Während die EU-Standarddatenschutzklauseln (EU) 2021/914 für Datenübermittlungen in Drittländer (Art. 46 Abs. 2 lit. c DSGVO) hohe Bekanntheit genießen und auch die EU-Standardvertragsklauseln 2021/915 zwischen Verantwortlichen und Auftragsverarbeitern (Art. 28 Abs. 7 DSGVO) gelegentlich in der Praxis eingesetzt werden, hat die EU-Kommission nun eine Überarbeitung weniger bekannter Modellregelungen vorgenommen: Die Mustervertragsklauseln für die Beschaffung von KI (EU AI model contractual clauses) wurden am 05.03.2025 in einer aktualisierten Fassung auf dem Webauftritt der Kommission veröffentlicht (siehe hier).
Hintergrund und Adressat
Derartige Musterklauseln wurden bereits im September 2023 erstmals zur Verfügung gestellt (siehe hier) und nunmehr aufgrund der in der Zwischenzeit in Kraft getretenen KI-Verordnung – im Hinblick auf deren Anforderungen – angepasst. Sie richten sich an öffentliche Auftraggeber, die KI-Systeme externer Lieferanten einsetzen möchten. Es handelt sich bei den Musterklauseln um reine Empfehlungen für die Vertragsgestaltung, die nicht zwingend umgesetzt werden müssen. Derzeit sind die Formulierungen nur auf Englisch verfügbar, sollen jedoch noch in alle Sprachen der EU-Länder übersetzt werden.
Veröffentlicht wurden letztlich drei Dokumente:
- Musterklauseln für Hochrisiko-KI (MCC-AI-High-Risk)
- Musterklauseln für KI mit keinem hohen Risiko (MCC-AI-Light)
- Erläuterungen zu den Musterklauseln (Commentary to the MCC-AI)
Die Musterklauseln für Hochrisiko-KI dienen – nach den zugehörigen Erläuterungen – dazu, öffentliche Einrichtungen bei der Einhaltung der gesetzlichen Vorgaben für Hochrisiko-KI-Systeme gemäß der KI-Verordnung zu unterstützen, sollten diese von externen Anbietern bezogen werden. Die Klauseln sind grundsätzlich für die Nutzung während der Übergangszeit bis zum 01.08.2026 gedacht, wenn alle gesetzlichen Anforderungen aus der KI-Verordnung gelten und sie umfassen unter anderem Regelungen zu den Bereichen Risikomanagement, Data Governance, Transparenz, menschlicher Aufsicht und Cybersicherheit.
Die Musterklauseln für KI mit keinem hohen Risiko können öffentliche Einrichtungen wiederum bei dem Einkauf anderer KI-Systeme oder – nach den Erläuterungen – algorithmischer Systeme mit Transparenz- bzw. Informationspflichten nutzen. Sie basieren allerdings in großen Teilen auf den Vereinbarungen für Hochrisiko-KI, weshalb ausweislich der Erläuterungen nicht in allen Fällen von einer Verhältnismäßigkeit und Angemessenheit der Nutzung der gesamten Klauseln auszugehen ist, sondern ggf. nur Teile von ihnen verwendet werden sollten.
Einsatz der Klauseln
Wichtig in Bezug auf die praktische Verwendung (beider Varianten) der Musterklauseln ist zudem, dass diese grundsätzlich nur Inhalte aus der KI-Verordnung abdecken. Daher bedarf es der Vereinbarungen zusätzlicher Regelungen, um bspw. zivilrechtliche oder datenschutzrechtliche Themen abzudecken (z. B. beinhalten die Klauseln keinen Vertrag zur Auftragsverarbeitung). Da die Musterklauseln auf öffentliche Einrichtungen zugeschnitten sind, wird ein 1:1 Einsatz durch andere Organisationen im Übrigen nicht empfohlen. Allerdings kann es sich auch für andere Stellen anbieten, die Klauseln im Hinblick auf sinnvolle/passende Einbindungen einzelner Vereinbarungen in Vertragsmuster zu überprüfen (siehe Erläuterungen).