Auswahl und Beschaffung von KI-Lösungen — Kriterien, Risiken und Lieferantenmanagement

Wer ein KI-Tool einführt, kauft nicht einfach Software. Er öffnet eine Tür zu einem Netz aus Anbietern, Sublieferanten, Rechenzentren und Rechtssystemen – oft ohne zu wissen, was dahintersteckt. Für Schweizer KMU ohne eigene Rechts- oder IT-Abteilung ist das kein theoretisches, sondern ein praktisches Problem: Die Verantwortung für den Umgang mit den eigenen Daten verbleibt in der Regel beim Unternehmen– unabhängig davon, welche vertraglichen Zusicherungen der Anbieter macht, und unabhängig davon, ob der Vorfall beim eigenen Anbieter oder bei einem seiner Sublieferanten eintritt.

Dieser Artikel zeigt, welche Fragen bei der Auswahl einer KI-Anwendung wirklich entscheidend sind, welche Risiken regelmässig übersehen werden und wie ein strukturiertes Lieferantenmanagement auch ohne dediziertes Fachpersonal funktioniert – konkret, praxistauglich und mit Blick auf das Schweizer Recht.

Der rechtliche Rahmen: revDSG und EU KI-Verordnung

Das revidierte Schweizer Datenschutzgesetz (revDSG)

Seit September 2023 gilt in der Schweiz ein vollständig erneuertes Datenschutzgesetz. Das revidierte DSG (DSG) hat sich dabei stark an der europäischen Datenschutz-Grundverordnung (DSGVO) orientiert – mit dem Ergebnis, dass Unternehmen, die KI-Anwendungen zur Bearbeitung von Personendaten einsetzen, konkrete gesetzliche Pflichten treffen, unabhängig von ihrer Grösse oder Branche.

• Erstens die Auftragsbearbeitung gemäss Art. 9 DSG. Sobald ein externer Anbieter Personendaten im Auftrag eines Unternehmens bearbeitet – etwa ein KI-Dienst in der Cloud –, ist dies vertraglich zu regeln. Der Auftragsbearbeitungsvertrag legt fest, zu welchem Zweck, in welchem Umfang und unter welcher Verantwortung die Daten bearbeitet werden. Er ist keine Formalie, sondern die vertragliche Grundlage jedes datenschutzkonformen KI-Einsatzes.
• Zweitens das Bearbeitungsverzeichnis gemäss Art. 12 DSG. Unternehmen, die nicht unter eine eng auszulegende KMU-Ausnahme fallen, sind verpflichtet, ein Verzeichnis aller Datenbearbeitungen zu führen. KI-Anwendungen, die Personendaten berühren, sind darin zu erfassen – ein Eintrag, der in der Praxis regelmässig vergessen wird.
• Drittens die Datenschutz-Folgenabschätzung gemäss Art. 22 DSG. Bestimmte KI-Anwendungen bringen ein hohes Risiko für die Persönlichkeitsrechte Betroffener mit sich. In diesen Fällen ist eine förmliche Risikoprüfung Pflicht, und wenn das verbleibende Risiko nicht hinreichend gemindert werden kann, muss der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) konsultiert werden.
• Viertens die Meldung von Datenpannen gemäss Art. 24 DSG. Wer einen Sicherheitsvorfall erleidet, der voraussichtlich ein hohes Risiko für betroffene Personen erzeugt, muss dies dem EDÖB so rasch als möglich melden. Die Meldepflicht trifft den Verantwortlichen – also das Unternehmen, nicht den KI-Anbieter.
  

Die EU KI-Verordnung und ihre Auswirkungen auf Schweizer Unternehmen

Die EU-KI-Verordnung – kurz KI-VO – ist seit August 2024 in Kraft und wird schrittweise anwendbar. Sie entfaltet, wie schon die DSGVO, eine Wirkung, die über die EU-Grenzen hinausreicht. Schweizer KMU können davon betroffen sein,

• wenn sie KI-Anwendungen von EU-ansässigen Anbietern nutzen oder im EU-Binnenmarkt einsetzen,
• wenn sie selbst KI-Lösungen entwickeln und in die EU bringen, oder
• wenn sie Produkte mit integrierten KI-Systemen nach Europa exportieren.

