Zum Hauptinhalt springen
Schutz
Verträge
Regulierung
Verteidigung
Alle Tätigkeitsgebiete Übersicht aller Leistungen

E-Commerce & Compliance

Beliebte Ratgeber

Hand am Laptop mit einem goldenen neuronalen Netzwerk-Hologramm neben einer EU-Flaggen-Skulptur auf einem Holzschreibtisch

KI-Verordnung für Unternehmen

Pflichten, Fristen und rechtssichere Umsetzung

Hand neben einem Laptop mit Shop-Mockup, daneben Lederportfolio mit Prägesiegel, Lederbuch und Messinglupe auf einem Walnusstisch

Abmahnsichere Shop-AGB 2026

Pflichtinhalte und typische Abmahn-Fallen

Aufgeklappter Laptop mit warmem Farbverlauf-Dashboard neben einer Messingsanduhr, Lederbuch und Tasse auf einem Walnussschreibtisch

Service Level Agreement

SLA rechtssicher für SaaS und IT-Services gestalten

Alle Ratgeber Durchsuchen Sie alle Leitfäden & Guides
Kanzlei für KI-Vertragsrecht · Köln

KI-Vertrag prüfen und gestalten - rechtssicher bei OpenAI, Copilot und Claude

Rechtsanwalt Dr. Sener Dincer mit Fokus auf IT-Recht, KI-Vertragsgestaltung und AI-Act-Compliance.

Kostenlose Ersteinschätzung Mehr erfahren
4,9/5 aus 100+ verifizierten Bewertungen
500+ Vertragsmandate
24h Ersteinschätzung
IT-Vertragsrecht
AI-Act-Compliance

So machen wir Ihren KI-Vertrag AI-Act-fest

AI Vendor Agreements rechtssicher prüfen und verhandeln: AI Act, DSGVO, Haftung und IP-Rechte. Kostenfreie Ersteinschätzung innerhalb 24 Stunden.

Wer heute einen Vertrag mit einem KI-Anbieter unterschreibt, unterschreibt meist eine Mischung aus Software-AGB, Datenschutz-Addendum und regulatorischem Blindflug. Die Standard-Vertragswerke von OpenAI, Microsoft, Anthropic, Google oder AWS sind für den US-Markt optimiert - nicht für deutsche Unternehmen, den EU AI Act, die DSGVO oder die Mitbestimmung des Betriebsrats. Unsere IT-Recht-Beratung ordnet KI-Verträge in die gesamte digitale Compliance-Architektur ein.

Wir prüfen und gestalten KI-Verträge aus der Perspektive unserer Mandanten: Geschäftsführer, IT-Verantwortliche, Datenschutzbeauftragte und Compliance-Officer, die vor der Einführung eines neuen KI-Tools nicht nur auf die Produktfeatures schauen, sondern auf die Klauseln im Kleingedruckten.

Dieser Leitfaden beantwortet drei Fragen:

  • Was unterscheidet einen KI-Vertrag rechtlich von einem klassischen SaaS-Vertrag?
  • Welche Klauseln entscheiden über Haftung, IP-Rechte und Compliance unter AI Act und DSGVO?
  • Warum reicht keine KI-Software, um einen KI-Vertrag zu prüfen?

Was ist ein KI-Vertrag - und warum er kein normaler SaaS-Vertrag ist

Ein KI-Vertrag regelt den Einkauf, die Nutzung und die Integration eines fertigen KI-Systems durch ein Unternehmen.

In der Praxis sind das Enterprise-Vereinbarungen mit Anbietern wie OpenAI (ChatGPT Enterprise, ChatGPT Team), Microsoft (365 Copilot, Azure OpenAI Service), Anthropic (Claude for Work, Claude Enterprise), Google (Gemini for Workspace), AWS (Bedrock), spezialisierten Vektordatenbank-Anbietern oder deutschen RAG-Startups, die Vendor-Modelle für eigene Lösungen nutzen.

Oberflächlich ähnelt ein KI-Vertrag jedem anderen SaaS-Vertrag: Lizenzumfang, Leistungsbeschreibung, SLA, Preismodell, Laufzeit, Datenschutz-Addendum. In der Sache greift er tiefer. Denn beim klassischen SaaS-Einkauf steht die Software am Ende einer abgeschlossenen Entwicklung. Beim KI-Einkauf ist das Modell ein lebendes System: Es lernt weiter, es kann halluzinieren, es wurde mit Daten trainiert, die ihrerseits rechtliche Risiken in sich tragen, und es kann seine Ausgabe-Qualität zwischen zwei Software-Versionen substantiell ändern.

