← Zurück zum Blog

Verantwortungsvolle KI ist ein Einkaufs-Problem, kein Philosophie-Problem

Alexandros Fotiadis
ki einkauf governance compliance lieferantenmanagement
Verantwortungsvolle KI ist ein Einkaufs-Problem, kein Philosophie-Problem

Jedes ernsthafte Unternehmen hat inzwischen ein KI-Prinzipien-Dokument. Die meisten sagen ungefähr dasselbe: menschliche Aufsicht, Transparenz, Fairness, Privatsphäre, Verantwortlichkeit. Die Dokumente sind in Ordnung. Die Dokumente allein tun allerdings fast nichts.

Die letzten zwölf Monate haben das offengelegt. In Fall um Fall, in dem eine KI-Einführung 2025 schiefging, war das Prinzipien-Dokument vorhanden. Was fehlte, lag davor: im Lieferantenvertrag, im AVV, in der Einkaufs-Checkliste, die das KI-Tool durchsegelte, weil sie niemand an das angepasst hatte, was KI-Anbieter tatsächlich anders machen.

Verantwortungsvolle KI ist ein Einkaufs-Problem. Wenn Ihre Verträge sie nicht konkret machen, machen Ihre Prinzipien sie nicht wahr.

Wie die Lücke aussieht

Klassischer SaaS-Einkauf hat sich über zwanzig Jahre auf eine bestimmte Risikoklasse hin entwickelt: Ein Anbieter speichert Ihre Daten, berührt sie gelegentlich, um einen Dienst zu erbringen, und haftet für Sicherheitsvorfälle. Verträge und AVVs bilden das ab.

KI-Anbieter brechen mehrere Annahmen dieses Modells gleichzeitig:

  • Sie schicken Ihre Daten an Drittmodellanbieter (die in anderen Rechtsräumen sein können).
  • Sie trainieren auf Ihren Daten, sofern Sie nicht aktiv widersprechen.
  • Sie produzieren Ausgaben, die reale Entscheidungen beeinflussen und nicht offensichtlich falsch sein können.
  • Sie exponieren Werkzeuge und Aktionen, nicht nur Inhalte, gegenüber autonomen Agenten.
  • Ihr Verhalten kann sich durch ein stilles Modell-Update wesentlich ändern.

Ein Einkaufsprozess, der auf „Dieser Anbieter hostet unser CRM” kalibriert ist, ist nicht auf „Der Agent dieses Anbieters kann Spesen genehmigen” kalibriert.

Die Klauseln, die 2026 wirklich zählen

Die folgenden Vertragsanker empfehlen wir Käufern aktuell. Nichts davon ist exotisch. Seriöse KI-Anbieter akzeptieren das meiste — und wer nicht, sagt Ihnen etwas Nützliches.

1. Datenaufbewahrung und Training

„Der Anbieter verwendet Kundendaten, Prompts, Completions oder abgeleitete Daten nicht, um ein Modell — sei es des Anbieters oder eines Unterauftragsverarbeiters — zu trainieren, zu feintunen oder zu evaluieren, außer mit vorheriger schriftlicher Zustimmung des Kunden für einen benannten Zweck.”

Standard: kein Training. Wenn der Anbieter Trainingsdaten will, soll er explizit für einen benannten Zweck fragen und dafür idealerweise bezahlen. „Opt-out über eine Einstellung in Ihrem Account” ist keine ausreichende Kontrolle; die Einstellung ändert sich, der Default kippt, niemand merkt es.

2. Transparenz über Unterauftragsverarbeiter

„Der Anbieter unterhält und veröffentlicht eine aktuelle Liste seiner Unterauftragsverarbeiter, einschließlich Modellanbieter, Inferenz-Anbieter und Datenspeicher-Anbieter. Der Anbieter informiert den Kunden 30 Tage im Voraus über Ergänzungen oder wesentliche Änderungen und räumt ein außerordentliches Kündigungsrecht ohne Strafzahlung ein, falls die Änderung nicht akzeptabel ist.”

Der interessante Unterauftragsverarbeiter in einem KI-Produkt ist der Modellanbieter. „Wir sind auf GPT/Claude/Modell-X gebaut” ist Information, die Sie brauchen, kein Geschäftsgeheimnis, das Sie hinnehmen sollten.

3. Modell-Herkunft und Versionierung

„Der Anbieter legt offen, welches konkrete Modell oder welche Modellfamilie für Ausgaben gegenüber dem Kunden verwendet wird, und kündigt Änderungen des zugrundeliegenden Modells oder wesentliche Änderungen an System-Prompts, die den Anwendungsfall des Kunden berühren, mindestens 14 Tage im Voraus an.”

Stille Modellwechsel machen Evaluationen zunichte, die der Kunde gemacht hat. Das sollte vertraglich unangenehm sein.