Die KI-VO teilt KI-Systeme in vier Risikoklassen ein: verbotene Systeme, Hochrisiko-Systeme, Systeme mit spezifischen Transparenzanforderungen und Systeme mit minimalem Risiko.

Für Schweizer KMU, die einen dieser EU-Bezugspunkte aufweisen und als «Betreiber» ein Hochrisiko-System nutzen – etwa im HR-Bereich, bei Kreditentscheidungen oder in der Gesundheitsversorgung –, entstehen daraus konkrete Pflichten.

Fehlt ein solcher EU-Bezug, weil das KI-System ausschliesslich innerschweizerisch eingesetzt wird, greift die KI-VO nicht.

Die Schweiz kennt bislang kein eigenes KI-Gesetz, das der KI-VO entspricht, weshalb in diesem Fall keine unmittelbare Bindungswirkung besteht.

Eine Orientierung an der KI-VO ist dennoch wärmstens empfohlen: Sie setzt sich als internationaler De-facto-Standard durch, viele Schweizer Unternehmen pflegen enge Geschäftsbeziehungen in die EU, und eine risikobasierte KI-Governance stärkt das Vertrauen von Kunden und Partnern.

Unabhängig davon sind beim KI-Einsatz in jedem Fall die bestehenden Schweizer Rechtsgrundlagen einzuhalten – namentlich das revidierte DSG, insbesondere das Recht auf Erläuterung und Anfechtung bei automatisierten Einzelentscheidungen gemäss Art. 21 DSG, sowie das Arbeitsrecht und sektorspezifische Regulierungen.

Fragen Sie Ihren KI-Anbieter schriftlich, in welche Risikoklasse gemäss KI-VO sein Produkt eingestuft wird und welche Dokumentationspflichten er als Anbieter erfüllt. Seriöse Anbieter können dies problemlos beantworten.

Bewertungskriterien: Worauf es bei der Auswahl wirklich ankommt

Datenspeicherort und Datenflüsse

Wo Daten gespeichert werden, ist keine technische Nebenfrage – es entscheidet darüber, welches Recht gilt und welche Behörden im Ernstfall Zugriff verlangen können. Die Faustregel: Je näher an der Schweiz oder der EU, desto geringer das rechtliche Risiko.

In der Schweiz gilt Schweizer Recht unmittelbar. In der EU oder im EWR bewegt man sich in einem grundsätzlich gleichwertigen Rahmen, da die Schweiz von der EU als Land mit angemessenem Datenschutzniveau anerkannt ist – und umgekehrt gilt dasselbe.

Bei US-Anbietern besteht seit dem EU-U.S. Data Privacy Framework von 2023 ein Angemessenheitsbeschluss – allerdings nur für tatsächlich zertifizierte Unternehmen. Die Zertifizierung ist aktiv zu prüfen und darf nicht einfach vorausgesetzt werden. Bei Anbietern aus anderen Drittstaaten ohne anerkanntes Schutzniveau ist das rechtliche Risiko erhöht; in diesen Fällen sind zusätzliche Garantien erforderlich, etwa in Form von Standarddatenschutzklauseln gemäss Art. 16 Abs. 2 lit. d DSG.

Ein in der Praxis häufig unterschätzter Punkt: Viele KI-Anbieter arbeiten ihrerseits mit einer Kette von Subunternehmern zusammen – für Cloud-Infrastruktur, Modellbetrieb oder Monitoring. All diese Beteiligten können theoretisch Zugang zu den bearbeiteten Daten haben. Eine vollständige Liste dieser Subunternehmer ist deshalb einzufordern, und es ist zu prüfen, in welchen Ländern diese ansässig sind.

Transparenz der Modellarchitektur

Nicht jeder Anbieter kommuniziert offen, welches KI-Modell hinter seiner Lösung steckt. Für eine verantwortungsvolle Beschaffung ist diese Information jedoch zentral – sie bestimmt, welche Nutzungsbedingungen gelten, wie gross die Abhängigkeit vom Anbieter ist und welche Risiken beim Modellwechsel entstehen.