Dazu kommt die regulatorische Ebene.

Ein KI-Vertrag muss diese Ebenen zusammenführen - ein Standard-SaaS-Vertrag tut das nicht. Die datenschutzrechtliche Vertiefung behandelt unser Ratgeber zu KI-Datenschutz.

Genau in diesem typologischen Mischfeld lohnt es sich, jeden KI-Vertrag einzeln zu prüfen - nicht nur nach Überschrift, sondern nach der geschuldeten Leistung.

Wann ein KI-Vertrag bei uns auf den Tisch kommt

KI-Verträge landen nicht zufällig in der Rechtsabteilung. In der Praxis gibt es klar erkennbare Trigger-Momente, an denen Unternehmen eine juristische Prüfung anstoßen. Bei KI-Funktionen, die erst entwickelt oder integriert werden, überschneidet sich das häufig mit der rechtlichen Gestaltung agiler Softwareentwicklungsverträge.

Die Konzernmutter erlässt eine Group AI Policy

Viele große Konzerne haben in den letzten Jahren konzernweite KI-Richtlinien veröffentlicht, die ausdrücklich auch Group-Unternehmen oder Tochtergesellschaften adressieren; ob sie im Einzelfall rechtlich bindend sind, hängt von Gesellschafts- und Governance-Struktur ab.
Typische Anforderungen: Möglichkeit zur Datenspeicherung in der EU, explizites Training-Opt-Out, Audit-Rechte für Group Compliance, AI-Act-Konformitätserklärung, Subprozessoren-Liste.
Wer dann bereits laufende Enterprise-Verträge mit US-Anbietern hat, muss nachverhandeln oder aus den Tools aussteigen. Das ist einer der häufigsten Auslöser für Mandate in diesem Bereich.

Der Betriebsrat blockiert den Rollout

Ein weiterer Klassiker: Das IT-Projekt-Team will Microsoft 365 Copilot oder ChatGPT Enterprise ausrollen.

Der Projektplan verschiebt sich um Wochen, manchmal Monate. Wir begleiten diese Gespräche parallel: Vertragsanpassung mit dem Anbieter plus Rahmenbetriebsvereinbarung mit dem Betriebsrat.

Großkunden verlangen KI-Compliance-Nachweis

Seit der Annahme des EU AI Acts im Juni 2024 veröffentlichen Behörden und Beschaffungsstellen verstärkt Leitfäden und Musterklauseln; in öffentlichen Vergaben und behördlichen Prüfungen tauchen daher regelmäßig Fragen zur KI-Compliance auf. In der Privatwirtschaft nimmt die Nachfrage nach solchen Angaben in Lieferanten-Fragebögen und Audits spürbar zu.
Automotive-OEMs, Pharma-Konzerne, öffentliche Auftraggeber und regulierte Branchen wollen wissen: Welche KI-Tools nutzen Sie? Sind Ihre Verträge AI-Act-konform? Wer haftet für Halluzinationen?
Eine ISO-42001-orientierte Dokumentation gewinnt bei der Prüfung durch Großkunden angesichts regulatorischer Anforderungen wie dem EU AI Act deutlich an Bedeutung.

Der Chief AI Officer macht sein erstes Vertragsaudit

Die Rollen des Chief AI Officer und des AI Governance Lead haben in den vergangenen 24 Monaten deutlich an Bedeutung gewonnen.
Erste Amtshandlung ist in vielen Fällen ein Audit aller laufenden KI-Verträge: Welche Tools sind im Einsatz? Welche Klauseln fehlen? Wo liegen Haftungs- und Compliance-Risiken? Genau in diesen Fällen ziehen wir als externe Kanzlei hinzu und strukturieren den Prüfprozess.

Die Versicherung fragt nach KI-Klauseln bei der Cyber-Police

Beim Renewal der Cyber- oder D&O-Versicherung stellen Versicherer seit 2024 verstärkt präzise Fragen zu KI-Risiken, wobei insbesondere Governance-Strukturen und Maßnahmen zur Datensicherheit beim Einsatz generativer KI im Fokus der Underwriter stehen.
Sind Audit-Rechte vertraglich vereinbart? Sind Halluzinationen von der Anbieter-Haftung ausgeschlossen? Wer keine klaren Antworten liefert, riskiert Prämien-Erhöhungen oder Deckungslücken. Das zwingt zur Durchsicht der bestehenden Verträge.

