Künstliche Intelligenz ist längst kein Zukunftsthema mehr. Sie steuert heute in vielen Einkaufs‑ und Vertriebsabteilungen standardisierte Vertragsprozesse: Angebote werden vorgeprüft, Entwürfe erstellt, Annahmen vorbereitet. Der Effizienzgewinn ist real, doch rechtsfrei ist dieses Feld nicht. Gerade wenn etwas schiefgeht, zählt die belastbare Zurechnung einer Willenserklärung und eine lückenlose Dokumentation des Entscheidungswegs. ECC-Clubmitglied Rechtsanwalt Rolf Becker aus Alfter ordnet die Problemstellungen ein und zeigt, wie Unternehmen Prozesse gestalten, prüfen und belegen, damit automatisierte Vertragsschlüsse nicht zum Haftungsrisiko werden.
Allgemeine Regeln für KI-Verträge
Zunächst einmal: In Deutschland gibt es kein Sondergesetz für KI-Verträge. Maßgeblich ist nach wie vor das allgemeine Vertragsrecht, vor allem das Bürgerliche Gesetzbuch (BGB). Das bedeutet: Ein Vertrag kommt nur dann zustande, wenn eine sogenannte Willenserklärung vorliegt – also eine rechtlich verbindliche Erklärung, die einer natürlichen oder juristischen Person zugeordnet werden kann. Und hier liegt die erste wichtige Erkenntnis: Eine KI kann selbst keinen Vertrag abschließen. Sie ist nicht rechtsfähig und darf daher rechtlich nur als Werkzeug fungieren – vergleichbar mit einem Taschenrechner oder einer Software zur Vertragsverwaltung.
Wird ein Vertrag durch oder mithilfe eines KI-Systems abgeschlossen, stellt sich also automatisch die Frage: Wer steckt hinter dem System? Wer übernimmt rechtlich die Verantwortung für das, was die KI vorschlägt oder automatisiert ausführt? In der Regel ist das das Unternehmen, welches das System einsetzt – etwa die Einkaufsabteilung, die eine entsprechende Anwendung betreibt. Rechtlich funktioniert das über eine Art Stellvertretung: Die KI gibt nicht selbst eine Erklärung ab, sondern handelt gewissermaßen „für“ jemanden – ähnlich wie Sachbearbeitende im Einkauf, die im Namen ihres Unternehmens Angebote annehmen.
Haftung für KI-Fehler liegt beim Unternehmen
Was passiert nun, wenn die KI einen Fehler macht? Etwa, weil ein Angebot falsch interpretiert oder eine Bestellung automatisiert ausgelöst wurde, obwohl die Voraussetzungen nicht erfüllt waren? Auch hier gelten die normalen Regeln: Der Vertrag kann unter Umständen angefochten werden – beispielsweise wegen Irrtums. Ebenso kann Schadensersatz verlangt werden, wenn durch den Fehler ein finanzieller Schaden entsteht. Aber auch dann gilt: Die Verantwortung liegt beim Unternehmen, nicht bei der KI.
Der AI Act bringt neue Transparenz- und Dokumentationspflichten
Auf europäischer Ebene bringt der sogenannte AI Act neue Spielregeln. Diese Verordnung gilt seit August 2024 und entfaltet nach und nach ihre Wirkung. Seit Februar 2025 sind besonders risikobehaftete KI-Systeme verboten – etwa solche, die gezielt manipulieren oder Personen ohne deren Wissen überwachen. Seit August 2025 gelten darüber hinaus neue Transparenz- und Dokumentationspflichten. Unternehmen müssen offenlegen, ob und wie KI im Vertragsprozess eingesetzt wird. Zudem soll jedes EU-Land eine Aufsichtsbehörde benennen, die die Einhaltung dieser Vorschriften prüft.
Explainable AI: Nachvollziehbarkeit wird Pflicht
Das ist besonders relevant für Systeme, die Verträge automatisiert prüfen oder sogar abschließen. Denn mit dem AI Act wird auch verlangt, dass Entscheidungen der KI nachvollziehbar bleiben – das Stichwort lautet „Explainable AI“. Anders gesagt: Es reicht nicht mehr, wenn ein Algorithmus einfach „ausrechnet“, welches Angebot das Beste ist. Es muss auch dokumentiert werden, auf welcher Grundlage diese Entscheidung fiel – zum Beispiel anhand von Lieferbedingungen, Preisniveaus oder Bonitätsinformationen.
Digitale Protokolle, automatische Logdateien oder sogar Blockchain-Technologien gewinnen deshalb als Beweismittel an Bedeutung. Ein AI-Playbook in Anlehnung an Contract-Playbooks, das beschreibt, wie der Vertragsprozess bei KI-Einsatz abläuft, wird deshalb zunehmend zum Standard mit Versionierungen von Entscheidungsmodellen, Dokumentation von Freigabeentscheidungen durch Menschen und Festlegungen, in welchen Fällen zwingend menschliche Prüfungen vorgenommen werden.