Bei proprietären Modellen kontrolliert der Anbieter sämtliche Aspekte des Betriebs. Das bedeutet professionellen Support und klare Verantwortlichkeiten, aber auch vollständige Abhängigkeit – technisch, vertraglich und preislich.

Bei Open-Source-Modellen wie LLaMA oder Mistral ist die Transparenz höher und ein Anbieterwechsel grundsätzlich einfacher. Dafür trägt das Unternehmen beim Eigenbetrieb mehr Eigenverantwortung, insbesondere in Bezug auf Sicherheit und Wartung.

Besondere Aufmerksamkeit verdient eine in der Praxis häufige Konstellation: Viele kommerzielle Produkte sind im Kern lediglich eine Benutzeroberfläche über einem fremden Modell – etwa GPT-4 via API. In diesen Fällen gelten nicht nur die Vertragsbedingungen des direkten Anbieters, sondern auch die Nutzungsbedingungen des eigentlichen Modellherstellers. Es ist deshalb zu klären, wessen Modell tatsächlich betrieben wird und welche Bedingungen dieser Dritte stellt.

Eine Frage sollte bei keiner Beschaffung fehlen: Werden Eingabedaten zur Verbesserung oder zum Training des Modells verwendet? Viele Anbieter schliessen dies in Enterprise-Tarifen vertraglich aus. Sofern möglich, sollte diese Zusicherung im Vertrag selbst verankert sein – und nicht lediglich in den allgemeinen Geschäftsbedingungen, wo sie jederzeit einseitig geändert werden kann.

Haftungsregelungen im Vertrag

KI-Systeme machen Fehler. Sie erfinden Fakten, geben falsche Empfehlungen, produzieren diskriminierende Ausgaben. Die Frage ist nicht ob, sondern wann – und dann wird entscheidend, wer haftet und in welchem Umfang.

In den meisten Standard-AGB grosser KI-Anbieter ist die Haftung drastisch begrenzt, oft auf wenige Monatsgebühren oder einen fixen Maximalbetrag. Für ein KMU, das KI-Ausgaben direkt in Angebote, Entscheidungen oder die Kundenkommunikation einfliessen lässt, kann das erhebliche finanzielle und reputationsbezogene Konsequenzen haben – zumal der Schaden auf Kundenseite ein Vielfaches der vertraglichen Haftungsobergrenze erreichen kann.

Folgende Klauseln sollten bei jeder Vertragsprüfung besonders beachtet werden:

• Die Haftungsbeschränkung des Anbieters – ausgedrückt in einem Maximalbetrag oder als Prozentsatz des Vertragsvolumens
• Der Ausschluss von Folgeschäden und entgangenem Gewinn, der in der Praxis dazu führt, dass nur Direktschäden geltend gemacht werden können
• Die Gewährleistungspflichten bei Systemausfällen, insbesondere ob und in welchem Umfang der Anbieter für Verfügbarkeit einsteht
• Die Regelung bei Verletzung von Datenschutzpflichten durch den Anbieter, also wer im Fall einer Datenpanne für Drittschäden aufkommt
• Gerichtsstand und anwendbares Recht – bei ausländischen Anbietern ist ein Schweizer Gerichtsstand selten Standard, aber verhandelbar.

Risikobewertung: Was Schweizer KMU häufig übersehen

Drittlandbezug und die «US-Cloud-Falle»

Viele attraktive KI-Tools – insbesondere von amerikanischen Anbietern – bearbeiten Daten auf US-Servern oder über US-amerikanische Infrastruktur. Der US CLOUD Act ermöglicht amerikanischen Behörden unter bestimmten Voraussetzungen den Zugriff auf Daten, die von US-Unternehmen weltweit gespeichert werden. Entscheidend dabei: Dieser Zugriff ist nicht auf physisch in den USA liegende Server beschränkt. Er kann auch Daten erfassen, die ein US-Konzern auf Servern in der Schweiz oder in der EU betreibt – allein aufgrund der gesellschaftsrechtlichen Kontrolle über die Daten.