KI-Projekt steckt in der Compliance-Schleife? Kostenfreie Ersteinschätzung innerhalb von 24 Stunden.

Kostenlose Anfrage
  • Kostenlos beraten
  • Kein Risiko, 100% vertraulich

Die juristischen Risikofelder im KI-Vertrag

Im Kern eines jeden KI-Vertrags stehen sechs Risikofelder, die in Standard-AGB der Anbieter selten ausreichend geregelt sind. Wer diese Felder nicht aktiv verhandelt, übernimmt Risiken, die sich später kaum noch korrigieren lassen.

Trainingsdaten, Prompts und Firmendaten-Vertraulichkeit

Die wichtigste Frage zuerst: Werden die Daten, die Sie als Kunde in das System eingeben, zum Modelltraining des Anbieters verwendet? Die Antwort entscheidet über den Rechtsrahmen. Solange der Anbieter nur nach Weisung verarbeitet, ist er Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Sobald er die Daten für eigene Zwecke - typisch: Modelltraining - nutzt, verfolgt er einen eigenen Zweck und wird zum eigenen Verantwortlichen oder Mitverantwortlichen.

Für den Vertrag bedeutet das: Sie brauchen eine harte Zusicherung des Anbieters, dass Prompts, hochgeladene Dokumente, Fine-Tuning-Daten und RAG-Inhalte nicht ins Training fließen - inklusive Nachweisrecht und Audit-Möglichkeit. Wer nur auf die Marketing-Zusage “Your data is not used for training” vertraut, ohne das in der vertraglichen DPA-Anlage mit Freistellung und Gewährleistung zu verknüpfen, steht bei einem späteren Audit mit leeren Händen da.

Halluzinationen, Output-Qualität und Produkthaftung

Ein Sprachmodell kann falsche Antworten geben, die es selbst für richtig hält. Das ist kein Bug, sondern ein Wesensmerkmal. Wenn ein Mandant auf Basis einer von ChatGPT erfundenen Quelle eine Rechts- oder Steuerempfehlung erteilt, wenn ein Kundenservice per Copilot falsche Zahlen an Großkunden übergibt, wenn ein Marketingteam mit Claude eine Pressemitteilung produziert, die eine Person fälschlich in den falschen Zusammenhang stellt, entsteht Schaden.

Die Standard-AGB der meisten Anbieter enthalten an dieser Stelle weitgehende Haftungsausschlüsse (“AS IS”, “no warranty of accuracy”, “no liability for model outputs”). In einem deutschen B2B-Vertrag sind solche Klauseln nur begrenzt wirksam: § 309 Nr. 7 BGB schränkt den Ausschluss für Körperschäden und grobe Fahrlässigkeit ein, § 309 Nr. 8 Buchst. b BGB begrenzt den Ausschluss von Mängelrechten, und die Generalklausel des § 307 BGB kann jede Klausel zu Fall bringen, die den Vertragspartner unangemessen benachteiligt. Dazu tritt die überarbeitete EU-Produkthaftungsrichtlinie 2024 (PLD), die Software und KI-Systeme in den Produktbegriff einbezieht.

Für den Vertrag heißt das: Wir verhandeln klare Definitionen von Fehlerkategorien, realistische Mitwirkungspflichten (“Human in the Loop”) auf Nutzerseite, angemessene Haftungs-Caps, eine Indemnitäts-Klausel des Anbieters bei Drittansprüchen und ein klar geregeltes Service-Level für Modell-Regressionen. Sonst trägt am Ende der Kunde das komplette Halluzinations-Risiko.

Output-IP und Urheberrecht

Wem gehört der Text, das Bild, der Code, den die KI erzeugt? Die Anbieter formulieren das in ihren Terms meist großzügig: “Customer owns all Output”. Das löst das Problem aber nur teilweise. Denn bevor der Kunde den Output besitzen kann, muss dieser überhaupt urheberrechtlich schutzfähig sein. Rein KI-generierte Inhalte erreichen die Schöpfungshöhe des § 2 UrhG meistens nicht. Sobald das Prompt-Engineering und die redaktionelle Überarbeitung durch den Menschen substantiell werden, kann ein eigenes Werk entstehen.

Gefährlicher ist die zweite Flanke: Verletzt der Output Rechte Dritter? Genau hier hat das Landgericht München I im November 2025 eine Grundsatzentscheidung gefällt.

Grundsatzurteil zu Trainingsdaten und KI-Output

Damit steht erstmals europaweit fest, dass Trainings- und Output-Risiken nicht einfach am Modellbetreiber abprallen. Für den KI-Vertrag heißt das: Freistellungs- und Warrantyklauseln zu Training und Output sind kein Nice-to-have, sondern der Kern der Risikoverteilung.

