Verträge über KI-Systeme: Warum die KI-VO den Vertrag nicht ersetzt

KI-Systeme sind im Kern Software. Deshalb liegt es nahe, sie auch wie Software zu beschaffen: mit den vertrauten Klauseln zu Leistungsbeschreibung, Abnahme, Gewährleistung und Haftung. Das greift zu kurz. Drei Eigenschaften verschieben die vertraglichen Schwerpunkte so deutlich, dass eingespielte IT-Verträge die wesentlichen Risiken nicht mehr abbilden — und die KI-VO (Verordnung (EU) 2024/1689) schließt diese Lücke nicht, sie verlagert sie.

Erstens die Probabilistik: KI liefert statistisch wahrscheinliche, keine deterministischen Ergebnisse. Dieselbe Eingabe kann zu unterschiedlichen Ausgaben führen. Zweitens die Intransparenz: Die internen Entscheidungswege sind regelmäßig nicht nachvollziehbar — das berühmte Blackbox-Problem. Drittens die geteilte Regulierung: Die KI-VO, die DSGVO und die reformierte Produkthaftung verteilen Pflichten entlang der Wertschöpfungskette, ohne sie zwischen den konkreten Vertragsparteien abschließend zuzuordnen. Genau das muss der Vertrag leisten.

Fünf Punkte zeigen, wo der Unterschied praktisch wird.

1. Die KI-VO verteilt Pflichten – der Vertrag verteilt sie konkret

Die KI-VO knüpft ihre Pflichten an Rollen, nicht an Bezeichnungen: maßgeblich sind vor allem Anbieter und Betreiber, daneben Einführer und Händler. Eine Partei kann mehrere Rollen einnehmen, und die Rollen können sich im Projektverlauf verschieben.

Besonders heikel ist der Rollenwechsel nach Art. 25 KI-VO: Ein Betreiber kann zum Anbieter werden — etwa durch wesentliche Veränderung des Systems, Anbringung des eigenen Namens oder eine Zweckänderung hin zu einem Hochrisiko-Einsatz. Wer dann die Anbieterpflichten trägt, ist eine Frage mit erheblichen Folgen. Die Verordnung beantwortet sie abstrakt; der Vertrag muss sie für den konkreten Fall beantworten: Welche Rolle nimmt wer ein? Welche Handlungen lösen einen Rollenwechsel aus? Und wie werden die Pflichten dann verteilt?

Der praktische Fehler liegt darin, Compliance-Zusicherungen pauschal aufzunehmen, ohne die regulatorische Rolle jeder Partei zu definieren. Eine Garantie, das System erfülle „alle Anforderungen der KI-VO", ist wertlos, wenn unklar bleibt, wessen Anforderungen gemeint sind.

2. Das Blackbox-Problem trifft Gewährleistung – und über die Produkthaftung auch die Haftung

Klassische Gewährleistungen setzen voraus, dass sich die Ursache eines Mangels bestimmen lässt. Bei KI ist genau das oft nicht möglich: Liegt der Fehler im Code, in den Trainingsdaten, im Feintuning oder im Live-Lernen? Lässt sich die Ursache nicht zuordnen, können Kunden eine Vertragsverletzung kaum beweisen — und Anbieter zögern bei Zusicherungen, deren Einhaltung sie selbst nicht verifizieren können.

Sinnvoller als rein fehlerbasierte Gewährleistungen sind deshalb ergebnisbasierte Garantien (Genauigkeitsschwellen, Fehlerquoten, Verfügbarkeit) in Verbindung mit Prozess- und Dokumentationspflichten.

Die Dokumentation ist dabei nicht nur eine Compliance-Frage. Die reformierte Produkthaftungsrichtlinie (Richtlinie (EU) 2024/2853) erfasst Software und KI ausdrücklich und sieht Beweiserleichterungen zugunsten Geschädigter vor: Bei hinreichend plausibel gemachtem Anspruch kann die Offenlegung relevanter Beweismittel verlangt werden — und Dokumentationslücken können sich zu Lasten des Verpflichteten auswirken. Hier besteht eine direkte Brücke zu den Dokumentationspflichten der KI-VO: Wer dort lückenhaft dokumentiert, erhöht zugleich seine Haftungsexposition. Diese Haftung ist zwingend und vertraglich nicht abdingbar; gestaltbar bleibt allein die interne Risikoverteilung in der Lieferkette.