Das EU-U.S. Data Privacy Framework von 2023 regelt den transatlantischen Datentransfer zwischen der EU und zertifizierten US-Unternehmen neu – löst aber das strukturelle Problem des CLOUD Act nicht. Für Schweizer Unternehmen kommt hinzu, dass die Schweiz dem Framework nicht direkt angehört; massgeblich ist hier das Swiss-U.S. Data Privacy Framework, dem ebenfalls nur tatsächlich zertifizierte Unternehmen unterstehen. Die Zertifizierung ist aktiv zu verifizieren.

Besondere Zurückhaltung ist dort angebracht, wo KI-Anwendungen Daten verarbeiten, die dem Berufsgeheimnis unterliegen – etwa in der Rechtsberatung, im Gesundheitswesen oder im Finanzbereich –, oder wo es sich um vertrauliche Geschäftsinformationen handelt, deren Offenlegung gegenüber Dritten oder Behörden erhebliche Konsequenzen hätte. In diesen Fällen genügt ein vertragliches Versprechen des Anbieters allein nicht; es braucht eine sorgfältige Prüfung der tatsächlichen Datenflüsse und der gesellschaftsrechtlichen Struktur des Anbieters.

Unterauftragnehmer-Kaskaden

Hinter einem KI-Produkt steckt selten nur ein einziger Anbieter. Typischerweise setzt sich die Leistungskette aus mehreren Akteuren zusammen: dem Softwareanbieter als direktem Vertragspartner, dem Cloud-Infrastrukturanbieter – etwa AWS, Azure oder Google Cloud –, dem eigentlichen Modellanbieter wie OpenAI oder Anthropic sowie weiteren Dienstleistern für Monitoring, Logging oder Support.

Jeder dieser Akteure kann theoretisch Zugang zu den bearbeiteten Daten haben – oft ohne dass das Unternehmen, das das Tool einsetzt, davon weiss.

Das DSG adressiert diese Konstellation in Art. 9 Abs. 3: Auftragsbearbeiter dürfen die Datenbearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen an Dritte weitergeben. In der Praxis wird diese Genehmigung häufig pauschal im Auftragsbearbeitungsvertrag erteilt – oft ohne dass das Unternehmen die konkrete Unterauftragnehmerkette kennt. Das ist rechtlich heikel: Wer einer Weitergabe zustimmt, ohne zu wissen, an wen, kann seiner Sorgfaltspflicht als Verantwortlicher kaum oder nur eingeschränkt nachkommen.

In der Praxis empfiehlt es sich, zumindest zu prüfen, welche Informationen der Anbieter freiwillig zur Verfügung stellt: Gibt es eine öffentlich zugängliche Liste der Subunternehmer? Wird über Änderungen in der Unterauftragnehmerkette informiert? Fehlt jegliche Transparenz in diesem Punkt, ist das ein Hinweis, den man bei der Beschaffungsentscheidung bewusst gewichten sollte.

Strukturiertes Lieferantenmanagement für KMU

Die drei Phasen des Lieferantenmanagements

Lieferantenmanagement klingt nach Grosskonzern. Im datenschutzrechtlichen Kern geht es jedoch um drei grundlegende Fragen:

• Welche Dritten bearbeiten im Rahmen der Geschäftstätigkeit Personendaten – und auf welcher rechtlichen Grundlage?
• Welche vertraglichen und organisatorischen Massnahmen stellen sicher, dass diese Dritten die datenschutzrechtlichen Anforderungen einhalten?
• Und wie wird gewährleistet, dass Personendaten bei Beendigung der Zusammenarbeit ordnungsgemäss zurückgegeben oder nachweislich gelöscht werden?

Diese drei Fragen gelten unabhängig davon, ob es sich um einen Cloud-Anbieter, ein Treuhandbüro oder eine Marketingagentur handelt – und sie strukturieren die nachfolgenden Phasen.