Die Anbieter-Rutsche nach Art. 25 AI Act

Für Unternehmen, die KI-Tools mit eigenen Oberflächen, Fine-Tuning-Schichten oder RAG-Systemen produktiv einsetzen, ist das ein operativer Dammbruch. Wir ziehen im Vertrag klare Linien:

  • Explizite Abgrenzung wesentlicher Änderungen – Definition, welche Konfigurationen als unkritisches Customizing gelten und welche die Anbieter-Rutsche auslösen.
  • Benachrichtigungspflicht vor Zweckänderung – Der Betreiber meldet jede geplante Nutzungserweiterung, bevor sie produktiv geht.
  • Informationsübergabe mit SLA – Technische Dokumentation nach Anhang XI, Trainingsdaten-Zusammenfassung nach Art. 53 Abs. 1 Buchst. d und Risikoanalyse - mit Reaktionszeit-SLA für Compliance-Anfragen.
  • Freistellung bei klarer Zweckabgrenzung – Wenn der Anbieter das System ausdrücklich nicht für Hochrisiko-Zwecke freigegeben hat, wandert die Verantwortung zum Betreiber - sauber dokumentiert.

Data Residency, Drittlandtransfer und DPF-Risiko

Fast alle großen KI-Anbieter sitzen in den USA. Selbst wer “EU Data Residency” bucht, bleibt häufig von Support-, Log- und Sicherheits-Pipelines in den USA abhängig. Die rechtliche Grundlage ist aktuell das Data Privacy Framework (DPF), ein Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023. Ein DPF 2.0 oder eine neue Invalidierung nach dem Muster von Schrems I und Schrems II ist weiter im Bereich des Möglichen.

Für den Vertrag bedeutet das: Standardvertragsklauseln (SCC) der EU-Kommission in der Fassung 2021/914 sind als Rückfall-Ebene unverzichtbar, ein Transfer Impact Assessment muss dokumentiert sein, und es braucht einen klar definierten Escape-Pfad für den Fall, dass das DPF für den Anbieter wegfällt. Dazu gehört eine geregelte Frist für die Daten-Rückführung in die EU und ein Exit-Szenario, das ohne rechtswidrige Übergangsphase auskommt.

Lock-in, Exit-Rechte und Vendor-Wechsel

KI-Verträge sind lang, Datenvolumina sind groß, Custom-Models sind personalisiert. Genau diese Kombination erzeugt technische und wirtschaftliche Lock-in-Effekte. Wer in der Enterprise-Vereinbarung keine belastbaren Exit-Rechte verankert, findet sich bei Preisrunden oder technischen Regressionen in einer ungleichen Verhandlungsposition wieder.

Wir verhandeln daher vertraglich: eine exportfähige Herausgabe aller Prompts, RAG-Wissensbasen, Fine-Tuning-Datensätze und Modell-Ausgaben in gängigen Formaten, eine klar definierte Löschpflicht mit Löschnachweis inklusive der Trainingsdaten-Derivate (Machine Unlearning, Filter-Mechanismen), eine Interoperabilitäts-Klausel, die den Wechsel zu einem anderen Anbieter operationell möglich macht, und ein außerordentliches Kündigungsrecht für den Fall substantieller Modell-Regressionen oder systemischer Compliance-Verstöße.

Die Pflicht-Klauseln im KI-Vertrag im Überblick

Aus der Summe dieser Risikofelder ergibt sich eine Liste von Klauseln, die in jedem KI-Vertrag verhandelt werden müssen. Die folgende Übersicht fasst die wichtigsten Punkte zusammen, mit jeweiliger Rechtsgrundlage und praktischer Funktion.

