Praxisleitfaden: Verträge für generative KI-Systeme rechtssicher gestalten

Dr. Thomas Helbing
Freitag, 6. Juni 2025 - 14:50

Generative Künstliche Intelligenz (KI) transformiert Geschäftsprozesse. Ob als intelligenter Assistent, zur Code-Generierung oder zur Unterstützung bei Wartungsarbeiten – die Einsatzmöglichkeiten sind vielfältig. Doch mit den Chancen gehen  rechtliche Risiken einher. Ein sorgfältig ausgearbeiteter Nutzungsvertrag ist daher unerlässlich, um die Beziehung zwischen KI-Anbieter und Kunde auf eine solide Basis zu stellen.

Die Herausforderung liegt in der Natur der Technologie selbst: Generative KI ist nicht deterministisch, sie lernt kontinuierlich dazu und ihre Ergebnisse sind nicht immer vorhersagbar. Klassische Softwareverträge greifen hier zu kurz. Dieser Leitfaden zeigt, welche Klauseln in einem modernen KI-Nutzungsvertrag nicht fehlen dürfen und wie Sie die typischen Fallstricke vermeiden.

Teil 1: Das Fundament – Vertragsgegenstand, Definitionen und Nutzungsrahmen

Der Einstieg in den Vertrag muss Klarheit schaffen. Hier wird definiert, was genau bereitgestellt wird und welche Regeln für die Nutzung gelten.

Worauf Sie achten müssen:

  • Präzise Leistungsbeschreibung: Beschreiben Sie das KI-System und seinen Zweck so genau wie möglich. Handelt es sich um ein Sprachmodell zur Texterstellung, ein Bild- oder ein Video-Generator? Für welchen spezifischen Anwendungsfall wird es bereitgestellt (z.B. Unterstützung bei der Bedienung bestimmter Maschinen)? Eine separate Anlage („Systemspezifikation“) ist ideal, um technische Details, Funktionsumfang und Systemvoraussetzungen (z.B. benötigter Browser, Hardware) festzuhalten.

  • Klare Begriffsdefinitionen: Die Welt der KI ist voller Fachjargon. Definieren Sie zentrale Begriffe wie „Prompt“, „Output“, „KI-System“, „KI-Modell“ oder „Bias“ direkt im Vertrag. Dies verhindert Missverständnisse und schafft eine gemeinsame Sprache. Anleihen bei Definitionen aus dem EU AI Act (KI-VO) sind hierbei oft hilfreich.

  • Regeln für Systemänderungen: KI-Systeme entwickeln sich rasant weiter. Behalten Sie sich als Anbieter das Recht vor, das System zu ändern oder zu aktualisieren. Um Fairness zu gewährleisten, sollten Sie wesentliche Änderungen mit einer angemessenen Frist (z.B. sechs Wochen) ankündigen, damit der Kunde sich darauf einstellen kann.

Checkliste: Grundlagen & Leistungsbeschreibung

  • Vertragsgegenstand klar definiert? (Welches KI-System? Welcher Zweck?)

  • Zentrale Begriffe erklärt? (Prompt, Output, Bias etc.)

  • Faire Klausel zu Systemänderungen und Updates enthalten?

  • Service-Level-Vereinbarungen (SLAs) getroffen? (z.B. Verfügbarkeit, Reaktionszeiten bei Störungen – besonders wichtig bei entgeltlichen Verträgen)

Teil 2: Die Spielregeln – Zulässige und unzulässige Nutzung

Dieser Abschnitt ist entscheidend, um Missbrauch vorzubeugen und die Integrität Ihres KI-Systems zu schützen.

Worauf Sie achten müssen:

  • Bestimmungsgemäßer Gebrauch: Beschränken Sie die Nutzung klar auf den vereinbarten Zweck. Ein KI-System, das für die Maschinenwartung gedacht ist, sollte nicht zur Erstellung von Marketingtexten missbraucht werden.

