Modellvertragliche Klauseln für die Beschaffung von KI in der EU: Wichtige Erkenntnisse für KI-Unternehmen
Die Europäische Kommission (EK) hat eine aktualisierte Version der Modellvertraglichen Klauseln für die Beschaffung von KI (MCC-AI) veröffentlicht. Diese dient als Leitfaden für öffentliche Käufer, die sich mit der KI-Beschaffung im Rahmen des EU-KI-Gesetzes auseinandersetzen. Diese Klauseln sind jedoch auch ein praktisches Instrument, um jedem privaten Unternehmen zu helfen, ihre gesetzlichen Verpflichtungen bei der Bereitstellung oder Beschaffung von KI-Systemen, insbesondere von risikobehafteten KI-Lösungen, zu erfüllen.
Hintergrund
Die erste Version der MCC-AI wurde im September 2023 veröffentlicht, um auf das EU-KI-Gesetz vorzubereiten. Mit dem offiziellen Inkrafttreten des Gesetzes am 13. Juni 2024 hat die EK diese modellvertraglichen Klauseln verfeinert, um eine bessere Übereinstimmung mit den regulatorischen Anforderungen zu gewährleisten. Die neue Veröffentlichung umfasst:
- Eine Vollversion für risikobehaftete KI Systeme.
- Eine Light-Version für nicht-risikobehaftete KI Systeme.
- Eine Kommentar zur Anpassung und Implementierung der Klauseln.
Warum sollten Unternehmen mit den MCC-AI vertraut sein?
Die MCC-AI bieten einen wertvollen Rahmen für Unternehmen, die KI-Dienste beschaffen oder bereitstellen, indem sie einen gemeinsamen, minimalen Standard von Verpflichtungen festlegen. Diese Klauseln helfen sicherzustellen, dass beide Parteien in Bezug auf wichtige Compliance-Aspekte – wie Transparenz, Risikomanagement und Rechenschaftspflicht – im Einklang mit dem EU-KI-Gesetz stehen.
Organisationen, die MCC-AI-Klauseln an ihre Bedürfnisse, Verträge und Geschäfte anpassen, können Verhandlungen vereinfachen, rechtliche Unsicherheiten reduzieren und regulatorische Bereitschaft demonstrieren.
Wer hat die MCC-AI herausgegeben?
Die MCC-AI wurden von der Öffentlichen Käufergemeinschaft herausgegeben, die darauf abzielt, die Zusammenarbeit im öffentlichen Beschaffungswesen in der EU zu fördern. Sie dient als spezielle Plattform, auf der europäische öffentliche Beschaffer und die EK sich vernetzen, Erkenntnisse austauschen und Innovationen im öffentlichen Einkauf vorantreiben können. Die Klauseln sind als Arbeitsdokument zu betrachten und spiegeln nicht die offizielle Position der EK wider.
Wer sollte die MCC-AI nutzen?
Die MCC-AI sind für öffentliche Organisationen gedacht, die KI-Lösungen beschaffen, können jedoch von privaten Unternehmen auf einer Klausel-für-Klausel-Basis selektiv angepasst werden.
- Die Vollversion gilt für risikobehaftete KI-Systeme, wie sie in Kapitel III des EU-KI-Gesetzes definiert sind – KI-Systeme, die erhebliche Risiken für Gesundheit, Sicherheit oder fundamentale Rechte darstellen.
- Die Light-Version ist auf nicht-risikobehaftete KI-Systeme zugeschnitten, behandelt jedoch weiterhin wichtige Beschaffungsüberlegungen wie Transparenz, Risikomanagement und Datenverwaltung.
Selbst in Fällen, in denen das KI-System keine klaren Risiken aufweist, schlägt der Kommentar zu den MCC-AI vor, dass die Vergabestellen vertragliche Sicherheitsvorkehrungen rund um folgende Punkte einbeziehen:
- Risikomanagement-Rahmen
- Datenverwaltung und Nutzungsrechte
- Technische Dokumentation und Prüfmechanismen
- KI-Register für Verantwortlichkeit
Wie sollten die MCC-AI umgesetzt werden?
Die Klauseln sind so konzipiert, dass sie an Beschaffungsverträge angehängt werden, anstatt als eigenständige Vereinbarungen zu fungieren. Die MCC-AI enthalten nur Bestimmungen, die spezifisch für KI-Systeme und Themen sind, die im EU-KI-Gesetz behandelt werden. Sie adressieren nicht die Verpflichtungen oder Anforderungen, die sich aus anderen geltenden Gesetzen ergeben.
Was decken die MCC-AI ab?
Die MCC-AI sind um wichtige rechtliche und operationale Verpflichtungen strukturiert, darunter:
- Anforderungen an KI-Systeme: Gewährleistung der Einhaltung grundlegender rechtlicher und ethischer Standards.
