Kostenlos beraten
EU-KI-Verordnung Beschaffung für deutsche Unternehmen
compliance

EU-KI-Verordnung Beschaffung: Anforderungen für Unternehmen

Kurzantwort

Unter der EU-KI-Verordnung müssen deutsche Unternehmen schon im Einkauf die Unterlagen und Vertragszusagen anfordern, die sie als Betreiber später brauchen. Wer potenzielle Hochrisiko-KI oder GPAI-basierte Systeme beschafft, sollte vor Vertragsabschluss insbesondere Konformitätsdokumentation, Nutzungsanweisungen, Vorgaben zur menschlichen Aufsicht, Logging und Eskalationspflichten absichern.

  • Deutsche Unternehmen sind beim Einkauf meist Betreiber, nicht Anbieter.
  • Betreiberpflichten nach Art. 26 KI-VO greifen nur sauber, wenn der Vertrag die nötigen Informationen vom Anbieter sichert.
  • Für Hochrisiko-KI sind Konformitätsbewertung, CE-Kennzeichnung und technische Dokumentation zentrale Beschaffungsfragen.
  • DSGVO, AVV und Drittlandtransfer-Prüfung laufen parallel zur KI-VO-Beschaffung.

EU-KI-Verordnung Beschaffung bedeutet für deutsche Unternehmen: Vor Vertragsabschluss mit einem KI-Anbieter müssen Sie prüfen, welche Informationen, Unterlagen und Mitwirkungspflichten Sie brauchen, um Ihre Pflichten als Betreiber erfüllen zu können. Dazu gehören je nach Use Case insbesondere Konformitätsdokumentation, Nutzungsanweisungen, Vorgaben zur menschlichen Aufsicht, Logging, Incident-Eskalation und parallel die DSGVO-Prüfung von AVV, SCC und Datenflüssen.

Wer erst nach Pilot oder Rollout merkt, dass diese Unterlagen fehlen, hat die Compliance-Arbeit zu spät angesetzt. Für deutsche Unternehmen im Einkauf, in der Rechtsabteilung, im Datenschutz und in der IT ist KI-Beschaffung deshalb keine reine Einkaufsfrage, sondern eine Governance- und Vertragsfrage.

Dieser Beitrag enthält allgemeine Informationen und ersetzt keine Rechtsberatung zum konkreten Einzelfall.

Betreiber oder Anbieter: Wer trägt welche Pflicht?

Die EU-KI-Verordnung unterscheidet klar zwischen Anbietern und Betreibern:

  • Anbieter entwickeln ein KI-System oder bringen es unter eigenem Namen in Verkehr.
  • Betreiber setzen ein KI-System für eigene geschäftliche Zwecke ein.

Für deutsche Unternehmen im Enterprise-Einkauf ist der Normalfall eindeutig: Sie sind Betreiber. Das gilt etwa bei KI-gestütztem Recruiting, Kreditprüfung, Dokumentenanalyse, Kundenservice oder internen Assistenzsystemen, die von einem Drittanbieter bezogen werden.

Die Folge ist praktisch wichtig: Viele Betreiberpflichten nach Art. 26 KI-VO lassen sich nur erfüllen, wenn der Vertrag mit dem Anbieter die nötige Unterstützung absichert. Ohne Zugang zu Dokumentation, Nutzungsgrenzen und Eskalationswegen fehlt Ihnen die Grundlage für eine belastbare Freigabe.

Was deutsche Unternehmen bis August 2026 vorbereitet haben sollten

Der zentrale Stichtag für viele Betreiberpflichten liegt beim 2. August 2026. Unsere Frist-Checkliste zur EU-KI-Verordnung zeigt die Übergänge im Detail. Für Beschaffungsteams heißt das vor allem: Vertrags- und Freigabeprozesse sollten deutlich vorher angepasst werden.

Vorbereitet sein sollten insbesondere:

  1. ein internes Inventar aller relevanten KI-Systeme und Pilotprojekte
  2. eine erste Einordnung, ob ein Use Case in Richtung Anhang III Hochrisiko-KI geht
  3. ein Standard-Fragenkatalog für Anbieter
  4. ein Freigabepfad zwischen Einkauf, Legal, Datenschutz, IT und Fachbereich
  5. ein Eskalationsprozess für Vorfälle, Fehlfunktionen und wesentliche Änderungen

Wenn der konkrete Use Case zusätzlich personenbezogene Daten betrifft, sollten Sie parallel die DSGVO-KI-Beschaffung und die DSGVO-Checkliste für KI-Tools mitdenken. In der Praxis sind diese Prüfpfade eng verzahnt.

