Kostenlos beraten
EU AI Act Beschaffungsanforderungen für Unternehmen beim KI-Einkauf
compliance

EU AI Act Beschaffungsanforderungen für Unternehmen

Kurzantwort

Unternehmen in Deutschland, die KI-Systeme von Drittanbietern einkaufen und einsetzen, sind unter der EU KI-Verordnung meist Betreiber und müssen ihre Compliance-Pflichten deshalb vertraglich absichern. Vor dem 2. August 2026 sollten Beschaffung, Rechtsabteilung und IT insbesondere Konformitätsnachweise, Anleitungen zur menschlichen Aufsicht, Vorfallspflichten und Zugriffsrechte auf technische Unterlagen verhandeln.

  • Die meisten Unternehmen sind beim KI-Einkauf Betreiber, nicht Anbieter.
  • Bei Hochrisiko-KI nach Anhang III müssen Verträge die Pflichten aus Art. 26 KI-VO praktisch absichern.
  • Ein AVV nach DSGVO ersetzt keine AI-Act-Klauseln zu Konformität, Vorfällen und Aufsicht.
  • Spätestens bis zum 2. August 2026 sollten neue und bestehende KI-Verträge überprüft werden.

EU AI Act Beschaffungsanforderungen für Unternehmen bedeuten vor allem eins: Wer KI von einem Drittanbieter einkauft, muss die eigenen Betreiberpflichten aus der KI-Verordnung schon im Vertrag absichern. Spätestens vor dem 2. August 2026 sollten Unternehmen in Deutschland bei Hochrisiko-KI Konformitätsunterlagen, Anweisungen zur menschlichen Aufsicht, Vorfallsmeldungen, Audit-Rechte und klare Mitwirkungspflichten des Anbieters vertraglich verlangen.

Für Einkaufsabteilungen, Legal Teams und Compliance-Verantwortliche ist KI-Beschaffung damit keine reine Preis- oder IT-Frage mehr. Der Vertrag entscheidet, ob Ihr Unternehmen regulatorische Nachweise führen, Risiken eskalieren und den Einsatz eines KI-Systems rechtssicher fortsetzen kann.

Warum KI-Beschaffung jetzt ein Compliance-Thema ist

Die EU KI-Verordnung unterscheidet klar zwischen Anbietern und Betreibern:

  • Anbieter entwickeln ein KI-System und bringen es in Verkehr oder nehmen es in Betrieb.
  • Betreiber setzen ein KI-System für eigene betriebliche Zwecke ein.

Die meisten Unternehmen in Deutschland sind beim Einkauf von KI-Software, APIs oder eingebetteten KI-Funktionen Betreiber. Genau daraus folgt das Beschaffungsproblem: Betreiber können ihre Pflichten nach Art. 26 KI-VO oft nur erfüllen, wenn der Anbieter die nötigen Unterlagen, Zusicherungen und Prozesse liefert.

Ohne passende Vertragsklauseln können Unternehmen zum Beispiel nicht sauber prüfen:

  • ob eine Konformitätsbewertung vorliegt,
  • welche menschliche Aufsicht der Anbieter für das System vorgibt,
  • wie schwere Vorfälle eskaliert werden,
  • ob Logs und technische Informationen verfügbar sind,
  • und ob Datenschutz- und KI-Compliance zusammenpassen.

Einen Überblick über die Fristen liefert unsere EU AI Act Frist-Checkliste für Unternehmen.

Welche KI-Systeme in der Beschaffung besonders kritisch sind

Die größten vertraglichen Risiken entstehen bei Hochrisiko-KI-Systemen nach Anhang III der KI-Verordnung. In der Praxis sind für deutsche Unternehmen vor allem diese Kategorien relevant:

  • HR- und Recruiting-Systeme wie CV-Screening, Bewerberranking oder Leistungsbewertung
  • Kredit- und Scoring-Systeme für Bonitätsprüfung oder automatisierte Finanzentscheidungen
  • Biometrische Systeme für Zugangskontrolle oder Identitätsprüfung
  • Kritische Infrastruktur etwa in Energie, Verkehr, Logistik oder Wasser
  • Branchenlösungen mit regulierten Entscheidungen, etwa in Versicherungen oder im Gesundheitssektor

Wenn Ihr Unternehmen in einem sensiblen Sektor tätig ist, helfen unsere branchenspezifischen Leitfäden zum AI Act für Finanzdienstleister, AI Act für das Gesundheitswesen und AI Act für Rechtsdienstleistungen.

