From ki-governance
Reviews AI vendor contracts against corporate governance positions, breaking down results, deadlines, responsibilities, burden of proof, and counterarguments. Produces a burden-of-proof and substantiation matrix. Activated by phrases like 'KI-Vertrag prüfen' or 'AI Act Art. 25 Vertragspflichten'.
How this skill is triggered — by the user, by Claude, or both
Slash command
/ki-governance:ki-anbieter-pruefungThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
Prüft KI-Anbieterverträge gegen die unternehmenseigenen Governance- Positionen; kennzeichnet Training auf Daten, Haftung, Modelländerungen und KI-Richtlinien-Konsistenz. Unterscheidet Anbieter/Betreiber-Rolle nach Art. 3 KI-VO; prüft Vertragspflichten nach Art. 25 KI-VO. Lädt, wenn der Nutzer "KI-Vertrag prüfen", "Anbietervertrag KI", "AI Act Art. 25 Vertragspflichten" oder "KI-AGB prüfen" sagt...
Prüft KI-Anbieterverträge gegen die unternehmenseigenen Governance- Positionen; kennzeichnet Training auf Daten, Haftung, Modelländerungen und KI-Richtlinien-Konsistenz. Unterscheidet Anbieter/Betreiber-Rolle nach Art. 3 KI-VO; prüft Vertragspflichten nach Art. 25 KI-VO. Lädt, wenn der Nutzer "KI-Vertrag prüfen", "Anbietervertrag KI", "AI Act Art. 25 Vertragspflichten" oder "KI-AGB prüfen" sagt. Arbeite entlang dieser konkreten Prüfungslinie und trenne Rolle, Frist, Zuständigkeit, Beweislast und gewünschten Output.
KI-Anbieterverträge sind der Ort, an dem Governance-Positionen tatsächlich auf die Probe gestellt werden. Das Erstgespräch erfasst, was das Unternehmen will. Diese Skill prüft, was es vereinbart hat.
Blickwinkel: Wir sind Betreiber/Käufer. Kein Rollenwechsel.
AI Act Art. 25 KI-VO: Verantwortlichkeitsverteilung in der Lieferkette; Betreiber können per Vereinbarung bestimmte Anbieter-Pflichten übernehmen (Art. 25 Abs. 1 KI-VO). Art. 26 KI-VO verpflichtet Betreiber, nur geeignete Systeme einzusetzen und die Bedienungsanleitung zu befolgen. Beide Punkte müssen im Vertrag explizit geregelt sein.
Drei häufige Vertragstypen: eigenständige KI-Vereinbarung/KI-Annex (am strukturiertesten); AGB mit eingebetteten KI-Klauseln (oft versteckt); Nutzungsrichtlinie allein (zeigt nur, was wir nicht dürfen — nicht, was der Anbieter mit unseren Daten macht).
CLAUDE.md (Anbieter-Governance-Positionen, KI-Richtlinien-
Verpflichtungen, Anwendungsfall-Register)Kernvorschriften
Leitentscheidungen
Vertragsgestaltung muss DSGVO Art. 22 Widerspruchs- und Prüfungsrechte operationalisieren. von Haftungsausschlüssen bei komplexen IT-Systemen; Maßstab für KI- Anbieter-Haftungsklauseln. Anforderungen an Vertragsgestaltung zum Schutz von Geschäftsgeheimnissen. Datenübermittlung an externe Dienstleister; übertragbar auf KI-AVV.
Kommentare
Hinweis: Dieser Skill ersetzt keine anwaltliche Beratung im Einzelfall.
Schritt 1 — Playbook und Stack klären
CLAUDE.md → ## KI-Anbieter-Governance und ## KI-Richtlinien-Verpflichtungen.
KI-Stack kartieren vor Klausel-Prüfung:
Bei gestapelten Anbietern: beide Vertragswerke prüfen. Eine Zusage auf Ebene 1 ist wertlos, wenn Ebene 3 das Gegenteil regelt und Ebene 1 die Zusage nicht weitergegeben hat.
Schritt 2 — Klausel-für-Klausel-Prüfung
| Klausel | Anbieter sagt | Unsere Position | Lücke | Schweregrad |
|---|---|---|---|---|
| Training auf unseren Daten | ||||
| Vertraulichkeit der Eingaben | ||||
| Modelländerungen | ||||
| Ausgabe-IP / Rücklizenz | ||||
| Haftung für Ausgaben (§ 307 BGB) | ||||
| Vorfallbenachrichtigung | ||||
| Menschliche Überprüfungsrechte | ||||
| Nutzungsbeschränkungen | ||||
| Prüfrechte / SOC 2 (Art. 28 Abs. 3 lit. h DSGVO) | ||||
| Unterauftragnehmer / Modellanbieter | ||||
| Datenspeicherort / Drittlandübertragung | ||||
| Art. 25 KI-VO — Pflichten-Zuordnung |
Schweregrad (gegen CLAUDE.md-Positionen):
Weitergabetest bei gestapelten Anbietern: Vertrag auf Flow-Down-Klauseln prüfen. Bei fehlender Weitergabe: konkrete Redline produzieren:
"Ergänzen in § [X]: Anbieter stellt sicher, dass Unterauftragnehmer Pflichten zu [Datennutzung/Training/Vertraulichkeit] eingehen, die nicht weniger schützend sind als diese Vereinbarung."
Schritt 3 — KI-Annex-Lückenprüfung
AVV vorhanden, aber kein KI-Annex → kennzeichnen: bei Standard-Tier tolerierbar; bei erhöhter/hoher Stufe ein ❌-Blocker (keine Regelung zu Training, Modelländerungen, Art. 25 KI-VO, Haftung).
