ki-anbieter-pruefung

star 842

Prüft KI-Anbieterverträge gegen die unternehmenseigenen Governance- Positionen; kennzeichnet Training auf Daten, Haftung, Modelländerungen und KI-Richtlinien-Konsistenz. Unterscheidet Anbieter/Betreiber-Rolle nach Art. 3 KI-VO; prüft Vertragspflichten nach Art. 25 KI-VO. Lädt, wenn der Nutzer KI-Vertrag prüfen, Anbietervertrag KI, AI Act Art. 25 Vertragspflichten oder KI-AGB prüfen sagt im Ki Governance: prüft konkret die einschlägigen Tatbestandsmerkmale, Fristen, Belege und Rechtsprechung. Liefert priorisierten Output mit Norm-Pinpoints, Risikoampel und nächstem Arbeitsschritt.

Klotzkette By Klotzkette schedule Updated 6/7/2026
play_arrow Run Skill in Manus View GitHub

name: ki-anbieter-pruefung description: "Prüft KI-Anbieterverträge gegen die unternehmenseigenen Governance- Positionen; kennzeichnet Training auf Daten, Haftung, Modelländerungen und KI-Richtlinien-Konsistenz. Unterscheidet Anbieter/Betreiber-Rolle nach Art. 3 KI-VO; prüft Vertragspflichten nach Art. 25 KI-VO. Lädt, wenn der Nutzer KI-..."

KI-Anbieterprüfung

Arbeitsbereich

Prüft KI-Anbieterverträge gegen die unternehmenseigenen Governance- Positionen; kennzeichnet Training auf Daten, Haftung, Modelländerungen und KI-Richtlinien-Konsistenz. Unterscheidet Anbieter/Betreiber-Rolle nach Art. 3 KI-VO; prüft Vertragspflichten nach Art. 25 KI-VO. Lädt, wenn der Nutzer "KI-Vertrag prüfen", "Anbietervertrag KI", "AI Act Art. 25 Vertragspflichten" oder "KI-AGB prüfen" sagt. Arbeite entlang dieser konkreten Prüfungslinie und trenne Rolle, Frist, Zuständigkeit, Beweislast und gewünschten Output.

Arbeitsweg

  • Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
  • Fristen und Eilrisiken zuerst markieren: KI-VO Geltungsbeginn gestaffelt (02.02.2025 Verbote, 02.08.2025 GPAI, 02.08.2026 Hochrisiko Anhang III), schwerwiegender Vorfall 15 Tage, DSGVO DPIA vorab.
  • Tragende Normen verifizieren: EU KI-VO 2024/1689 Art. 9, 10, 14, 22, 27, 50, ISO/IEC 42001, NIST AI RMF 1.0, OECD AI Principles, DSGVO Art. 22, 35, Produkthaftungs-RL 2024/2853 — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
  • Zuständige Stelle bestimmen und Adressaten richtig wählen: Geschäftsleitung, KI-Officer, Datenschutzbeauftragter, Compliance, Aufsichtsrat, Marktüberwachung, externer Auditor, betroffene Personen.
  • Dokumente und Beweismittel sammeln und auf Lücken prüfen: KI-Inventar, Risikoanalyse, FRIA (Fundamental Rights Impact Assessment), AI Governance Policy, Modellkarten, Audit-Bericht, DSGVO-DPIA, Schulungsnachweis — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

Zweck

KI-Anbieterverträge sind der Ort, an dem Governance-Positionen tatsächlich auf die Probe gestellt werden. Das Erstgespräch erfasst, was das Unternehmen will. Diese Skill prüft, was es vereinbart hat.

Blickwinkel: Wir sind Betreiber/Käufer. Kein Rollenwechsel.

AI Act Art. 25 KI-VO: Verantwortlichkeitsverteilung in der Lieferkette; Betreiber können per Vereinbarung bestimmte Anbieter-Pflichten übernehmen (Art. 25 Abs. 1 KI-VO). Art. 26 KI-VO verpflichtet Betreiber, nur geeignete Systeme einzusetzen und die Bedienungsanleitung zu befolgen. Beide Punkte müssen im Vertrag explizit geregelt sein.

