Was muss in KI-Anbieter-Verträgen nach EU AI Act stehen?
Rollen klären
Der EU AI Act unterscheidet zwei Rollen: Provider (entwickelt das System) und Deployer (setzt es ein). Beide haben unterschiedliche Pflichten.
Wer ein Drittanbieter-System unverändert einsetzt, ist Deployer und übernimmt vor allem Aufsichts- und Dokumentations-Pflichten. Wer wesentliche Anpassungen macht (Re-Training, neuer Use Case), wird selbst zum Provider - mit allen Konformitätsbewertungs-Pflichten.
Mindestklauseln im Vertrag
Klarstellung der Rolle: Anbieter bestätigt seine Provider-Rolle und Erfüllung der Art. 16-Pflichten.
Dokumentations-Zugriff: Du erhältst die technische Dokumentation nach Art. 13 + Anhang IV.
Trainings-Daten-Auskunft: Mindestens die Zusammenfassung nach Art. 53 Abs. 1 d.
Bias-Garantien: Anbieter bestätigt Erfüllung von Art. 10 (Datenqualität).
Incident-Reporting: Anbieter meldet schwerwiegende Vorfälle innerhalb 15 Tagen (Art. 73).
Audit-Recht: Du oder beauftragte Notified Body darf prüfen.
Konformitätserklärung: Anbieter stellt sie vor Vertragsschluss zur Verfügung.
Update-Pflicht: Anbieter informiert über Modell-Updates die zur Re-Konformitätsbewertung führen.
Roter-Faden-Check
Vor Vertragsunterzeichnung: Drei Fragen klären. (1) In welcher Risikoklasse ist das System? (2) Wer trägt welche Pflichten? (3) Wie reagieren wir auf Konformitäts-Updates?
Bei großen Anbietern (OpenAI, Google, AWS)
Standardverträge der großen Cloud-/KI-Anbieter sind oft EU-AI-Act-konform - aber lies das DPA (Data Processing Addendum). Häufig fehlt aber das Incident-Reporting-SLA. Hier nachfragen oder eigene Zusatzklauseln aushandeln.
thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.
:quality(85))
:quality(85))