Welche Unterlagen Unternehmen vor Vertragsabschluss anfordern sollten

Die Kernfrage der EU-KI-Verordnung Beschaffung lautet nicht nur: “Dürfen wir dieses Tool einkaufen?” Die wichtigere Frage ist: “Welche Unterlagen brauchen wir vom Anbieter, damit wir es rechtssicher einsetzen dürfen?“

1. Einordnung des Systems und vorgesehener Einsatzbereich

Lassen Sie sich vom Anbieter schriftlich erklären:

  • welches Produkt oder Modul konkret beschafft wird
  • welchen vorgesehenen Verwendungszweck der Anbieter dokumentiert
  • ob das System aus Sicht des Anbieters unter Anhang III fallen kann
  • ob es sich um ein GPAI-basiertes System, ein eingebettetes Feature oder ein separates KI-System handelt

Diese Einordnung ist keine Formalie. Sie entscheidet, ob Ihr Beschaffungsprozess eher auf Transparenz und Datenschutz fokussiert ist oder ob weitergehende Betreiberpflichten vorbereitet werden müssen.

2. Technische Dokumentation und Konformitätsunterlagen

Bei potenzieller Hochrisiko-KI sollten deutsche Unternehmen prüfen, ob der Anbieter folgende Unterlagen bereitstellen kann:

  • Informationen zur Konformitätsbewertung
  • technische Dokumentation nach dem Modell der Anhang-IV-Unterlagen
  • Erklärung des vorgesehenen Einsatzbereichs und relevanter Systemgrenzen
  • Hinweise auf bekannte Einschränkungen, Fehlerraten oder notwendige Kontrollmaßnahmen

Sie müssen als Betreiber diese Unterlagen nicht selbst erstellen. Aber ohne sie können Sie kaum belegen, warum ein Einsatz freigegeben wurde.

3. CE-Kennzeichnung und Konformitätserklärung

Wenn das System als Hochrisiko-KI in Verkehr gebracht wird, gehört die CE-Kennzeichnung in die Beschaffungsprüfung. Unternehmen sollten sich bestätigen lassen:

  • ob CE-Kennzeichnung erforderlich ist
  • ob sie bereits vorliegt
  • ob eine Konformitätserklärung verfügbar ist
  • wie über spätere Änderungen oder Beanstandungen informiert wird

Gerade im Einkauf wird dieser Punkt oft zu spät gestellt. Dann ist der Vertrag bereits weitgehend verhandelt, aber die regulatorische Nachweiskette bleibt offen.

4. Nutzungsanweisungen und menschliche Aufsicht

Art. 26 KI-VO setzt voraus, dass Betreiber das System entsprechend den verfügbaren Nutzungsanweisungen einsetzen und eine geeignete menschliche Aufsicht organisieren. Deshalb sollte der Vertrag klar regeln:

  • welche Anweisungen und Betriebsinformationen geliefert werden
  • ob diese für deutsche Teams verständlich und operativ nutzbar sind
  • welche Rollen intern Outputs prüfen, freigeben oder übersteuern müssen
  • wie Änderungen an Modell, Workflow oder Eingabedaten neu bewertet werden

Das ist besonders relevant für sensible Einsatzfelder wie Finanzdienstleistungen oder Rechtsdienstleistungen, in denen Fehlentscheidungen schnell erhebliche Folgen haben.

5. Logging, Vorfälle und Eskalation

Ein belastbarer KI-Vertrag sollte auch regeln, wie Sie als Betreiber auf Vorfälle reagieren können. Fragen Sie daher mindestens nach:

  • verfügbaren Logs und Audit-Spuren
  • Informationspflichten bei schwerwiegenden Vorfällen oder Near Misses
  • Reaktionsfristen des Anbieters
  • Unterstützung bei internen Untersuchungen und bei Anfragen von Behörden

In Deutschland wird die Rolle der Marktüberwachung weiter konkretisiert; die Bundesnetzagentur (BNetzA) wird häufig als zentrale Aufsichtsadresse im Diskurs genannt. Gerade deshalb sollten Unternehmen ihre Eskalationswege nicht offenlassen.

