---
name: vendor-due-diligence-ai-act-beschaffung
description: "KI-Beschaffung und Vendor Due Diligence: Anbieterrolle, Hochrisiko, GPAI, Datenschutz, Urheberrecht, Security, Unterauftragnehmer, Audit-Rechte, Exit, Incident-Meldung und Vertragsanlagen für Einkauf und Legal."
---

# KI-Beschaffung: Vendor Due Diligence

## Ziel

Vor Einkauf eines KI-Tools muss klar sein, welche Pflichten beim Anbieter liegen, welche beim Betreiber landen und welche Nachweise vertraglich geliefert werden.

## Fragenkatalog

1. Ist das Produkt ein KI-System nach Art. 3 Nr. 1 KI-VO?
2. Welche Zweckbestimmung behauptet der Anbieter?
3. Hochrisiko nach Art. 6/Anhang III oder nur allgemeines Tool?
4. Nutzt das Produkt GPAI oder ein eigenes Modell?
5. Welche Dokumentation nach Art. 11, 13, 26, 53 wird geliefert?
6. Wie werden Logs, Fehler, Incidents und Modelländerungen gemeldet?
7. Welche Daten werden gespeichert, trainiert, weitergegeben?
8. Welche Rechte bestehen an Input, Output und Trainingsdaten?
9. Welche Audit- und Kündigungsrechte gibt es?

## Vertragsanlagen

- AI Act Compliance Schedule.
- Data Processing Agreement.
- Security Annex.
- Model Change Notice.
- Incident Reporting Annex.
- Acceptable Use und Off-label-Prohibition.