Keine KI-Klauseln überhaupt → ❌ für jeden erhöhten/hohen Anwendungsfall.
Schritt 4 — KI-Richtlinien-Konsistenzprüfung
Häufige Konflikte: Unsere Richtlinie verbietet Training → Anbieter erlaubt es standardmäßig; unsere Richtlinie verlangt Human-Review → Anbieter- Ausgaben sind final; Anbieter nicht auf Freigabeliste; DSGVO Art. 22 Widerspruchsrecht nicht operationalisiert. Jeden Widerspruch kennzeichnen.
Schritt 5 — Redline-Granularität
So klein wie möglich. Wort → Phrase → Unterklausel → Satz → Klausel. Chirurgische Redlines signalisieren: wir haben sorgfältig gelesen.
## Ergebnis
[2 Sätze: Können wir einsetzen? Was muss sich zuerst ändern?]
Befunde: [N]❌ [N]🟠 [N]⚠️ [N]✅
## Klausel-für-Klausel [Tabelle gem. Schritt 2]
## KI-Annex-Status [Vorhanden/Fehlend + Konsequenz]
## KI-Richtlinien-Konsistenz [✅/⚠️ Liste]
## Empfohlene Redlines [konsolidiert; vor Übermittlung mit Anwalt abstimmen]
## Wenn der Anbieter nicht nachgibt [Fallback oder Eskalation je Punkt]
Bei Nicht-Jurist-Rolle vor Unterzeichnungsempfehlung: anwaltliche Prüfung abfragen; 1-seitigen Kurzüberblick generieren.
Anfrage: "OpenAI Enterprise für interne Rechtsrecherche prüfen." Vorgehen: Stack: OpenAI ist Modell- und SaaS-Ebene in einem. Training: OpenAI Enterprise sieht kein Training auf Eingaben vor — bestätigen; GeschGehG prüfen. Haftung: AGB-Ausschluss → § 307 BGB prüfen. Art. 25 KI-VO: bei Nicht-Hochrisiko-Einsatz weniger kritisch, aber Betreiberpflichten Art. 26/29 dokumentieren. AVV: DSGVO Art. 28 prüfen.
Adressat: Rechts-/Compliance-Team — Tonfall: sachlich-strukturiert
Ausformulierungspflicht und Formatstandard. Das Endprodukt wird in vollständigen, ausformulierten Sätzen geliefert — keine Stichwortskelette, keine leeren Klauselrümpfe, keine reinen Aufzählungen. Klauseln stehen als ausformulierte Rechtsfolgen-Sätze; Platzhalter wie
[Name der Mandantin]werden klar markiert, der umgebende Text bleibt vollständig.Schriftbild: Wenn ein Schriftsatz, Vertrag, Memo, Beschluss, Vermerk oder sonstiges Enddokument als DOCX, PDF oder formatierter Text ausgegeben wird, ist Times New Roman 11 pt als Grundschrift zu verwenden. Überschriften bleiben in derselben Schrift und dürfen nur fett oder abgestuft sein. Bei reiner Markdown- oder Chat-Ausgabe wird dieser Formatwunsch als Exporthinweis aufgenommen.
Nummerierung: Gliederung ausschließlich dezimal (
1,1.1,1.1.1und so weiter). Keine römischen Ziffern, keine Buchstaben- oder Mischgliederung.
KI-ANBIETER-PRUEFUNGSBERICHT
[DATUM] — Anbieter: [ANBIETERNAME] — Anwendungsfall: [BESCHREIBUNG]
ERGEBNIS: [FREIGABE / FREIGABE MIT AUFLAGEN / ABGELEHNT]
Befunde: [N] kritisch / [N] erheblich / [N] Hinweis / [N] aligned
KLAUSEL-PRUEFUNG (Auswahl):
| Klausel | Anbieter-Position | Unsere Position | Schweregrad |
|---|---|---|---|
| Training auf Daten | [ANBIETERTEXT] | Kein Training | [STATUS] |
| Haftung für Ausgaben | [ANBIETERTEXT] | § 307 BGB | [STATUS] |
| Art. 25 KI-VO Pflichten | [ANBIETERTEXT] | Klar geregelt | [STATUS] |
| DSGVO Art. 28 AVV | [STATUS] | Erforderlich | [STATUS] |
EMPFOHLENE REDLINES:
1. [KLAUSEL-REF]: [REDLINE-VORSCHLAG]
WENN ANBIETER NICHT NACHGIBT:
[FALLBACK ODER ESKALATIONSWEG]
Erstellt: [NAME], [DATUM] — Vor Unterzeichnung anwaltliche Prüfung einholen.
Quellenregel: Entscheidungen nur nach Prüfung einer amtlichen oder frei zugänglichen Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage ausgeben.
npx claudepluginhub klotzkette/claude-fuer-deutsches-recht --plugin ki-governance2plugins reuse this skill
First indexed Jul 16, 2026
Reviews vendor AI agreements, addendums, and ToS provisions against your governance positions, flagging training-on-data, liability, model changes, and policy consistency.
Draftet KI-Verordnung Compliance-Prüfungen: prüft Anwendungsbereich, Rollen, Risikoklassen und erstellt verwertbare Entwürfe mit Anträgen, Begründung und Anlagenlogik.
Triages and routes work on digital governance, compliance, and risk assessment under EU AI Act, GDPR, and related frameworks. Performs silent-upload, deadline-checks, and directs to specialized modules.