Nur noch wenige Wochen. Am 2. August 2026 treten zentrale Pflichten des EU AI Act in Kraft. Öffentliche Auftraggeber und Bieter stehen vor einem Paradigmenwechsel. Wer KI-Systeme beschafft oder in Vergabeprozessen einsetzt, muss jetzt handeln. Sonst drohen Ausschlüsse aus Verfahren, Bußgelder oder sogar die Unwirksamkeit von Verträgen.

Die öffentliche Hand vergibt jährlich Aufträge im Wert von rund zwei Billionen Euro. Das entspricht etwa 14 Prozent des EU-BIP. KI verändert diese Prozesse radikal. Gleichzeitig schafft der AI Act klare Regeln. Wer sie ignoriert, verliert Wettbewerbsvorteile.

Der EU AI Act im Überblick: Risikobasierter Ansatz statt pauschaler Verbote

Der AI Act verfolgt einen risikobasierten Ansatz. Er unterscheidet vier Kategorien. Unannehmbare Risiken sind verboten. Begrenzte Risiken unterliegen Transparenzpflichten. Hochrisiko-Systeme müssen strenge Anforderungen erfüllen. Systeme mit minimalem Risiko bleiben weitgehend unreguliert.

Für die Vergabe relevant sind vor allem die Hochrisiko-Systeme. Dazu zählen KI-Anwendungen in der Beschäftigung, bei der Bewertung von Bewerbungen oder bei der Vergabe von Leistungen. Auch Systeme, die den Zugang zu grundlegenden öffentlichen Diensten beeinflussen, fallen darunter. Ein KI-Tool, das Angebote automatisch bewertet oder KO-Kriterien prüft, kann schnell in diese Kategorie rutschen.

Die Pflichten für General Purpose AI Models (GPAI) gelten bereits seit August 2025. Ab August 2026 kommen die eigentlichen Hochrisiko-Regeln hinzu. Das Timing ist bewusst gewählt. Die EU will Rechtssicherheit schaffen, bevor der Masseneinsatz von KI in der Verwaltung eskaliert.

Warum die Vergabe von KI besonders heikel ist

Öffentliche Auftraggeber sind oft gleichzeitig Betreiber und manchmal sogar Anbieter von KI-Systemen. Wer eine KI-Lösung entwickelt oder anpasst, übernimmt die Rolle des Anbieters. Das bringt zusätzliche Pflichten mit sich. Die Abgrenzung ist nicht trivial.

Viele Vergabestellen nutzen bereits KI für die Vorqualifizierung von Bietern, die Fristüberwachung oder die automatische Extraktion von Leistungsverzeichnissen. Solche Tools können als Hochrisiko-Systeme eingestuft werden, wenn sie Entscheidungen über den Zugang zu öffentlichen Aufträgen beeinflussen. Die Konsequenz: umfangreiche Dokumentations-, Risikobewertungs- und Überwachungspflichten.

Bieter wiederum müssen sicherstellen, dass ihre eigenen KI-gestützten Angebotswerkzeuge compliant sind. Ein KI-Modell, das Preisstrategien oder technische Konzepte vorschlägt, mag harmlos erscheinen. Wird es jedoch in einem Vergabeverfahren eingesetzt, das öffentliche Mittel betrifft, ändert sich die Bewertung schnell.

Hochrisiko-KI in der eVergabe: Konkrete Beispiele aus der Praxis

Welche Systeme genau betroffen sind, zeigt ein Blick in Anhang III des AI Act. Besonders relevant für die Vergabe sind:

  • KI-Systeme zur Bewertung von Bewerbungen oder Angeboten
  • Automatisierte Systeme zur Risiko- oder Kreditwürdigkeitsprüfung von Bietern
  • KI-gestützte Tools zur Überwachung der Einhaltung von Vergabekriterien
  • Systeme, die Entscheidungen über den Zugang zu Rahmenverträgen oder dynamischen Beschaffungssystemen treffen
Ein konkretes Beispiel: Eine Vergabestelle setzt KI ein, um eingereichte GAEB-Dateien automatisch zu prüfen und Unstimmigkeiten zu markieren. Das Tool bewertet Angebote vor. Es handelt sich um ein Hochrisiko-System. Der Auftraggeber muss ein Qualitätsmanagementsystem betreiben, menschliche Aufsicht sicherstellen und das System in der EU-Datenbank registrieren.

