AIRiskAware
Zurück zu EinblickenAuf Englisch lesen
Practical Guide 9 Min. Lesen 2026

KI-Anbieter Due Diligence: Was vor Vertragsabschluss zu fragen ist

Der Kauf eines KI-Systems überträgt keine Governance-Pflichten auf den Anbieter. Hier ist der Due-Diligence-Prozess, der Ihre Organisation schützt.

KI-Anbieter Due Diligence: Was vor Vertragsabschluss zu fragen ist

Key Takeaways

  • Die Beschaffung eines KI-Systems von einem Drittanbieter überträgt Ihre Governance-Pflichten nicht. Nach dem EU AI Act tragen Betreiber von KI-Systemen unabhängige rechtliche Pflichten.

  • Die meisten Enterprise-KI-Anbieterverträge sind darauf ausgelegt, die Haftung des Anbieters zu begrenzen und Compliance-Verantwortung an den Kunden zu übertragen.

  • KI-Anbieter-Verträge sollten enthalten: Darstellungen zu Governance-Praktiken, Prüfrechte, Vorfallmeldepflichten, Datenverarbeitungsbedingungen und Änderungsmanagement-Bestimmungen.

  • Konzentrationsrisiko: Kritische Abhängigkeiten von wenigen KI-Plattformanbietern schaffen operationelles Risiko.

"Nur zu Informationszwecken. Dieser Artikel stellt keine rechtliche, regulatorische, finanzielle oder professionelle Beratung dar. Konsultieren Sie einen qualifizierten Spezialisten für spezifische Beratung."

Der Drittanbieter-Verantwortungs-Irrtum

Wenn eine Organisation ein KI-System von einem Anbieter kauft, glauben viele, dass die Governance-Verantwortung mit dem Kauf übergeht. Das stimmt nicht. Nach dem EU AI Act sind Betreiber-Pflichten unabhängig und nicht durch den Kauf eliminierbar. Eine Organisation, die ein Hochrisiko-KI-System verwendet, trägt Betreiber-Pflichten unabhängig davon, wer das System gebaut hat.

Das Anbieter-Due-Diligence-Framework

Technische Dokumentation: Stellt der Anbieter angemessene technische Dokumentation des KI-Systems bereit? Nach dem EU AI Act sind Anbieter von Hochrisiko-KI-Systemen verpflichtet, Betreibern ausreichende Informationen zur Verfügung zu stellen. Anbieter, die dies nicht können oder wollen, erfüllen entweder ihre eigenen regulatorischen Pflichten nicht oder betreiben Systeme, die nicht angemessen gemanagt werden können.

Bias-Testing: Wurde das KI-System auf Bias über relevante demographische Gruppen getestet? Was waren die Ergebnisse? Welche Abhilfemaßnahmen wurden angewendet?

Datenverarbeitung: Welche Daten verarbeitet das KI-System? Wie werden diese Daten verwendet — insbesondere, werden sie für Modelltraining oder -verbesserung verwendet? Wo werden sie verarbeitet und gespeichert?

Vorfallreaktion: Wie erkennt und kommuniziert der Anbieter KI-System-Ausfälle oder Leistungsdegradation?

Vertragliche Schutzmaßnahmen

Anbieterverträge für KI-Systeme sollten Governance explizit adressieren: Darstellungen zu Governance-Praktiken und regulatorischer Compliance; Prüfrechte, die dem einsetzenden Unternehmen erlauben, KI-Systemleistung und Governance zu bewerten; Vorfallmeldepflichten mit definierten Zeitplänen; Datenverarbeitungsbedingungen; und Bestimmungen zu wesentlichen Änderungen am KI-System oder seinem zugrundeliegenden Modell.