4. Prompt-Injection und Haftung für Ausgaben

„Der Anbieter erkennt an, dass sein Produkt anfällig für Prompt-Injection und verwandte adversarische Eingaben ist. Der Anbieter unterhält wirtschaftlich angemessene Schutzmaßnahmen und stellt den Kunden von direkten Schäden frei, die durch Ausgaben entstehen, die das Produkt als Reaktion auf solche Eingaben erzeugt, bis zu [Deckelung].”

Diese Klausel ist die, gegen die sich Anbieter am stärksten wehren. Dieser Widerstand ist aussagekräftig. Geteilte Verantwortung mit expliziter Deckelung ist ein vernünftiger Mittelweg.

5. Incident-Meldung mit KI-spezifischen Auslösern

„Der Anbieter informiert den Kunden innerhalb von 72 Stunden über (a) Datenleckage, (b) anhaltende Beeinträchtigung der Ausgabequalität, die den Anwendungsfall des Kunden wesentlich beeinflusst, (c) bestätigte Prompt-Injection-Vorfälle, die den Tenant des Kunden betreffen, oder (d) wesentliche Verhaltensänderungen des Modells, unabhängig von der Ursache.”

Klassische Incident-Klauseln decken (a) ab. KI-spezifische Incidents sind (b), (c), (d). Boilerplate-AVVs berühren sie meistens nicht.

6. Schwellenwerte für menschliche Freigabe

„Für Aktionen, die das Produkt im Auftrag des Kunden durchführt und die [Geld bewegen, extern kommunizieren, Datensätze ändern oder auf Drittsysteme zugreifen], stellt der Anbieter konfigurierbare Schwellenwerte für menschliche Bestätigung bereit, die standardmäßig auf ‘Bestätigung erforderlich’ stehen.”

Der Default zählt. „Sie können menschliche Freigabe in den Einstellungen einschalten” ist etwas anderes als „menschliche Freigabe ist standardmäßig an, und Sie können sie für bestimmte, gut verstandene Fälle abschalten”.

7. Auditierbarkeit

„Der Anbieter bewahrt Eingaben, Ausgaben und Tool-Aufrufe, die dem Tenant des Kunden zuzuordnen sind, für [Zeitraum] auf und stellt sie dem Kunden auf angemessene Anfrage und bei Vorfällen zur Verfügung.”

Wenn der Anbieter nicht rekonstruieren kann, was der Agent in einem bestimmten 30-Minuten-Fenster in Ihrem Auftrag getan hat, können Sie sich im Ernstfall nicht verteidigen.

8. Ausstieg und Datenportabilität

„Bei Kündigung stellt der Anbieter dem Kunden alle Kundendaten und Logs innerhalb von 30 Tagen in maschinenlesbarer Form bereit und bestätigt die Löschung aller verbliebenen Kopien, einschließlich der bei Unterauftragsverarbeitern liegenden, innerhalb weiterer 30 Tage.”

KI-Anbieter in einem schnellen Markt gehen pleite oder werden gekauft. Ihre Ausstiegsklausel ist keine theoretische Sorge.

Fragen an jeden KI-Anbieter

Vor der Vertragsverhandlung: ein kurzes Aufnahmegespräch. Sie suchen fließende, konkrete Antworten. Hedging ist Information.

  • Welches Modell oder welche Modelle treiben das Produkt heute, und wer betreibt sie?
  • Trainieren Sie standardmäßig auf Kundeneingaben oder -ausgaben? Unter welchen Bedingungen würden Sie?
  • Wie informieren Sie Kunden über Modell-Upgrades? Was hat sich beim letzten geändert?
  • Wie sieht Ihr Prompt-Injection-Schutzstack aus? Was ist das Restrisiko?
  • Erzählen Sie mir vom schlimmsten Vorfall der letzten zwölf Monate. Was haben Sie geändert?
  • Wenn ich in 18 Monaten gehen wollte — wie sähe das konkret aus?
  • Wer sieht meine Daten auf Ihrer Seite, und unter welcher Autorisierung?
  • Welche Policy haben Sie zu Änderungen bei Unterauftragsverarbeitern und Kundeninformation?
  • Was steht in Ihren Logs, wie lange, und wie bekomme ich sie im Incident?

Ein Anbieter, der alle neun Fragen beantworten kann, ohne in Slack nachzuschauen, ist wahrscheinlich sicher zu kaufen. Ein Anbieter, der mehrere als preissensibel oder off-limits behandelt, sagt Ihnen, wo seine Governance-Reife wirklich steht.

Das Reframing

„Verantwortungsvolle KI” als Philosophie-Frage — was sollte KI tun? — ist interessant und weitgehend unlösbar. „Verantwortungsvolle KI” als Einkaufs-Frage — wozu verpflichtet dieser Vertrag diesen Anbieter heute schriftlich? — ist lösbar und kumulativ. Jeder Vertrag, den Sie überarbeiten, macht den nächsten einfacher.

Wenn Sie gerade einen KI-Einkauf durcharbeiten und einen zweiten Blick auf die Konditionen wünschen, ist das ein Gespräch, das wir gerne führen. Meist günstiger als der Vorfall, den es verhindert.