GSA’s Vorgeschlagene KI-Klausel: Eine eingehende Analyse neuer Anforderungen für Regierungsauftragnehmer
Die General Services Administration (GSA) hat am 6. März 2026 einen Entwurf für eine bedeutende neue Vertragsklausel, GSAR 552.239-7001, veröffentlicht, mit dem Titel „Grundlegende Sicherung von KI-Systemen“. Diese vorgeschlagene Klausel wird, falls sie angenommen wird, erhebliche und weitreichende Verpflichtungen für Auftragnehmer mit sich bringen, die KI-Lösungen für die Regierung bereitstellen.
Zusammenfassung
Die vorgeschlagene GSAR-Klausel zielt darauf ab, einen einheitlichen Regelungsrahmen für den Erwerb und die Nutzung von KI-Systemen in GSA-Verträgen zu schaffen. Sie führt mehrere grundlegende Verpflichtungen ein, die das Regierungs-KI-Marktgeschehen umgestalten könnten. Besonders hervorzuheben ist, dass die Regierung umfassende Eigentumsrechte an allen Daten, Eingaben, Ausgaben und jeglichen „maßgeschneiderten Entwicklungen“ erhält und Auftragnehmer daran hindert, diese Regierungsdaten zur Schulung oder Verbesserung von KI-Modellen zu verwenden. Zudem wird die Nutzung von lediglich „amerikanischen KI-Systemen“ gefordert.
Darüber hinaus legt die Klausel eine strenge 72-Stunden-Meldepflicht für Vorfälle fest und macht die Hauptauftragnehmer direkt verantwortlich für die Einhaltung ihrer nachgelagerten kommerziellen KI-„Dienstleister“. Zudem werden eine Reihe von „unvoreingenommenen KI-Prinzipien“ kodifiziert. Die Regierung behält sich auch das Recht vor, KI-Systeme unabhängig zu bewerten und deren Nutzung bei Nichteinhaltung auszusetzen.
Umfang und Anwendbarkeit
Die neue Klausel soll in allen Ausschreibungen und Verträgen „für KI-Fähigkeiten“ aufgenommen werden. Der Begriff „KI-Fähigkeiten“ ist nicht definiert, was einige Unklarheiten hinsichtlich des vollen Umfangs der Klausel hinterlässt. Der Entwurf definiert jedoch mehrere kritische Begriffe, die ihren Geltungsbereich klären.
Ein wichtiger Begriff ist das „KI-System“, welches die Definition aus dem „Advancing American AI Act“ übernimmt und KI-Systeme bezeichnet, die in den Vereinigten Staaten entwickelt und produziert wurden. „Regierungsdaten“ umfassen sowohl „Dateninputs“ (z.B. Benutzereingaben, Quelldaten) als auch „Datenoutputs“ (z.B. Systemantworten, Analysen, Metadaten und synthetische Daten).
Rechte an geistigem Eigentum und Daten
Die vorgeschlagene Klausel etabliert ein Regime für geistiges Eigentum und Datenrechte, das stark zugunsten der Regierung ausgelegt ist. Nach ihren Bedingungen besitzt die Regierung alle „Regierungsdaten“ und „maßgeschneiderte Entwicklungen“. Auftragnehmer und deren Dienstanbieter erhalten nur eine eingeschränkte, widerrufbare Lizenz zur Nutzung dieser Daten, ausschließlich zur Vertragserfüllung. Alle geistigen Eigentumsrechte, die ein Auftragnehmer möglicherweise an Regierungsdaten oder deren Ableitungen erwerben könnte, werden der Regierung automatisch bei Erstellung zugewiesen.
Sicherheits-, Datenschutz- und Vorfallberichterstattungsanforderungen
Die Entwurfsklausel fordert ein umfassendes Sicherheitsframework. Auftragnehmer müssen „angemessene technische, administrative, physische und organisatorische Schutzmaßnahmen“ implementieren und aufrechterhalten, um Regierungsdaten vor unbefugtem Zugriff, Verlust oder Veränderung zu schützen. Eine zentrale Anforderung ist die Umsetzung von „Augen-weg“-Datenhandhabungsverfahren, die eine menschliche Überprüfung von Regierungsdaten auf unbedingt notwendige und protokollierte Fälle beschränken.
Im Falle von Sicherheitsvorfällen wird eine strenge 72-Stunden-Meldefrist auferlegt.
Verantwortlichkeiten der Auftragnehmer und Abfluss zu Dienstanbietern
Die vorgeschlagene Klausel geht weit über die Hauptauftragnehmer hinaus und regelt effektiv Subunternehmer, Cloud-Anbieter und kommerzielle KI-Anbieter. Kritisch ist, dass sie Hauptauftragnehmer direkt für die Einhaltung aller Bedingungen durch ihre „Dienstleister“ verantwortlich macht. Diese Verantwortung erstreckt sich auf kommerzielle KI-Plattformen und Modelle, die Auftragnehmer häufig in ihre Lösungen integrieren.
Änderungsmanagement, Portabilität und Interoperabilität
Die vorgeschlagene Klausel zielt darauf ab, Vendor-Lock-in zu verhindern und der Regierung Flexibilität durch strenge Änderungsmanagement- und Datenportabilitätsregeln zu gewährleisten. Auftragnehmer müssen der Regierung parallelen Zugang zu neuen Versionen eines KI-Modells für einen Evaluierungszeitraum von 30 Tagen für Hauptversionen und 15 Tagen für Nebenversionen gewähren.
Leistungsstandards, Bewertung und Abhilfen
Ein zentrales Merkmal der Klausel ist die Verpflichtung der Auftragnehmer zur Einhaltung einer Reihe von „unvoreingenommenen KI-Prinzipien“. Diese Prinzipien erfordern, dass das KI-System „wahrheitsgemäß“ ist und „historische Genauigkeit, wissenschaftliche Untersuchung und Objektivität“ priorisiert.
Praktische Auswirkungen für Auftragnehmer und die Branche
Falls die Klausel wie entworfen umgesetzt wird, wird sie erhebliche praktische Auswirkungen auf die Branche der Regierungsauftragnehmer haben. Die umfangreichen Eigentumsrechte der Regierung an Daten und maßgeschneiderten Entwicklungen, kombiniert mit dem Verbot, diese Daten zur Modellschulung zu verwenden, stellen die Geschäftsmodelle vieler kommerzieller KI-Anbieter vor Herausforderungen.
Empfohlene Sofortmaßnahmen und Kommentarbereiche für Interessengruppen
Die Zeit drängt für Auftragnehmer und andere Interessengruppen, die eine Stellungnahme abgeben möchten: Die vorgeschlagene Klausel wurde am 6. März 2026 veröffentlicht, und die GSA akzeptiert öffentliche und branchenspezifische Rückmeldungen bis zum 20. März 2026.
Fazit und nächste Schritte
Die vorgeschlagene GSAR-Klausel stellt einen wegweisenden Versuch der Regierung dar, ihre Beschaffung von KI zu regulieren. Ihre Bestimmungen zu Datenrechten, Sicherheit und Leistung gehören zu den strengsten, die im Bereich der Bundesaufträge zu finden sind.