Datenschutz und interne Organisation
Auch im Datenschutzrecht gibt es keine Schonfrist für KI. Die Regeln der DSGVO gelten unverändert – etwa, wenn personenbezogene Daten verarbeitet werden, um Lieferanten zu analysieren oder Verträge individuell anzupassen. Der AI Act ergänzt diese Anforderungen durch neue Compliance-Vorgaben: Unternehmen müssen Schulungen anbieten, Verantwortlichkeiten klären und sicherstellen, dass ihre Systeme regelmäßig geprüft und aktualisiert werden. Ein KI-System darf nicht im „Blindflug“ betrieben werden – es braucht klare Prozesse, Zuständigkeiten und eine laufende Kontrolle.
Klauselempfehlungen von der EU-Kommission
In der Vertragsgestaltung gibt es seit 2025 neue Empfehlungen der EU-Kommission: sogenannte Modellvertragsklauseln, die den Einsatz von KI abdecken („MCC-AI“). Viele Unternehmen – gerade im öffentlichen Sektor, für die sie gedacht sind – greifen bereits darauf zurück. Auch im B2B-Bereich lohnt es sich, bestehende Verträge entsprechend zu ergänzen. Wer etwa regelmäßig KI-gestützte Einkaufsentscheidungen trifft, sollte klar regeln, wer die finale Entscheidung verantwortet, wie Fehler behandelt werden und wie Transparenz und Dokumentation gewährleistet werden.
Deutschsprachige low risk Klauseln, unter die KI-basierte Einkaufssysteme ohne Sicherheitsbezug regelmäßig fallen, finden Sie hier.
Praxisbeispiel
Ein Großhändler betreibt eine Plattform, auf der Angebote von Lieferanten automatisiert geprüft und – bei Übereinstimmung mit definierten Kriterien, automatisch angenommen werden. Die KI analysiert Preis, Lieferzeit, Zertifizierungen und Verfügbarkeit. Soweit, so effizient. Doch rechtlich ist entscheidend, dass die Einkaufsabteilung die Parameter der KI vorgibt und jede automatisierte Annahme letztlich auf eine zuordenbare Willenserklärung zurückgeführt werden kann. Fehlt diese Zurechenbarkeit oder wird nicht dokumentiert, wann und warum ein Vertrag angenommen wurde, drohen im Streitfall rechtliche Probleme – bis hin zu einer vollständigen Rückabwicklung. Jede Transaktion sollte also z.B. mit Zeitstempel und Benutzer-ID dokumentiert werden.
Fazit
Auch wenn die Technik begeistert – der rechtliche Rahmen muss eingehalten werden. Es gelten die Grundsätze „Zurechenbarkeit – Transparenz – Auditierbarkeit“. Verträge, die mit KI abgeschlossen werden, sind nur dann wirksam, wenn sie auf eine verantwortliche Person zurückgeführt werden können. Gleichzeitig steigen die Anforderungen an Transparenz, Nachvollziehbarkeit und Datenschutz. Wer jetzt handelt, seine Prozesse prüft und anpasst, kann nicht nur rechtliche Risiken minimieren. Damit gelingt der Spagat zwischen Effizienzgewinn und Rechtssicherheit – und KI wird zum nachhaltigen Wettbewerbsvorteil im Einkauf und Vertrieb.
ÜBER DEN AUTOR
Rechtsanwalt Rolf Becker war bis Ende 2023 Partner und Mitbegründer der Rechtsanwaltssozietät Wienke & Becker – Köln, die mit Ablauf des Jahres 2023 beendet wurde. Er ist Autor von Fachbüchern und Fachartikeln zum Wettbewerbsrecht, Markenrecht und Vertriebsrecht, insbesondere im Fernabsatz. Als Mitglied im ECC CLUB kommentiert Rechtsanwalt Becker für das ECC KÖLN regelmäßig aktuelle Urteile zum Onlinehandel und gibt Händlern praktische Tipps, wie sie mit den gesetzlichen Vorgaben umgehen sollen.
Rechtsanwalt Becker auf LinkedIn.
PRESSEHINWEISE
Gerne dürfen Sie den Text von Herrn Becker redaktionell weiterverwenden. Bitte geben Sie hierbei die URL zum Rechtstipp sowie folgende Quelle an: RA Rolf Becker / ECC Rechtstipp. Bitte senden Sie ein Belegexemplar bzw. den Link zur Veröffentlichung an presse(at)ifhkoeln.de. Vielen Dank!