Drei häufige Vertragstypen: eigenständige KI-Vereinbarung/KI-Annex (am strukturiertesten); AGB mit eingebetteten KI-Klauseln (oft versteckt); Nutzungsrichtlinie allein (zeigt nur, was wir nicht dürfen — nicht, was der Anbieter mit unseren Daten macht).

Eingaben

  • KI-Vertrag, KI-Annex oder AGB-KI-Abschnitt (Datei oder eingefügter Text)
  • Praxisprofil aus CLAUDE.md (Anbieter-Governance-Positionen, KI-Richtlinien- Verpflichtungen, Anwendungsfall-Register)
  • Anbieter-Name und Verwendungszweck

Rechtlicher Rahmen

Kernvorschriften

  • AI Act Art. 3 Nr. 3/4 KI-VO: Definitionen Anbieter/Betreiber; maßgeblich für Pflichtenzuordnung.
  • AI Act Art. 25 KI-VO: Verantwortlichkeiten in der Lieferkette; vertragliche Pflichten-Übertragung; Betreiber darf keine Art. 5-Verbote veranlassen (Art. 25 Abs. 2 KI-VO).
  • AI Act Art. 26/29 KI-VO: Betreiberpflichten (Eignung prüfen, Anleitung befolgen, menschliche Aufsicht sicherstellen, Protokollierung).
  • DSGVO Art. 28: AVV-Pflichten bei KI-Auftragsverarbeitung; Prüfungsrecht Art. 28 Abs. 3 lit. h DSGVO.
  • GeschGehG §§ 2, 4: Eingabe vertraulicher Daten in externe KI kann Geheimnisschutz gefährden, wenn Anbieter für Training nutzt.
  • BGB §§ 305 ff. (§ 307): AGB-Kontrolle; unangemessene Haftungsbeschränkungen können unwirksam sein.
  • Produkthaftungs-RL 2024/2853/EU: KI-Systeme als Produkte; relevant bei Haftungsklauseln im Anbietervertrag.
  • UrhG § 44b: Text-und-Data-Mining-Schranke; relevant bei Training auf lizenzierten Inhalten.

Leitentscheidungen

  • Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. Vertragsgestaltung muss DSGVO Art. 22 Widerspruchs- und Prüfungsrechte operationalisieren.
  • Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. von Haftungsausschlüssen bei komplexen IT-Systemen; Maßstab für KI- Anbieter-Haftungsklauseln.
  • Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. Anforderungen an Vertragsgestaltung zum Schutz von Geschäftsgeheimnissen.
  • Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. Datenübermittlung an externe Dienstleister; übertragbar auf KI-AVV.

Kommentare

  • Wendehorst/Grinzinger, AI Act, 1. Aufl. 2024, Art. 25 Rn. 5 (Verantwortlichkeitsverteilung; vertragliche Pflichten-Übertragung; Doppelautoren-Kommentar).
  • Hoffmann, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2024, Teil IV Rn. 120 (Vertragsgestaltung bei KI-Diensten).
  • Quellenregel: Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff; keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. bei IT-/Softwareverträgen; KI-Haftungsklauseln).
  • Bertermann, in: Ehmann/Selmayr, DS-GVO, 3. Aufl. 2024, Art. 28 Rn. 30.

Hinweis: Dieser Skill ersetzt keine anwaltliche Beratung im Einzelfall.

Ablauf

Schritt 1 — Playbook und Stack klären

CLAUDE.md## KI-Anbieter-Governance und ## KI-Richtlinien-Verpflichtungen.

KI-Stack kartieren vor Klausel-Prüfung:

  1. End-User-SaaS (z. B. Legal-Tech-Tool)
  2. API-Gateway/Orchestrierung (z. B. Azure OpenAI, AWS Bedrock, Vertex)
  3. Modellanbieter (z. B. Anthropic, OpenAI, Google)
  4. Wissensbasis/RAG-Quelle
  5. Weitere Unterauftragnehmer

Bei gestapelten Anbietern: beide Vertragswerke prüfen. Eine Zusage auf Ebene 1 ist wertlos, wenn Ebene 3 das Gegenteil regelt und Ebene 1 die Zusage nicht weitergegeben hat.

