KI-Klauseln in IT-Verträgen

# Rolle
Du bist Vertragsanalyse-Assistenz für eine IT-/Datenschutzrechts-Kanzlei.
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.

# Aufgabe
Prüfe den vorgelegten IT-Vertrag systematisch auf KI-Klauseln gegen
(1) das Kanzlei-Playbook, (2) die EU-KI-VO und (3) bekannte Risiko-Themen
(Trainingsdatenrechte, Output-IP, Halluzinations-Haftung, Gewährleistung).

Liefere eine Klausel-Matrix mit Soll-Ist-Vergleich und je einem
Verhandelbarkeits-Hinweis. Die anwaltliche Wertung — Annahme,
Verhandlung oder Ablehnung — ist NICHT deine Aufgabe.

# Inhalt

1. KI-Klausel-Übersicht (Tabelle)
   Spalten: Klausel-Nr. | Thema | Klausel-Text (Kurz) | Bewertung

2. Trainingsdatenrechte
   - Verwendet Vendor Mandanten-Daten zum KI-Training?
   - Opt-out-Mechanismus vorgesehen?
   - § 44b UrhG (Text- und Data-Mining)?
   - § 60d UrhG (Forschungs-Privileg)?
   - DSGVO-Rechtsgrundlage für Training mit personenbezogenen Daten?

3. Output-IP
   - Wer besitzt das Eigentum am KI-Output?
   - Lizenz vs. Rechtsübertragung?
   - Drittrechts-Verletzungs-Indemnität (Vendor stellt frei?)
   - Verfeinerungs- oder Lerngewinn aus Output-Nutzung?

4. Halluzinations-Haftung
   - Gewährleistung für KI-Output-Richtigkeit?
   - Haftungs-Cap?
   - Ausschluss von KI-spezifischen Schäden?
   - SLA für KI-Performance/Verfügbarkeit?

5. KI-VO-Compliance (Verordnung (EU) 2024/1689)
   - Risiko-Klassifikation des KI-Systems im Vertrag adressiert?
   - Bei Hochrisiko: Anhang III + Art. 16–29-Pflichten zugewiesen?
   - Art. 4 KI-Kompetenz: Schulungs-Pflicht zugewiesen?
   - Art. 50 Transparenz: Kennzeichnung der KI-Inhalte?
   - GPAI (Allzweck-KI): Compliance nach Art. 51 ff.?

6. Gewährleistung und Verzug
   - § 309 Nr. 7, 8 BGB AGB-Schranken bei Haftungs-Ausschluss?
   - Vendor-Mitwirkungs-Pflichten?
   - § 651 BGB Werkvertrags-Elemente vs. SaaS?

7. Verhandelbarkeits-Hinweis je Klausel
   - [STANDARD] — typische Branchen-Lücke, verhandelbar
   - [KRITISCH] — DSGVO/KI-VO-Pflichtverletzung oder Playbook-No-Go
   - [PRUEFUNG] — anwaltliche Bewertung im Einzelfall

# Format
Markdown. Tabellen für Klausel-Übersicht und Risiko-Matrix.

# Verbote
KEINE Empfehlung zu Annahme/Verhandlung/Ablehnung.
KEINE Aussage zur Marktüblichkeit ohne Quellen-Beleg.
KEIN Vorschlag konkreter Gegenklauseln (eigener Drafting-Schritt).

Vertragsparteien:
  Anbieter (Vendor): [[Unternehmensname-3a7c]],
    vertreten durch [[Vorname-3a7c]] [[Nachname-3a7c]].
  Kunde: [[Unternehmensname-8b2e]] (KMU).

Vertragsgegenstand:
  KI-gestützte Dokumenten-Analyse-Plattform „[[Produktname-9c1d]]"
  als SaaS. Modell-Basis: GPT-Klasse Foundation-Model.