  • Verbot der Manipulation: Verbieten Sie explizit manipulative Techniken, mit denen versucht wird, das System zu täuschen, Sicherheitsfilter zu umgehen oder vertrauliche Informationen zu extrahieren. Dazu gehören:

    • Prompt-Injection: Gezielte Eingaben, um unerwünschte oder schädliche Antworten zu provozieren.

    • Reverse Engineering: Versuche, das zugrundeliegende KI-Modell durch massenhafte Abfragen zu rekonstruieren.

    • Evasion-Attacks: Umgehungsangriffe, die das System zu Falschaussagen verleiten.

  • Recht zur Inhaltsfilterung: Behalten Sie sich als Anbieter das Recht vor, Prompts und Outputs zu überprüfen und bei Verdacht auf Missbrauch die Verarbeitung zu unterbinden.

  • Haftung des Kunden für Missbrauch: Machen Sie den Kunden für Schäden haftbar, die durch eine vertragswidrige Nutzung durch ihn oder seine Mitarbeiter entstehen.

Praxis-Tipp: Kennzeichnungspflicht nach AI Act Der EU AI Act (Art. 50) schreibt vor, dass KI-generierte Inhalte (Texte, Bilder, Videos) als solche maschinenlesbar gekennzeichnet werden müssen. Verpflichten Sie den Kunden ggf. vertraglich, diese Kennzeichnung nicht zu entfernen oder zu verändern.

Checkliste: Nutzungsregeln

  • Bestimmungsgemäßer Gebrauch klar definiert?

  • Konkrete Beispiele für unzulässige Nutzung/Manipulation aufgeführt?

  • Recht zur Überprüfung und Filterung von Inhalten vorbehalten?

  • Kundenhaftung für vertragswidrige Nutzung verankert?

  • flicht zur Beibehaltung der KI-Kennzeichnung des Outputs geregelt?

Teil 3: Die Realität der KI – Risiken, Kompetenz und Datenverarbeitung

Generative KI ist keine fehlerfreie Magie. Ein guter Vertrag klärt den Kunden transparent über die systemimmanenten Risiken und Besonderheiten auf.

Worauf Sie achten müssen:

  • Pflicht zur KI-Kompetenz (AI Act, Art. 4): Der AI Act verpflichtet Anbieter und Betreiber, für eine ausreichende KI-Kompetenz der Nutzer zu sorgen. Verpflichten Sie den Kunden vertraglich, seine Mitarbeiter entsprechend zu schulen und zu überwachen. Erklären Sie im Vertrag oder in einer Handreichung die grundlegende Funktionsweise der KI: Sie lernt Muster aus Daten und generiert statistisch wahrscheinliche, aber nicht zwangsläufig korrekte neue Inhalte.

  • Aufklärung über Risiken: Weisen Sie unmissverständlich auf folgende Risiken hin:

    • Bias (Verzerrungen): Der Output kann durch die Trainingsdaten bedingte Vorurteile oder Verzerrungen enthalten.

    • Halluzinationen: Die KI kann Fakten erfinden oder sachlich falschen Output generieren.

    • Prüfpflicht des Kunden: Betonen Sie, dass es in der Verantwortung des Kunden liegt, den KI-Output vor jeder Verwendung kritisch auf Plausibilität und Korrektheit zu prüfen. Dies ist besonders bei sicherheitskritischen Anwendungen (wie Maschinenwartung) essenziell.

  • Transparenz bei der Datenverarbeitung: Klären Sie auf, was mit den Eingabedaten (Prompts) geschieht.

    • Keine klassische Speicherung: Machen Sie deutlich, dass Prompts nicht wie in einer normalen Datenbank gespeichert, sondern ggf. zur kontinuierlichen Verbesserung des Modells verwendet werden .

Checkliste: Risikoaufklärung und Daten

  • Pflicht des Kunden zur Sicherstellung der KI-Kompetenz seiner Nutzer verankert?

  • Klar und verständlich über die Risiken von Bias und Halluzinationen aufgeklärt?