Wischen
KlauselPraktische FunktionRechtsgrundlage
Rollen-Definition Anbieter / Betreiber / ImporteurPflichten sauber zuordnen, Anbieter-Rutsche vermeidenArt. 3, 16, 25, 26 AI Act
AI Literacy und SchulungsunterlagenCompliance-Grundlage für den BetreiberArt. 4 AI Act
Verbot verbotener Praktiken (Warranty)Außerordentliche Kündigung plus Indemnität bei 35-Mio-RisikoArt. 5 AI Act
GPAI-Dokumentation und Copyright-PolicyNachweisbarkeit gegenüber EU AI Office und nachgelagerten PartnernArt. 53 AI Act
Transparenz- und Watermarking-PflichtenDeep-Fake- und synthetische-Content-RegelungArt. 50 AI Act
Training-Opt-Out für KundendatenVertraulichkeit und Trainings-VerhinderungArt. 28 DSGVO, vertragliche Zusicherung
AVV mit realistischer Subprozessoren-RegelungRechtsgrundlage für DatenverarbeitungArt. 28 Abs. 3 DSGVO
TOMs und Sicherheits-ArchitekturUmsetzbare Pseudonymisierung, Verschlüsselung, LoggingArt. 32 DSGVO
Transfer Impact Assessment und SCCDrittlandtransfer-Absicherung unabhängig vom DPFArt. 44 bis 49 DSGVO
Indemnität für IP- und Trainings-RisikenVerteilung des Nutzungs- und Produkthaftungs-Risikos§§ 311 ff. BGB, §§ 305 ff. BGB
Halluzinations-Haftung und Cap-StrukturAGB-feste Haftungsverteilung statt US-Standard§ 307, § 309 BGB, PLD
Audit- und Dokumentations-RechteNachweispflicht gegenüber Kunden und AufsichtArt. 28 DSGVO, Art. 30 DORA
Exit, Datenrückführung, Machine UnlearningLock-in vermeiden, geordneter Ausstieg§ 241 Abs. 2 BGB, § 311 Abs. 2 BGB, Art. 20 DSGVO
Incident-Meldung und Reporting-KaskadeKlarheit über MeldekettenArt. 26 AI Act, NIS2UmsuCG
AI-Act-Deadline-KlauselVerbindlichkeit zum 2. August 2026Art. 113 AI Act

Diese Liste ist kein Baukasten, sondern ein Prüfraster. Welche Klauseln tatsächlich verhandelbar sind, hängt von Verhandlungsmacht, Branche und konkretem Einsatzfall ab. Unsere Aufgabe ist es, die Liste pragmatisch auf Ihren Vertrag zu projizieren und die Punkte, die realistisch durchsetzbar sind, mit Priorität zu verhandeln.

Branchen-Spezifika: Wo der KI-Vertrag noch härter wird

Über den AI Act und die DSGVO hinaus gibt es Branchen, in denen der KI-Einkauf zusätzlichen regulatorischen Rahmen hat. Wer diese Ebene übersieht, riskiert nicht nur Bußgelder, sondern den Verlust der Lizenz zum operativen Geschäft.

Finanzsektor: DORA und MaRisk

Banken, Versicherer, Zahlungsdienstleister, Asset Manager und andere Finanzunternehmen unterliegen seit 17. Januar 2025 der Digital Operational Resilience Act (Verordnung (EU) 2022/2554). DORA setzt strikte Anforderungen an die Auslagerung an IKT-Drittanbieter - und damit auch an den Einkauf von KI-Systemen.

In Verbindung mit den BaFin-Rundschreiben zu MaRisk und BAIT bedeutet das: Standard-Enterprise-Verträge der US-Hyperscaler reichen in vielen Punkten nicht aus. Wir ergänzen gezielt die DORA-Pflichtklauseln, strukturieren den Genehmigungsprozess nach MaRisk AT 9 und dokumentieren die Konzentrationsrisiko-Analyse.

Kritische Infrastruktur: NIS2UmsuCG

Mit der deutschen Umsetzung der NIS2-Richtlinie (NIS2UmsuCG) sind Betreiber wichtiger und besonders wichtiger Einrichtungen verpflichtet, ein strukturiertes Lieferketten-Risikomanagement zu betreiben. Das schließt KI-Anbieter ausdrücklich ein, wenn sie sicherheitsrelevante Funktionen bereitstellen. Meldepflichten bei Sicherheitsvorfällen, Vorgaben zu kryptographischer Schutzniveauklasse und Incident-Reporting müssen vertraglich verankert werden.

Medizin, HR und öffentliche Hand

Wer KI für medizinische Anwendungen einsetzt, steht zusätzlich unter der Medical Device Regulation (Verordnung (EU) 2017/745). Wer KI im HR-Kontext für Bewerberauswahl, Leistungsbewertung oder Vertragsentscheidungen nutzt, trifft auf Art. 22 DSGVO zur automatisierten Einzelentscheidung. Hier ist das Leiturteil des Europäischen Gerichtshofs in der Rechtssache SCHUFA (C-634/21) einschlägig, das bereits die reine Score-Berechnung als “automatisierte Entscheidung” im Sinne der Norm qualifiziert. Öffentliche Auftraggeber wiederum müssen die Vergabegrundsätze und die entstehende KI-spezifische Beschaffungsrichtlinie einhalten.