Phase 1: Vor dem Vertragsabschluss — Due Diligence

Vor der Entscheidung einer Budgetfreigabe sollte eine strukturierte Lieferantenprüfung stehen. Das muss nicht aufwändig sein – ein standardisierter Fragebogen und die Auswertung öffentlich verfügbarer Dokumente genügen in vielen Fällen als Grundlage. Konkret bedeutet das:

• Datenschutzdokumentation anfordern: Auftragsbearbeitungsvertrag, Datenschutzinformationen sowie die vollständige Liste der Unterauftragnehmer mit Angabe von Standort und Funktion
• Datenlokalisierung klären: In welchen Ländern werden die Daten gespeichert und bearbeitet? Bei Staaten, die vom EDÖB nicht als gleichwertig anerkannt sind, sind zusätzliche Garantien erforderlich – etwa Standarddatenschutzklauseln
• Sicherheitsnachweise prüfen: ISO 27001-Zertifikat, SOC 2-Bericht oder gleichwertige Nachweise – inklusive Ausstellungsdatum und Gültigkeitsdauer
• Vertragsentwurf auf kritische Klauseln prüfen: insbesondere Auditrechte, Meldepflichten bei Datenschutzverletzungen, Regelungen zur Unterauftragsbearbeitung sowie zur Rückgabe oder nachweislichen Löschung von Daten bei Vertragsende
• Referenzgespräche führen: vorzugsweise mit Unternehmen ähnlicher Grösse und Branche, die den Lieferanten bereits im produktiven Einsatz haben

Phase 2: Während der Laufzeit — Laufendes Monitoring

Das Lieferantenmanagement endet nicht mit dem Vertragsabschluss. Gerade in der KI-Branche ändern sich Produkte, Unterauftragnehmer, Eigentumsverhältnisse und Datenschutzrichtlinien mitunter rasch und ohne aktive Kommunikation seitens des Anbieters. Eine laufende Überwachung der Lieferantenbeziehung ist deshalb Teil der datenschutzrechtlichen Sorgfaltspflicht des Verantwortlichen. Drei Massnahmen bilden dafür die praktische Grundlage:

• Eine vertragliche Benachrichtigungsklausel verpflichtet den Anbieter, über wesentliche Änderungen proaktiv zu informieren – namentlich über Modellwechsel, neue Unterauftragnehmer, Änderungen der Datenbearbeitungsstandorte sowie Datenschutzverletzungen. Ohne eine solche Klausel besteht keine vertragliche Grundlage, auf entsprechende Änderungen zu reagieren oder bei Bedarf vom Vertrag zurückzutreten.
• Ein jährlicher Review stellt sicher, dass die Zusammenarbeit periodisch auf ihre datenschutzrechtliche Konformität hin überprüft wird. Dabei sind insbesondere die Aktualität der Sicherheitsnachweise, allfällige Änderungen in der Unterauftragnehmerkette sowie die Übereinstimmung der tatsächlichen Datenbearbeitungen mit dem vereinbarten Zweck zu überprüfen.
• Ein internes Lieferantenverzeichnis schliesslich schafft die notwendige Übersicht: Welche Drittanbieter sind im Einsatz, zu welchem Zweck, welche Personendaten werden bearbeitet, und wann laufen die Verträge aus? Dieses Verzeichnis ist zugleich Grundlage für das Bearbeitungsverzeichnis nach Artikel 12 DSG und erleichtert die Reaktion im Fall einer Datenpanne erheblich.

Phase 3: Vertragsende — Exit-Management

Das Vertragsende ist datenschutzrechtlich kein Selbstläufer. Was mit den Personendaten nach Beendigung der Zusammenarbeit geschieht, muss bereits im Vertrag geregelt sein – und nicht erst dann, wenn die Kündigung ausgesprochen ist. Erfahrungsgemäss sind die Verhandlungspositionen zu diesem Zeitpunkt ungünstig.

Zu regeln sind vier Bereiche:

• Erstens die Datenlöschung: Der Vertrag sollte eine klare Frist vorsehen, innerhalb derer der Anbieter sämtliche Personendaten unwiderruflich löscht, sowie die Pflicht, dies schriftlich zu bestätigen.
• Zweitens der Datenexport: Exportformate und -verfahren sind so zu vereinbaren, dass die eigenen Daten vollständig und in einem weiterverwertbaren Format zurückgegeben werden können – Abhängigkeit von proprietären Formaten ist ein häufig unterschätztes Risiko.
• Drittens die Frage trainierter Modelle: Wurden im Rahmen der Zusammenarbeit Modelle auf eigenen Daten trainiert oder angepasst, ist vertraglich zu klären, ob und wie der Anbieter diese Anpassungen nach Vertragsende weiternutzen darf.
• Viertens die Geheimhaltung: Vertraulichkeitspflichten des Anbieters sollten ausdrücklich über das Vertragsende hinaus fortgelten – insbesondere in Bezug auf Geschäftsgeheimnisse und besonders schützenswerte Personendaten, die im Rahmen der Zusammenarbeit bearbeitet wurden.

