AI Regulatory Intelligence — by YRproject

sachliche Einordnung · nachvollziehbar bis zur Primärquelle

Compliance-Plattform Zusammenarbeiten LinkedIn NL·EN·DE
Wegweiser

Die KI-Verordnung für den Einkäufer: Lieferantenanforderungen und Vertragsklauseln

Verabschiedet 2026-06-22 · ≈ 2 Min. Lesezeit · Dirk Baaijen

Wer KI einkauft, wird unter der KI-Verordnung oft Betreiber und trägt eigene Pflichten. Ein Lieferant, der sich für "KI-Verordnungs-konform" erklärt, ist keine Garantie. Diese Übersicht erläutert, was im Vorfeld abzufragen ist und welche Klauseln in den Vertrag gehören.

Kurze Antwort: Der Einkauf ist das Tor, durch das KI in die Organisation gelangt — und damit ein Kontrollpunkt für Compliance. Wer ein KI-System einkauft, wird unter der KI-Verordnung meist Betreiber und erhält eigene Pflichten. Die Erklärung "wir sind KI-Verordnungs-konform" eines Lieferanten sagt ohne Nachweis wenig aus. Der Einkäufer muss abfragen, festhalten und nachweisbar machen.

Ihre Rolle ändert sich beim Einkauf

Kaufen Sie ein KI-System ein, sind Sie in der Regel kein Anbieter, sondern Betreiber. Das klingt leichter, bringt aber eigene Pflichten mit sich: das System gemäß der Betriebsanleitung einsetzen, menschliche Aufsicht sicherstellen, Eingabedaten kontrollieren und bei Hochrisiko-KI Protokolle aufbewahren. Vorsicht: Passen Sie ein eingekauftes System tiefgreifend an oder bringen Sie es unter eigenem Markennamen in Verkehr, können Sie selbst zum Anbieter werden — mit weitaus schwereren Pflichten.

Due Diligence vor der Unterschrift

Ein Lieferant muss nachweisen können, nicht nur behaupten. Fragen Sie ab:

  • Risikoklassifizierung. In welche Klasse der KI-Verordnung fällt das System und warum?
  • Konformität. Gibt es eine Konformitätsbewertung, CE-Kennzeichnung und EU-Konformitätserklärung, wo erforderlich?
  • Dokumentation. Erhalten Sie technische Dokumentation und eine brauchbare Betriebsanleitung?
  • Transparenz und Daten. Welche Daten wurden verwendet, und wie wird Verzerrung beherrscht?
  • Sicherheit. Wie wurden Genauigkeit und Robustheit geprüft — stimmen Sie sich mit dem CISO ab.

Was in den Vertrag gehört

Halten Sie die Vereinbarungen verbindlich fest. Siehe KI in Verträgen für den umfassenderen Klauselsatz; für den Einkauf sind diese Kernpunkte wesentlich:

  • Rollenverteilung: Wer ist Anbieter, wer Betreiber, und wer trägt welche Pflicht?
  • Compliance-Garantien mit Beweislast beim Lieferanten.
  • Mitwirkungspflicht bei Audits, Vorfällen und Aufsichtsanfragen.
  • Aktualisierungs- und Wartungspflichten für die Dauer der Nutzung.
  • Haftung und Freistellung — koppeln Sie dies an das Haftungsrisiko.

Arbeiten Sie zusammen, kaufen Sie nicht allein

Der Einkauf kann die Anforderungen formulieren, aber nicht alle beurteilen. Beziehen Sie den DSB bei personenbezogenen Daten, den CISO bei der Sicherheit und die Geschäftsführung bei der Risikobereitschaft ein. Verankern Sie dies im Governance-Rahmen.

Was zu tun ist

  • Bestimmen Sie Ihre Rolle (Anbieter oder Betreiber) je Einkauf.
  • Verwenden Sie eine Due-Diligence-Checkliste für KI-Lieferanten.
  • Verlangen Sie Nachweise, keine Erklärungen: Dokumentation, Konformität, Testergebnisse.
  • Standardisieren Sie Vertragsklauseln für den KI-Einkauf.
  • Ordnen Sie die Haftung ausdrücklich der richtigen Partei zu.

Der Einkäufer ist die erste Verteidigungslinie. Was hier nicht abgefragt wird, wird später zu einer Compliance-Lücke, die die Organisation selbst schließen muss.

Quellen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordnung (EU) 2024/1689 (KI-Verordnung): Rollenverteilung Anbieter/Betreiber und Pflichten je Risikoklasse.
  2. https://eur-lex.europa.eu/eli/dir/2024/2853/oj
    Richtlinie (EU) 2024/2853 (überarbeitete Produkthaftungsrichtlinie): Haftungsrisiko, das sich vertraglich zuordnen lässt.

Share on LinkedIn

Lesen Sie auch

A

HR-KI einkaufen: die Anbieter-Checkliste für ATS- und Recruiting-Software

Wer HR-KI oder ATS-Software einkauft, erbt Pflichten aus der KI-Verordnung. Diese Checkliste liefert die Fragen, die Sie vor der Unterschrift an den Anbieter stellen — Hochrisiko oder nicht, CE-Kennzeichnung, Dokumentation, Bias-Tests, Protokollierung — samt der vertraglichen Absicherungen.

U

KI-Beschaffung durch die öffentliche Hand: KI-Verordnungs-Konformität als Vergabeanforderung

Wer als Behörde ein KI-System beschafft, wird nach der KI-Verordnung Betreiber und manchmal selbst Anbieter. Machen Sie Konformität, Dokumentation und Grundrechtsprüfung zu harten Anforderungen in der Ausschreibung, nicht zu Restposten im Vertrag.

W

KI in Verträgen: welche Klauseln Sie bei Einkauf und Lieferung festlegen

Es gibt kein eigenes KI-Vertragsgesetz, doch KI-Verordnung, Produkthaftung und Data Act bestimmen zusammen, was vertraglich zu regeln ist: Rollenverteilung, Konformitätsgarantien, Dokumentation, Haftung, Daten und IP, Protokollierung und Exit. Dieser Wegweiser fasst die Kernklauseln zusammen.

Dirk Baaijen

Über diese Wissensdatenbank

Zusammengestellt und gepflegt von YRproject — Programm- und Projektsteuerung an der Schnittstelle von digitaler Transformation, KI und Regulierung. Jede sachliche Aussage ist bis zur Primärquelle nachvollziehbar. Hinter YRproject steht Dirk Baaijen Über & Methode →

Ein Projekt oder Programm? Mit YRproject arbeiten →

Das monatliche Briefing

KI-Regulierung in fünf Minuten: was sich geändert hat, was kommt und was es bedeutet. Kein Spam, jederzeit abbestellbar.

Ihre Adresse wird nur hierfür verwendet und auf eigenen Servern gespeichert.