Betriebsrat und Arbeitnehmervertretung

Sobald ein KI-System Arbeitnehmer überwacht, steuert oder bewertet, ist die Mitbestimmung des Betriebsrats eröffnet.

Copilot, ChatGPT Enterprise und vergleichbare Tools erfüllen diesen Tatbestand regelmäßig, selbst wenn sie nicht explizit zur Überwachung gedacht sind. Wir begleiten parallel die Verhandlung einer Rahmenbetriebsvereinbarung und stimmen deren Inhalte mit den Pflichten aus dem Anbieter-Vertrag ab, damit Zusagen an den Betriebsrat nicht an AGB-Klauseln des Anbieters scheitern.

Tool versus Anwalt: Warum KI-Vertragsprüfung nicht automatisierbar ist

In den Google-Ergebnissen zu “KI-Vertrag prüfen” dominieren Software-Anbieter, die versprechen, Verträge in wenigen Minuten automatisch zu analysieren. Diese Werkzeuge haben ihre Berechtigung: Sie erkennen Muster, vergleichen Klauseln mit Standard-Templates und markieren Auffälligkeiten. Aber sie ersetzen keine juristische Bewertung - und bei einem KI-Vertrag ist dieser Unterschied nicht akademisch, sondern unternehmerisch relevant.

Eine Vertragsprüfungs-Software kennt nur, was in ihrem Trainingskorpus steht. Sie erkennt keine Querbezüge zwischen Art. 25 AI Act, Art. 28 DSGVO, Art. 30 DORA und § 87 BetrVG. Sie weiß nicht, ob die Rolle Ihres Unternehmens durch das konkrete Einsatzszenario von “Betreiber” in “Anbieter” kippt. Sie erkennt nicht, ob ein Haftungsausschluss nach § 307 BGB AGB-rechtlich Bestand hat, weil das von der konkreten Verhandlungssituation, der Branche und dem Risiko-Cap-Verhältnis abhängt. Und sie verhandelt nichts: Ein Tool markiert ein Risiko, es verschiebt es nicht.

Tipp von Rechtsanwalt Dr. Sener Dincer

“Die teuersten Fehler im KI-Einkauf passieren nicht in den Klauseln, die auffällig schlecht sind. Sie passieren in den Klauseln, die unauffällig sind - einer scheinbar harmlosen Zweckbindung, die das Unternehmen später zum Anbieter im Sinne des AI Act macht; einer Subprozessoren-Liste, die still erweiterbar ist; einem Haftungs-Cap, der sich unter den Kosten einer einzigen Halluzinations-Welle versteckt. Eine Software sieht diese Stellen nicht. Wir prüfen Verträge deshalb immer gegen den konkreten Einsatzfall - nicht gegen ein Template.”

In der Praxis heißt das: Wir lesen den Vertrag nicht isoliert, sondern zusammen mit Ihrer KI-Policy, Ihrer Datenschutz-Dokumentation, Ihrem Einsatzszenario und gegebenenfalls Ihrer Betriebsvereinbarung. Erst aus dieser Kombination entsteht die Empfehlung: Klauseln akzeptieren, nachverhandeln, streichen oder zum Deal-Breaker erklären.

Vor dem Einkauf einer Enterprise-KI-Lizenz unabhängige juristische Prüfung? Wir melden uns innerhalb von 24 Stunden.

Kostenlose Anfrage
  • Kostenlos beraten
  • Kein Risiko, 100% vertraulich

Unser Prüfprozess für KI-Verträge

Wer uns mit der Prüfung oder Gestaltung eines KI-Vertrags beauftragt, durchläuft einen klar strukturierten Prozess. Ziel ist eine belastbare, dokumentierte Entscheidungsgrundlage - keine Gutachten-Lyrik.

So läuft die KI-Vertragsprüfung ab

  1. Kostenlos

    1. Ersteinschätzung

    Wir sichten den Vertragsentwurf, das Einsatzszenario und die Kernrisiken und priorisieren die wichtigsten Prüfpunkte.

  2. 2. Detailanalyse

    Wir analysieren Vertragswerk, DPA, Anlagen und interne Policies entlang der Pflichtklauseln und dokumentieren das Risikobild.

  3. 3. Verhandlungs-Strategie

    Wir entwickeln ein Redlining, priorisieren Deal-Breaker und stellen eine Verhandlungsreihenfolge auf - mit klarer Abstimmung zu Ihrer Projektplanung.