Beschaffungs-Checkliste für deutsche Unternehmen

Vor der Freigabe eines KI-Anbieters sollten Sie diese Punkte abhaken:

  1. Use Case dokumentiert: Fachbereich, Datenarten, Outputs und betroffene Personen sind klar beschrieben.
  2. Rollen geklärt: Ihr Unternehmen ist Betreiber; die Rolle des Anbieters und eventueller Unterauftragnehmer ist nachvollziehbar.
  3. Risikoeinordnung vorgenommen: Es ist dokumentiert, ob Hochrisiko-KI nach Anhang III realistisch betroffen sein kann.
  4. Unterlagen angefordert: Nutzungsanweisungen, technische Dokumentation und Konformitätsinformationen wurden angefragt.
  5. CE-/Konformitätsstatus geprüft: Falls einschlägig, liegt eine klare Aussage zu CE-Kennzeichnung und Konformitätserklärung vor.
  6. Menschliche Aufsicht eingeplant: Zuständigkeiten, Override-Möglichkeiten und Kontrollschritte sind definiert.
  7. Logging und Incident-Pflichten geregelt: Der Vertrag deckt Eskalation, Informationspflichten und Unterstützung des Anbieters ab.
  8. DSGVO-Paket geprüft: AVV, SCC, Subprozessoren und Datenflüsse sind parallel bewertet.
  9. Interne Freigabe organisiert: Einkauf, Legal, Datenschutz und IT haben einen gemeinsamen Entscheidungsstand.

Welche Vertragsklauseln unter deutschem Recht besonders wichtig sind

Für deutsche Unternehmen reicht es nicht, sich auf allgemeine Produktunterlagen zu verlassen. Entscheidend ist, was vertraglich abgesichert wird.

Besonders wichtig sind:

  • Dokumentationszugang: Recht auf Anforderung relevanter Informationen und Updates bei wesentlichen Änderungen
  • Nutzungsgrenzen: Klarer vorgesehener Einsatzbereich und Mitteilungspflicht bei Scope-Änderungen
  • Aufsicht und Betrieb: Verpflichtung des Anbieters, nutzbare Anweisungen und Betriebsinformationen bereitzustellen
  • Vorfall-Eskalation: Fristen, Ansprechpartner und Kooperationspflichten bei Risiken oder sicherheitsrelevanten Ereignissen
  • Datenschutz-Paket: Abstimmung von Hauptvertrag, AVV, SCC und technischer Realität

Wo Standardbedingungen als AGB verwendet werden, lohnt sich ein genauer Blick auf Reichweite und Durchsetzbarkeit einzelner Klauseln. Für komplexe Beschaffungsvorhaben mit mehreren Regelungsschichten kann eine KI-Compliance-Rechtsberatung sinnvoll sein.

Häufige Fehler bei KI-Beschaffung

Wiederkehrende Schwachstellen in deutschen Unternehmen sind:

  • Pilot mit echten Daten vor rechtlicher Vorprüfung
  • Fokus nur auf AVV und Datenschutz, ohne KI-VO-Unterlagen anzufordern
  • keine schriftliche Einordnung des vorgesehenen Einsatzbereichs
  • keine Regelung zu menschlicher Aufsicht und Override
  • fehlende Incident-Eskalation im Vertrag
  • keine klare Abstimmung zwischen Einkauf, Legal, Datenschutz und IT

Diese Fehler sind vermeidbar. Ein standardisierter Beschaffungsprozess verkürzt oft sogar die Freigabedauer, weil Rückfragen früher geklärt werden.

FAQ zur EU-KI-Verordnung in der Beschaffung

Müssen alle KI-Tools gleich intensiv geprüft werden?

Nein. Entscheidend ist die Risikoklasse und der konkrete Einsatz. Ein internes Assistenztool ohne Anhang-III-Bezug wird anders geprüft als ein KI-System für Bewerberauswahl, Kreditprüfung oder kritische Infrastruktur. Dennoch sollte jede KI-Beschaffung mit einer dokumentierten Ersteinstufung beginnen.

Was sollten Unternehmen vor der Unterschrift vom Anbieter verlangen?

Mindestens sollten Unternehmen die Systembeschreibung, Angaben zum vorgesehenen Einsatzbereich, verfügbare Nutzungsanweisungen, Informationen zur menschlichen Aufsicht, Logging-Möglichkeiten, Incident-Prozesse und bei Hochrisiko-KI Aussagen zu Konformitätsbewertung und CE-Kennzeichnung verlangen. Ohne diese Unterlagen ist eine belastbare Betreiberfreigabe schwer möglich.

Was ist der Unterschied zwischen Anbieter und Betreiber?

Anbieter entwickelt oder vermarktet das KI-System. Betreiber nutzt es im eigenen Unternehmen. Für deutsche Unternehmen ist diese Abgrenzung zentral, weil Anbieter eher die technische Konformitätslast tragen, während Betreiber die rechtmäßige Einführung, Aufsicht und Nutzung im eigenen Betrieb organisieren müssen.