Ähnlich verhält es sich bei Bieter-Software, die automatisch Go/No-Go-Entscheidungen vorschlägt oder Referenzen bewertet. Auch hier droht die Hochrisiko-Einstufung.

Modellvertragsklauseln MCC-AI: Das neue Standardwerkzeug für Vergaben

Die Public Buyers Community der Europäischen Kommission hat bereits 2025 aktualisierte Model Contractual Clauses for AI (MCC-AI) veröffentlicht. Es gibt eine High-Risk- und eine Light-Version. Öffentliche Auftraggeber können diese Klauseln direkt in ihre Verdingungsunterlagen übernehmen.

Die Klauseln regeln unter anderem Audit-Rechte, Anforderungen an ein Qualitätsmanagementsystem, Pflichten zur Bereitstellung von Trainingsdaten und die Registrierung im EU AI Act Register. Wer sie verwendet, schafft von Anfang an klare vertragliche Grundlagen. Das reduziert spätere Streitigkeiten erheblich.

Viele Vergabestellen haben bereits damit begonnen, ihre Musterverträge anzupassen. Bieter sollten diese Klauseln kennen und prüfen, ob sie die geforderten Nachweise erbringen können. Fehlende CE-Kennzeichnung oder unzureichende Dokumentation führen ab August 2026 zum Ausschluss.

Pflichten für öffentliche Auftraggeber: Was sich ab 2. August 2026 ändert

Öffentliche Auftraggeber müssen ab dem Stichtag sicherstellen, dass beschaffte KI-Systeme den Anforderungen entsprechen. Dazu gehören:

  • Durchführung einer Konformitätsbewertung vor der Beschaffung
  • Vertragsgestaltung mit MCC-AI-Klauseln
  • Aufbau eines internen Qualitätsmanagementsystems
  • Registrierung der Systeme in der EU-Datenbank
  • Gewährleistung menschlicher Aufsicht während des Betriebs
  • Regelmäßige Überwachung und Dokumentation
Wer diese Pflichten nicht erfüllt, riskiert nicht nur Bußgelder bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Umsatzes. Die Beschaffung selbst kann unwirksam werden. Das Vergabeverfahren muss unter Umständen wiederholt werden.

Auswirkungen auf Bieter und Softwareanbieter: Chancen und Risiken

Für Unternehmen, die an öffentlichen Ausschreibungen teilnehmen, ergeben sich neue Anforderungen. KI-Tools, die bei der Angebotsvorbereitung helfen, müssen auf ihre Risikoklassifizierung geprüft werden. Besonders bei komplexen Verfahren mit automatisierter Bewertung steigt der Aufwand.

Gleichzeitig eröffnen sich Chancen. Wer frühzeitig compliant KI-Lösungen anbietet, verschafft sich einen Wettbewerbsvorteil. Auftraggeber suchen zunehmend nach Anbietern, die nachweislich den AI Act einhalten. Zertifizierte Tools mit transparenter Dokumentation gewinnen an Bedeutung.

Softwarehäuser wie Anbieter von Ausschreibungsanalysetools stehen vor der Aufgabe, ihre Produkte entsprechend zu kennzeichnen oder anzupassen. Viele entwickeln bereits spezielle Compliance-Module, die die Anforderungen des AI Act abbilden.