  4. 4. Verhandlung

    Wir führen die Verhandlung mit dem Anbieter oder begleiten Ihr Team als Backoffice - je nachdem, was zur Eskalationslage passt.

  5. 5. Dokumentation

    Sie erhalten die finalen Unterlagen inklusive Memo zur AI-Act-Konformität und ein übersichtliches Klausel-Mapping.

Die Ersteinschätzung ist kostenfrei. Auf Basis dieser Analyse unterbreiten wir Ihnen ein transparentes Angebot, damit Sie volle Kostenkontrolle behalten.

Warum der Eigenversuch oft scheitert

Viele Mandanten kommen nicht mit einem frischen KI-Vertrag zu uns, sondern mit einem Vertrag, den sie zunächst selbst verhandelt haben. Die häufigsten Muster, bei denen der Eigenversuch ins Stocken gerät, lassen sich gut beobachten:

  • Scheindatenschutz-Addendum – Der Anbieter bietet eine "DPA" an, die keine Weisungsbindung nach Art. 28 DSGVO enthält und damit gerade nicht erfüllt, was sie laut Titel soll.
  • Sprachliche Sackgasse – Legal-Counsel auf beiden Seiten sprechen unterschiedliche Vertragsdialekte - US-Common-Law trifft deutsche AGB-Kontrolle, ohne dass eine Seite übersetzt.
  • Betriebsrat kommt zu spät – Die Betriebsvereinbarung wird nachgeschoben, wenn der Anbieter-Vertrag längst unterschrieben ist. Beide Regelwerke widersprechen sich dann im Alltag.
  • Projektdruck schlägt Verhandlungsposition – Wer erst drei Wochen vor Go-Live über Klauseln verhandelt, hat die wichtigsten Hebel schon verloren - der Anbieter weiß das und nutzt es.

Wer in diese Falle einmal getreten ist, verliert Wochen an Nachverhandlung - und regelmäßig die Möglichkeit, die wichtigsten Punkte noch durchzusetzen. Wir empfehlen deshalb, uns vor der ersten Nachricht an den Anbieter einzubeziehen oder spätestens, sobald der Vertragsentwurf intern zirkuliert.

Nächste Schritte

Die Frage, ob ein KI-Vertrag geprüft werden muss, ist keine Frage der Unternehmensgröße. Sie ist eine Frage der Einsatztiefe. Sobald ein KI-System produktive Entscheidungen trifft, mit Kundendaten arbeitet oder Mitarbeiter berührt, kommt der Punkt, an dem die Standard-Vereinbarung des Anbieters nicht mehr genügt - egal ob es sich um ein etabliertes internationales Enterprise-Modell oder um ein junges deutsches KI-Startup handelt.

Wir begleiten Mandanten in dieser Situation mit klarer Struktur: eine kostenfreie Ersteinschätzung, eine strukturierte Detailanalyse gegen die Pflichtklauseln, eine priorisierte Verhandlungs-Strategie und, wenn gewünscht, die Verhandlungsführung mit dem Anbieter. Schicken Sie uns den Vertragsentwurf, die geltende DPA und eine kurze Beschreibung des geplanten Einsatzszenarios. Wir melden uns innerhalb von 24 Stunden mit einer ersten Einschätzung zurück.

Antworten

Häufige Fragen (FAQ)

Die wichtigsten Antworten zum Thema, zusammengestellt von unseren Experten.

Kann ChatGPT einen KI-Vertrag prüfen?

Ein großes Sprachmodell kann Klauseln zusammenfassen, Muster erkennen und auf Standard-Risiken hinweisen. Eine belastbare juristische Prüfung ersetzt es nicht. Weder kennt es die konkrete Verhandlungssituation, noch beurteilt es rechtssicher das Verhältnis zwischen AI Act, DSGVO, DORA und BetrVG für Ihren Einsatzfall. Für den Einkauf eines Enterprise-KI-Tools reicht eine KI-basierte Prüfung allein nicht aus.

Was unterscheidet den KI-Vertrag vom SaaS-Vertrag?

Im SaaS-Vertrag steht eine fertige Software am Ende einer Entwicklung. Im KI-Vertrag arbeitet ein lernendes, häufig fremdtrainiertes Modell mit, das halluzinieren kann und dessen Trainingsdaten eigene Rechtsrisiken mitbringen. Dazu kommen AI-Act-Pflichten, Trainingsdaten- und Output-Fragen, Transparenz-Pflichten nach Art. 50 AI Act und Mitbestimmung. Ein SaaS-Standardvertrag regelt das typischerweise nicht.