Reicht ein AVV für KI-Beschaffung aus?

Nein. Ein AVV löst nur einen Teil der datenschutzrechtlichen Fragen. Die EU-KI-Verordnung Beschaffung verlangt zusätzlich Informationen und Vertragszusagen zu Dokumentation, Aufsicht, Vorfällen und Systemgrenzen. Deswegen sollten DSGVO- und KI-VO-Prüfung zusammen geplant werden.

Nächster Schritt

Wenn Ihr Unternehmen gerade einen KI-Anbieter prüft, sollte die Freigabe nicht beim Preisblatt oder beim AVV enden. Compound Law unterstützt deutsche Unternehmen bei KI-Beschaffung, Vertragsprüfung, DSGVO-Abstimmung und EU-KI-Verordnungs-Readiness für Einkauf, Rechtsabteilung und Fachbereiche.

Für die nächste Vertiefung empfehlen wir unsere EU-AI-Act-Frist-Checkliste, die DSGVO-Checkliste für KI-Tools und den Leitfaden zur DSGVO-KI-Beschaffung.

Dieser Beitrag enthält allgemeine Informationen zur KI-Beschaffung in Deutschland und ersetzt keine rechtliche Beratung für Ihren konkreten Einsatzfall.

Weitere Compliance-Guides

KI-Mitarbeiterüberwachung Deutschland Arbeitgeber-Leitfaden DSGVO BetrVG
compliance

KI-Mitarbeiterüberwachung: August 2026 DSGVO- und AI-Act-Leitfaden

KI-Mitarbeiterüberwachung ist in Deutschland nur in engen Fällen zulässig. Erfahren Sie, was ab 2. August 2026 zu DSGVO, Betriebsrat und DSFA gilt.
KI-Beschaffung DSGVO Workflow für deutsche Unternehmen
Leitfäden

KI-Beschaffung DSGVO: AI-Act-Compliance vor dem Rollout

KI-Beschaffung DSGVO in Deutschland: So prüfen Unternehmen AVV, SCC, DSFA und AI-Act-Pflichten vor Pilot, Einkauf und Go-live.
KI-Anbieter Due Diligence Checkliste fuer Unternehmen in Deutschland
Leitfäden

KI-Anbieter Due Diligence in Deutschland: Checkliste

KI-Anbieter Due Diligence in Deutschland: Checkliste fuer DSGVO, KI-Verordnung, Vertrag und operative Freigabe vor der Unterschrift.

Häufige Fragen

Nein. Die Prüfintensität hängt davon ab, ob es sich um ein allgemeines Assistenztool, ein GPAI-basiertes System oder potenzielle Hochrisiko-KI nach Anhang III der KI-Verordnung handelt. Viele Standardfunktionen mit geringem Risiko benötigen keine vollständige Hochrisiko-Dokumentation. Trotzdem sollten Unternehmen im Einkauf immer klären, welche Risikoklasse realistisch betroffen ist.

Mindestens sollten Sie die Einordnung des Systems, verfügbare technische Dokumentation, Nutzungsanweisungen, Angaben zur menschlichen Aufsicht, Incident-Eskalationswege, Informationen zu Logging sowie Aussagen zur CE-Kennzeichnung und Konformitätsbewertung bei Hochrisiko-KI anfordern. Wenn personenbezogene Daten betroffen sind, kommen AVV, SCC und die Prüfung der tatsächlichen Datenflüsse hinzu.

Anbieter entwickelt ein KI-System oder bringt es unter eigenem Namen in Verkehr. Betreiber ist das Unternehmen, das das System für eigene Zwecke einsetzt. Für deutsche Einkaufsteams ist diese Abgrenzung entscheidend, weil Anbieter die technische Konformitätsdokumentation erstellen, Betreiber aber die Nutzung rechtssicher organisieren und ihre Pflichten nach Art. 26 KI-VO erfüllen müssen.

Nein. Ein AVV deckt nur die datenschutzrechtliche Auftragsverarbeitung ab. Für KI-Beschaffung unter der EU-KI-Verordnung brauchen Unternehmen zusätzlich vertragliche Zusagen zu Konformität, menschlicher Aufsicht, Dokumentation, Vorfällen und Zusammenarbeit mit Marktüberwachungsbehörden. Bei vielen Beschaffungsvorgängen laufen DSGVO- und KI-VO-Prüfung deshalb parallel.

Kostenlos beraten