Schritt 2 — Klausel-für-Klausel-Prüfung

Klausel Anbieter sagt Unsere Position Lücke Schweregrad
Training auf unseren Daten
Vertraulichkeit der Eingaben
Modelländerungen
Ausgabe-IP / Rücklizenz
Haftung für Ausgaben (§ 307 BGB)
Vorfallbenachrichtigung
Menschliche Überprüfungsrechte
Nutzungsbeschränkungen
Prüfrechte / SOC 2 (Art. 28 Abs. 3 lit. h DSGVO)
Unterauftragnehmer / Modellanbieter
Datenspeicherort / Drittlandübertragung
Art. 25 KI-VO — Pflichten-Zuordnung

Schweregrad (gegen CLAUDE.md-Positionen):

  • Aligned — Standard oder besser
  • ⚠️ Hinweis — innerhalb Fallback, schlechter als Standard
  • 🟠 Erheblich — außerhalb Standard, innerhalb Fallback; Redline nötig
  • Kritisch — außerhalb Fallback; Eskalation; kein Einsatz ohne Klärung

Weitergabetest bei gestapelten Anbietern: Vertrag auf Flow-Down-Klauseln prüfen. Bei fehlender Weitergabe: konkrete Redline produzieren:

"Ergänzen in § [X]: Anbieter stellt sicher, dass Unterauftragnehmer Pflichten zu [Datennutzung/Training/Vertraulichkeit] eingehen, die nicht weniger schützend sind als diese Vereinbarung."

Schritt 3 — KI-Annex-Lückenprüfung

AVV vorhanden, aber kein KI-Annex → kennzeichnen: bei Standard-Tier tolerierbar; bei erhöhter/hoher Stufe ein ❌-Blocker (keine Regelung zu Training, Modelländerungen, Art. 25 KI-VO, Haftung).

Keine KI-Klauseln überhaupt → ❌ für jeden erhöhten/hohen Anwendungsfall.

Schritt 4 — KI-Richtlinien-Konsistenzprüfung

Häufige Konflikte: Unsere Richtlinie verbietet Training → Anbieter erlaubt es standardmäßig; unsere Richtlinie verlangt Human-Review → Anbieter- Ausgaben sind final; Anbieter nicht auf Freigabeliste; DSGVO Art. 22 Widerspruchsrecht nicht operationalisiert. Jeden Widerspruch kennzeichnen.

Schritt 5 — Redline-Granularität

So klein wie möglich. Wort → Phrase → Unterklausel → Satz → Klausel. Chirurgische Redlines signalisieren: wir haben sorgfältig gelesen.

Ergebnis

[2 Sätze: Können wir einsetzen? Was muss sich zuerst ändern?] Befunde: [N]❌ [N]🟠 [N]⚠️ [N]✅

Klausel-für-Klausel [Tabelle gem. Schritt 2]

KI-Annex-Status [Vorhanden/Fehlend + Konsequenz]

KI-Richtlinien-Konsistenz [✅/⚠️ Liste]

Empfohlene Redlines [konsolidiert; vor Übermittlung mit Anwalt abstimmen]

Wenn der Anbieter nicht nachgibt [Fallback oder Eskalation je Punkt]


Bei Nicht-Jurist-Rolle vor Unterzeichnungsempfehlung: anwaltliche Prüfung
abfragen; 1-seitigen Kurzüberblick generieren.

## Beispiel

**Anfrage:** "OpenAI Enterprise für interne Rechtsrecherche prüfen."
**Vorgehen:** Stack: OpenAI ist Modell- und SaaS-Ebene in einem.
Training: OpenAI Enterprise sieht kein Training auf Eingaben vor —
bestätigen; GeschGehG prüfen. Haftung: AGB-Ausschluss → § 307 BGB prüfen.
Art. 25 KI-VO: bei Nicht-Hochrisiko-Einsatz weniger kritisch, aber
Betreiberpflichten Art. 26/29 dokumentieren. AVV: DSGVO Art. 28 prüfen.

## Risiken und typische Fehler

- Training-auf-Daten-Klausel ist die am häufigsten übersehene: nie aus
 Reputation annehmen; in Schriftform bestätigen lassen.
- Stack nicht kartieren: modern KI ist geschichtet; nur die Oberfläche zu
 prüfen ist der häufigste Fehler.
- Nutzungsrichtlinie mit Datennutzungsklausel verwechseln: AUP ≠ Data Terms.
- Verlängerungen als Hebel nutzen: Lücken jetzt dokumentieren.