Welche Unterlagen und Zusicherungen Unternehmen vom Anbieter verlangen sollten

1. Nachweis der Konformitätsbewertung

Bei Hochrisiko-KI sollte der Vertrag ausdrücklich regeln, dass der Anbieter die erforderliche Konformitätsbewertung durchgeführt hat und die zugehörige technische Dokumentation bereithält. Unternehmen sollten sich mindestens das Recht sichern,

  • die EU-Konformitätserklärung anzufordern,
  • Einsicht in die technische Dokumentation nach Anhang IV zu erhalten,
  • und aktualisierte Unterlagen zu bekommen, wenn sich das System wesentlich ändert.

Wenn ein Anbieter diese Unterlagen nicht liefern will, ist das kein reines Verhandlungsthema, sondern ein erhebliches Compliance-Warnsignal.

2. CE-Kennzeichnung und Status des Systems

Soweit für das konkrete Hochrisiko-KI-System erforderlich, sollte der Anbieter zusichern,

  • dass die CE-Kennzeichnung ordnungsgemäß angebracht ist,
  • dass die Konformität zum Zeitpunkt der Bereitstellung besteht,
  • und dass Ihr Unternehmen unverzüglich informiert wird, falls die Konformität angezweifelt, eingeschränkt oder aufgehoben wird.

Gerade bei integrierten Produkten oder hybriden Software-Hardware-Lösungen muss die Beschaffung klären, ob zusätzliche Vorgaben aus Produktsicherheitsrecht oder sektoralen EU-Regeln gelten.

3. Vollständige Nutzungsanweisungen und menschliche Aufsicht

Art. 26 KI-VO knüpft die Betreiberpflichten eng an die Gebrauchsanweisungen des Anbieters. Verträge sollten deshalb festlegen, dass der Anbieter verständliche und aktuelle Anweisungen liefert, insbesondere zu:

  • zulässigem Einsatzbereich und Zweckbestimmung,
  • Voraussetzungen für eine wirksame menschliche Aufsicht,
  • Qualitätsgrenzen, Fehlerrisiken und bekannten Einschränkungen,
  • sowie erforderlichen Reaktionsschritten bei Fehlfunktionen.

Für Unternehmen reicht es nicht, KI “mit gesundem Menschenverstand” zu beaufsichtigen. Die Aufsicht muss organisatorisch so umgesetzt werden, wie es das konkrete System verlangt.

4. Vorfallsmeldung, Eskalation und Zusammenarbeit

Auch wenn die formale Meldung schwerer Vorfälle regelmäßig beim Anbieter ansetzt, brauchen Betreiber vertraglich abgesicherte Eskalations- und Informationsrechte. Der Vertrag sollte mindestens vorsehen:

  • unverzügliche Meldung von schweren Vorfällen und Beinahe-Vorfällen,
  • Weitergabe aller Fakten, die für interne Bewertungen oder eine Nutzungsunterbrechung nötig sind,
  • Mitwirkung des Anbieters bei Behördenanfragen,
  • und einen klaren Prozess für Korrekturmaßnahmen, Updates und Rückrufe.

Ohne diese Pflichten kann ein Unternehmen Risiken nicht rechtzeitig aussetzen oder dokumentieren.

5. Audit-Rechte und Zugriff auf technische Nachweise

Beschaffung und Rechtsabteilung sollten ein belastbares Audit-Recht vereinbaren. Dieses muss nicht immer ein Vor-Ort-Audit sein. Entscheidend ist, dass Ihr Unternehmen oder ein beauftragter Berater prüfen kann:

  • technische Dokumentation,
  • Test- und Qualitätsnachweise,
  • Protokollierungs- und Logging-Funktionen,
  • sowie relevante Daten- und Governance-Dokumente.

In vielen Verhandlungen ist ein gestuftes Modell sinnvoll: Dokumentenprüfung als Standard, vertiefte Prüfung bei Vorfällen, Regulatoren-Anfragen oder wesentlichen Änderungen.

Warum AVV und AI-Act-Klauseln getrennt gedacht werden müssen

Ein häufiger Fehler in der Beschaffung ist die Annahme, ein Auftragsverarbeitungsvertrag (AVV) genüge bereits. Das ist unzutreffend. Der AVV deckt die DSGVO-Seite ab, nicht aber die materiellen Betreiberpflichten aus der KI-Verordnung.