3. Datenschutz: Die Rechtsgrundlage des Trainings wird unterschätzt

Wird ein System mit personenbezogenen Daten trainiert, enthält das Modell solche Daten oder verarbeitet es sie in den Ausgaben, ist eine eigenständige datenschutzrechtliche Würdigung erforderlich. Der häufigste Irrtum: Eine ursprünglich rechtmäßige Datenerhebung decke auch das spätere Training ab.

Das ist nicht der Fall. Jede Zweckänderung — etwa die Nutzung vorhandener Daten zum Modelltraining oder zur Produktverbesserung — verlangt eine eigene Beurteilung und regelmäßig eine eigene Rechtsgrundlage nach Art. 6 DSGVO. Besondere Kategorien personenbezogener Daten (Art. 9) sind stark eingeschränkt. Hinzu kommt die saubere Zuordnung der Rollen (Verantwortlicher, gemeinsam Verantwortliche, Auftragsverarbeiter) je Verarbeitungsvorgang sowie die Frage, ob der Einsatz unter das Verbot ausschließlich automatisierter Entscheidungen mit erheblicher Wirkung fällt (Art. 22 DSGVO). All das gehört in den Vertrag — bei KI mit höherer Regelungstiefe als bei klassischer Auftragsverarbeitung.

4. Geistiges Eigentum an In- und Outputs bleibt ungeklärt

Ob die Ausgaben eines generativen Systems urheberrechtlich geschützt sind, ist in vielen Rechtsordnungen offen. Die Urheberschaft ist eine Tatsachen- und Statusfrage und lässt sich nicht vertraglich abändern; vertraglich regelbar ist hingegen, wem etwaige Rechte an den Ausgaben zustehen.

Wegen dieser Unsicherheit reicht eine bloße Zuordnungsklausel nicht aus. Sinnvoll sind Auffangregeln für den Fall, dass gar kein Schutzrecht entsteht — etwa vertragliche Beschränkungen für Nutzung und Weitergabe der Outputs. Auf der Eingabeseite sollte ausdrücklich festgehalten werden, ob der Anbieter Rechte an Prompts und Eingabedaten beansprucht; viele B2B-Anbieter verzichten darauf, was klar dokumentiert gehört. Und bei Open-Weight-Modellen unter Copyleft-Lizenzen (etwa GPL-Varianten) ist zu klären, ob Feintuning ein Bearbeitungswerk schafft, das Offenlegungspflichten auslöst — und wer für diese Bewertung verantwortlich ist.

5. Für Finanzunternehmen kommt eine eigene Schicht hinzu

Bei Finanzdienstleistern überlagern sektorale Vorgaben den allgemeinen Rahmen. Qualifiziert das KI-System als IKT-Dienstleistung, gelten die zwingenden vertraglichen Mindestinhalte des Art. 30 DORA (Verordnung (EU) 2022/2554) — von der Leistungsbeschreibung über Sicherheits- und Verfügbarkeitsanforderungen bis zu Zugangs-, Audit- und Kündigungsrechten sowie Exit-Strategien. Bei kritischen oder wichtigen Funktionen verschärfen sich die Anforderungen.

Hinzu treten auslagerungsbezogene Vorgaben (MaRisk), die Lieferkettensicherheit nach NIS2 (Richtlinie (EU) 2022/2555) sowie — wo KI in beratungs- oder überwachungsnahe Prozesse eingebunden wird — fachaufsichtliche Informations- und Kontrollrechte mit Blick auf MiFID II. Die Kunst liegt darin, diese Schichten zu konsolidieren statt sie nebeneinander zu regeln.

Fazit: Der Vertrag bleibt das Steuerungsinstrument

Die KI-VO schafft direkte gesetzliche Pflichten — aber sie ersetzt den Vertrag nicht. Im Gegenteil: Sie macht ihn wichtiger. Verantwortlichkeiten klären, Rollen zuordnen, Beweis- und Dokumentationslagen sichern, Auffangregeln für rechtliche Unsicherheiten schaffen — das alles leistet nur die vertragliche Ausgestaltung. Wer KI wie Standardsoftware einkauft, verschenkt genau dieses Steuerungsinstrument.

Eine ausführliche Darstellung der einzelnen Regelungspunkte — von der Rollen- und Risikoanalyse über Datenschutz, IP und Haftung bis zu den sektoralen Anforderungen für Finanzunternehmen — habe ich in einem Mandanten-Leitfaden zusammengestellt. Für eine auf Ihren konkreten Sachverhalt, Ihre Rolle und Ihre Jurisdiktion (DE, UK, GR) zugeschnittene Prüfung stehe ich Ihnen gern zur Verfügung.