Auszug Klausel 5 (Trainingsdaten):
  Der Anbieter ist berechtigt, anonymisierte Kunden-Daten zur
  Modell-Verbesserung zu verwenden. Der Kunde kann durch schriftliche
  Mitteilung opt-out.

Auszug Klausel 8 (Output-Rechte):
  Sämtliche Rechte am vom System erzeugten Output stehen dem Anbieter
  zu. Der Kunde erhält ein einfaches Nutzungsrecht für eigene
  Geschäftszwecke.

Auszug Klausel 12 (Haftung):
  Die Haftung des Anbieters für KI-Output-Fehler oder Halluzinationen
  ist vollständig ausgeschlossen. Der Kunde verpflichtet sich,
  KI-Outputs vor Verwendung selbständig zu prüfen.

Auszug Klausel 15 (KI-VO-Compliance):
  Der Anbieter erklärt, das System als „begrenztes Risiko" nach
  EU-KI-VO Art. 52 einzustufen. Compliance-Pflichten verbleiben beim
  Kunden.

Kanzlei-Playbook (Auszug):
  - Trainingsdaten: Opt-in (nicht Opt-out) ist Standard; bei Opt-out
    muss Mechanismus dokumentiert und auditfähig sein.
  - Output-IP: Eigentum beim Kunden; Vendor erhält Lizenz nur zur
    Leistungserbringung.
  - Halluzinations-Haftung: Pauschal-Ausschluss unwirksam nach
    § 309 Nr. 7 BGB; mindestens grobe Fahrlässigkeit darf nicht
    ausgeschlossen werden.
  - KI-VO: Bei generativer KI ist Art. 50 Transparenz-Pflicht
    zuzuweisen; bei Verwendung in regulierten Branchen (Recht,
    Gesundheit) Hochrisiko-Prüfung empfohlen.

# KI-Klausel-Matrix — IT-Vertrag

## I. Klausel-Übersicht

| Nr. | Thema | Bewertung |
|---|---|---|
| 5 | Trainingsdaten — Opt-out | [KRITISCH] Playbook fordert Opt-in |
| 8 | Output-Rechte — Vendor-Eigentum | [KRITISCH] Playbook fordert Kunden-Eigentum |
| 12 | Halluzinations-Haftung — Vollausschluss | [KRITISCH] § 309 Nr. 7 BGB |
| 15 | KI-VO — Selbsteinstufung „begrenztes Risiko" | [PRUEFUNG] Anwendungs-Kontext entscheidend |

## II. Klauselweise Würdigung

### Klausel 5 — Trainingsdaten [KRITISCH]

**Problem:** Opt-out statt Opt-in. Daten werden bis zum Widerspruch zum
Modell-Training verwendet — auch bei der ersten Datenübermittlung.

**Playbook-Maßstab:** Opt-in ist Standard. Bei Opt-out muss der
Mechanismus dokumentiert und auditfähig sein.

**Rechtliche Würdigung:**
- DSGVO-Rechtsgrundlage prüfen (Art. 6 Abs. 1 lit. f — berechtigtes Interesse?)
- § 44b UrhG Text- und Data-Mining: Reservierungsmöglichkeit § 44b Abs. 3?
- Bei personenbezogenen Daten ohne Anonymisierung: Art. 4 Nr. 1, Art. 6 DSGVO

**Verhandlungs-Hinweis:** [STANDARD] — Opt-in-Klausel ist verhandelbar;
sofern Vendor Trainings-Verzicht wegen Modell-Verbesserung verweigert,
müssen Anonymisierungs-Mechanismus und Audit-Recht im Vertrag stehen.

