Der Einkauf von KI-Lösungen und regulatorisches Dickicht

Bei der Beschaffung von KI-Lösungen stehen Einkäufer vor einem dynamischen Rechts- und Regulierungsumfeld mit zunehmenden Herausforderungen im Vertrags- und Datenschutzrecht sowie Auswirkungen der EU-Gesetzgebung. So steht nicht nur die Frage an, welche KI-Lösung beschafft werden soll und ob diese produktiv eingesetzt werden kann, sondern auch rechtliche Auswirkungen sollten bereits beim Beschaffungsvertrag berücksichtigt werden.

 Die Auswahl einer geeigneten KI-Lösung beginnt mit einer klaren Definition des Anwendungsfeldes und einer Analyse der technischen Architektur. Ob Zugriff auf ein Large Language Model («LLM» z.B. ChatGPT) oder bei dem Einkauf Kl-gestützter Software, gilt es vorab einige rechtliche Fragen zu klären. Ein präziser Einkaufsvertrag muss Haftungsfragen, Subunternehmerrollen und Besonderheiten des jeweiligen Einsatzgebietes regeln. Hierzu geben wir einen Überblick.

 

Was kann man beschaffen?

Die Auswahl KI-gestützter Lösungen ist grenzenlos und vielfältig. Daher sollte zuerst intern festgelegt werden, in welchem Anwendungsbereich KI-Software eingesetzt werden soll und welches System oder Angebot dafür am besten passt. Mögliche Optionen sind:

  • Zugang zu einem LLM (z.B. ChatGPT, Claude)

  • Dienstleistung für das Training eines ei-genen LLM

  • Zugang zu KI-gestützter Software (z.B. Perplexity, Deepl, CoPilot)

  • Spezialisierte KI-gestützte Software (z.B. für Rechtsrecherche oder Angebotserstellung)

  • KI-Agenten, z.B. für Knowledge-Management

  • Chatbots

  • Kl-gestützte Auswertung (z.B. in Steuerämtern oder für Prüfungsbewertungen)

  • KI-Predictive-Systeme (z.B. in der Strafverfolgung)

 

Ebenso stellt sich die Frage, ob im KI-System ein amerikanisches, chinesisches, europäisches oder Schweizer LLM eingebunden ist. Diese haben Unterschiede im Entwicklungsstand und auch die geopolitischen Auswirkungen, besonders im Hinblick auf die Daten-Souveränität, spielen für Unternehmen und Behörden eine wichtige Rolle.

 

Verständnis der System-Architektur und Rechtsverhältnisse

Allein der einfache Aufbau eines Chatbot-Systems zeigt, dass bei der Beschaffung des KI-Systems mehrere Rechtsverhältnisse zu berücksichtigen sind: zwischen Nutzer und Betreiber, zwischen Betreiber und Softwareentwickler, zwischen Betreiber und LLM-Anbieter sowie gegebenenfalls auch zu weiteren Dritten wie SaaS-Dienstleistern. Daraus ergeben sich einige Fragestellungen, die für den Beschaffungsvertrag von erheblich rechtlicher Bedeutung sind:

  • Was wird beschafft und was ist der konkrete Vertragsgegenstand?

  • Wer sind die Vertragspartner und Subunternehmer?

  • Liegt ein dienstleistungs-, Werk- oder sui-generis Vertrag vor?

  • Welche Haftungsklauseln bestehen und wer hat welche Haftung?

  • Welche Auswirkungen haben bestehen-den oder anstehende Regulierungen?

Den Letzten beissen die Hunde? Das Thema der Haftung

Derzeit gibt es weder in der Schweiz noch in der EU KI-spezifische Haftungsregelungen. Und eine von der EU-Kommission angekündigte KI-Produkthaftungs-Regelung ist Anfang des Jahres kassiert worden - wohl auch aus geopolitischen Überlegungen.

Die LLM-Anbieter jedenfalls schliessen die Haftung sehr weitreichend aus, eine Inanspruchnahme in den USA oder China dürfte auch praktische Probleme bringen. Dies ist zu berücksichtigen, denn die Haftung für strafbare oder unzulässige Inputs sowie fehlerhafte Outputs muss klar zwischen den verschiedenen Beteiligten (Nutzer bzw. Kunde, Betreiber z.B. der Webseite, Softwareentwickler etc.) vertraglich geregelt und in den Nutzungsbedingungenfestgehalten werden. Klar ist: Die «KI» haftet mangels Rechtspersönlichkeit jedenfalls nicht.

