Ressource · Vendor-Check KI-Anbieter
Stand: 22.05.2026 · Selbsteinschätzung, keine Rechtsberatung
Zum Inhalt springen
B
BMP Digital
Ressource · Vendor-Check

Vendor-Check für KI-Anbieter - 5 Fragen vor Vertragsabschluss.

Bevor Sie einen KI-Anbieter dauerhaft in Ihre Prozesse einbauen, sind fünf Punkte zu klären: liegt ein Auftragsverarbeitungsvertrag vor, ist Modelltraining auf Ihren Daten ausgeschlossen, läuft die Nutzung über einen kostenpflichtigen Business-Account, ist eine EU-Region verfügbar und tatsächlich aktiviert, und wird Ihr Rechte- und Rollenkonzept respektiert? Diese Liste arbeiten Sie einmal durch, vergeben pro Punkt einen Status (erfüllt / teilweise / offen / nicht anwendbar), optional mit Notiz - und bekommen einen Score plus eine Lückenliste als Markdown-Export.

Alles läuft lokal in Ihrem Browser. Keine Anmeldung, kein Tracking, kein Upload. Wenn Sie wieder ins Auswerten kommen wollen, lädt die Seite den Stand allerdings nicht für Sie zurück - exportieren Sie die Lückenliste am Ende als Markdown.

Stand: 22.05.2026 · Bearbeitungszeit 10 – 20 Minuten · ersetzt keine Rechtsberatung
Live-Fortschritt
0 %
0 erfüllt0 teilweise5 offen0 n. a.
5 von 5 Punkten anwendbar · 0 / 5 Punkte
01

Auftragsverarbeitungsvertrag (AVV) abgeschlossen

Was prüfen?
Liegt mit dem Anbieter ein AVV nach Art. 28 DSGVO vor - unterzeichnet oder per Klick-Acceptance?
Wo finden?
Bei großen Anbietern unter „Trust / Legal / Data Processing Addendum“; bei OpenAI im Business-Plan automatisch enthalten, bei Anthropic via Enterprise-Vertrag; Microsoft 365 Copilot über das Microsoft Products and Services Data Protection Addendum.
Risiko bei Fehlen
Datenverarbeitung ohne Rechtsgrundlage. Bußgeld-Risiko nach Art. 83 DSGVO und persönliche Haftung der Geschäftsführung möglich.
02

Modelltraining auf eigenen Daten ausgeschlossen

Was prüfen?
Sichert der Anbieter vertraglich zu, dass Ihre Inhalte nicht zum Training seiner Modelle verwendet werden - standardmäßig oder erst nach Opt-out?
Wo finden?
AVV-Anhang, Sub-Processing-Klausel oder im Admin-Panel des Business-Accounts (z. B. ChatGPT Business → Data Controls; Claude Enterprise → standardmäßig aus; Google Workspace Gemini → für Business- und Enterprise-Pläne standardmäßig aus).
Risiko bei Fehlen
Firmen-Know-how, Mandanten-Daten und vertrauliche Strategien landen in Modellen, die andere Kunden bedienen.
03

Kostenpflichtiger Business- oder Enterprise-Account (kein Free)

Was prüfen?
Welche Account-Stufe nutzen die Mitarbeitenden tatsächlich? Free-Versionen werben in der Regel mit Training-Erlaubnis als Gegenleistung für die kostenlose Nutzung.
Wo finden?
Account-Übersicht im Anbieter-Portal; Lizenz-Inventar in der IT; gegebenenfalls Single-Sign-On-Konfiguration im Identity-Provider.
Risiko bei Fehlen
„Wer nichts zahlt, ist das Produkt.“ Free-Accounts sind regelmäßig nicht DSGVO-konform einsetzbar, weil Trainings-Opt-out fehlt und meist kein AVV verfügbar ist.
04

