20-Punkte-Checkliste zur Anbieterprüfung vor Vertragsschluss.
• KI-Produkthaftung in der EU: Haftungsrisiken bei fehlerhaften KI-Ergebnissen verstehen.
• KI-Compliance-Checkliste: Der vollständige Fahrplan zur AI-Act-Konformität.

KI Comply unterstützt Unternehmen dabei, ihre KI-Compliance strukturiert aufzubauen — von der Schulung über die Dokumentation bis zur Vertragsgestaltung. Unsere Plattform bildet den gesamten Compliance-Prozess digital ab und sorgt dafür, dass keine Pflicht übersehen wird.

Jetzt kostenlos starten und KI-Compliance aufbauen.