Nutzen Sie diese Klauseln als Ausgangspunkt für die Verhandlung von Verträgen mit KI-Anbietern. Sie decken KI-spezifische Risiken ab, die Standardverträge mit Anbietern oft übersehen, insbesondere das Training mit Ihren Daten, die Aufbewahrung, Audit-Nachweise und die Vorfallmeldung.
Der Anbieter darf Kundendaten (einschließlich Prompts, Eingaben, Ausgaben, Protokolle oder Telemetrie) nicht ohne ausdrückliche schriftliche Zustimmung zum Trainieren, Feintuning oder Verbessern eines Modells verwenden. Der Anbieter muss standardmäßig eine klare Opt-out-Möglichkeit vorsehen.
Der Anbieter muss die Aufbewahrungsfristen für Kundendaten offenlegen und die Löschung innerhalb eines definierten SLA (z. B. 30 Tage) auf Anfrage oder bei Vertragsende vornehmen.
Der Anbieter muss eine aktuelle Liste der Unterauftragsverarbeiter führen, den Kunden vorab über Änderungen informieren und gegebenenfalls Anforderungen an die Datenresidenz unterstützen.
Der Anbieter muss SOC 2 Type II (oder gleichwertig) aufrechterhalten, Daten bei der Übertragung und im Ruhezustand verschlüsseln, MFA durchsetzen und Least-Privilege-Kontrollen für den internen Zugriff umsetzen.
Der Kunde muss das Recht haben, die Kontrollen des Anbieters zu auditieren (oder unabhängige Nachweise wie SOC-2-Berichte zu erhalten) und zusätzliche Bestätigungen für KI-spezifische Kontrollen anzufordern.
Der Anbieter muss den Kunden innerhalb eines definierten Zeitfensters (z. B. 24 bis 72 Stunden) über jeden Sicherheitsvorfall informieren, der Kundendaten betrifft, einschließlich KI-spezifischer Vorfälle (Ausnutzung durch Prompt Injection, Modell-Fehlkonfiguration mit Datenoffenlegung).
Der Anbieter muss wesentliche Modelländerungen, die Sicherheit, Datenschutz oder Leistung beeinträchtigen, vorab ankündigen, Rollback-Optionen vorsehen und Änderungen dokumentieren.
Der Vertrag muss KI-spezifische Risiken (Datenabfluss, durch Halluzinationen ausgelöste Aktionen, Missbrauch) adressieren und angemessene Haftungsgrenzen und Freistellungen enthalten.
Richtlinien, Register, Checklisten und Rollout-Pläne, bereit zum Anpassen.
Nur geschäftliche E-Mail. Von Aona AI, der SOC 2 Type II zertifizierten Workforce AI Security Plattform.
Eine Klauselbibliothek hilft im Einkauf. Aona AI bietet Ihnen kontinuierliche Transparenz über die KI-Nutzung, die Anbieterexposition und prüfungsbereite Nachweise.