KI-Compliance bedroht Verträge von IT-Anbietern
Die aktuelle Lage der KI-Regulierung
Die Regulierung von Künstlicher Intelligenz (KI) hat einen kritischen Punkt erreicht, an dem sie direkte Auswirkungen auf geschäftliche Transaktionen hat. In dieser Woche haben Einkäufer in der Europäischen Union und den Vereinigten Staaten begonnen, konkrete Nachweise für sichere KI-Systeme zu verlangen, bevor Verträge unterzeichnet werden. Die Übergangfrist für die Einhaltung dieser neuen Vorschriften ist abgelaufen, und Unternehmen stehen unter erheblichem Druck, die erforderlichen Standards zu erfüllen.
Die praktische Implementierung der EU-KI-Verordnung hat begonnen. Obwohl der gesetzliche Zeitrahmen für Hochrisiko-Systeme erst im August 2026 abläuft, wird bereits jetzt von den Anbietern umfassende Dokumentation gefordert. Standardisierte Fragenkataloge sind nicht mehr ausreichend; stattdessen benötigen Beschaffungsabteilungen detaillierte Modellkarten, umfassende Evaluierungsberichte und Nachweise über durchgeführte Stresstests. Die Anforderungen sind gestiegen, und Unternehmen, die diesen Forderungen nicht nachkommen können, riskieren, aus dem Vergabeverfahren ausgeschlossen zu werden.
Die Branche sieht sich einem neuen Leistungsdruck gegenüber, da es nicht mehr nur darum geht, eine KI-Richtlinie zu haben, sondern auch darum, wie effektiv das System dabei unterstützt, Risiken zu minimieren.
Forderungen für KI-Systeme: Schwerpunktbereiche
Im Fokus der verschärften Beschaffungsanforderungen stehen drei zentrale Aspekte: die Herkunft der Trainingsdaten, die Transparenz der Modelle und die menschliche Aufsicht. Anbieter sind nun verpflichtet, umfassend offenzulegen, auf welchen Datensätzen ihre KI-Modelle trainiert wurden. Diese Vorgabe ist ein wesentliches Element der EU-Verordnung. Des Weiteren müssen Kunden „Evaluierungsartefakte“ bereitstellen, um nachzuweisen, dass die KI-Modelle unter Stressbedingungen sowohl keine Fehler produzieren als auch Vorurteile vermeiden.
Diese Anforderungen sind nicht nur eine Reaktion auf regulatorische Vorgaben, sondern auch eine Antwort auf die zunehmend komplexe Haftungssituation. Unternehmen sind besorgt, für nicht konforme KI-Systeme ihrer Zulieferer verantwortlich gemacht zu werden. Dies führt dazu, dass die Verpflichtung zur Einhaltung der Vorschriften sofort von den Beschaffern an die Anbieter weitergegeben wird.
Regulierungen im internationalen Kontext
Die Entwicklung der KI-Regulierung ist nicht auf Europa beschränkt. Im Dezember 2025 hat das US-amerikanische Office of Management and Budget (OMB) eine Richtlinie erlassen, die Bundesbehörden dazu verpflichtet, bei der Beschaffung großer Sprachmodelle ebenfalls Modellkarten anzufordern. Diese Vorgaben treten im März 2026 in Kraft und wirken als Katalysator für Änderungen in der gesamten Privatwirtschaft. Darüber hinaus zwingt ein kalifornisches Gesetz zur Transparenz von Trainingsdaten Anbieter dazu, ihre Datenquellen offenzulegen, ein Element, das nun in nahezu jeden Fragenkatalog einfließt, unabhängig davon, wo sich die Kunden befinden.
Dokumentationsanforderungen und Geschäftschancen
Für Anbieter ist die Botschaft klar: Ohne umfassende Dokumentation wird es keine Geschäfte geben. Besonders kleinere Unternehmen, die sich auf „Wrapper“-Lösungen großer Basismodelle stützen, könnten Schwierigkeiten haben, die technischen Fragen zu Trainingsdaten und Sicherheitsausrichtungen zu beantworten. Die finanziellen und geschäftlichen Risiken sind erheblich. Verstöße gegen die EU-KI-Verordnung können Strafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes nach sich ziehen. Die unmittelbare Gefahr für Unternehmen liegt jedoch im Verlust von Aufträgen und Partnerschaften, die sie aufgrund unzureichender Sicherheitsdokumentation erleiden können.
Die Herausforderungen der KI-Compliance
Aktuell erleben wir die „Operationalisierung“ der KI-Regulierung, ähnlich der Diskussion um die Datenschutz-Grundverordnung (DSGVO) im Jahr 2018. Der Unterschied besteht jedoch in der technischen Komplexität der KI-Compliance. Während der Fokus bei der DSGVO vor allem auf Prozessfragen lag, sind die Herausforderungen im Bereich der KI vorwiegend statistischer sowie ingenieurtechnischer Natur. Der Bedarf an kontinuierlichen Tests für Modell-Drift und Sicherheit gibt etablierten Firmen einen entscheidenden Vorteil, da sie über die notwendigen Ressourcen und das Know-how verfügen. KI-Start-ups hingegen sehen sich dem Druck ausgesetzt, ihre Governance-strukturen rasch zu professionalisieren.
Ausblick auf kommende Entwicklungen
Die Industrie erwartet eine Standardisierung der Sicherheitsfragenkataloge für KI bis zum Frühjahr 2026. Vergleichbar mit dem etablierten SIG-Fragebogen für Cybersicherheit könnte ein spezieller „KI-SIG“-Fragebogen entwickelt werden, der den Beschaffungsprozess vereinfachen soll. Mit den bevorstehenden US-Regelungen wird die Messlatte für die Anforderungen an die Dokumentation dauerhaft angehoben. Anbieter, die ihre Unterlagen nicht rechtzeitig aktualisieren, riskieren, vom Markt ausgeschlossen zu werden. Die klare Botschaft für das Jahr 2026 lautet: Künstliche Intelligenz und Dokumentation sind untrennbar miteinander verbunden. Unternehmen, die Compliance als lästige Pflicht ansehen, werden in endlosen Sicherheitsüberprüfungen gefangen bleiben.
Fazit: Die Notwendigkeit der Anpassung
Die laufenden Entwicklungen im Bereich der KI-Regulierung machen deutlich, dass sich Unternehmen intensiv mit den neuen Anforderungen auseinandersetzen müssen. Der Übergang zu einer umfassenden Compliance-Kultur ist nicht nur notwendig, sondern entscheidend für den langfristigen Geschäftserfolg. Ohne korrekte Dokumentation und transparente Prozesse wird es zunehmend schwieriger, im Wettbewerb zu bestehen.