Pragmatische Ansätze für KMU ohne IT-Abteilung

Nicht jedes KMU verfügt über die Ressourcen für ein formelles Lieferantenmanagementsystem. Das ist kein Hinderungsgrund – entscheidend ist nicht die Komplexität des Systems, sondern seine konsequente Anwendung. Vier pragmatische Ansätze haben sich in der Praxis bewährt.

• Eine KI-Lieferantenliste in Form einer einfachen Tabelle – sei es in Excel, Google Sheets oder einem gleichwertigen Tool – schafft die notwendige Übersicht über alle eingesetzten KI-Anwendungen, Anbieterdaten, Vertragsfristen und den Status der Datenschutzdokumentation. Sie kostet wenig, nutzt aber viel: Im Fall einer Datenpanne oder einer Behördenanfrage ist die Übersicht sofort verfügbar.
• Eine standardisierte Checkliste bei jeder Neubeschaffung stellt sicher, dass datenschutzrechtliche Anforderungen nicht dem Zufall überlassen werden, sondern als fester Prozessschritt in jede Tool-Evaluation einfliessen. Einmal erstellt, verursacht sie keinen nennenswerten Mehraufwand.
• Externe Unterstützung lohnt sich insbesondere bei kritischen Anwendungen, die besonders schützenswerte Personendaten betreffen oder ein erhöhtes Risiko aufweisen. Der Beizug eines spezialisierten Datenschutzberaters muss dabei nicht zwingend ein grosses Budget voraussetzen — eine punktuelle Beratung bei der Vertragsgestaltung oder der Erstkonfiguration des Lieferantenmanagements ist oft ausreichend und steht in keinem Verhältnis zu den Kosten, die ein einziger Datenschutzvorfall verursachen kann.
• Schliesslich empfiehlt sich die Nutzung von Muster-Auftragsbearbeitungsverträgen, wie sie verschiedene Branchenverbände zur Verfügung stellen. Zu beachten ist, dass der EDÖB selbst keine offiziellen Muster-Auftragsbearbeitungsvertrag publiziert – ein häufig kolportiertes Missverständnis. Branchenspezifische Vorlagen sind deshalb stets auf ihre Vollständigkeit und Konformität mit dem revidierten DSG hin zu prüfen, bevor sie unverändert übernommen werden.

Evaluationscheckliste — KI-Tool Beschaffung

Die folgende Checkliste fasst die wichtigsten Kriterien zusammen. Sie ist für den praktischen Einsatz bei jeder Neubeschaffung eines KI-Tools konzipiert. «Kritisch» bedeutet: Ohne Erfüllung dieses Kriteriums sollte kein Vertragsverhältnis eingegangen werden — unabhängig davon, ob dieses durch eine klassische Unterschrift, eine Online-Bestellung, den Abschluss eines Abonnements oder die reine Nutzung eines Tools zu Stande kommt.

Fazit: KI beschaffen ohne böse Überraschungen

Wer bei der Auswahl eines KI-Tools die richtigen Fragen stellt, einen soliden Auftragsbearbeitungsvertrag abschliesst und ein minimales Lieferantenmanagement aufbaut, reduziert rechtliche und operationelle Risiken erheblich. Dafür braucht es keine Grosskonzern-Ressourcen – sondern Systematik.

Drei Fragen sollten beim nächsten KI-Einkauf im Vordergrund stehen:

• Wo liegen meine Daten – und wer kann auf sie zugreifen?
• Was passiert, wenn etwas schiefläuft – und wer haftet?
• Und wie komme ich aus dem Vertragsverhältnis heraus, wenn ich mich anders entscheide?

Wer diese drei Fragen schriftlich und befriedigend beantworten kann, hat bereits den entscheidenden Schritt in Richtung rechtssichere KI-Beschaffung gemacht. Die Checkliste in diesem Artikel bietet dafür den strukturierten Rahmen.