  • Ausdrückliche Prüfpflicht des Kunden für den KI-Output festgelegt?

  • Transparenz über die Verarbeitung von Eingabedaten?

Teil 4: Geistiges Eigentum und Haftung – Wer besitzt was und wer haftet wofür?

Dies ist einer der komplexesten und wichtigsten Bereiche eines KI-Vertrags. 

Worauf Sie achten müssen:

  • Rechte an den Eingaben (Prompts): Stellen Sie klar, dass der Kunde dafür verantwortlich ist, dass er die Rechte an allen Inhalten besitzt, die er in das System eingibt (z.B. Texte, Bilder). Der Anbieter prüft dies nicht.

  • Rechte am Output: Die Rechtslage zur Schutzfähigkeit von KI-generiertem Output ist noch nicht final geklärt. In der Regel entsteht daran kein Urheberrecht, da eine menschliche Schöpfung fehlt. Seien Sie als Anbieter vorsichtig mit Garantien. Weisen Sie darauf hin, dass der Output unbeabsichtigt Rechte Dritter verletzen kann (z.B. durch Ähnlichkeit mit bestehenden Werken).

  • Umgang mit Geschäftsgeheimnissen: Sofern zutreffend: Warnen Sie den Kunden explizit davor, sensible Geschäftsgeheimnisse oder personenbezogene Daten in das System einzugeben, wenn nicht ausgeschlossen werden kann, dass Elemente davon in den Antworten für andere Nutzer wiedergegeben werden.

  • Haftungsregelung:

    • Unentgeltliche Nutzung: Bei einer unentgeltlichen Bereitstellung (z.B. in einer Testphase) können Sie Ihre Haftung stark einschränken, meist auf Vorsatz und grobe Fahrlässigkeit.

    • Entgeltliche Nutzung: Hier gelten die üblichen Haftungsregeln. Eine Haftungsbeschränkung ist nur in engen Grenzen möglich.

    • Freistellungsklauseln: Schützen Sie sich durch zwei Arten von Freistellungen:

      1. Freistellung des Anbieters durch den Kunden: Der Kunde stellt Sie von Ansprüchen Dritter frei, die aus seiner vertragswidrigen Nutzung oder unzureichenden Überwachung seiner Mitarbeiter resultieren.

      2. (Optional) Freistellung des Kunden durch den Anbieter: Einige große Anbieter bieten ihren Kunden eine (oft summenmäßig begrenzte) Freistellung für den Fall an, dass der Kunde wegen einer durch den KI-Output verursachten Urheberrechtsverletzung in Anspruch genommen wird. Dies kann ein starkes Verkaufsargument sein.

Checkliste: Schutzrechte & Haftung

  • Verantwortung des Kunden für die Rechte an Eingabedaten geregelt?

  • Klare Regelung (oder vorsichtiger Hinweis) zu den Rechten am Output?

  • ggf. Ausdrückliche Warnung vor der Eingabe von Geschäftsgeheimnissen und personenbezogenen Daten enthalten?

  • An die Vertragsart (entgeltlich/unentgeltlich) angepasste Haftungsklausel formuliert?

  •  Sinnvolle Freistellungsklauseln zum Schutz beider Parteien integriert?

Fazit

Ein Vertrag über die Nutzung generativer KI ist ein lebendes Dokument, das die dynamische Natur der Technologie widerspiegeln muss. Der Schlüssel zu einem erfolgreichen Vertrag liegt in maximaler Transparenz. Klären Sie Ihren Kunden umfassend über die Funktionsweise, die Chancen, aber auch über die unvermeidlichen Risiken und Grenzen des Systems auf.

 

Newsletter Datenschutz

 

  • über 5.000 zufriedene Abonnenten
  • neue und aktualisierte Tools, Vorlagen, Muster, Checklisten und Erläuterungen zum Datenschutz und IT-Recht.
  • jederzeit abbestellbar mit einem Klick.