Für die Praxis heißt das:

  • Der AVV regelt Rollen, Weisungen, Unterauftragsverarbeiter, Drittlandtransfers und Löschung.
  • Das AI-Act-Addendum oder die KI-spezifischen Vertragsklauseln regeln Konformität, Aufsicht, Vorfälle, Logs, Dokumentation und Mitwirkung.

Wenn ein KI-System personenbezogene Daten verarbeitet, sollten Unternehmen daher den AVV nach Art. 28 DSGVO und ihre DSGVO-Checkliste für KI-Tools zusammen mit den AI-Act-Anforderungen prüfen.

Beschaffungs-Checkliste für Unternehmen vor dem 2. August 2026

Nutzen Sie diese Checkliste für neue Verträge und für die Nachverhandlung bestehender KI-Beschaffung:

  1. System klassifizieren: Handelt es sich um Hochrisiko-KI nach Anhang III oder nur um ein System mit Transparenzpflichten?
  2. Verantwortungsrolle klären: Ist Ihr Unternehmen Betreiber, Anbieter oder beides?
  3. Konformitätsunterlagen anfordern: Liegen Konformitätserklärung, technische Dokumentation und gegebenenfalls CE-Nachweise vor?
  4. Gebrauchsanweisungen prüfen: Sind menschliche Aufsicht, Einsatzgrenzen und Reaktionspflichten dokumentiert?
  5. Vorfallsklauseln verhandeln: Gibt es verbindliche Melde- und Mitwirkungspflichten des Anbieters?
  6. Audit-Rechte absichern: Können Dokumente, Logs und Compliance-Nachweise geprüft werden?
  7. DSGVO-Unterlagen abgleichen: Passen AVV, TOMs, Datenflüsse und AI-Act-Dokumentation zusammen?
  8. Bestandsverträge priorisieren: Welche Altverträge müssen vor August 2026 angepasst werden?

Bestandsverträge: Warum Art. 111 keine Entwarnung ist

Viele Unternehmen hoffen, dass ältere Verträge wegen der Übergangsregeln unberührt bleiben. Diese Sicht ist zu kurz. Übergangsvorschriften können zwar im Einzelfall relevant sein, aber sie helfen oft nicht weiter, wenn:

  • der Einsatzbereich erweitert wird,
  • neue Module oder Features hinzukommen,
  • das Modell oder die technische Architektur wesentlich geändert wird,
  • oder ein Vertrag verlängert und wirtschaftlich neu aufgesetzt wird.

Für die Beschaffung bedeutet das: Bestandsschutz ersetzt keine Vertragsprüfung. Wer vor August 2026 nur neue Deals prüft, übersieht regelmäßig die größeren Risiken in bestehenden KI-Implementierungen.

Deutschland-spezifische Vertragsfragen

AGB-Kontrolle und Individualvereinbarung

AI-Act-Klauseln werden oft in Standardverträgen oder Vendor Terms versteckt. Nach deutschem Recht kann die AGB-Kontrolle nach §§ 305 ff. BGB problematisch werden, wenn Pflichten einseitig verlagert oder Informationsrechte zu stark beschränkt werden. Unternehmen sollten zentrale AI-Act-Regelungen deshalb möglichst ausdrücklich verhandeln und dokumentieren.

Schnittstelle zu Datenschutz und Betriebsverfassungsrecht

Bei HR-, Monitoring- oder Bewertungssystemen kommen zusätzlich DSGVO, BetrVG und interne Mitbestimmungsfragen hinzu. Besonders sensibel sind Systeme, die Beschäftigte bewerten, selektieren oder überwachen. Hier reicht eine rein technische Vendor-Prüfung fast nie aus.

Mehr dazu finden Sie in unseren Leitfäden zu KI im Recruiting, KI-gestützten Hiring-Tools und KI-Mitarbeiterüberwachung.

FAQ

Was sollten Unternehmen bei KI-Beschaffung als Erstes prüfen?

Zuerst sollten Sie das KI-System rechtlich einordnen: Ist es Hochrisiko-KI, ein GPAI-basiertes System oder nur ein transparenzpflichtiges Tool? Ohne diese Klassifizierung lässt sich nicht beurteilen, welche Dokumente, Zusicherungen und Vertragsklauseln tatsächlich erforderlich sind.

Muss jeder KI-Anbieter technische Dokumentation herausgeben?

Nicht in jedem Fall im gleichen Umfang. Bei Hochrisiko-KI ist technische Dokumentation aber zentral, weil Betreiber ihre Pflichten sonst kaum erfüllen können. Unternehmen sollten sich zumindest vertragliche Einsichts- und Update-Rechte sichern, auch wenn Geschäftsgeheimnisse geschützt bleiben müssen.