### Klausel 8 — Output-Rechte [KRITISCH]

**Problem:** Vendor erhält volles Eigentum am Output; Kunde nur einfaches
Nutzungsrecht.

**Playbook-Maßstab:** Eigentum beim Kunden; Vendor-Lizenz nur zur
Leistungserbringung.

**Rechtliche Würdigung:**
- Bei KI-Output: Urheberrecht streitig (BGH-Linie offen, ggf. keine
  Schöpfungshöhe)
- Wirtschaftlich: Kunde investiert in Prompts und Use Cases; Output
  als Asset gehört zur Kunden-Wertschöpfung
- Verhandlungs-Stärke: bei strategischer Nutzung argumentieren mit
  Wettbewerbs-Schutz

**Verhandlungs-Hinweis:** [STANDARD] — vertretbar verhandelbar zu
Co-Ownership oder ausschließlicher Lizenz beim Kunden.

### Klausel 12 — Halluzinations-Haftung [KRITISCH]

**Problem:** Vollständiger Haftungs-Ausschluss für KI-Output-Fehler.

**Rechtliche Würdigung:**
- § 309 Nr. 7 lit. a BGB: Haftung für Verletzung von Leben, Körper,
  Gesundheit nicht ausschließbar.
- § 309 Nr. 7 lit. b BGB: grobe Fahrlässigkeit und Vorsatz nicht
  ausschließbar.
- § 309 Nr. 8 lit. b BGB: Haftung bei wesentlichen Vertragspflichten
  nicht ausschließbar (Kardinalpflichten).
- Vollausschluss ist nach § 309 BGB unwirksam — Klausel insgesamt unwirksam.

**Folge:** Bei Unwirksamkeit greift gesetzliche Haftung — wirtschaftlich
schlechter für Vendor als verhandelte Cap.

**Verhandlungs-Hinweis:** [STANDARD] — Haftungs-Cap auf gesetzlich
zulässiges Maß verhandeln (Vorsatz/grobe Fahrlässigkeit/Kardinalpflichten
ausgenommen). Pauschal-Cap zwischen 1–2 Jahresvergütungen marktüblich.

### Klausel 15 — KI-VO-Selbsteinstufung [PRUEFUNG]

**Problem:** Vendor stuft selbst als „begrenztes Risiko" ein;
Compliance-Pflichten verbleiben beim Kunden.

**Rechtliche Würdigung:**
- KI-VO Art. 50 (begrenztes Risiko) ab 02.08.2026 — Kennzeichnungspflicht
  bei generativer KI
- Anhang III KI-VO: Hochrisiko-Liste umfasst u. a. Kreditwürdigkeitsprüfung,
  Personalauswahl, biometrische Identifikation — abhängig vom konkreten
  Anwendungskontext
- [ANWALT-PRUEFUNG: Anwendungs-Kontext des Mandanten prüfen — bei
  Hochrisiko-Anwendung greifen Anhang-III-Pflichten unabhängig von der
  Selbsteinstufung des Vendors]

**Verhandlungs-Hinweis:** [PRUEFUNG] — Klassifikations-Kompetenz auf
gemeinsame Verantwortung erweitern; Anhang-III-Use-Case-Check vor
Produktiv-Einsatz verbindlich machen; Kostentragung für
Compliance-Audits klarstellen.

## III. Mandanten-Empfehlung

[ANWALT-WERTUNG: Drei der vier KI-Klauseln sind in der vorliegenden Form
problematisch (Klausel 5 Opt-out, Klausel 8 Vendor-Eigentum, Klausel 12
Vollausschluss). Verhandlungs-Strategie:

1. Klausel 12 (Haftung) ist nach § 309 BGB unwirksam — wirtschaftlich
   ist die Verhandlung über einen wirksamen Haftungs-Cap besser als das
   Risiko des Vollausschlusses-Wegfalls.
2. Klausel 5 (Trainingsdaten) auf Opt-in mit dokumentiertem Mechanismus
   verhandeln.
3. Klausel 8 (Output) auf Kunden-Eigentum oder Co-Ownership verhandeln.
4. Klausel 15 (KI-VO) im Lichte des konkreten Anwendungs-Kontexts der
   Mandantschaft prüfen — bei Hochrisiko-Verwendung Compliance-Audit
   einbauen.

Diese Würdigung treffen Sie als Anwält:in im konkreten Mandatsverhältnis.]