KI-Compliance als Risiko für IT-Verträge
Einführung der KI-Regulierung: Ein neuer Standard
Die Regulierung von Künstlicher Intelligenz (KI) ist längst keine theoretische Diskussion mehr, sondern hat konkrete Auswirkungen auf Geschäftsabläufe und Vertragsabschlüsse. Ab dieser Woche fordern Einkäufer in der EU und den USA eindeutige Nachweise für die Sicherheit von KI-Systemen, bevor sie Verträge unterzeichnen. Die Übergangsfrist, die vielen Unternehmen eine gewisse Flexibilität bot, ist nun abgelaufen.
Die Umsetzung der EU-KI-Verordnung hat offiziell begonnen und wirkt sich auf Anbieter in der Branche intensiver aus als in vielen Fällen erwartet. Obwohl die gesetzlich festgelegte Frist für Hochrisiko-Systeme erst im August 2026 endet, befinden sich Unternehmen unter erheblichem Druck, die neuen Anforderungen zu erfüllen. Standardisierte Fragenlisten sind nicht mehr ausreichend; Beschaffungsteams verlangen detaillierte Modellkarten, gründliche Evaluierungsberichte und nachweisbare Ergebnisse von Stresstests.
Fachleute sind sich einig, dass es nun entscheidend darauf ankommt, wie effektiv ein KI-System Risiken minimiert. Anbieter, die die neuen „Kill-Fragen“ nicht zufriedenstellend beantworten können, werden vom Vergabeprozess ausgeschlossen. Daher ist es für viele Unternehmen unerlässlich, zu verstehen, welche detaillierten Dokumente verlangt werden, um nicht vom Markt ausgeschlossen zu werden.
Forderungen an Anbieter: Was wird benötigt?
Die Anforderungen an Anbieter sind in den letzten Monaten erheblich gewachsen. Besonders drei zentrale Bereiche stehen dabei im Vordergrund: die Herkunft der Trainingsdaten, die Transparenz der Modelle und die menschliche Aufsicht. Die Anbieter sind verpflichtet, darzulegen, welche Datensätze sie für das Training ihrer KI genutzt haben. Diese klare Vorgabe ist eine direkte Folge der EU-Verordnung, die darauf abzielt, Vertrauen in die eingesetzten Systeme zu schaffen.
Kunden verlangen zudem „Evaluierungsartefakte“, die bestätigen, dass die Modelle unter Belastung keine Fehler wie Halluzinationen oder Vorurteile entwickeln. Die für Unternehmen entstehenden Risiken sind vielfältig. Die Haftung wird zunehmend an die Anbieter weitergegeben, und viele Unternehmen befürchten, für nicht-konforme KI-Systeme ihrer Zulieferer zur Verantwortung gezogen zu werden. Dies führt dazu, dass die Verantwortung für die Einhaltung der regulatorischen Anforderungen auf die Anbieter abgeschoben wird, und das mit sofortiger Wirkung.
Globale Auswirkungen der Regulierung
Die Entwicklungen in Europa sind nicht isoliert zu betrachten. Auch in den USA gibt es bedeutende Fortschritte in der KI-Regulierung. Im Dezember 2025 veröffentlichten die Richtlinien des Office of Management and Budget (OMB), die Bundesbehörden verpflichten, bei der Beschaffung großer Sprachmodelle Modellkarten anzufordern, wobei die Frist dafür in den März 2026 fällt. Diese staatlichen Vorgaben wirken wie ein Katalysator für die Privatwirtschaft und setzen neue Standards für die Compliance.
Darüber hinaus hat Kalifornien ein Gesetz zur Transparenz von Trainingsdaten verabschiedet, das seit Januar 2026 in Kraft ist. Auch hier müssen Anbieter ihre Datenquellen offenlegen, was mittlerweile in nahezu jeden Anfragebogen aufgenommen wird, unabhängig vom Standort des Kunden.
Die Anforderungen an Unternehmen steigen
Die Botschaft ist eindeutig: Ohne entsprechende Dokumentation gibt es keine Geschäftsmöglichkeiten. Kleinere Unternehmen, die sich auf „Wrapper“-Lösungen großer Basismodellanbieter verlassen, stehen vor enormen Herausforderungen. Oftmals sind sie nicht in der Lage, die tiefgehenden technischer Fragen zu den Trainingsdaten und Sicherheitsrichtungen zuverlässig zu beantworten. Dies kann zu erheblichen finanziellen Risiken führen.
Die Strafen für Verstöße gegen die EU-KI-Verordnung können immense Summen erreichen: Bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes. Zugleich besteht die unmittelbare Gefahr eines Umsatzverlusts: Wer den Sicherheitsfragebogen eines potenziellen Kunden nicht besteht, wird ganz schnell vom Markt ausgeschlossen – lange bevor eine Behörde überhaupt eingreift.
Ausblick auf die Zukunft der KI-Regulierung
Die aktuellen Entwicklungen markieren den Übergang zu einer konsolidierten Phase der KI-Regulierung. Ähnlich der DSGVO von 2018 stehen die Unternehmen nun vor Herausforderungen, die nicht mehr nur theoretischer Natur sind, sondern eine praktische Umsetzung erfordern, die über die bloße Einhaltung von Vorschriften hinausgeht. Die technische Komplexität ist dabei der entscheidende Unterschied. Während die DSGVO vor allem mit Prozessproblemen behaftet war, erfordert die KI-Compliance fundiertes Wissen in Statistik und Ingenieurwesen.
Bis zum Frühjahr 2026 wird in der Branche mit einer Standardisierung der Sicherheitsfragebögen für KI gerechnet. Analog zum bestehenden SIG-Fragebogen für Cybersicherheit könnte ein „KI-SIG“ entstehen, um den Beschaffungsprozess zu optimieren. Anbieter, die sich nicht auf diese neuen Anforderungen einstellen und ihre Dokumentation nicht aktualisieren, riskieren ein „Verkaufsstopp“ und müssen lernen, dass KI-Innovation und Dokumentation mittlerweile untrennbar verbunden sind.
Fazit: Die neue Ära der KI-Compliance
Die Einführung strengerer Anforderungen an KI-Systeme stellt Unternehmen vor substantielle Herausforderungen. Die Notwendigkeit, Transparenz zu schaffen und Compliance-Richtlinien strikt zu befolgen, wird künftig entscheidend für den Markterfolg sein. Anbieter sollten ihre Governance-Strukturen rasch und effizient anpassen, um nicht in eine marktschädigende Lage zu geraten.