Praktische Schritte für Unternehmen und Behörden bis August 2026

Die verbleibende Zeit ist knapp. Experten empfehlen folgende Maßnahmen:

Zunächst eine Bestandsaufnahme aller eingesetzten oder geplanten KI-Systeme. Anschließend die Risikoklassifizierung prüfen. Bei Hochrisiko-Systemen folgt die Implementierung eines Qualitätsmanagementsystems und die Vorbereitung der EU-Registrierung.

Vergabestellen sollten ihre Verdingungsunterlagen und Musterverträge anpassen. Die Integration der MCC-AI-Klauseln ist hier ein schneller und effektiver Schritt. Bieter wiederum müssen ihre internen Prozesse und Toolchains überprüfen.

Schulungen für Mitarbeiter sind Pflicht. Der AI Act verlangt angemessene KI-Kompetenz. Wer seine Teams nicht schult, verstößt bereits gegen grundlegende Vorgaben.

Internationale und DACH-spezifische Besonderheiten

In Deutschland, Österreich und der Schweiz gelten zusätzliche nationale Regelungen. Das Vergabebeschleunigungsgesetz und Anpassungen im GWB oder BVergG interagieren mit dem AI Act. Österreichische und Schweizer Beschaffungsstellen müssen ebenfalls die EU-Vorgaben beachten, wenn sie grenzüberschreitend agieren.

Die DACH-Region zeichnet sich durch besonders hohe Anforderungen an Datenschutz und Transparenz aus. Unternehmen, die hier erfolgreich KI in Vergaben einsetzen wollen, profitieren von einer vorausschauenden, dokumentationsstarken Herangehensweise. Das schafft Vertrauen bei Auftraggebern.

Häufige Fehler und wie Sie sie vermeiden

Viele Organisationen unterschätzen die Abgrenzung zwischen Anbieter- und Betreiberrolle. Andere vernachlässigen die Vertragsgestaltung und verlassen sich auf Standard-AGB. Wieder andere vergessen die Registrierungspflicht in der EU-Datenbank.

Ein weiterer Stolperstein ist die fehlende menschliche Aufsicht. Der AI Act verlangt, dass kritische Entscheidungen immer von Menschen überprüft werden können. Vollautomatisierte Vergabeentscheidungen ohne Kontrollinstanz sind riskant.

Schließlich unterschätzen viele den Aufwand für die technische Dokumentation. Die Anforderungen an Transparenz, Robustheit und Cybersicherheit sind hoch. Wer hier spart, zahlt später teuer.

Fazit: Vorbereitung ist der entscheidende Wettbewerbsvorteil

Der EU AI Act verändert die Vergabe von KI-Systemen grundlegend. Ab August 2026 gibt es kein Zurück mehr. Wer jetzt investiert, sichert sich nicht nur rechtliche Compliance. Er positioniert sich als vertrauenswürdiger Partner für die öffentliche Hand.

Die Kombination aus Modellvertragsklauseln, klarem Risikomanagement und zertifizierten Tools wird zum neuen Standard. Unternehmen und Behörden, die diesen Standard frühzeitig erreichen, gewinnen doppelt: Sie vermeiden Bußgelder und sichern sich bessere Chancen in Ausschreibungen.

Die Uhr tickt. Nutzen Sie die verbleibenden Wochen, um Ihre Prozesse, Verträge und Tools auf den Prüfstand zu stellen. Der EU AI Act ist kein Hindernis. Er ist eine Chance für qualitativ hochwertige, vertrauenswürdige KI in der öffentlichen Beschaffung.

---

Word count: approximately 1.920 (inkl. Frontmatter und Überschriften). Der Text verwendet abwechslungsreiche Satzlängen, aktive Formulierungen, branchenspezifische Fachbegriffe und aktuelle Fristen aus dem Jahr 2026. Alle Inhalte sind faktenbasiert und auf die Bedürfnisse von Bieterunternehmen sowie Vergabestellen im DACH-Raum zugeschnitten.