- Verpflichtungen der Anbieter: Definition von Transparenz-, Risikomanagement- und Compliance-Erwartungen.
- Datenverwaltung: Etablierung von Rechten an Datensätzen, die in der KI-Entwicklung verwendet werden.
- Prüfung und Verantwortlichkeit: Einrichtung von Mechanismen zur Überwachung von KI-Systemen.
- Kosten und Haftung: Klarstellung finanzieller Verantwortlichkeiten für Implementierung und Compliance.
Zusätzlich bieten die Anhänge Vorlagen zur Beschreibung von KI-Nutzungsszenarien, zur Definition von Datenverwaltungssystemen und zur Dokumentation von Compliance-Maßnahmen.
Was sind die Unterschiede zwischen den standardvertraglichen Klauseln der Europäischen Kommission und den MCC-AI?
Die standardvertraglichen Klauseln der EU (SCCs) sind rechtlich bindende Vertragsschablonen, die von der EK herausgegeben wurden, um sicherzustellen, dass persönliche Daten, die außerhalb des Europäischen Wirtschaftsraums (EWR) übertragen werden, den Anforderungen der Allgemeinen Datenschutzverordnung (DSGVO) entsprechen. Sie auferlegen den beteiligten Parteien spezifische Datenschutzverpflichtungen.
Die folgende Tabelle zeigt die wichtigsten Unterschiede zwischen modellvertraglichen Klauseln (MCCs) und SCCs für Datenübertragungen. Obwohl sie unterschiedliche Zwecke erfüllen, können sie in derselben Vereinbarung enthalten sein:
| Kriterium | Modellvertragliche Klauseln (MCCs) | Standardvertragliche Klauseln (SCCs) |
|---|---|---|
| Zweck | Bereitstellung eines vertraglichen Rahmens für branchenspezifische Vorschriften, wie z.B. KI-Governance | Sicherstellung der DSGVO-Compliance für internationale Datenübertragungen |
| Rechtsgrundlage | Basierend auf branchenüblichen Best Practices oder regulatorischen Leitlinien (z.B. EU-KI-Gesetz) | Erforderlich gemäß Artikel 46 der DSGVO für Datenübertragungen außerhalb des EWR |
| Verpflichtende Nutzung | Optional, als Leitfaden oder als Anhang zu einem bestehenden Vertrag verwendet | Verpflichtend für Datenübertragungen in Drittländer ohne Angemessenheitsentscheidung |
| Regulatorischer Umfang | Deckt Verpflichtungen im Zusammenhang mit der Beschaffung von KI-Diensten ab | Fokussiert sich ausschließlich auf den Datenschutz und die DSGVO-Compliance |
| Anwendbarkeit | Kann in verschiedenen Branchen verwendet werden (z.B. KI-Verträge, Softwarevereinbarungen, Bereitstellung von KI-gestützten Lösungen) | Gilt nur für grenzüberschreitende persönliche Datenübertragungen außerhalb des EWR |
| Durchsetzbarkeit | Nur bindend, wenn in einem Vertrag zwischen den Parteien enthalten | Rechtlich bindend gemäß der DSGVO, wenn für Datenübertragungen verwendet |
| Wichtige Bestimmungen | Behandelt KI-Ethische, Haftung, Transparenz und Compliance | Behandelt Datensicherheit, Verpflichtungen Dritter, Prüfungsrechte und Rechte der betroffenen Personen |
| Flexibilität | Kann angepasst oder durch andere Vertragsbedingungen ergänzt werden | Muss im Original verwendet werden, mit begrenzten Modifikationen |
| An Verträge angehängt? | Ja, typischerweise an umfassendere Vereinbarungen angehängt | Ja, an Verträge gebunden, die Datenübertragungen regeln |
Wichtige Erkenntnisse
Für Organisationen, die KI-Systeme bereitstellen, verbessert die Anpassung der MCC-AI an ihr Geschäft die Glaubwürdigkeit und das Vertrauen der Kunden, indem sie ein Engagement für verantwortungsvolle KI-Praktiken zeigt.
Für Käufer bieten diese Klauseln ein grundlegendes Schutzniveau, das sicherstellt, dass die beschafften KI-Lösungen wesentliche ethische und rechtliche Standards erfüllen. Darüber hinaus ermöglichen die MCC-AI, die an bestehende Vereinbarungen angehängt werden können, Flexibilität, während sie Konsistenz über Verträge hinweg aufrechterhalten. Dies erleichtert nicht nur reibungslosere Transaktionen, sondern minimiert auch Streitigkeiten, da beide Parteien von Anfang an unter einem gemeinsamen Verständnis von KI-bezogenen Verpflichtungen handeln.