Macht der AI Act den KI-Vertrag zwingend?

Der AI Act schreibt keinen Musterkontrakt vor. Er zwingt aber beide Seiten - Anbieter und Betreiber - zu bestimmten Pflichten, die ohne vertragliche Regelung nicht umsetzbar sind. Ohne klare Rollenverteilung nach Art. 25, ohne Informationsübergabe für Art. 26-Pflichten und ohne Transparenzregelung nach Art. 50 lässt sich AI-Act-Compliance nicht nachweisen. Die Pflicht entsteht nicht aus dem Vertrag, aber sie ist ohne ihn nicht zu erfüllen.

Darf OpenAI meine Eingaben zum Training verwenden?

In den Enterprise-Varianten der großen Anbieter ist die Trainingsnutzung von Kundendaten in der Regel standardmäßig deaktiviert. Da dies meist auf vertraglichen Zusagen und nicht auf einer unmittelbaren gesetzlichen Pflicht beruht, bleibt die Regelung durch den Anbieter änderbar. Um aus dieser Default-Einstellung einen belastbaren Standard zu machen, verankern wir das Training-Opt-Out vertraglich mit Gewährleistung, Änderungsnotifikation und Audit-Rechten.

Wer haftet bei Halluzinationen in Kundenkommunikation?

Viele Anbieter formulieren in ihren AGB breite Haftungsausschlüsse für KI-Outputs. Nach deutschem AGB-Recht sind solche Klauseln jedoch oft unwirksam, etwa bei wesentlichen Vertragspflichten oder grobem Verschulden. In der Praxis sollte die Haftung gestuft geregelt werden: Anbieter verantworten Sicherheit und Trainingsdaten, Betreiber menschliche Kontrolle und korrekte Nutzung. Der Vertrag muss diese Verantwortlichkeiten klar benennen und ausbalancieren.

Reicht der Auftragsverarbeitungsvertrag des Anbieters?

Häufig nicht. Standard-DPAs von US-Anbietern erfüllen die Pflichtinhalte des Art. 28 Abs. 3 DSGVO formal, lassen aber entscheidende Punkte offen: Subprozessoren-Widerspruch, Audit-Tiefe, Löschnachweis bei memorisierten Daten, Transfer Impact Assessment. Wir ergänzen die fehlenden Punkte und binden sie an den Hauptvertrag an, sonst bleibt die DPA ein Feigenblatt.

Was kostet eine anwaltliche KI-Vertragsprüfung?

Die Ersteinschätzung ist kostenfrei. Auf Basis einer ersten Durchsicht Ihrer Vertragsunterlagen und des Einsatzszenarios unterbreiten wir Ihnen ein transparentes Angebot, damit Sie volle Kostenkontrolle behalten. Für Konzern-Mandate mit mehreren Tochterunternehmen oder Rollouts über mehrere Jurisdiktionen vereinbaren wir regelmäßig ein projektbezogenes Festhonorar.

Muss der Betriebsrat eingebunden werden?

Ja, wenn das KI-System objektiv geeignet ist, Verhalten oder Leistung von Arbeitnehmern zu überwachen. Das kann bei Copilot, ChatGPT Enterprise und vergleichbaren generativen KI-Tools je nach Zugriffsmöglichkeiten und Protokollierung der Fall sein. Ohne Prüfung der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG lässt sich der Rollout rechtlich angreifen. Wir empfehlen, die Betriebsvereinbarung parallel zum Vertrag zu verhandeln, nicht erst hinterher.

Bringen wir Ihren KI-Vertrag auf ein AI-Act-festes Fundament.

Senden Sie uns den Vertragsentwurf, die geltende DPA und eine kurze Beschreibung des Einsatzszenarios. Wir melden uns innerhalb von 24 Stunden mit einer ersten Einschätzung zurück.

Kostenlos beraten Rückruf anfordern

Kostenlos & unverbindlich. 100% vertraulich.

Rechtlicher Hinweis: Die Informationen auf dieser Seite dienen der allgemeinen Orientierung und stellen keine Rechtsberatung im Einzelfall dar. Für eine verbindliche Einschätzung Ihrer konkreten Situation kontaktieren Sie uns bitte direkt.

Portrait Dr. Sener Dincer

Dr. Sener Dincer

Rechtsanwalt & Partner

(4,9/5)
Kontaktieren

Kostenlos beraten

Wählen Sie einen passenden Termin für unser Gespräch.