Datenverarbeitung in der EU verfügbar - und tatsächlich aktiviert

Was prüfen?
Bietet der Anbieter eine EU-Region an, und ist sie für Ihren Mandanten tatsächlich gesetzt? Wichtig: „Server in Frankfurt“ allein ist eher psychologisches als hartes Datenschutz-Argument - der US-Cloud-Act greift unabhängig vom Serverstandort, sobald ein US-Mutterkonzern dahinter steht. Trotzdem sinnvoll im Hinblick auf Latenz, Steuern und politische Risikosteuerung.
Wo finden?
Account-Einstellungen / Tenant-Region; bei Microsoft 365 die „Data Residency Commitments“ prüfen; bei OpenAI Enterprise „EU Data Residency“ ausdrücklich anfragen.
Risiko bei Fehlen
Eingeschränkte Möglichkeit zur Risikosteuerung, politische Abhängigkeit, Diskussionen mit Aufsichtsbehörden im Konfliktfall (Schrems III).
05

Rechte- und Rollenkonzept wird respektiert

Was prüfen?
Sieht ein KI-Agent oder Copilot nicht mehr, als der jeweilige Nutzer ohnehin sehen darf? Werden bestehende SharePoint-, CRM- und Mail-Berechtigungen sauber durchgereicht?
Wo finden?
Copilot-Konfiguration im M365-Admin-Center; SharePoint-Permissions-Review; gegebenenfalls Drittanbieter-Tools, die die Source-Permissions an die KI weitergeben.
Risiko bei Fehlen
KI-Agent als Datenleck-Multiplikator - Mitarbeitende sehen über den Agenten Inhalte, die ihnen direkt nie zugänglich wären. Größtes praktisches Risiko bei Agentic AI.
Hintergrund

Warum genau diese fünf Punkte?

Die fünf Prüfpunkte fassen das zusammen, was Aufsichtsbehörden und Datenschutz-Praktiker bei jeder KI-Einführung zuerst abfragen. Sie sind das Mindeste, was vor einem produktiven Einsatz schriftlich geklärt sein sollte - kein vollständiger Compliance-Audit, sondern die Gatekeeper-Fragen, die regelmäßig den Unterschied zwischen tragfähigem Vertrag und Risiko-Geschäft markieren.

Wer mehrere Anbieter prüft, exportiert die Lückenliste pro Tool und legt sie nebeneinander - damit lässt sich nachvollziehen, warum ein Anbieter abgelehnt oder gewählt wurde. Für die strukturierte Umsetzung über die Tool-Auswahl hinaus - Inventar, Verträge, Risikobewertung, Schulungsnachweise - empfehlen wir den KI-Kompass. Den groben rechtlichen Rahmen liefert unser EU-KI-VO-Leitfaden, den breiteren Datenschutz-Audit unser DSGVO-KI-Self-Check.

Weitere Ressourcen

Vom Wissen zur Umsetzung.

Wissen testen

AI-Officer-Probetest

60 Multiple-Choice-Fragen zu EU-KI-VO, DSGVO und Praxis im Unternehmen - 90 Minuten, mit Auswertung pro Themenbereich.

Probetest starten
Lesen

EU-KI-VO-Leitfaden für den Mittelstand

Pflichten, Risikoklassen, Fristen und Bußgelder strukturiert erklärt - in 12 Minuten Lesezeit.

Zum Leitfaden
Selbst-Audit

DSGVO-KI-Self-Check

Strukturierter Selbst-Audit entlang der BayLDA-Prüfkriterien für datenschutzkonforme KI - mit Score, Lücken-Liste und Druck-Export.

Self-Check starten
Generieren

KI-Leitlinien-Generator

Geführter Konfigurator für eine interne Mitarbeiter-Richtlinie zur KI-Nutzung - in unter 10 Minuten als Markdown-Vorlage zum Download.

Richtlinie generieren
Nächster Schritt

Lücken erkannt - Umsetzung offen?

KI-Kompass starten →
Der KI-Kompass strukturiert Inventar und Verträge auditfest in einem Werkzeug.