Reicht es, wenn der Anbieter “AI Act ready” behauptet?

Nein. Marketingaussagen ersetzen keine belastbaren Nachweise. Beschaffungsteams sollten konkrete Dokumente, Zusicherungen, Meldepflichten und Audit-Rechte verlangen. Fehlen diese Punkte, trägt Ihr Unternehmen einen Teil des regulatorischen Risikos selbst.

Was gilt für Unternehmen, die US-KI-Anbieter nutzen?

Auch bei US-Anbietern gelten die EU-Regeln, wenn das System in der EU bereitgestellt oder in Deutschland eingesetzt wird. Dann müssen Unternehmen sowohl die KI-Verordnung als auch die DSGVO, internationale Datentransfers und die Vertragskette mit Unterauftragsverarbeitern sauber prüfen.

Was Unternehmen jetzt tun sollten

Bis zum 2. August 2026 sollten Einkaufsabteilung, Legal und IT gemeinsam eine Prioritätenliste aller eingesetzten und geplanten KI-Systeme erstellen. Danach sollten Hochrisiko-Fälle zuerst vertraglich nachgeschärft, Bestandsverträge überprüft und die DSGVO-Dokumentation mit den AI-Act-Pflichten abgeglichen werden.

Compound Law unterstützt Unternehmen in Deutschland bei der rechtssicheren KI-Beschaffung, bei der Verhandlung von AI-Act-Klauseln und bei der Prüfung von Bestandsverträgen. Diese Seite bietet allgemeine Informationen und ersetzt keine Beratung im Einzelfall. Wenn Sie einen konkreten Beschaffungsvorgang prüfen lassen möchten, können Sie ein Gespräch mit Compound Law vereinbaren.

Weitere Compliance-Guides

Voice API Anbieter Deutschland DSGVO DPA und Support Vergleich
compliance

Voice-API-Anbieter Deutschland: DSGVO, DPA und Support

Vergleich für deutsche Unternehmen: Welche Voice-API-Anbieter sind für DSGVO, AVV oder DPA, EU-Hosting und deutschen Support realistisch prüfbar?
KI-Robotik-Compliance für Unternehmen in Deutschland
compliance

KI-Robotik in Deutschland: Was Unternehmen jetzt tun müssen

KI-Robotik in Deutschland verlangt saubere Klassifizierung, passende AI-Act-Fristen und abgestimmte DSGVO-, BetrVG- und Produktsicherheits-Compliance.
Regulatorische Compliance in Deutschland fuer Unternehmen
Leitfäden

Regulatorische Compliance in Deutschland: Praxissystem

Regulatorische Compliance in Deutschland uebersetzt Pflichten in Kontrollen, Zustaendigkeiten und dokumentierte Ablaeufe fuer Datenschutz, KI und Governance.

Häufige Fragen

Nein. Nicht jedes KI-System ist Hochrisiko-KI. Viele Standard-Tools mit unterstützenden KI-Funktionen fallen nur unter Transparenz- oder allgemeine Governance-Pflichten. Beschaffungsteams sollten aber jedes relevante System klassifizieren, weil sich die Vertragsanforderungen je nach Risikostufe deutlich unterscheiden.

Nein. Ein AVV regelt die Verarbeitung personenbezogener Daten nach Art. 28 DSGVO. Die Betreiberpflichten nach Art. 26 KI-VO verlangen zusätzlich Regelungen zu technischer Dokumentation, Anleitungen zur Nutzung, menschlicher Aufsicht, Protokollierung, Vorfalleskalation und Zusammenarbeit mit Behörden. In vielen Fällen brauchen Unternehmen beides parallel.

Häufig ja. Auch wenn Übergangsvorschriften nach Art. 111 KI-VO je nach Bestandssystem relevant sein können, lösen Verlängerungen, neue Module, geänderte Einsatzbereiche oder wesentliche technische Änderungen oft eine neue Compliance-Prüfung aus. Unternehmen sollten Altverträge deshalb frühzeitig auf AI-Act-Lücken prüfen.

Für die Marktüberwachung nach der KI-Verordnung wird in Deutschland eine zentrale Rolle der Bundesnetzagentur vorbereitet, insbesondere für Bereiche nach Anhang III ohne bestehende sektorspezifische Marktüberwachungsstrukturen. In regulierten Produktbereichen und bei Datenschutzthemen können daneben weitere zuständige Behörden relevant sein.

Kostenlos beraten