 

Datenschutz und Urheberrechte

Allein über diese beiden Bereiche könnte man Abhandlungen schreiben, die den Rahmen dieses Beitrages sprengen würden. Daher als Input für die Vertragsgestaltung:

Das Geltende Datenschutzgesetz (DSG) «ist auf KI direkt anwendbar», so der Eidgenössische Datenschutzbeauftragte. Zudem handelt es sich nach Auffassung der Datenschutzbeauftragten des Kantons Zürich bei KI-Applikationen rechtlich um eine «neue Technologie», so dass bei der Beschaffung durch öffentliche Organe eine sog. Vorabkontrolle der Datenschutzbeauftragten vorzulegen ist. Daher sind datenschutzrechtliche Überlegungen schon vor der Beschaffung von KI-Systemen vorzunehmen.

Ebenfalls regelungsbedürftig sind die Themen des Urheber- und Nutzungsrechts. Während die LLM-Anbieter diese Rechte dem Nutzer sowohl am Input wie Output vollständig einräumen, sind diese Rechte dann in den erforderlichen Umfängen auch den verschiedenen Beteiligten einzuräumen oder gerade nicht einzuräumen. Werden KI-Lösungen in Unternehmen für produktive oder skalierbare Ergebnisse eingesetzt, besteht das Interesse, dass das Urheber- oder jedenfalls Nutzungsrecht dann auch beim Unternehmen liegt und ggf. an Dritte in der Wertschöpfungskette gegen Vergütung weitergegeben werden kann.

 

Blick in die Zukunft: Das Thema mit der Regulierung

In der Schweiz gibt es keine KI-spezifische Regulierung, jedoch ist die am 12. Februar 2025 vorgelegte Auslegeordnung des Bundesrates ein erster Fingerzeig: sektorspezifische KI-Regulierung dürfte auch in Schweiz kommen - wenn auch die Vernehmlassung erst Ende 2026 erfolgen soll und die tatsächliche Regulierung erst gegen 2030 wirksam werden könnte. Auch die von der Schweiz ratifizierte KI-Konvention des Europarates (nicht zu verwechseln mit dem AI-Act der EU) könnte Auswirkungen auf den Einsatz und die Nutzung von KI-Lösungen haben. Hier wird jede Einkaufsabteilung einen Blick in die Zukunft wagen (müssen), um keine KI-Lösung zu beschaffen, deren Einsatz einer zukünftigen Regulierung unterliegen könnte.

 Bereits in Kraft ist der AI-Act der EU, der bereits jetzt verbotene KI-Praktiken unter Busse stellt. Weitere Regelungen treten zeitlich gestaffelt in Kraft. Auch das ist im Blick zu behalten, wenn KI-Lösungen beschafft werden und der Anwendungsbereich die EU betrifft - z.B., weil das Ergebnis in der EU Auswirkungen hat.

Das Gute daran: Lässt sich alles lösen

Mit KI lässt sich heute schon vieles lösen und vereinfachen. Und auch die Beschaffung und die Nutzung von KI-System lassen sich heute bereits rechtssicher lösen, auch wenn einige Rechtsfragen ungeklärt sind.

Vorschlag zur Beschaffung von KI-Systemen

  • Step 1: Anwendungsfeld definieren

  • Step 2: Behörden/Unternehmens(ethische) Leitlinien für den Einkauf erstellen

  • Step 3: Systemarchitektur und Subvertragsverhältnisse verstehen

  • Step 4: Entscheidung über OnPrem- oder SaaS-/Cloud-Lösung

  • Step 5: Einkaufsvertrag: hier spielt die rechtliche «Musik»

  • Step 6: Nutzerguideline für den Einsatz von KI-Systemen erstellen

  • Step 7: Schulung von Mitarbeitenden

 

Dieser Beitrag wurde von Sven Kohlmeier zuerst im Procure-Magazin Oktober 2025 veröffentlicht.

 

Bei Fragen zu IT- und KI-rechtlichen Fragenstellungen, wie auch der Prüfung und Erstellung von Verträgen unterstützt Sie Sven Kohlmeier gerne. 

Sven Kohlmeier