## Quellenpflicht

- **AI Act Art. 3 Nr. 3/4, Art. 25, Art. 26/29** — VO (EU) 2024/1689.
- **DSGVO Art. 28** bei Auftragsverarbeitung.
- **GeschGehG § 2 Nr. 1** bei Training-auf-Daten.
- **BGB §§ 305 ff. (§ 307)** bei AGB-Haftungsklauseln.
- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
- **Wendehorst/Grinzinger, AI Act, 1. Aufl. 2024, Art. 25 Rn. 5** (Doppelautoren-Kommentar).
- Quellenregel: Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff; keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen.
- **Bertermann, in: Ehmann/Selmayr, DS-GVO, 3. Aufl. 2024, Art. 28 Rn. 30.**

## Triage zu Beginn
1. Welcher KI-Stack liegt vor — End-User-SaaS, API-Gateway, Modellanbieter, mehrere Schichten?
2. Ist der Anbietervertrag ein eigenstaendiger KI-Annex oder nur AGB mit eingebetteten Klauseln?
3. Erlaubt der Anbieter Training auf Eingabedaten — explizit oder per Schweigen in AGB?
4. Ist der Anbieter in einem Drittland — laeuft Art. 28 DSGVO AVV und Drittlandstransfer-Pruefung?
5. Liegt ein Hochrisiko-Anwendungsfall vor — gelten Art. 25/26 KI-VO Betreiberpflichten?

## Output-Template — KI-Anbieter-Pruefungsbericht
**Adressat:** Rechts-/Compliance-Team — Tonfall: sachlich-strukturiert

<!-- BEGIN ausformulierungspflicht (autogen) -->
> **Ausformulierungspflicht und Formatstandard.** Das Endprodukt wird in **vollständigen, ausformulierten Sätzen** geliefert — keine Stichwortskelette, keine leeren Klauselrümpfe, keine reinen Aufzählungen. Klauseln stehen als ausformulierte Rechtsfolgen-Sätze; Platzhalter wie `[Name der Mandantin]` werden klar markiert, der umgebende Text bleibt vollständig.
>
> **Schriftbild:** Wenn ein Schriftsatz, Vertrag, Memo, Beschluss, Vermerk oder sonstiges Enddokument als DOCX, PDF oder formatierter Text ausgegeben wird, ist **Times New Roman 11 pt** als Grundschrift zu verwenden. Überschriften bleiben in derselben Schrift und dürfen nur fett oder abgestuft sein. Bei reiner Markdown- oder Chat-Ausgabe wird dieser Formatwunsch als Exporthinweis aufgenommen.
>
> **Nummerierung:** Gliederung ausschließlich dezimal (`1`, `1.1`, `1.1.1` und so weiter). Keine römischen Ziffern, keine Buchstaben- oder Mischgliederung.
<!-- END ausformulierungspflicht (autogen) -->

KI-ANBIETER-PRUEFUNGSBERICHT [DATUM] — Anbieter: [ANBIETERNAME] — Anwendungsfall: [BESCHREIBUNG]

ERGEBNIS: [FREIGABE / FREIGABE MIT AUFLAGEN / ABGELEHNT] Befunde: [N] kritisch / [N] erheblich / [N] Hinweis / [N] aligned

KLAUSEL-PRUEFUNG (Auswahl):

Klausel Anbieter-Position Unsere Position Schweregrad
Training auf Daten [ANBIETERTEXT] Kein Training [STATUS]
Haftung für Ausgaben [ANBIETERTEXT] § 307 BGB [STATUS]
Art. 25 KI-VO Pflichten [ANBIETERTEXT] Klar geregelt [STATUS]
DSGVO Art. 28 AVV [STATUS] Erforderlich [STATUS]

EMPFOHLENE REDLINES:

WENN ANBIETER NICHT NACHGIBT: [FALLBACK ODER ESKALATIONSWEG]

Erstellt: [NAME], [DATUM] — Vor Unterzeichnung anwaltliche Prüfung einholen.
Install via CLI
npx skills add https://github.com/Klotzkette/claude-fuer-deutsches-recht --skill ki-anbieter-pruefung
Repository Details
star Stars 842
call_split Forks 111
navigation Branch main
article Path SKILL.md
Occupations
Project Management Specialists
More from Creator
Klotzkette
Klotzkette Explore all skills →